szit

Felhasználói eszközök

Eszközök a webhelyen

Itt vagy: start » oktatas » halozat » cisco » acl_idoalapon
Nyomvonal: acl_idoalapon
oktatas:halozat:cisco:acl_idoalapon

Tartalomjegyzék

< Cisco

ACL időalapon

Bevezetés

Az időalapú ACL ugyan nem része a CCNA tananyagoknak, de nagyon jó lehet időponthoz kötni egy ACL szabály működését. Az alábbiakban egy adott időpontban működő ACL-t fogunk látni. A beállítás Cisco Packet Tracerben nem működik, de GNS3-ban vagy egy valós routeren igen.

Topológia

     192.168.10.0/24         192.168.20.0/24

 .11               .1    .1               .2
               g0/0    g0/1
PC0----------------<R1>-------------------Server0

Feladat

A következőt szeretném beállítani:

  • Minden nap 9:00 és 18:00 között szeretném tiltani az ICMP üzeneteket.

Beállítás

A time-range parancs, amit használni fogunk, CPT-ben nem működik. GNS3-ban vagy valós routeren használható.

Lépések:

  1. időperiódus létrehozása
  2. ACL szabályok
    1. ACL szabály létrehozása az időperiódushoz kötve
    2. minden mást engedünk
  3. interfészhez kötjük az ACL-t
R1(config)# time-range NAPPAL
R1(config-time-range)# periodic daily 9:00 to 18:00
R1(config-time-range)# exit
R1(config)#
R1(config)# ip access-list extended LISTA1       
R1(config-ext-nacl)# deny icmp host 192.168.10.11 host 192.168.20.2 time-range NAPPAL   
R1(config-ext-nacl)# permit ip any any
R1(config-ext-nacl)# exit
R1(config)#
R1(config)#int g0/0
R1(config-if)# ip access-group LISTA1 in

Természetesen legyen beállítva a router ideje. Ha nem lenne: 

R1# clock set 21:14:00 6 marc 2018

Ellenőrzés

Először nézzük meg milyen időpont van éppen a routeren: 

R1#show clock
*21:26:26.007 UTC Tue Mar 6 2018

Küldjünk echo csomagokat a Server irányába: 

C:\> ping 192.168.20.2

Állítsuk át a router idejét, majd ismételjük.

A beállítások ellenőrzéséhez, nézzük meg milyen időintervallumok vannak beállítva. 

R1#show time-range
time-range entry: NAPPAL (inactive)
   periodic daily 9:00 to 18:00
   used in: IP ACL entry
R1#

Az ACL lista ellenőrzése: 

R1#show access-lists LISTA1
Extended IP access list LISTA1
    10 deny icmp host 192.168.10.11 host 192.168.20.2 time-range NAPPAL (inactive)
    20 permit ip any any

Forrás

oktatas/halozat/cisco/acl_idoalapon.txt · Utolsó módosítás: 2022/10/13 00:43 szerkesztette: admin