[IT] CISCO ACL 讨论 [复制链接]

发表于 2009-7-8 16:07 |显示全部楼层

此文章由 kingkongfei 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 kingkongfei 所有！转贴必须注明作者、出处和本声明，并保持内容完整

这里大牛比较多，只能弱弱的说一句。说的不对请多指教。
A的话，是先看critieria 1,如果不符在看是否match第二条，如果2条都不match，直接drop掉。
B和C只有1条crieria, 不符就直接drop.

Eq23,是telnet，没记错的话是permit tcp形式的telnet。
我记得any的位置是有讲究的，一个是protocol type,一个是source/destination port number, 还有一个是source/destination IP address

[ 本帖最后由 kingkongfei 于 2009-7-8 15:10 编辑 ]

评分

参与人数 1	积分 +2	收起理由
夜游神	+ 2	勇敢的回复

查看全部评分

夜游神

发表于 2009-7-8 16:17 |显示全部楼层

此文章由夜游神原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者夜游神所有！转贴必须注明作者、出处和本声明，并保持内容完整

原帖由 kingkongfei 于 2009-7-8 15:07 发表
这里大牛比较多，只能弱弱的说一句。说的不对请多指教。
A的话，是先看critieria 1,如果不符在看是否match第二条，如果2条都不match，直接drop掉。
B和C只有1条crieria, 不符就直接drop.

Eq23,是telnet，没记错 ...

基本上说出了定义(加分咯),不过ACL没有被应用到interface上的时候,是不会DROP任何东西滴~~假设你要定义telnet traffic,你会用哪一条?或者在什么样的三种情况下,你会分别应用哪一条?

Do My Best!! 把梦实现走到海的最遥远!!!!!

gerence

发表于 2009-7-8 16:20 |显示全部楼层

此文章由 gerence 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 gerence 所有！转贴必须注明作者、出处和本声明，并保持内容完整

A 只允许双向telnet

B / C 只允许单向telnet

评分

参与人数 1	积分 +2	收起理由
夜游神	+ 2	NA级别的ACL水平有了~~~正点!!!

查看全部评分

发表于 2009-7-8 16:25 |显示全部楼层

回复 3# 的帖子

此文章由 kingkongfei 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 kingkongfei 所有！转贴必须注明作者、出处和本声明，并保持内容完整

嗯，对，好像有些机器的默认是，除非你加入permit, 否则deny ip any any,这样就被drop了

如果偶选，用B，看cisco的commend example都是先是protocol ,再Ip address 及wildcard mask ,再port number的。

baowei1202

木屐族

发表于 2009-7-8 16:28 |显示全部楼层

此文章由 baowei1202 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 baowei1202 所有！转贴必须注明作者、出处和本声明，并保持内容完整

顶

gerence

发表于 2009-7-8 16:29 |显示全部楼层

此文章由 gerence 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 gerence 所有！转贴必须注明作者、出处和本声明，并保持内容完整

原帖由 夜游神 于 2009-7-8 15:17 发表

基本上说出了定义(加分咯),不过ACL没有被应用到interface上的时候,是不会DROP任何东西滴~~假设你要定义telnet traffic,你会用哪一条?或者在什么样的三种情况下,你会分别应用哪一条?

没明白问题是什么.
给个参考:http://www.cisco.com/en/US/tech/ ... 86a0080100548.shtml

发表于 2009-7-8 16:30 |显示全部楼层

此文章由 kingkongfei 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 kingkongfei 所有！转贴必须注明作者、出处和本声明，并保持内容完整

再次弱弱的问一句，单/双方向不是看

ip access-group name in/out 里的in和out的么？？

leolee

布鞋族

发表于 2009-7-8 16:34 |显示全部楼层

此文章由 leolee 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 leolee 所有！转贴必须注明作者、出处和本声明，并保持内容完整

很清楚呀，A, permit any hosts to the port 23 at any destination host, and permit port 23 at any hosts to connect to any host at any ports
B,C 就不用说了吧，只是其中的一个条件。

评分

参与人数 1	积分 +2	收起理由
夜游神	+ 2	正点而精辟的解析!!!!!

查看全部评分

夜游神

发表于 2009-7-8 16:40 |显示全部楼层

回复 7# 的帖子

此文章由夜游神原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者夜游神所有！转贴必须注明作者、出处和本声明，并保持内容完整

7楼,本人天生语言能力就不是很好,自从杀出国门摸爬滚打了几年之后,处于尚未掌握洋文而中文倒退N年的尴尬状况下~~~

夜游神

发表于 2009-7-8 17:04 |显示全部楼层

此文章由夜游神原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者夜游神所有！转贴必须注明作者、出处和本声明，并保持内容完整

原帖由 kingkongfei 于 2009-7-8 15:30 发表
再次弱弱的问一句，单/双方向不是看

ip access-group name in/out 里的in和out的么？？

这里的方向是说你如何把你的ACL应用到interface上去,和ACL本身的方向没有关系.(在特定的interface上用你定义的ACL过滤"流入"的还是"流出"的traffic)
而且ACL的应用相当的广泛,借助牛霸(NBAR)的力量, 更多的被用来定义traffic的类别,而协助其它的应用,比如说QoS里BA的"match"

[ 本帖最后由夜游神于 2009-7-8 16:07 编辑 ]

Do My Best!! 把梦实现走到海的最遥远!!!!!