ACL не работает
-
Я выполняю лабораторную работу в Cisco Packet Tracer и дошел до этапа ACL.
Курс начинается с небольших примеров, чтобы мы могли изучить и понять концепцию. Но эти примеры не работают. Я работаю над этим уже два часа, ищу в Интернете, но не могу найти ответ, поэтому прошу вас о помощи.
Это ACL, который не позволяет маршрутизатору A подключаться через SSH к маршрутизатору B. Я настраиваю этот ACL на маршрутизаторе A. Вот конфигурация (стоит упомянуть, что я тестировал с in и out на интерфейсе; в курсе сказано использовать in, но мне это кажется странным): ! interface GigabitEthernet0/0/1 ip address 223.0.1.3 255.255.255.0 ip access-group 100 in дуплекс auto speed auto ! ! список доступа 100 запретить tcp хост 223.0.1.3 любой eq 22 access-list 100 permit ip any any ! -
Попробуйте: interface GigabitEthernet0/0/1 ip address 223.0.1.3 255.255.255.0 ip access-group 100 in access-list 100 deny tcp any eq 22 host 223.0.1.3
access-list 100 permit ip any any Кстати, вышеуказанное будет блокировать SSH только в том случае, если 1) используется его хорошо известный порт и 2) пакет получен на интерфейсе g0/0/1. -
access-list 100 deny tcp any host 223.0.1.3 eq 22 access-list 100 permit ip any any
Предполагая, что вы пытаетесь заблокировать SSH для этого IP-адреса, вам необходимо сделать 223.0.1.3 адресом назначения, а не источником в ACL. -
Прежде всего, спасибо за ответ.
Это не моя цель. На самом деле я пытаюсь предотвратить попытки маршрутизатора A подключиться к другим маршрутизаторам через интерфейс g0/0/1, IP-адрес которого 223.0.1.3. -
Здравствуйте, Если вы используете только 2 маршрутизатора и блокируете SSH между ними, я не думаю, что это сработает. Насколько я помню, ACL интерфейса не влияют на локально генерируемый трафик. Поэтому, если ACL интерфейса находится на маршрутизаторе A, а вы используете маршрутизатор A для SSH, то, скорее всего, блокировка не сработает. Вы можете попробовать настроить ACL на маршрутизаторе B на интерфейсе, подключенном к маршрутизатору A, в направлении «IN». -Дэвид
-
Спасибо за ответ.
Но если я хочу запретить маршрутизатору A инициировать SSH-соединение с другими маршрутизаторами через интерфейс g0/0/1 (IP: 223.0.1.3), как я могу это сделать? -
Кроме того, предоставленный мной ACL блокирует маршрутизатор A, инициирующий SSH с другим маршрутизатором, например, маршрутизатором B. Если вы также хотите заблокировать другие маршрутизаторы от инициирования SSH к маршрутизатору A, вам понадобится еще один ACE: access-list 100 deny tcp any host 223.0.1.3 eq 22 Вышеуказанное было предложено
@Gregory Camp
, но два разных ACE зависят от того, какое устройство инициирует SSH. От A к B, как указано в OP, необходим ACE из моего предыдущего ответа. От B (или любого другого устройства) к A необходим этот ACE. Конечно, вы можете иметь оба ACE в ACL. Кстати, ACE, блокирующий A для других устройств, блокирует обратные пакеты, а для эффективности в идеале мы хотим блокировать исходящие пакеты. Но, как отметил
@David Ruess
, ACL не применяются к пакетам, генерируемым локально (т. е. на том же устройстве). Я считаю, что двумя возможными альтернативами могут быть использование PBR или QoS для блокировки исходящих SSH-пакетов маршрутизатора A, поскольку, по моему мнению, оба они будут обрабатывать все исходящие пакеты. Пример политики QoS, блокирующей как входящие, так и исходящие пакеты. interface GigabitEthernet0/0/1 ip address 223.0.1.3 255.255.255.0 service-policy in Example service-policy out Example class-map Example match protocol ssh !I believe it might only match port 22, on src or dst, but in the future, migth actually protocol match, i.e. not depend on port 22 being used. policy-map Example class Example drop !not all QoS implementations appear to support this command -
Спасибо за помощь.
Два часа думал, а не додумался заблокировать попытку подключения, когда ответил маршрутизатор B. Чувствую себя глупо. -
@ibrahimbdj
написал:
Спасибо за помощь.
Два часа думал, но так и не догадался заблокировать попытку подключения, когда ответил маршрутизатор B. Чувствую себя глупо. Смех Я не думаю, что вы глупы. Однако двусторонний поток трафика — это то, о чем вы вряд ли забудете в будущем. Не знаю, как другие, но у меня точно было немало моментов, когда я ломал голову над простыми вещами. ; )
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти