Использование object-groups в ACL на Cisco IOS

В качестве памятки себе, решил оформить статью по использованию object-groups при создании ACL на Cisco IOS. Все ниже описанные действия будут производится на CISCO2911/K9 с версией прошивки 15.4(3)M9.

 

object-groups бывают двух типов:

  • network — Сетевые объекты (network group). Сетевые объекты позволяют группировать IP-адреса хоста, Подсети, Диапазоны IP-адресов и другие группы сетевых объектов.
  • service — (service group). Сервисные объекты позволяют указать исходные и целевые порты протокола (такие как Telnet или SNMP), Типы ICMP (такие как echo, echo-reply или host-unreachable), протоколы верхнего уровня (такие как TCP, UDP или ESP) и другие группы сервисных объектов.

 

Использование object-groups в ACL, позволяет легко добавлять / удалять записи, сохраняя при этом упорядоченную и читаемую структуру ACL. Так же object-groups обеспечивает простой и интуитивно понятный механизм для настройки и управления большими списками ACL, особенно тех, которые часто меняются.

 

Рассмотрим на примере, как настроить 2 отдела (прим. SALES и HR) для доступа к тому или иному серверу (прим. PROXY или MAIL), по определенным портам (прим. WEB-PORTS и MAIL-PORTS).

 

Сперва в object-groups определим сетевые объекты отделов, которым будет предоставлен доступ:

 

Теперь определяем в object-groups, сервера, к которым необходим доступ из отделов:

 

Далее определим сервисные типы объектов, по которым будет разрешен доступ на сервера и отделов:

 

Выполним следующую конструкцию ACL:

  1. Доступ к серверам (PROXY), по портам (WEB-PORTS) имеют хосты из SALES.
  2. Доступ к серверам (MAIL), по портам (MAIL-PORTS) имеют хосты из HR.

 

Посмотреть имеющиеся object-groups и access-list, можно командами:

 

Понравилась или оказалась полезной статья, поблагодари автора

 

БесполезноСлабоватоПриемлемоОтличноПревосходно (1 голос(ов), в среднем: 5,00 из 5)
Загрузка...

Оставить ответ

шесть + 19 =

© IT-блог Жаконды All Rights Reserved.
Яндекс.Метрика