ACL-uri IPv4 Extinse

Configurarea ACL-urilor IPv4 Extinse

Etapele procedurale pentru configurarea ACL-urilor extinse sunt la fel ca și pentru ACL-urile standard. ACL-ul extins este primul configurat și apoi este activat pe o interfață. Cu toate acestea , sintaxa comenzii și parametrii sunt mult mai complexe pentru a suporta caracteristici suplimentare oferite de ACL-urile extinse.

Notă:Logica internă aplicată ordinii declarației ACL standard nu se aplica și pentru ACL-urile extinse. Ordinea în care declarațiile sunt introduse în timpul configurării este ordinea în care sunt afișate și procesate.

Figura 1 arată sintaxa comenzii comune pentru ACL-urile IPv4 extinse. Observați că există mai multe cuvinte cheie și parametrii pentru ACL-uri extinse. Nu este necesar să utilizați toate cuvintele cheie și parametrii când configurați un ACL extins. Amintiți-vă că ? poate fi utilizat pentru a primi ajutor când introduceți comenzi complexe.

Figura 2 arată un exemplu de ACL extins. În acest exemplu , administratorul de rețea a configurat ACL-urile să restricționeze accesul rețelei la navigarea web doar pentru LAN-ul atașat la interfața G0/0 a oricărei rețele externe. ACL 103 permite traficul care vine de la orice adresa de pe rețeaua 192.168.10.0 să meargă la orice destinație , supus limitei de trafic utilizând doar porturile 80 (HTT) și 443 (HTTP).

Natura HTTP presupune ca fluxul de trafic să fie trimis înapoi în rețeaua de unde au fost website-urile accesate de către clienții interni. Administratorul de rețea dorește să restricționeze acel trafic de retur la schimburi HTTP de la website-urile solicitate , în timp ce blochează oricare alt trafic. ACL 104 face asta prin blocarea traficului de intrare , cu excepție conexiunile stabilite anterior. Declarație permit în ACL 104 permite traficul de intrare folosind parametrul established .

Parametrul established permite doar răspunsuri la traficul care originează de la rețeaua 182.168.10.0/24 să se întoarcă la acea rețea. O potrive are loc dacă segmentul TCP returnat are biții setați ACK sau reset (RST) , ceea ce indică faptul că pachetul aparține unei conexiuni existente. Fără parametrul established în declarația ACL , clienții ar putea trimite trafic către un server web , dar nu să primească traficul de retur del a serverul web.