Списки управления доступом (Access Control List)

Настройка функции CPU Interface Filtering

Рис. 19.3. Схема 3

Правила:

Правило 1:

Если IP-адрес источника = 10.1.1.250 — разрешить доступ к CPU коммутатора по протоколу ICMP.

Правило 2:

Другим станциям запретить доступ по протоколу ICMP к коммутатору.

Правило 3:

Иначе — по умолчанию разрешить доступ всем узлам.

Перед выполнением настройки удалите последний профиль из предыдущего задания

delete access_profile profile_id 4

Настройте IP-адрес интерфейса управления коммутатора

config ipif System ip_address  10.1.1.10/8

Включите функцию CPU Interface Filtering

enable cpu_interface_filtering

Правило 1.

Создайте профиль доступа 1

create cpu access_profile ip profile_id 1 ip source_ip_mask 255.255.255.255 icmp 

Сконфигурируйте правила для профиля доступа 1

config cpu access_profile profile_id 1 add access_id 1 ip source_ip 10.1.1.250 icmp permit

Правило 2.

Создайте профиль доступа 2

create cpu access_profile ip source_ip_mask 255.0.0.0 icmp profile_id 2

Сконфигурируйте правила для профиля доступа 2

config cpu access_profile profile_id 2 add access_id 1 ip source_ip 10.0.0.0 icmp deny

Правило 3.

Разрешите все остальное Выполняется по умолчанию

Упражнения

Подключите станции ПК1 и ПК2 и протестируйте соединение до CPU коммутатора (IP-адрес 10.1.1.10) командой ping

ping 10.1.1.10 

Что вы наблюдаете? Запишите:

Проверьте список стандартных профилей ACL

show access_profile

Проверьте правила в списке фильтров CPU

show cpu access_profile

Удалите правило 1 из профиля 1

config cpu access_profile profile_id 1 delete access_id 1

Что вы наблюдаете? Запишите:

Удалите профиль CPU ACL

delete cpu access_profile profile_id 1

Протестируйте соединение до CPU коммутатора командой ping.

Что вы наблюдаете? Запишите: