Назад | Перейти на главную страницу

Cisco PIX - что делает эта линия?

Я нашел эту строку среди многих других строк ACL в моем PIX. Выглядит иначе, чем остальные. Он находится в конце остальных строк ACL, в том числе после access-list acl-out deny ip any any.

access-list 110 permit ip 165.138.236.0 255.255.255.0 165.139.2.0 255.255.255.0

Что он делает и какова каждая из частей? Остальные мои строки ACL заканчиваются чем-то вроде any eq 1234.

Заранее спасибо!

Он разрешает весь IP-трафик из подсети 165.138.236.0/24 в подсеть 165.139.2.0/24. Вероятно, он используется в качестве списка совпадений в туннеле VPN или для предотвращения NAT в туннельном трафике.

Число 110 - это просто произвольное число для идентификации списка доступа. «Разрешить» означает, что трафик будет разрешен (а не запрещен). «IP» указывает на соответствие протоколу IP (в отличие от номера протокола или TCP, UDP, ICMP и т. Д.). 165.138.236.0 и 255.255.255.0 идентифицируют исходную сеть. 165.139.2.0 и 255.255.255.0 идентифицируют сеть назначения.

Для получения более подробной информации посмотрите: http://www.networkclue.com/routing/Cisco/access-lists/index.aspx

Вы должны посмотреть на остальную часть конфигурации, чтобы увидеть, есть ли такое правило, как VPN или NAT, ссылающееся на ACL 110

делать:

sh run | i 110 

предоставит вам все строки, которые имеют 110 - я понимаю, что есть вероятность взлома от IP-адреса и т. д., но это не должно быть слишком много.

Он разрешает IP-трафик в целом от 165.138.236.0/24 до 165.139.2.0/24.

В eq 1234 в остальных правилах укажите порты, но в IP нет портов. Чтобы сопоставить порт, вы должны указать в правиле TCP или UDP.

Этот ACL должен разрешить весь трафик из одной подсети в другую на той же линии.