Jora_Cornev Posted January 8, 2017 Posted January 8, 2017 (edited) Вопрос знатокам, как правильней создать ACL, который будет добавлен в control-plane с параметром DROP. 1-й вариант (deny) access-list ext 199 deny ip 10.0.0.0 0.255.255.255 any deny ip 127.0.0.0 0.255.255.255 any deny ip 169.254.0.0 0.0.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip 224.0.0.0 15.255.255.255 any deny ip 240.0.0.0 15.255.255.255 any class-map match-any GRAY_NETWORK match access-group 199 ! policy-map POLICY class GRAY_NETWORK drop ! control-plane service-policy input POLICY 2-й вариант (permit) access-list ext 199 permit ip 10.0.0.0 0.255.255.255 any permit ip 127.0.0.0 0.255.255.255 any permit ip 169.254.0.0 0.0.255.255 any permit ip 172.16.0.0 0.15.255.255 any permit ip 192.168.0.0 0.0.255.255 any permit ip 224.0.0.0 15.255.255.255 any permit ip 240.0.0.0 15.255.255.255 any class-map match-any GRAY_NETWORK match access-group 199 ! policy-map POLICY class GRAY_NETWORK drop ! control-plane service-policy input POLICY Edited January 8, 2017 by Jora_Cornev Вставить ник Quote
zhenya` Posted January 8, 2017 Posted January 8, 2017 2ой. Т.к. В класс-мапах permit позволяет трафику попасть под правило. Вставить ник Quote
Jora_Cornev Posted January 8, 2017 Author Posted January 8, 2017 Вот спасибо тебе, добрый человек! P.S. а команда просмотра как отрабатываются правила та же: sh access-list 199 Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.