网络应用服务 : Cisco CSS 11500 系列内容服务交换机

在CSS 11500上使用NQL

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文提供信息关于怎样使用网络限定符列表(NQL)有效地减少您的访问控制列表(ACL)的大小。使用NQL可以减少您在您的配置中需要使用ACL的数量。例如,需要14 条ACL的情况可以使用3个NQL和4个 ACL来实现。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco内容服务交换机(CSS) 11000 (生命周期终止)和11500系列内容服务交换机

  • Cisco WebNS软件版本7.20

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

信息和示例

网络图

本文档使用以下网络设置:

how_to_use_nqls.gif

示例

这些是下面输出示例中clause的说明:

  • 子句20和21允许HTTP流量到虚拟IP (VIP)。

  • 子句30, 31和32允许从远程内部网的Telnet流量到所有服务器。

  • 子句40, 41, 42, 43, 44和45允许在服务器之间的流量。

  • 子句50, 51和52允许服务器发送流量到远程内部网。

没有 NQL 的示例

**************************** ACL ****************************
acl 1 
clause 20 permit tcp any destination 193.54.22.100 eq 80
clause 21 permit tcp any destination 193.54.22.210 eq 80
clause 30 permit tcp 63.25.128.0 255.255.128.0 destination 193.54.22.1 eq 23
clause 31 permit tcp 63.25.128.0 255.255.128.0 destination 193.54.22.2 eq 23
clause 32 permit tcp 63.25.128.0 255.255.128.0 destination 193.54.22.3 eq 23
clause 40 permit any 193.54.22.1 destination 193.54.22.2 
clause 41 permit any 193.54.22.1 destination 193.54.22.3
clause 42 permit any 193.54.22.2 destination 193.54.22.1 
clause 43 permit any 193.54.22.2 destination 193.54.22.3
clause 44 permit any 193.54.22.3 destination 193.54.22.1
clause 45 permit any 193.54.22.3 destination 193.54.22.2
clause 50 bypass any 193.54.22.1 destination 63.25.128.0 255.255.128.0
clause 51 bypass any 193.54.22.2 destination 63.25.128.0 255.255.128.0
clause 52 bypass any 193.54.22.3 destination 63.25.128.0 255.255.128.0
apply circuit-(VLAN1)

有 NQL 的示例

**************************** NQL **************************** 
  
nql Local 
description "Traffic for local devices" 
ip address 193.54.22.0 255.255.255.240 

nql Remote 
description "Allow traffic to/from remote intranet" 
  
ip address 63.25.128.0 255.255.128.0 

nql VIP 
description "Traffic to the VIP's"
ip address 193.54.22.100 255.255.255.255 
ip address 193.54.22.210 255.255.255.255 


**************************** ACL ****************************
acl 1
clause 20 permit tcp any destination nql VIP eq 80
clause 30 permit tcp nql Remote destination nql Local eq 23
clause 40 permit any nql Local destination nql Local
clause 50 bypass any nql Local destination nql Remote
apply circuit-(VLAN1)

相关信息


Document ID: 12609