Cервисы организации сетевого доступа к приложениям : Коммутаторы контент-сервисов Cisco серии CSS 11500

Используя NQL на CSS 11500

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет сведения о том, как эффективно уменьшить размер Списков контроля доступа (ACL) с использованием Network Qualifier List (NQLs). Использование NQLs сокращает количество ACL, которые необходимо использовать в конфигурации. Например, это, которое взяло бы 14 ACL, может быть сделано с 3 NQLs и 4 ACL.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Cisco Content Services Switch (CSS) 11000 (Окончание срока службы) и коммутаторы контент-сервисов серии 11500

  • Выпуск 7.20 программного обеспечения webns Cisco

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Информация и примеры

Схема сети

В этом документе использованы параметры данной сети:

how_to_use_nqls.gif

Примеры

Это пояснения операторов clause в следующих примерах выходных данных:

  • Пункты 20 и 21 позволяют трафик HTTP виртуальным интерфейсным процессорам (VIP).

  • Пункты 30, 31, и 32 позволяют трафик Telnet с Удаленной Интранет на любой сервер.

  • Пункты 40, 41, 42, 43, 44, и 45 позволяют трафику передаваться между серверами.

  • Пункты 50, 51, и 52 позволяют серверам передавать трафик к Удаленной Интранет.

Пример без NQL

**************************** ACL ****************************
acl 1 
clause 20 permit tcp any destination 193.54.22.100 eq 80
clause 21 permit tcp any destination 193.54.22.210 eq 80
clause 30 permit tcp 63.25.128.0 255.255.128.0 destination 193.54.22.1 eq 23
clause 31 permit tcp 63.25.128.0 255.255.128.0 destination 193.54.22.2 eq 23
clause 32 permit tcp 63.25.128.0 255.255.128.0 destination 193.54.22.3 eq 23
clause 40 permit any 193.54.22.1 destination 193.54.22.2 
clause 41 permit any 193.54.22.1 destination 193.54.22.3
clause 42 permit any 193.54.22.2 destination 193.54.22.1 
clause 43 permit any 193.54.22.2 destination 193.54.22.3
clause 44 permit any 193.54.22.3 destination 193.54.22.1
clause 45 permit any 193.54.22.3 destination 193.54.22.2
clause 50 bypass any 193.54.22.1 destination 63.25.128.0 255.255.128.0
clause 51 bypass any 193.54.22.2 destination 63.25.128.0 255.255.128.0
clause 52 bypass any 193.54.22.3 destination 63.25.128.0 255.255.128.0
apply circuit-(VLAN1)

Пример с NQLs

**************************** NQL **************************** 
  
nql Local 
description "Traffic for local devices" 
ip address 193.54.22.0 255.255.255.240 

nql Remote 
description "Allow traffic to/from remote intranet" 
  
ip address 63.25.128.0 255.255.128.0 

nql VIP 
description "Traffic to the VIP's"
ip address 193.54.22.100 255.255.255.255 
ip address 193.54.22.210 255.255.255.255 


**************************** ACL ****************************
acl 1
clause 20 permit tcp any destination nql VIP eq 80
clause 30 permit tcp nql Remote destination nql Local eq 23
clause 40 permit any nql Local destination nql Local
clause 50 bypass any nql Local destination nql Remote
apply circuit-(VLAN1)

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 12609