Программное обеспечение Cisco IOS и NX-OS : Программное обеспечение Cisco IOS версии 12.0 T

Элементы списка IP-доступа с комментариями

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Английский (23 марта 1999) | Отзыв

Содержание

Элементы списка IP-доступа с комментариями

Обзор функции

Преимущества

Дополнительная документация

Поддерживаемые платформы

Поддерживаемые стандарты, базы данных MIB и документы RFC

Задачи настройки

Внесение комментариев в именованный список доступа

Внесение комментариев в нумерованный список доступа

Примеры конфигураций

Справочник по командам

access-list remark

комментарий


Элементы списка IP-доступа с комментариями


Обзор функции

Предусмотрена возможность комментирования элементов любого списка IP-доступа. Комментарии облегчают понимание списка доступа при его использовании администратором сети. Каждый комментарий может содержать до 100 символов.

Преимущества

Удобство

Комментарии к элементам списка IP-доступа облегчают работу с ним. Например, не всегда сразу бывает понятно назначение элемента.

access-list 1 permit 171.69.2.88

Для уточнения можно использовать комментарий, применяя его следующим образом:

access-list 1 remark Permit only Jones workstation through
access-list 1 permit 171.69.2.88

Дополнительная документация

Дополнительная информация по конфигурированию списков IP-доступа приведена в следующих материалах:

Глава «Конфигурирование IP-сервисов» Руководства по конфигурации сетевых протоколов, часть 1 для ПО Cisco IOS версии 12.0.

Глава «Команды IP-сервисов» Справочника по командам сетевых протоколов, часть 1 для ПО Cisco IOS версии 12.0.

Глава «Списки управления доступом: обзор и рекомендации» Руководства по конфигурации безопасности для ПО Cisco IOS версии 12.0.

Поддерживаемые платформы

Cisco 800

Cisco серии 1000

Cisco 1400

Cisco серии 1600

Cisco 1720

Cisco серии 2500

Cisco серии 2600

Cisco серии 3600

Cisco 3810

Cisco серии 4000

Cisco 7100

Cisco серии 7200

Cisco серии 7500

AS5200

AS5300

AS5800

Серия UBR900

Поддерживаемые стандарты, базы данных MIB и документы RFC

Нет

Задачи настройки

Данный комментарий может быть подставлен до или после оператора permit или deny. Необходимо соблюдать последовательность в отношении места размещения комментария, чтобы было ясно, к какому оператору относится данный комментарий — permit или deny. Размещение комментариев как перед операторами permit или deny, так и после них затруднит понимание списка.

После создания списка доступа следует использовать его для интерфейса или линии терминала. Рекомендации по созданию списка доступа приведены в соответствующей документации.

Чтобы включить все комментарии в список доступа, необходимо выполнить одну из следующих задач (в зависимости от типа используемого списка доступа: именованного или нумерованного):

Внесение комментариев в именованный список доступа

Внесение комментариев в нумерованный список доступа

Внесение комментариев в именованный список доступа

Для добавления комментария к элементу именованного списка IP-доступа необходимо по порядку выполнить следующие команды: Шаг 1 выполняется один раз; шаг 2 в списке доступа может выполняться несколько раз, до или после команды permit или deny.

Шаг
Команда
Назначение

Router(config)# ip access-list standard name
or
Router(config)# ip access-list extended name

Выполняется идентификация списка доступа по имени.

Router(config-std-nacl)# remark remark
or
Router(config-ext-nacl)# remark remark

Указывается назначение оператора permit или deny.


Внесение комментариев в нумерованный список доступа

Для внесения комментария к элементу нумерованного списка IP-доступа необходимо до или после команды access-list permit или access-list deny использовать следующую команду:

Команда
Назначение

Router(config)# access-list access-list-number remark remark

Указывается назначение оператора permit или deny.


Примеры конфигураций

В приведенном ниже примере нумерованного списка доступа рабочей станции пользователя Джонса разрешен доступ; рабочей станции пользователя Смита доступ не разрешен.

access-list 1 remark Permit only Jones workstation through
access-list 1 permit 171.69.2.88
access-list 1 remark Do not allow Smith workstation through
access-list 1 deny 171.69.3.13

В приведенном ниже примере нумерованного списка доступа рабочим станциям пользователей Винтера и Смита запрещен доступ к Интернету.

access-list 100 remark Do not allow Winter to browse the web
access-list 100 deny host 171.69.3.85 any eq http
access-list 100 remark Do not allow Smith to browse the web
access-list 100 deny host 171.69.3.13 any eq http

В приведенном ниже примере именованного списка для подсети пользователя Джонса доступ запрещен.

ip access-list standard prevention
remark Do not allow Jones subnet through
deny 171.69.0.0 0.0.255.255

В приведенном ниже примере именованного списка доступа не разрешено использование протокола Telnet из подсети пользователя Джонса.

ip access-list extended telnetting
remark Do not allow Jones subnet to telnet out
deny tcp host 171.69.2.88 any eq telnet

Справочник по командам

В данном разделе описаны новые команды. Все другие команды, используемые с данной функцией, перечислены в справочнике по командам Cisco IOS версии 12.0.

access-list remark

remark

access-list remark

Для добавления комментария к элементу нумерованного списка IP-доступа используется команда глобальной конфигурации access-list remark. Чтобы удалить комментарий, используйте эту команду с параметром no.

access-list access-list-number remark remark
no access-list access-list-number remark remark

Описание синтаксиса

access-list-number

Номер списка IP-доступа.

remark

Комментарий, описывающий элемент списка доступа (объемом до 100 символов).


Значение по умолчанию

Элементы списка доступа не имеют комментариев.

Командный режим

Глобальная конфигурация

Инструкции по использованию

Данная команда впервые была использована в ПО Cisco IOS версии 12.0(2)T.

Длина строки комментария не может превышать 100 символов. Комментарии большей длины будут сокращены.

Для добавления комментария к элементу именованного списка доступа следует использовать команду remark.

Примеры

В приведенном ниже примере нумерованного списка доступа для рабочей станции пользователя Джонса доступ разрешен, а для рабочей станции пользователя Смита доступ запрещен.

access-list 1 remark Permit only Jones workstation through
access-list 1 permit 171.69.2.88
access-list 1 remark Do not allow Smith workstation through
access-list 1 deny 171.69.3.13

Связанные команды

access-list (extended)
access-list (standard)
remark

remark

Для добавления комментария к элементу именованного списка IP-доступа используется команда глобальной конфигурации списка доступа remark. Чтобы удалить комментарий, используйте эту команду с параметром no.

remark remark
no remark remark

Описание синтаксиса

remark

Комментарий, описывающий элемент списка доступа (объемом до 100 символов).


Значение по умолчанию

Элементы списка доступа не имеют комментариев.

Командный режим

Конфигурация списка доступа

Инструкции по использованию

Данная команда впервые была использована в ПО Cisco IOS версии 12.0(2)T.

Длина строки комментария не может превышать 100 символов. Комментарии большей длины будут сокращены.

Для добавления комментария к элементу нумерованного списка IP-доступа следует использовать команду access-list remark.

Примеры

В приведенном ниже примере доступ по протоколу Telnet из подсети пользователя Джонса запрещен.

ip access-list extended telnetting
 remark Do not allow Jones subnet to telnet out
 deny tcp host 171.69.2.88 any eq telnet

Связанные команды

access-list remark
deny
ip access-list
permit