El ejemplo en esta tarea muestra cómo bloquear el tráfico de IP desde un host con una dirección IP 12.0.0.100. Consulte Basic SEFOS Topology para obtener la topología para esta tarea.
El tipo de filtro puede ser extendido o estándar. Los filtros estándar filtran el tráfico según la dirección IP de origen y la dirección IP de destino. Los filtros extendidos también pueden especificar el ID de protocolo, los números de puerto TCP/UDP, los valores DSCP y la etiqueta de flujo. En el ejemplo, los paquetes IP con 12.0.0.100 a medida que se filtra la dirección de origen.
Los filtros ACL filtran paquetes en el hardware según ciertos criterios de filtrado configurados o programados en el conmutador. El conmutador examina cada paquete para determinar si se deben bloquear o si se deben reenviar según las listas de acceso configuradas. Escriba los siguientes comandos en el conmutador SEFOS-1.
Consulte Connect to SEFOS.
SEFOS-1# configure terminal SEFOS-1(config)# interface vlan 1 SEFOS-1(config-if)# shutdown SEFOS-1(config-if)# ip address 12.0.0.1 255.0.0.0 SEFOS-1(config-if)# no shutdown SEFOS-1(config-if)# exit SEFOS-1(config)# interface xl-ethernet 0/25 SEFOS-1(config-if)# no shutdown SEFOS-1(config-if)# exit SEFOS-1(config)# interface xl-ethernet 0/26 SEFOS-1(config-if)# no shutdown SEFOS-1(config-if)# exit
SEFOS-1(config)# ip access-list extended 11
SEFOS-1(config-ext-nacl)# deny ip host 12.0.0.100 any SEFOS-1(config-ext-nacl)# end
# ping 12.0.0.17 12.0.0.17 is alive
SEFOS-1(config)# interface xl-ethernet 0/25 SEFOS-1(config-if)# ip access-group 11 in SEFOS-1(config-if)# exit SEFOS-1(config)# vlan 1 SEFOS-1(config-vlan)# ports xl-ethernet 0/25 xl-ethernet 0/26 untagged xl-ethernet 0/25 xl-ethernet 0/26
% Member Ports cannot be added/deleted on Default VLAN SEFOS-1(config-vlan)# end
SEFOS-1# show access-lists ... IP address Type : IPV4 ... In Port List : X10/25 ... Filter Action : Deny Status : Active
Los paquetes enviados del host A no se reenvían al puerto 26 porque el filtrado está establecido en deny. El ping a 12.0.0.17 desde el host A falla sin respuesta desde 12.0.0.17.
SEFOS-1# configure terminal SEFOS-1(config)# interface xl-ethernet 0/25 SEFOS-1(config-if)# no ip access-group 11 in SEFOS-1(config-if)# end SEFOS-1# show access-lists ... Status : InActive
El ping se responde desde el host B. Los paquetes enviados desde el host A se reenvían al puerto 26. Los siguientes dos comandos ping consecutivos muestran que el filtro deny establecido en la lista de ACL se aplicó a un puerto y se eliminó de otro puerto.
# ping 12.0.0.17 no answer from 12.0.0.17 # ping 12.0.0.17 12.0.0.17 is alive