toegang-lijst 101 vergunningsip gastheer6.6.6.0 gastheer 255.255.255.0
zijn geldig, gelieve te gaan door de onderstaande onderwerpen
toegang-lijst 100 vergunningsip gastheer10.0.0.0 gastheer 255.0.0.0
Dit betekent dat het adres precies 10.0.0.0 moet zijn en het subnet masker precies 255.0.0.0 moet zijn. Door het „gastheer“ sleutelwoord in een vervangingsmasker te veranderen kunnen wij verwarde binaire gelijken doen. Bijvoorbeeld controleren de volgende syntaxismiddelen om het even welk adres dat met „192.168“ begint en een subnet masker van /24 heeft:
toegang-lijst 101 vergunningsip 192.168.0.0 0.0.255.255 gastheer 255.255.255.0
Met andere woorden past deze lijst 192.168.0.0 /24, 192.168.100.0 /24, 192.168.200.0 /24, enz. aan
Deze uitgebreide kan de toegang-lijst syntaxis ook in een route-kaart worden gebruikt voor herdistributie het filtreren in zowel IGP als BGP. Bijvoorbeeld als wij vorige toegang-lijst 101 namen en het als volgt in een route-kaart aanpasten:
route-kaart Ospf_to_rip- vergunning 10
gelijke ip adres 100
!
de router scheurt
verdeel ospf 1 metrische 1 route-kaart OSPF_TO_RIP opnieuw
Deze syntaxis zou zeggen dat wij routes OSPF in RIP, maar slechts die willen opnieuw verdelen die 192.168.X.X/24 zijn.
De verwarring voor deze uitgebreide toegang-lijst implementatie is dat wanneer het als ver*delen-lijst in IGP de syntaxisveranderingen wordt geroepen. In de vorige voorbeelden vertegenwoordigt het normale „bron“ gebied in ACL het netwerkadres, waar het „bestemmings“ gebied het subnet masker vertegenwoordigt. In Igp ver*delen--lijsttoepassing vertegenwoordigt het „bron“ gebied in de ACL gelijken de updatebron van de route, en het „bestemmings“ gebied het netwerkadres. Deze implementatie staat ons toe om te controleren welke netwerken wij ontvangen, maar wat nog belangrijker is wie wij hen van ontvangen. Verg de volgende topologie:
R1, SCHEURT R2, en R3 aandeel een Ethernet netwerk 123.0.0.0 /8 dat loopt. Zowel adverteren R1 als R2 de identieke prefixen 10.0.0.0 /8 en 20.0.0.0 /8 aan R3. Hun configuraties zijn als volgt:
R1#show ip int.- memorandum | sluit unassigned uit
Zet O.K. iP-Adres om? Het Protocol van de Status van de methode
FastEthernet0/0 123.0.0.1 JA handboek omhoog omhoog
Loopback0 10.0.0.1 JA handboek omhoog omhoog
Loopback1 20.0.0.2 JA handboek omhoog omhoog
De looppas van R1#show | begin met router scheuren
de router scheurt
versie 2
netwerk 10.0.0.0
netwerk 20.0.0.0
netwerk 123.0.0.0
R2# toon ip int.- memorandum | sluit unassigned uit
IP-Adres om zet O.K.? Het Protocol van de Status van de methode
FastEthernet0/0 123.0.0.2 JA handboek omhoog omhoog
Loopback0 10.0.0.1 JA handboek omhoog omhoog
Loopback1 20.0.0.2 JA handboek omhoog omhoog
De looppas van R2#sh | begin met router scheuren
de router scheurt
versie 2
netwerk 10.0.0.0
netwerk 20.0.0.0
netwerk 123.0.0.0
R3#show ip scheurt de route
R 20.0.0.0 /8 [120/1] via 123.0.0.2, 00:00: 00, Ethernet0/0
[120/1] via 123.0.0.1, 00:00: 00, Ethernet0/0
R 10.0.0.0 /8 [120/1] via 123.0.0.2, 00:00: 00, Ethernet0/0
[120/1] via 123.0.0.1, 00:00: 00, Ethernet0/0
Van deze output kunnen wij zien dat R3 de twee die prefixen heeft tweemaal, eens van R1 en eens van R2 worden geïnstalleerdo. Nu veronderstel die prefix 10.0.0.0 /8 wij slechts willen van R1 ontvangen, terwijl prefix 20.0.0.0 /8 wij slechts van R2 willen ontvangen. Wij kunnen dit met een uitgebreide toegang-lijst als volgt verwezenlijken:
R3#conf t
Ga configuratiebevelen, per lijn in. Eind met CNTL/Z.
R3 (config) #access-lijst 100 vergunningsip gastheer123.0.0.1 gastheer 10.0.0.0
R3 (config) #access-lijst 100 vergunningsip gastheer123.0.0.2 gastheer 20.0.0.0
R3 (config) #router scheur
R3 (config-router) #distribute-lijst
100 in Ethernet0/0
R3 (config-router) #end
R3#clear ip route *
R3#show ip scheurt de route
R 20.0.0.0 /8 [120/1] via 123.0.0.2, 00:00: 00, Ethernet0/0
R 10.0.0.0 /8 [120/1] via 123.0.0.1, 00:00: 00, Ethernet0/0
Wij kunnen nu zien R3 slechts één ingang voor elke prefix heeft, met 10.0.0.0 /8 komend slechts uit R1 en 20.0.0.0 /8 komend slechts uit R2. Het nadeel van deze die toepassing nochtans is dat wij geen prefixen kunnen onderscheiden op hun netmask worden gebaseerd. Bijvoorbeeld konden wij niet zeggen dat wij prefix 172.16.0.0 /16 van slechts R1 en prefix 172.16.0.0 /24 slechts van R2 willen ontvangen. Voor deze implementatie in IGP zouden wij een prefix-lijst gebruiken die van een ver*delen-lijst met de syntaxis „van de ver*delen-lijstprefix“ onder het verpletterende proces wordt geroepen.
http://blog.ine.com/tag/access-list/
