Állítson be általánosan használt acl ip-t
Kezdve a legismertebb portok IP-alapú szolgáltatások becslése kevesebb mint 1023, minden datagram egy cél port kevesebb mint 1023, vagy ACK / RST megharapott „nincs beállítva”, tiltott ACL 102. Következésképpen, ha egy állomást a NetB kezdeményez TCP - kapcsolat továbbítva első csomag TCP (nem szinkronizált Set / start csomag (SYN / RST) bit) a port számát kevesebb mint 1023, tilos és kudarcok TCP ülésén. A TCP ülések, kezdeményezett dobozokat, hogy az tükrözze a NetB NETA megoldani, mert van egy sor ACK / RST bit, hogy visszatérjen a csomagokat, és az általuk használt port értéke alacsonyabb, mint 1023.
Az FTP forgalom megtagadása (TCP, 21. port)
Ezek az adatok azt mutatják, hogy az FTP (TCP, 21-es port) és az FTP adatokat (port 20) forgalmat a doboz, hogy tükrözze NetB, amelynek célja a dobozokat, hogy tükrözze NETA betiltották, míg az összes többi engedélyezett IP - forgalmat.
Az FTP a 21-es és a 20-as portot használja. A 21-es porthoz és a 20-as porthoz rendelt TCP-forgalom elutasításra kerül, és minden más megoldás kifejezetten megoldásra kerül.
Engedélyezze az útválasztási frissítést
Amikor a bejövő ACL-t használja az interfészen, győződjön meg arról, hogy az útvonal-frissítések nem szűrtek. Használja a szükséges ACL-eket a listából, hogy engedélyezhesse az útválasztási protokoll csomagokat:
Adja meg ezt a parancsot a RIP protokoll megoldásához:
Adja meg ezt a parancsot az IGRP protokoll megoldásához:
Adja meg ezt a parancsot az Enhanced IGRP (EIGRP) engedélyezéséhez:
Írja be ezt a parancsot az OSPF protokoll megoldásához:
Adja meg ezt a parancsot a BGP protokoll megoldásához:
ACL alapú hibakeresési forgalom
A hibakeresési parancsok használatával a rendszer erőforrásainak elosztása memóriaként, a feldolgozáshoz és a vészhelyzetekben történő áramellátás pedig a nagyfokú indítható rendszer leállítását eredményezheti. Használja a hibakeresési parancsokat óvatosan. Használja az ACL-t az ellenőrzendő forgalom kiválasztásához, így csökkentve a hibakereső parancsok hatását. Ebben a konfigurációban a csomagszűrés nem történik meg.
Ez a konfiguráció tartalmazza a debug ip csomag parancsot csak a 10.1.1.1 és a 172.16.1.1 hostok közötti csomagok esetén.
Alkalmazza a híd protokollt arra a felületre, amelybe a létrehozott hozzáférési listával együtt forgatni kell a forgalmat:
Jelenleg nincs ilyen ellenőrzési eljárás.
Problémák elhárítása
Ehhez a konfigurációhoz jelenleg nincsenek információk a hibaelhárításról.