Access List (ACL) Deny
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

2007 yılından bu yana aktif olan ciscotr.com, artık " www.bilisim.pro " olarak devam edecektir.  
Mevcut mesajlarınız ve kullanıcı bilgilerinizle sitemizde katılıma devam edebilirsiniz.

+ Reply to Thread
Results 1 to 8 of 8
Access List (ACL) Deny

Acaba bi yerde yanlış bişey mi yaptım? Packet tracer'da NAT simülasyonu hazırladım. bunun için standart access-list yazdım. PC0'dan 'Internet'e ulaşamam gerekiyor. Ama ulaşılıyor. access-list durumuna baktım. En ilginci de burası

  1. #1
    yubi is offline Member
    Join Date
    Jul 2008
    Posts
    77

    Default Access List (ACL) Deny

    Acaba bi yerde yanlış bişey mi yaptım?
    Packet tracer'da NAT simülasyonu hazırladım. bunun için standart access-list yazdım. PC0'dan 'Internet'e ulaşamam gerekiyor. Ama ulaşılıyor. access-list durumuna baktım. En ilginci de burası ya. Her denemede 'deny' sayısı artıyor. Ama her denemede de ulaşabiliyorum. Nerde yanlış yapıyorum?

    şifreler: cisco

    Eklenmiş Dosya Eklenmiş Dosya
    Last edited by yubi; 21.07.2008 at 19:00.

  2. #2
    AcLMasteR is offline Administrator
    Join Date
    Jan 2008
    Location
    Ankara
    Posts
    1,189

    Default

    hocam siz orda denemeyi pc0 dan internete mi yapıyosunuz ?
    şimdi orda access listin amacı onu engellemek değilki o networkten gelen ip yi nat etmemek yada etmek.diikkat edin paketlere bakın deny dediğinide source ip adresi 192.168.3.50 olrak kalıyo siz deny yazan satırı silin o zman nat olduğunu göreceksiniz.
    her denediğinizde matches artmış olması normal.
    Acl lelerde istediği satırı bulduktan sonra alt satıra bakmaz bunuda göz önünde tutarsak normal gözüküyo mathcheslerin artması.
    gerçek hayatta olsanız ulaşamıcaksınız çünkü private ip ler için acl yazılır hatta telekomun private ip leri metro ethernete yönelndirdiğine dair bi yazı okumuştum.
    burda ulaşmanız normal private ip li paketleri yakalaması için acl yazmalısınız.
    en iyisi şöyle yapın NAT ı pc ye yakın olan routerde yazın private ip leri kabul etmeyen acl yide internete giden routerde yazın.
    nat ı oluşturarak deneyin birde nat yapmadan bakın o zaman oluyomu.
    The day that never comes

  3. #3
    yubi is offline Member
    Join Date
    Jul 2008
    Posts
    77

    Default

    Haklısın. Yani amacıma ulaşmışım farkında değilim Şimdi anladım.
    Gerçek bir uygulama olsaydı 192.168.3.50 yine dışarı çıkacaktı aynı şimdiki gibi. Ama ISP'ler private(özel) adresleri engelledikleri için internete girişine izin verilmeyecekti. Hıımmmm.

    Teşekkürler.

  4. #4
    AcLMasteR is offline Administrator
    Join Date
    Jan 2008
    Location
    Ankara
    Posts
    1,189

    Default

    hatta aynı acl yi internete çıkan routeri f0/1 out una koyun çıkmazda buda farklı çözüm kolaygelsin...
    The day that never comes

  5. #5
    yubi is offline Member
    Join Date
    Jul 2008
    Posts
    77

    Default

    Bir sorum daha olacak bu topoloji ile ilgili. Sw2 ile Sw3 arasına bir bağlantı daha yaptım (redundant). Sw2'nin f0/8 (vlan20) ile Sw3'ün f0/8 (vlan 10)'ün vlan'ları farklı. R2 üzerinden de encapsulation yaptım. Bu durumda PC1 ile PC2'nin farklı vlanlarda olduğu için haberleşememesi gerekmiyor mu?
    R2'deki encapsulation sayesinde mi haberleşebiliyorlar?
    Eklenmiş Dosya Eklenmiş Dosya

  6. #6
    hakan is offline Senior Member
    Join Date
    Feb 2008
    Location
    istanbul
    Posts
    760

    Default

    nat pc' ye en yakın router' a değil... servis sağlayıcının routerına en yakın routera yapılır ki her yönden gelen istekler isp routerından geçerken NAT' lansın.

  7. #7
    AcLMasteR is offline Administrator
    Join Date
    Jan 2008
    Location
    Ankara
    Posts
    1,189

    Default

    Quote Originally Posted by yubi View Post
    Bir sorum daha olacak bu topoloji ile ilgili. Sw2 ile Sw3 arasına bir bağlantı daha yaptım (redundant). Sw2'nin f0/8 (vlan20) ile Sw3'ün f0/8 (vlan 10)'ün vlan'ları farklı. R2 üzerinden de encapsulation yaptım. Bu durumda PC1 ile PC2'nin farklı vlanlarda olduğu için haberleşememesi gerekmiyor mu?
    R2'deki encapsulation sayesinde mi haberleşebiliyorlar?
    farklı vlan daki device lar ancak router ile haberleşebilir yada layer 3 bi switch olması gerekir.ayrıca hakan hocama da teşekkür ederim bizi uyardığı için
    The day that never comes

  8. #8
    yubi is offline Member
    Join Date
    Jul 2008
    Posts
    77

    Default

    Teşekkürler.

+ Reply to Thread

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts