Access List, Wilcadmask
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

2007 yılından bu yana aktif olan ciscotr.com, artık " www.bilisim.pro " olarak devam edecektir.  
Mevcut mesajlarınız ve kullanıcı bilgilerinizle sitemizde katılıma devam edebilirsiniz.

+ Konuyu Cevapla
Toplam 10 sonuçtan 1 ile 10 arasındakiler gösteriliyor.
Access List, Wilcadmask

Merhaba arkadaşlar ilk configurasyonumda routere switch ile bağlı bulunan 2 pc dende çıkış sağlayamıyorum ama 2. konfigurasyonda sadece Access List uyguladıgım ip çıkış yapamıyor burda fark Wilcardmask 'tan kaynaklanıyor anladım

  1. #1
    wakmaa isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Aug 2010
    Mesajlar
    5

    Standart Access List, Wilcadmask

    Merhaba arkadaşlar ilk configurasyonumda routere switch ile bağlı bulunan 2 pc dende çıkış sağlayamıyorum

    ama 2. konfigurasyonda sadece Access List uyguladıgım ip çıkış yapamıyor
    burda fark Wilcardmask 'tan kaynaklanıyor anladım ama mantığı algılayamadım
    0.0.0.0 ile 0.0.0.255 arasında ki farkı açıklayabilmeniz mümkün mü?

    Hatta wilcardmask'ı 0.0.0.0 yazdığımda sadece "access-list 1 deny host 192.168.6.253" şeklinde yazığınıda anlamadım

    Teşekkürler
    Kod:
    Router#show running-config 
    Building configuration...
    
    Current configuration : 923 bytes
    !
    version 12.2
    no service timestamps log datetime msec
    no service timestamps debug datetime msec
    no service password-encryption
    !
    hostname Router
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    interface FastEthernet0/0
     ip address 192.168.6.1 255.255.255.0
     ip access-group 1 in
     duplex auto
     speed auto
    !
    interface FastEthernet1/0
     no ip address
     duplex auto
     speed auto
     shutdown
    !
    interface Serial2/0
     ip address 192.168.2.1 255.255.255.0
     clock rate 64000
    !
    interface Serial3/0
     ip address 192.168.1.1 255.255.255.0
     clock rate 64000
    !
    interface FastEthernet4/0
     no ip address
     shutdown
    !
    interface FastEthernet5/0
     no ip address
     shutdown
    !
    router ospf 1
     log-adjacency-changes
     network 192.168.6.0 0.0.0.255 area 0
     network 192.168.2.0 0.0.0.255 area 0
     network 192.168.1.0 0.0.0.255 area 0
    !
    ip classless
    !
    !
    access-list 1 deny 192.168.6.0 0.0.0.255
    access-list 1 permit any
    !
    !
    !
    !
    !
    line con 0
    line vty 0 4
     login
    !
    !
    !
    end
    Kod:
    Router#show running-config 
    Building configuration...
    
    Current configuration : 920 bytes
    !
    version 12.2
    no service timestamps log datetime msec
    no service timestamps debug datetime msec
    no service password-encryption
    !
    hostname Router
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    interface FastEthernet0/0
     ip address 192.168.6.1 255.255.255.0
     ip access-group 1 in
     duplex auto
     speed auto
    !
    interface FastEthernet1/0
     no ip address
     duplex auto
     speed auto
     shutdown
    !
    interface Serial2/0
     ip address 192.168.2.1 255.255.255.0
     clock rate 64000
    !
    interface Serial3/0
     ip address 192.168.1.1 255.255.255.0
     clock rate 64000
    !
    interface FastEthernet4/0
     no ip address
     shutdown
    !
    interface FastEthernet5/0
     no ip address
     shutdown
    !
    router ospf 1
     log-adjacency-changes
     network 192.168.6.0 0.0.0.255 area 0
     network 192.168.2.0 0.0.0.255 area 0
     network 192.168.1.0 0.0.0.255 area 0
    !
    ip classless
    !
    !
    access-list 1 deny host 192.168.6.253
    access-list 1 permit any
    !
    !
    !
    !
    !
    line con 0
    line vty 0 4
     login
    !
    !
    !
    end

  2. #2
    cbir isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Jul 2010
    Mesajlar
    45

    Standart

    wildcardmask ile ios'tan hangi bitlerin karşılaştırılıp hangilerinin karşılaştırılmaması gerektiğini ayarlıyorsun.

    mask daki 1 ler "don't care" bit olarak geçer bu kısımlar dikkate alınmaz 0 lar ise uyması gerektiğini belirtir. yani 0.0.0.0 girersen ios'tan bütün oktetlerin uymasını istemiş olursun.

    0.0.0.255 girersen ilk 3 oktetin uymasını son oktetin önemli olmadığını belirtmiş olursun. access-list 1 deny host 192.168.6.253 burada maskın 0.0.0.0 olursa sadece bu ip engellenir.

    0.0.0.255 vs yaparsan 192.168.6.0 subnetindeki bütün ipleri engellemiş olursun.

    bildiğim kadarıyla bu şekilde umarım işine yarar. ayrıca google da arama yaptırırsan birçok kaynağa ulaşabilirsin.

  3. #3
    wakmaa isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Aug 2010
    Mesajlar
    5

    Standart

    O zaman A class bir ip havuzunu engellemek için 0.255.255.255 ve tek ip engellemek için 0.0.255.255
    Bu mudur?

  4. #4
    cbir isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Jul 2010
    Mesajlar
    45

    Standart

    acl de class olayı yok.subnet maskın tersi olarak düşünürseniz daha iyi anlarsınız. 0.255.255.255 yaparsan ilk octeti uyanları engeller. tek ip engellemek için 0.0.0.0 yapman gerekir.

  5. #5
    wakmaa isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Aug 2010
    Mesajlar
    5

    Standart

    Anladım sanırım arkadaşım çok teşekkür ederim
    Aslında çok açıklayıcı bir cevap ama ben genede kafamdaki soruyu sormak istiyorum

    Elimizde 10.1.0.1-10 die bir havuzunda bulunan 10 pc var
    1 tane seçtiğim engellemek için 0.0.0.0
    10.1.0.X li bütün ip leri engellemek için 0.0.0.255
    10.1.X.X li leri engellemek için 0.0.255.255
    10.X.X.X li leri engellemek için 0.255.255.255
    yazmam gerekiyor
    'Di mi?

  6. #6
    mely isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Oct 2008
    Bulunduğu yer
    Istanbul
    Mesajlar
    326

    Standart

    yazdığın standart access-list için ise ve de alttaki yazdığına benzer bişey ise dogrudur. Ama biraz duz mantık ilerliyosun gibi geldi bana sanki.

    10.1.8.0 /26 lı subnetworkten herhangi bir yere giden bir ip bloklansın denildiğinde ne yazılacak peki?

    Kolay gelsin..

  7. #7
    wakmaa isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Aug 2010
    Mesajlar
    5

    Standart

    Sanırım şöyle yapardım
    bir ip seçerdim,mesala

    Address: 10.1.8.2
    Netmask: 255.255.255.192
    Wildcard: 0.0.0.63

    Budurumda 0.0.0.63 ı kullanırsam tüm ip bloğunu sanırım engellemiş oluyorum
    buraya kadar sanırım eminim ama yanlış olmasıda çok mümkün
    ancak emin olamadoğım sadece " 10.1.8.2 " ip sini engellemek için 0.0.0.192 mi kullanmam gerekiyor?
    Konu wakmaa tarafından (10.08.2010 Saat 17:35 ) değiştirilmiştir.

  8. #8
    mely isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Oct 2008
    Bulunduğu yer
    Istanbul
    Mesajlar
    326

    Standart

    dogru
    0.0.0.63 olacak.

    Fakat host için 0.0.0.0 olacak.

    access-list 1 deny 10.1.8.2 0.0.0.0 ya da access-list 1 deny host 10.1.8.2
    access-list 1 permit any

  9. #9
    wakmaa isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Aug 2010
    Mesajlar
    5

    Standart

    Çok teşekkür ederim Melih...

  10. #10
    Unknown isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Jun 2011
    Mesajlar
    70

    Standart

    Konu geçmiş olsada bende küçük bir ekleme yapayım. Örnek adresim

    IP ADRESS WILDCARD MASK

    192.168.0.0 0.0.255.255


    Burada wildcard mask'ta ki ilk oktet'in "0" olması şu anlama geliyor. Yani biz şunu demiş oluyoruz. İlk oktet'te "0" gördün o halde ilk oktet'i 192 olan interface'i bul.

    Ardından wildcard mask'ta ikinci oktetim "0" o halde ikinci okteti 168 olan interface'e odaklan. Çünkü zaten wildcard mask'ta kii ilk sıfırdan (birinci okteti 192 olanı/olanları zaten bulmuştuk).

    BU durumda özetleyukardaki ifade şu anlama geliyor.

    İlk okteti 192 ve ikinciokteti 168 olan interfaceleri bul. 3. ve 4. oktetleri ne olursa olsun önemli değil. Neden ? Çünkü wildcard mask'ta "0" olan oktetler ilk ve ikinci oktetler.

    Aslında özetle olay şu : wildcard mask'ın hangi oktetinde "0" görürsem IP adresinin o oktetinde karşılık gelen rakamı sağlayan -eşleşen IP adreslerine bakacağım veya arayacağım.

    Bazı örnekler

    192. 0.0.0 - 0.255.255.255
    137.54.0.0 - 0. 0.255.255
    192.168.5.0 - 0. 0. 0.255
    192.168.5.3 - 0. 0. 0. 0 (belirli bir IP adresi için)


    Yardımcı olabildiğimi umarım
    Konu Unknown tarafından (09.09.2011 Saat 02:22 ) değiştirilmiştir.

+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok