Пример неверно настроенного списка доступа

Неверные списки доступа могут привести к проблемам со связью и с производительностью. В условиях, показаных на рисунке 5-2, администратор сети может успешно достичь маршрутизатора Z от маршрутизатора X с помощью Telnet и Ping команд. Однако, когда делаются попытки проследить маршрут, используя Trace команды, соединение не удается.

Рис. 5-2. Простая сеть с неверным списком доступа

При рассмотрении конфигурации маршрутизатора Y, сетевой администратор обнаруживает, что на маршрутизаторе настроен следующий расширенный список доступа:

C4500#show ip access-lists

Extended IP access list 101

permit tcp any any eq telnet

permit icmp any any

C4500#show running-config

[...]

interface Serial0

ip address 192.168.54.92 255.255.255.0

ip access-group 101 out

[...]

Список доступа разрешает только ICMP (используется для команды ping) и TCP (используется для Telnet команд) трафику проходить через serial интерфейс 0. Любой трафик, предназначенный для портов UDP, в том числе портов по умолчанию, используемых командой Trace (UDP порт 33434 и выше), неявно запрещен.

Для того чтобы разрешить команду Trace через маршрутизатор Y, администратор сети вносит следующие изменения в список доступа:

C4500#configure terminal

C4500(config)#access-list 101 permit udp any any gt 33433

C4500(config)#^z

С4500#

%SYS-5-CONFlG_l: Configured from console by console

C4500#show ip access-lists

Extended IP access list 101

permit tcp any any eq telnet

permit icmp any any

permit udp any any gt 3 3433

С4500#

Tcp/ip: Проблемы с отправкой по протоколу bootp и другими широковещательными пакетами udp

Симптом: Проблемы возникают при пересылке BOOTP или других широковещательных пакетов UDP. UDP-пакеты, отправленные узлами сети, не перенаправляются маршрутизаторами. Бездисковые рабочие станции не могут загрузиться.

Таблица 5-5 описывает проблемы, которые могут привести к этому симптому и описывает решения этих проблем.