Добро пожаловать на видео-блог, посвященный конфигурированию сетевых устройств CISCO. Здесь вы сможете посмотреть видеоуроки(высокое качество), курсы по конфигурированию. В конце каждой статьи вы так же можете скачать видеофайл с данными по уроку, курсу, а так же готовую конфигурацию, в которую вам достаточно подставить свои параметры и затем скопировать ее непосредественно в сетевое устройство CISCO. Группа vkontakte http://vkontakte.ru/club20626505

воскресенье, 28 ноября 2010 г.

Списки доступа (Access list)

Списки доступа (acess list) используются для управления входящими и исходящими данными. В данном уроке мы рассмотрим 2 типа списков доступа (acees list) (стандартные и расширенные).
Настраиваются списки доступа на маршрутизаторах Cisco в два этапа. Сначала создается сам список доступа (access list), то есть задаются правила, определяющие действия маршрутизатора с определенными пакетами. Затем список доступа связывается с необходимым интерфейсом. Таким образом разные списки доступа могут быть связаны с разными интерфейсами.

Каждый список доступа (access list) идентифицируется номером. Стандартным спискам доступа назначается номер из диапазона от 1 до 99, расширенному - от 100 до 199. Стандартные списки доступа прекрасно подходят для небольших сред, они позволяют запрещать или разрешать весь трафик с определенного адреса. Расширенные списки доступа позволяют настраивать правила более гибко.

Настройка списка доступа:
1) Стандартный список доступа (standart access list). Используя команду
"access-list <номер (1-99)> <действие (deny|permit)> <адрес источника>"
в режиме конфигурирования создается список доступа. Затем, используя команду
"ip access-group <номер списка доступа> in|out"
в режиме конфигурирования интерфейса список доступа связывается с интерфейсом. Правило in или out определяет к каким пакетам будет применяться это правило (к входящим или исходящим).
Пример настройки:
Router#conf term
Router(config)#access-list 10 permit 192.168.1.1 (создаем список доступа)
Router(config)#interface fa0/0
Router(config-if)#ip access-group 10 in (связываем с интерфейсом)

2) Расширенный список доступа (extended access list). Используя команду
"access-list <номер (100-199)> <действие (permit|deny)> <протокол> <адрес источника> <адрес получателя> <порт>"
создаем расширенный список доступа (extended access list). Далее с помощью команды
"ip access-group <номер списка доступа> in|out"
связываем список доступа (access list) с интерфейсом.
Пример настройки:
Router#conf term
Router(config)#access-list 110 deny icmp 192.168.1.0 0.0.0.255 host 192.168.10.1 (создаем список доступа)
Router(config)#interface fa0/0
Router(config-if)#ip access-group 110 in (связываем с интерфейсом)

13 комментариев:

  1. Большое спасибо за понятные видеоуроки!

    Скажите пожалуйста, планируется ли затронуть тему ssh? Если задать на циске пароль на vty, то по умолчанию можно приконнектиться к ней с любого компа в сети по телнету. Но телнет небезопасен в плане того, что данные передаются открытым текстом, в том числе и пароли. Альтернатива для параноиков - ssh.

    И вдогонку такой вопрос: будут ли комментарии по tftp-серверам? Те же списки доступа рекомендуют создавать в текстовом файле, а потом заливать в running-startup циски с tftp-сервера, ибо в командной строке работать с мало-мальски серьезными списками доступа очень муторно и неудобно.

    ОтветитьУдалить
  2. Здравствуйте , спасибо за сайт , вот бы еще узнать как на интерфейс serial модуля HWIC-4A/S , включить радиомодем , а на другой serial этого же модуля , контроллер , и чтобы они пакетами менялись . Кто знает научите .

    ОтветитьУдалить
  3. Спасибо ЗА БЛОГ!! ЗА ТАКУЮ РАБОТУ!!

    ОтветитьУдалить
  4. Огромное спасибо автору, очень полезная информация!

    ОтветитьУдалить
  5. супер! буду учиться!

    ОтветитьУдалить
  6. Отличные уроки, все коротко и понятно. Талантливый специалист Alexs! Надо поддержать человека финансовыми вливаниями.

    ОтветитьУдалить
  7. Добрый день, смотрю на пример расширенного acl (Router(config)#access-list 110 deny icmp 192.168.1.0 0.0.0.255 host 192.168.10.1) и возникает вопрос: зачем Вы указали "host" и почему после адреса получателя нет инверсионной маски и номера порта?
    P.S. ждем продолжения

    ОтветитьУдалить
  8. >зачем Вы указали "host"
    чтобы не писать инверсионную маску :)
    >почему после адреса получателя нет инверсионной маски и номера порта?
    а у icmp нет номера порта, есть тип пакета :)

    ОтветитьУдалить
  9. про vpn чтонибудь бы, очень надо.

    ОтветитьУдалить
  10. конечно молодец вопросов нет, с нетерпением ждем уроков по bgp, mpls, ospf, stp

    ОтветитьУдалить
  11. Отличные уроки, но у меня есть вопрос можно ли такое сделать на switch catalyst 3560 в packet tracer

    ОтветитьУдалить
  12. где вы их все видите? я например никаких уроков не наблюдаю! (((

    ОтветитьУдалить
  13. Расширенные списки доступа http://litl-admin.ru/content/detail.php?ID=137 - тоже много примеров! Может кому-то и пригодится!

    ОтветитьУдалить