Списки доступа (acess list) используются для управления входящими и исходящими данными. В данном уроке мы рассмотрим 2 типа списков доступа (acees list) (стандартные и расширенные).
Настраиваются списки доступа на маршрутизаторах Cisco в два этапа. Сначала создается сам список доступа (access list), то есть задаются правила, определяющие действия маршрутизатора с определенными пакетами. Затем список доступа связывается с необходимым интерфейсом. Таким образом разные списки доступа могут быть связаны с разными интерфейсами.
Каждый список доступа (access list) идентифицируется номером. Стандартным спискам доступа назначается номер из диапазона от 1 до 99, расширенному - от 100 до 199. Стандартные списки доступа прекрасно подходят для небольших сред, они позволяют запрещать или разрешать весь трафик с определенного адреса. Расширенные списки доступа позволяют настраивать правила более гибко.
Настройка списка доступа:
1) Стандартный список доступа (standart access list). Используя команду
"access-list <номер (1-99)> <действие (deny|permit)> <адрес источника>"
в режиме конфигурирования создается список доступа. Затем, используя команду
"ip access-group <номер списка доступа> in|out"
в режиме конфигурирования интерфейса список доступа связывается с интерфейсом. Правило in или out определяет к каким пакетам будет применяться это правило (к входящим или исходящим).
Пример настройки:
Router#conf term
Router(config)#access-list 10 permit 192.168.1.1 (создаем список доступа)
Router(config)#interface fa0/0
Router(config-if)#ip access-group 10 in (связываем с интерфейсом)
2) Расширенный список доступа (extended access list). Используя команду
"access-list <номер (100-199)> <действие (permit|deny)> <протокол> <адрес источника> <адрес получателя> <порт>"
создаем расширенный список доступа (extended access list). Далее с помощью команды
"ip access-group <номер списка доступа> in|out"
связываем список доступа (access list) с интерфейсом.
Пример настройки:
Router#conf term
Настраиваются списки доступа на маршрутизаторах Cisco в два этапа. Сначала создается сам список доступа (access list), то есть задаются правила, определяющие действия маршрутизатора с определенными пакетами. Затем список доступа связывается с необходимым интерфейсом. Таким образом разные списки доступа могут быть связаны с разными интерфейсами.
Каждый список доступа (access list) идентифицируется номером. Стандартным спискам доступа назначается номер из диапазона от 1 до 99, расширенному - от 100 до 199. Стандартные списки доступа прекрасно подходят для небольших сред, они позволяют запрещать или разрешать весь трафик с определенного адреса. Расширенные списки доступа позволяют настраивать правила более гибко.
Настройка списка доступа:
1) Стандартный список доступа (standart access list). Используя команду
"access-list <номер (1-99)> <действие (deny|permit)> <адрес источника>"
в режиме конфигурирования создается список доступа. Затем, используя команду
"ip access-group <номер списка доступа> in|out"
в режиме конфигурирования интерфейса список доступа связывается с интерфейсом. Правило in или out определяет к каким пакетам будет применяться это правило (к входящим или исходящим).
Пример настройки:
Router#conf term
Router(config)#access-list 10 permit 192.168.1.1 (создаем список доступа)
Router(config)#interface fa0/0
Router(config-if)#ip access-group 10 in (связываем с интерфейсом)
2) Расширенный список доступа (extended access list). Используя команду
"access-list <номер (100-199)> <действие (permit|deny)> <протокол> <адрес источника> <адрес получателя> <порт>"
создаем расширенный список доступа (extended access list). Далее с помощью команды
"ip access-group <номер списка доступа> in|out"
связываем список доступа (access list) с интерфейсом.
Пример настройки:
Router#conf term
Router(config)#access-list 110 deny icmp 192.168.1.0 0.0.0.255 host 192.168.10.1 (создаем список доступа)
Router(config)#interface fa0/0
Router(config-if)#ip access-group 110 in (связываем с интерфейсом)
Большое спасибо за понятные видеоуроки!
ОтветитьУдалитьСкажите пожалуйста, планируется ли затронуть тему ssh? Если задать на циске пароль на vty, то по умолчанию можно приконнектиться к ней с любого компа в сети по телнету. Но телнет небезопасен в плане того, что данные передаются открытым текстом, в том числе и пароли. Альтернатива для параноиков - ssh.
И вдогонку такой вопрос: будут ли комментарии по tftp-серверам? Те же списки доступа рекомендуют создавать в текстовом файле, а потом заливать в running-startup циски с tftp-сервера, ибо в командной строке работать с мало-мальски серьезными списками доступа очень муторно и неудобно.
Здравствуйте , спасибо за сайт , вот бы еще узнать как на интерфейс serial модуля HWIC-4A/S , включить радиомодем , а на другой serial этого же модуля , контроллер , и чтобы они пакетами менялись . Кто знает научите .
ОтветитьУдалитьСпасибо ЗА БЛОГ!! ЗА ТАКУЮ РАБОТУ!!
ОтветитьУдалитьОгромное спасибо автору, очень полезная информация!
ОтветитьУдалитьсупер! буду учиться!
ОтветитьУдалитьОтличные уроки, все коротко и понятно. Талантливый специалист Alexs! Надо поддержать человека финансовыми вливаниями.
ОтветитьУдалитьДобрый день, смотрю на пример расширенного acl (Router(config)#access-list 110 deny icmp 192.168.1.0 0.0.0.255 host 192.168.10.1) и возникает вопрос: зачем Вы указали "host" и почему после адреса получателя нет инверсионной маски и номера порта?
ОтветитьУдалитьP.S. ждем продолжения
>зачем Вы указали "host"
ОтветитьУдалитьчтобы не писать инверсионную маску :)
>почему после адреса получателя нет инверсионной маски и номера порта?
а у icmp нет номера порта, есть тип пакета :)
про vpn чтонибудь бы, очень надо.
ОтветитьУдалитьконечно молодец вопросов нет, с нетерпением ждем уроков по bgp, mpls, ospf, stp
ОтветитьУдалитьОтличные уроки, но у меня есть вопрос можно ли такое сделать на switch catalyst 3560 в packet tracer
ОтветитьУдалитьгде вы их все видите? я например никаких уроков не наблюдаю! (((
ОтветитьУдалитьРасширенные списки доступа http://litl-admin.ru/content/detail.php?ID=137 - тоже много примеров! Может кому-то и пригодится!
ОтветитьУдалить