CISCO на РУССКОМ - Просто о Сложном

You are here: Главная

Статьи

Общие cведения

ACL (access control lists) основные понятия

Автор Administrator

11.10.2007 г.

ACL (Access control lists) - списки доступа.

Прежде чем начать работать с ACL желательно ознакомится с таким понятием как сетевая маска

Стандартные списки доступа

Следующая команда показывает синтаксис стандартного списка доступа:

access-list access-list-number {permit|deny}
{host|source source-wildcard|any}

Где:

После того, как Вы создадите ACL , Вы можете применить его к интерфейсу. Его можно назначить для входящего или исходящего трафика.

Пример

interface ip access-group number{in|out}

Где:

Следующий пример показывает стандартный ACL, который блокирует весь трафик, исключая источник 10.1.1.x. :

interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 1 in
access-list 1 permit 10.1.1.0 0.0.0.255

Расширенные списки доступа - Extended ACLs

Расширенные списки доступа могут применяться для следующих протоколов:

IP

access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} protocol source source-wildcard
destination destination-wildcard [precedence precedence]
[tos tos] [log | log-input] [time-range time-range-name]

ICMP

access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} icmp source source-wildcard
destination destination-wildcard
[icmp-type | [[icmp-type icmp-code] | [icmp-message]]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]

TCP

access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} tcp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [established]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]

UDP

access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} udp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]

Во всех версиях CISCO IOS© расширенные ACL имеют номера от 101 до 199.Начиная с версии Cisco IOS Software Release 12.0.1 расширенные ACL так же могут иметь номера от 2000 и до 2699.

Значение 0.0.0.0/255.255.255.255 может быть заменено на any.

Начиная с Cisco IOS Software Release 11.2
ACL могут так же носить имя.

Пример

interface
ip access-group {number|name} {in|out}

Следующий пример показывает, что трафик с внутренней сети 10.1.1.x c запросами ping "на ружу" будет разрешён только по запросу:

interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group 101 in
access-list 101 deny icmp any 10.1.1.0 0.0.0.255 echo
access-list 101 permit ip any 10.1.1.0 0.0.0.255

Набрав команду:

Router(config)#access-list ?

Вы получите следующий список:

<1-99> Стандартные списки доступа
<100-199> Расширенные списки доступа
<1100-1199> Расширенные 48-битные списки доступа по MAC адресам
<1300-1999> Стандартные список доступа (дополнительные номера)
<200-299> Cписки доступа основанные на типах протоколов
<2000-2699> Расширенные списки доступа (дополнительные номера)
<700-799> 48-битные списки доступа по MAC адресам
dynamic-extended Расширенные ACL зависящие от времени
rate-limit Специфические ACL построенные на оценке лимитов

Комментируемые ACL

Для каждого ACL можно делать комментарии

Пример:

ip access-list {standard|extended} name
remark metka

где metka - описание Вашего списка.

Более подробно ACL рассматриваются на сайте производителя

Комментарии

Только зарегистрированные пользователи могут оставлять комментарии!