Standardní přístup-seznam například na Cisco Router

Pojďme nastavit některé přístupové seznamy, takže můžu demonstrovat na vás, jak se to dělá na Cisco IOS routerech. V této lekci se budeme zabývat standardním přístupem-seznam. Tady je topologie:

Dva routery a každý router má loopback rozhraní. Budu používat dvě statické trasy, aby směrovače mohly dosáhnout vzájemného Rozhraní loopback:

R1(config)#ip route 2.2.2.0 255.255.255.0 192.168.12.2

R2(config)#ip route 1.1.1.0 255.255.255.0 192.168.12.1

Teď pojďme začít s standardní přístup-seznam! Vytvořím něco na R2, které povoluje pouze provoz ze sítě 192.168.12.0 / 24:

R2(config)#access-list 1 permit 192.168.12.0 0.0.0.255

tento jediný vstup povolení bude stačit. Mějte na paměti, v dolní části přístupového seznamu je „odepřít“. Nevidíme to, ale je to tam. Použijme tento přístupový seznam příchozí na R2:

R2(config)#interface fastEthernet 0/0R2(config-if)#ip access-group 1 in

použijte příkaz ip access-group pro jeho použití na rozhraní. Použil jsem to příchozí s klíčovým slovem in.

R2#show ip interface fastEthernet 0/0FastEthernet0/0 is up, line protocol is up Internet address is 192.168.12.2/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1

pomocí příkazu show ip interface můžete ověřit, zda byl přístupový seznam použit. Nahoře vidíte, že access-list 1 byl použit příchozí.

Teď pojďme generovat nějaký provoz…

R1#ping 192.168.12.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms

Náš ping je úspěšný; pojďme se podívat na seznam přístupu:

R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)

Jak můžete vidět přístup-seznam ukazuje počet zápasů za prohlášení. Můžeme to použít k ověření našeho seznamu přístupů. Dovolte mi ukázat vám něco užitečné, když hrajete s access-listy:

R1#ping 192.168.12.2 source loopback 0Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:Packet sent with a source address of 1.1.1.1 U.U.USuccess rate is 0 percent (0/5)

Při odesílání ping můžete použít zdroje, klíčové slovo, vyberte rozhraní. Zdrojová IP adresa tohoto IP paketu je nyní 1.1.1.1 a můžete vidět, že tyto pingy selhávají, protože přístupový seznam je upustí.

R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)

neuvidíte je příkazem show access-list, protože „deny any“ je upouští.

Co kdybych chtěl něco jiného? Řekněme, že chci odepřít provoz ze sítě 192.168.12.0 / 24 ale povolit všechny ostatní sítě? Mohu udělat něco takového: