lad os konfigurere nogle adgangslister, så jeg kan demonstrere for dig, hvordan dette gøres på Cisco IOS-routere. I denne lektion dækker vi standardadgangslisten. Her er topologien:
to routere, og hver router har en loopback-grænseflade. Jeg vil bruge to statiske ruter, så routerne kan nå hinandens loopback-interface:
R1(config)#ip route 2.2.2.0 255.255.255.0 192.168.12.2R2(config)#ip route 1.1.1.0 255.255.255.0 192.168.12.1lad os nu starte med en standard adgangsliste! Jeg opretter noget på R2, der kun tillader trafik fra netværk 192.168.12.0 /24:
R2(config)#access-list 1 permit 192.168.12.0 0.0.0.255denne enkelt tilladelsesindgang vil være nok. Husk i bunden af access-listen er en “benægte enhver”. Vi ser det ikke, men det er der. Lad os anvende denne adgangsliste indgående på R2:
R2(config)#interface fastEthernet 0/0R2(config-if)#ip access-group 1 inbrug kommandoen ip access-group til at anvende den på en grænseflade. Jeg anvendte det indgående med in-nøgleordet.
R2#show ip interface fastEthernet 0/0FastEthernet0/0 is up, line protocol is up Internet address is 192.168.12.2/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1Du kan kontrollere, at adgangslisten er blevet anvendt med kommandoen Vis ip-interface. Ovenfor kan du se, at access-liste 1 er blevet anvendt indgående.
lad os nu generere noget trafik…
R1#ping 192.168.12.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 msvores ping er vellykket; lad os kontrollere adgangslisten:
R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)som du kan se adgangslisten viser antallet af kampe pr. Vi kan bruge dette til at bekræfte vores adgangsliste. Lad mig vise dig noget nyttigt, når du spiller med adgangslister:
R1#ping 192.168.12.2 source loopback 0Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:Packet sent with a source address of 1.1.1.1 U.U.USuccess rate is 0 percent (0/5)Når du sender en ping, kan du bruge kildeordet til at vælge grænsefladen. Kilden IP-adressen på denne IP-pakke er nu 1.1.1.1, og du kan se, at disse pings fejler, fordi adgangslisten taber dem.
R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)Du kan ikke se dem med kommandoen Vis adgangsliste, fordi “Afvis nogen” slipper dem.
Hvad hvis jeg ville have noget andet? Lad os sige, at jeg vil nægte trafik fra netværk 192.168.12.0 / 24 men tillader alle andre netværk? Jeg kan gøre noget som dette: