Lassen Sie uns einige Zugriffslisten konfigurieren, damit ich Ihnen demonstrieren kann, wie dies auf Cisco IOS-Routern gemacht wird. In dieser Lektion behandeln wir die Standard-Zugriffsliste. Hier ist die Topologie:
Zwei Router und jeder Router hat eine Loopback-Schnittstelle. Ich werde zwei statische Routen verwenden, damit die Router die Loopback-Schnittstelle des anderen erreichen können:
R1(config)#ip route 2.2.2.0 255.255.255.0 192.168.12.2R2(config)#ip route 1.1.1.0 255.255.255.0 192.168.12.1Beginnen wir nun mit einer Standard-Zugriffsliste! Ich werde etwas auf R2 erstellen, das nur Datenverkehr vom Netzwerk 192.168.12.0 /24 zulässt:
R2(config)#access-list 1 permit 192.168.12.0 0.0.0.255Dieser einzelne Genehmigungseintrag reicht aus. Denken Sie daran, am Ende der Zugriffsliste ist ein „deny any“. Wir sehen es nicht, aber es ist da. Wenden wir diese Zugriffsliste auf R2 an:
R2(config)#interface fastEthernet 0/0R2(config-if)#ip access-group 1 inVerwenden Sie den Befehl ip access-group, um ihn auf eine Schnittstelle anzuwenden. Ich habe es mit dem Schlüsselwort inbound angewendet.
R2#show ip interface fastEthernet 0/0FastEthernet0/0 is up, line protocol is up Internet address is 192.168.12.2/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1Sie können überprüfen, ob die Zugriffsliste mit dem Befehl show ip interface angewendet wurde. Oben sehen Sie, dass access-list 1 inbound angewendet wurde.
Lassen Sie uns nun etwas Traffic generieren …
R1#ping 192.168.12.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 msUnser Ping ist erfolgreich; Überprüfen wir die Zugriffsliste:
R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)Wie Sie sehen können, zeigt die Zugriffsliste die Anzahl der Übereinstimmungen pro Anweisung an. Wir können dies verwenden, um unsere Zugriffsliste zu überprüfen. Lassen Sie mich Ihnen etwas Nützliches zeigen, wenn Sie mit Zugriffslisten spielen:
R1#ping 192.168.12.2 source loopback 0Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:Packet sent with a source address of 1.1.1.1 U.U.USuccess rate is 0 percent (0/5)Wenn Sie einen Ping senden, können Sie das Schlüsselwort source verwenden, um die Schnittstelle auszuwählen. Die Quell-IP-Adresse dieses IP-Pakets ist jetzt 1.1.1.1 und Sie können sehen, dass diese Pings fehlschlagen, da die Zugriffsliste sie löscht.
R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)Sie werden sie mit dem Befehl show access-list nicht sehen, da „deny any“ sie löscht.
Was wäre, wenn ich etwas anderes wollte? Angenommen, ich möchte den Datenverkehr vom Netzwerk 192.168.12 verweigern.0 /24 aber alle anderen Netzwerke zulassen? Ich kann so etwas machen: