Let ’ s configure some access-lists so I can demonstrate to you how this is done on Cisco IOS routers. Tällä oppitunnilla käydään läpi normaali pääsylista. Tässä topologia:
kaksi reititintä ja jokaisessa reitittimessä on loopback-liitäntä. Käytän kahta staattista reittiä, jotta reitittimet pääsevät toistensa loopback-rajapintaan:
R1(config)#ip route 2.2.2.0 255.255.255.0 192.168.12.2
R2(config)#ip route 1.1.1.0 255.255.255.0 192.168.12.1
nyt aloitetaan normaalista käyttöoikeuslistasta! Luon R2: lle jotain, joka sallii vain liikenteen verkosta 192.168.12.0 /24:
R2(config)#access-list 1 permit 192.168.12.0 0.0.0.255
tämä kertalupamerkintä riittää. Muista käyttöoikeuslistan alareunassa on ”kiellä kaikki”. Emme näe sitä, mutta se on siellä. Sovelletaan tätä access-list inbound R2:
R2(config)#interface fastEthernet 0/0R2(config-if)#ip access-group 1 in
käytä ip access-group-komentoa sen soveltamiseksi rajapintaan. Käytin sitä hakusanalla.
R2#show ip interface fastEthernet 0/0FastEthernet0/0 is up, line protocol is up Internet address is 192.168.12.2/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1
voit tarkistaa, että käyttöoikeusluetteloa on sovellettu Näytä ip-rajapinta-komennolla. Yllä näet, että access-list 1 on sovellettu saapuvaksi.
nyt luodaan vähän liikennettä…
R1#ping 192.168.12.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
meidän ping on onnistunut; tarkistetaan access-lista:
R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)
kuten access-lista näyttää osumien määrän per statement. Voimme käyttää tätä tarkistaaksemme pääsylistamme. Näytän sinulle jotain hyödyllistä, kun pelaat access-listoilla:
R1#ping 192.168.12.2 source loopback 0Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:Packet sent with a source address of 1.1.1.1 U.U.USuccess rate is 0 percent (0/5)
Kun lähetät pingin, voit valita käyttöliittymän lähdesanalla. Tämän IP-paketin lähde-IP-osoite on nyt 1.1.1.1 ja näet nämä Ping: t epäonnistuvat, koska käyttöoikeuslista pudottaa ne.
R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)
et näe niitä Näytä käyttöoikeuslista-komennolla, koska ”deny any” pudottaa ne.
Mitä jos haluaisin jotain erilaista? Sanotaan, että haluan kieltää liikenteen verkosta 192.168.12.0 / 24 mutta sallia kaikki muut verkot? I can do something like this: