állítsunk be néhány hozzáférési listát, hogy bemutassam, hogyan történik ez a Cisco IOS útválasztókon. Ebben a leckében lefedjük a Szabványos hozzáférési listát. Itt van a topológia:
két útválasztó és minden útválasztó rendelkezik visszacsatolási felülettel. Két statikus útvonalat fogok használni, hogy az útválasztók elérjék egymás visszacsatolási felületét:
R1(config)#ip route 2.2.2.0 255.255.255.0 192.168.12.2R2(config)#ip route 1.1.1.0 255.255.255.0 192.168.12.1most kezdjük egy szabványos hozzáférési listával! Létrehozok valamit az R2-EN, amely csak a 192.168.12.0 /24 hálózatról engedélyezi a forgalmat:
R2(config)#access-list 1 permit 192.168.12.0 0.0.0.255Ez az egyszeri engedélybejegyzés elegendő lesz. Ne feledje, alján a hozzáférési lista egy”deny minden”. Nem látjuk, de ott van. Alkalmazzuk ezt a bejövő hozzáférési listát az R2-EN:
R2(config)#interface fastEthernet 0/0R2(config-if)#ip access-group 1 inAz IP access-group paranccsal alkalmazza azt egy interfészre. Alkalmaztam bejövő az in kulcsszóval.
R2#show ip interface fastEthernet 0/0FastEthernet0/0 is up, line protocol is up Internet address is 192.168.12.2/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1az IP-interfész megjelenítése paranccsal ellenőrizheti, hogy az access-list alkalmazásra került-e. Fent látható, hogy az access-list 1 bejövő alkalmazásra került.
most generáljunk egy kis forgalmat …
R1#ping 192.168.12.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 msa pingünk sikeres; ellenőrizzük az access-listát:
R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)amint láthatja, az access-lista megmutatja az utasításonkénti egyezések számát. Ezzel ellenőrizhetjük a hozzáférési listánkat. Hadd mutassak valami hasznosat, ha access-listákkal játszol:
R1#ping 192.168.12.2 source loopback 0Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:Packet sent with a source address of 1.1.1.1 U.U.USuccess rate is 0 percent (0/5)amikor pinget küldesz, a forrás kulcsszóval választhatod ki a felületet. Ennek az IP-csomagnak a forrás IP-címe most 1.1.1.1, és láthatja, hogy ezek a pingek nem működnek, mert az access-lista eldobja őket.
R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)nem fogja látni őket az access-list megjelenítése paranccsal, mert a” deny any ” eldobja őket.
mi lenne, ha valami mást akarnék? Tegyük fel, hogy meg akarom tagadni a forgalmat a 192.168.12 hálózatról.0 /24 de engedélyezi az összes többi hálózatot? Valami ilyesmit tudok csinálni: