Configuriamo alcune liste di accesso in modo da poter dimostrare a voi come questo è fatto su router Cisco IOS. In questa lezione tratteremo la lista di accesso standard. Ecco la topologia:
Due router e ogni router ha un’interfaccia di loopback. Userò due percorsi statici in modo che i router possano raggiungere l’interfaccia di loopback l’uno dell’altro:
R1(config)#ip route 2.2.2.0 255.255.255.0 192.168.12.2R2(config)#ip route 1.1.1.0 255.255.255.0 192.168.12.1Ora iniziamo con una access-list standard! Creerò qualcosa su R2 che consente solo il traffico dalla rete 192.168.12.0/24:
R2(config)#access-list 1 permit 192.168.12.0 0.0.0.255Questa voce di permesso singolo sarà sufficiente. Tieni presente che in fondo alla lista di accesso c’è un “nega qualsiasi”. Non lo vediamo, ma è lì. Applichiamo questa lista di accesso in entrata su R2:
R2(config)#interface fastEthernet 0/0R2(config-if)#ip access-group 1 inUtilizzare il comando ip access-group per applicarlo a un’interfaccia. L’ho applicato in entrata con la parola chiave in.
R2#show ip interface fastEthernet 0/0FastEthernet0/0 is up, line protocol is up Internet address is 192.168.12.2/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1È possibile verificare che l’access-list sia stato applicato con il comando show ip interface. Sopra vedi che access-list 1 è stato applicato in entrata.
Ora generiamo un po ‘ di traffico
R1#ping 192.168.12.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 msIl nostro ping ha successo; controlliamo l’access-list:
R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)Come puoi vedere l’access-list mostra il numero di corrispondenze per istruzione. Possiamo usarlo per verificare la nostra lista di accesso. Lascia che ti mostri qualcosa di utile quando stai giocando con access-list:
R1#ping 192.168.12.2 source loopback 0Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:Packet sent with a source address of 1.1.1.1 U.U.USuccess rate is 0 percent (0/5)Quando invii un ping puoi usare la parola chiave source per selezionare l’interfaccia. L’indirizzo IP di origine di questo pacchetto IP è ora 1.1.1.1 e puoi vedere che questi ping non funzionano perché l’access-list li elimina.
R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)Non li vedrai con il comando show access-list perché il “deny any” li sta rilasciando.
Cosa succede se volevo qualcosa di diverso? Diciamo che voglio negare il traffico dalla rete 192.168.12.0 / 24 ma permettere a tutte le altre reti? Posso fare qualcosa di simile: