la oss konfigurere noen access-lister slik at jeg kan demonstrere for deg hvordan dette gjøres På Cisco IOS-rutere. I denne leksjonen vil vi dekke standard tilgangsliste. Her er topologien:
To rutere og hver ruter har et loopback-grensesnitt. Jeg vil bruke to statiske ruter slik at ruterne kan nå hverandres loopback-grensesnitt:
R1(config)#ip route 2.2.2.0 255.255.255.0 192.168.12.2
R2(config)#ip route 1.1.1.0 255.255.255.0 192.168.12.1
la Oss nå starte med en standard tilgangsliste! Jeg lager noe På R2 som bare tillater trafikk fra nettverk 192.168.12.0 / 24:
R2(config)#access-list 1 permit 192.168.12.0 0.0.0.255
denne enkelttillatelsen vil være nok. Husk på bunnen av access-listen er en «nekte noen». Vi ser det ikke, men det er der. La oss bruke denne tilgangslisten innkommende På R2:
R2(config)#interface fastEthernet 0/0R2(config-if)#ip access-group 1 in
Bruk kommandoen ip access-group til å bruke den på et grensesnitt. Jeg brukte den innkommende med in-søkeordet.
R2#show ip interface fastEthernet 0/0FastEthernet0/0 is up, line protocol is up Internet address is 192.168.12.2/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1
du kan kontrollere at tilgangslisten er brukt med kommandoen vis ip-grensesnitt. Over ser du at access-list 1 har blitt brukt innkommende.
la oss nå generere litt trafikk…
R1#ping 192.168.12.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
vår ping er vellykket; la oss sjekke tilgangslisten:
R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)
som du kan se, viser tilgangslisten antall treff per setning. Vi kan bruke dette til å verifisere vår tilgangsliste. La meg vise deg noe nyttig når du spiller med access-lister:
R1#ping 192.168.12.2 source loopback 0Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:Packet sent with a source address of 1.1.1.1 U.U.USuccess rate is 0 percent (0/5)
når du sender en ping, kan du bruke kildeordet til å velge grensesnittet. Kilde-IP-adressen til DENNE IP-pakken er nå 1.1.1.1, og du kan se at disse pingene feiler fordi tilgangslisten slipper dem.
R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)
du vil ikke se dem med kommandoen vis tilgangsliste fordi «nekt noen» slipper dem.
Hva om jeg ville ha noe annet? La oss si at jeg vil nekte trafikk fra nettverk 192.168.12.0 / 24 men tillater alle andre nettverk? Jeg kan gjøre noe slikt: