laten we enkele access-lists configureren zodat ik u kan laten zien hoe dit wordt gedaan op Cisco IOS routers. In deze les behandelen we de standaard toegangslijst. Hier is de topologie:
twee routers en elke router heeft een loopback interface. Ik zal twee statische routes gebruiken zodat de routers elkaars loopback interface kunnen bereiken:
R1(config)#ip route 2.2.2.0 255.255.255.0 192.168.12.2
R2(config)#ip route 1.1.1.0 255.255.255.0 192.168.12.1
laten we nu beginnen met een standaard access-list! Ik zal iets maken op R2 dat alleen verkeer van netwerk 192.168.12.0 /24 toestaat:
R2(config)#access-list 1 permit 192.168.12.0 0.0.0.255
deze single permit entry zal voldoende zijn. Houd er rekening mee dat onderaan de toegangslijst een “deny any”staat. We zien het niet, maar het is er. Laten we deze access-list binnenkomend toepassen op R2:
R2(config)#interface fastEthernet 0/0R2(config-if)#ip access-group 1 in
gebruik het ip access-group commando om het toe te passen op een interface. Ik paste het inbound met de in trefwoord.
R2#show ip interface fastEthernet 0/0FastEthernet0/0 is up, line protocol is up Internet address is 192.168.12.2/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1
u kunt controleren of de access-list is toegepast met het commando IP-interface tonen. Hierboven ziet u dat access-list 1 binnenkomend is toegepast.
laten we nu wat verkeer genereren…
R1#ping 192.168.12.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
onze ping is succesvol; laten we de access-list controleren:
R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)
zoals u kunt zien toont de access-list Het aantal overeenkomsten per statement. We kunnen dit gebruiken om onze toegangslijst te verifiëren. Laat me je iets nuttigs tonen als je met access-lists speelt:
R1#ping 192.168.12.2 source loopback 0Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:Packet sent with a source address of 1.1.1.1 U.U.USuccess rate is 0 percent (0/5)
wanneer je een ping verzendt kun je het bron sleutelwoord gebruiken om de interface te selecteren. Het bron-IP-adres van dit IP-pakket is nu 1.1.1.1 en je kunt zien dat deze pings falen omdat de access-list ze laat vallen.
R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)
u zult ze niet zien met het show access-list commando omdat het” deny any ” ze laat vallen.
Wat als ik iets anders wilde? Laten we zeggen dat ik verkeer van netwerk 192.168.12 wil weigeren.0 / 24 maar alle andere netwerken toestaan? Ik kan zoiets doen: