Standardowy przykład listy dostępu na routerze Cisco

skonfigurujmy kilka list dostępu, abym mógł zademonstrować, jak to się robi na routerach Cisco IOS. W tej lekcji omówimy standardową listę dostępu. Oto topologia:

dwa routery i każdy router ma interfejs loopback. Użyję dwóch statycznych tras, aby routery mogły dotrzeć do interfejsu pętli zwrotnej:

R1(config)#ip route 2.2.2.0 255.255.255.0 192.168.12.2

R2(config)#ip route 1.1.1.0 255.255.255.0 192.168.12.1

zacznijmy od standardowej listy dostępu! Stworzę coś na R2, co zezwala tylko na ruch z sieci 192.168.12.0/24:

R2(config)#access-list 1 permit 192.168.12.0 0.0.0.255

ten pojedynczy wpis zezwolenia wystarczy. Należy pamiętać, że na dole listy dostępowej znajduje się „Odrzuć dowolny”. Nie widzimy go, ale tam jest. Zastosujmy tę listę dostępu na R2:

R2(config)#interface fastEthernet 0/0R2(config-if)#ip access-group 1 in

użyj polecenia IP access-group, aby zastosować je do interfejsu. Zastosowałem go za pomocą słowa kluczowego in.

R2#show ip interface fastEthernet 0/0FastEthernet0/0 is up, line protocol is up Internet address is 192.168.12.2/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1

Możesz sprawdzić, czy lista dostępu została zastosowana za pomocą polecenia Pokaż interfejs ip. Powyżej widać, że access-list 1 został zastosowany przychodzący.

teraz wygenerujmy trochę ruchu…

R1#ping 192.168.12.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms

Nasz ping się powiódł; sprawdźmy listę dostępu:

R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)

jak widać lista dostępu pokazuje liczbę dopasowań na polecenie. Możemy to wykorzystać do weryfikacji naszej listy dostępu. Pozwól, że pokażę Ci coś przydatnego, gdy grasz z listami dostępu:

R1#ping 192.168.12.2 source loopback 0Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:Packet sent with a source address of 1.1.1.1 U.U.USuccess rate is 0 percent (0/5)

Kiedy wysyłasz ping, możesz użyć słowa kluczowego source, aby wybrać interfejs. Źródłowy adres IP tego pakietu to teraz 1.1.1.1 i widać, że te pingi zawodzą, ponieważ lista dostępu je upuszcza.

R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)

nie zobaczysz ich za pomocą polecenia show access-list, ponieważ „deny any” je usuwa.

a gdybym chciał czegoś innego? Powiedzmy, że chcę odmówić ruchu z sieci 192.168.12.0 / 24 ale Zezwalaj na wszystkie inne sieci? Mogę zrobić coś takiego: