vamos configurar algumas listas de Acesso para que eu possa demonstrar-lhe como isto é feito nos roteadores da Cisco IOS. Nesta lição vamos cobrir a lista de acesso padrão. Aqui está a topologia:
Dois roteadores e cada roteador tem uma interface de loopback. Vou usar duas rotas estáticas para que os roteadores possam alcançar a interface de loopback um do outro:
R1(config)#ip route 2.2.2.0 255.255.255.0 192.168.12.2
R2(config)#ip route 1.1.1.0 255.255.255.0 192.168.12.1
Agora, vamos começar com um padrão de lista de acesso! Vou criar algo no R2 que só permite o tráfego da rede 192.168.12.0 /24:
R2(config)#access-list 1 permit 192.168.12.0 0.0.0.255
Esta entrada de autorização única será suficiente. Tenha em mente na parte inferior da lista de acesso é um “negar qualquer”. Não o vemos, mas está lá. Vamos aplicar esta lista de acesso no R2.:
R2(config)#interface fastEthernet 0/0R2(config-if)#ip access-group 1 in
Use o comando ip access-group para aplicá-lo a uma interface. Apliquei-o com a palavra-chave.
R2#show ip interface fastEthernet 0/0FastEthernet0/0 is up, line protocol is up Internet address is 192.168.12.2/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1
pode verificar se a lista de acesso foi aplicada com o comando Mostrar interface ip. Por cima, vê que a lista de acesso 1 foi aplicada.
Agora vamos gerar algum tráfego de…
R1#ping 192.168.12.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
o Nosso ping é bem-sucedido; vamos verificar a lista de acesso:
R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)
Como você pode ver a lista de acesso mostra o número de partidas por instrução. Podemos usar isto para verificar a nossa lista de acesso. Deixe-me mostrar-lhe algo útil quando estiver a jogar com listas de acesso:
quando enviar um ping, poderá usar a palavra-chave de código para seleccionar a interface. O endereço IP de origem deste pacote IP é agora 1.1.1.1 e você pode ver que estes pings estão falhando porque a lista de acesso os deixa cair.
Você não vai vê-los com o comando mostrar a lista de acesso porque o “negar qualquer” está a abandoná-los.e se eu quisesse algo diferente? Digamos que quero negar o tráfego da rede 192.168.12.Mas permitir todas as outras redes? Eu posso fazer algo assim: