să configurăm câteva liste de acces, astfel încât să vă pot demonstra cum se face acest lucru pe routerele Cisco IOS. În această lecție vom acoperi lista standard de acces. Iată topologia:
două routere și fiecare router are o interfață loopback. Voi folosi două rute statice, astfel încât routerele să poată ajunge la interfața loopback a celuilalt:
R1(config)#ip route 2.2.2.0 255.255.255.0 192.168.12.2R2(config)#ip route 1.1.1.0 255.255.255.0 192.168.12.1acum să începem cu o listă de acces standard! Voi crea ceva pe R2 care permite doar traficul din rețea 192.168.12.0/24:
R2(config)#access-list 1 permit 192.168.12.0 0.0.0.255această intrare permis unic va fi de ajuns. Păstrați în minte în partea de jos a listei de acces este un „nega orice”. Nu o vedem, dar e acolo. Să aplicăm această intrare a listei de acces pe R2:
R2(config)#interface fastEthernet 0/0R2(config-if)#ip access-group 1 inutilizați comanda IP access-group pentru a o aplica la o interfață. Am aplicat-o inbound cu cuvântul cheie in.
R2#show ip interface fastEthernet 0/0FastEthernet0/0 is up, line protocol is up Internet address is 192.168.12.2/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1puteți verifica dacă lista de acces a fost aplicată cu comanda afișare interfață ip. Mai sus Vedeți că access-list 1 a fost aplicat inbound.
acum să generăm trafic…
R1#ping 192.168.12.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 msping-ul nostru are succes; să verificăm lista de acces:
R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)după cum puteți vedea lista de acces arată numărul de potriviri pe declarație. Putem folosi acest lucru pentru a verifica lista noastră de acces. Permiteți-mi să vă arăt ceva util atunci când jucați cu liste de acces:
R1#ping 192.168.12.2 source loopback 0Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:Packet sent with a source address of 1.1.1.1 U.U.USuccess rate is 0 percent (0/5)când trimiteți un ping, puteți utiliza cuvântul cheie sursă pentru a selecta interfața. Adresa IP sursă a acestui pachet IP este acum 1.1.1.1 și puteți vedea că aceste ping-uri nu reușesc, deoarece lista de acces le scade.
R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)nu le veți vedea cu comanda show access-list, deoarece „deny any” le renunță.
Ce se întâmplă dacă am vrut ceva diferit? Să presupunem că vreau să neg traficul din rețeaua 192.168.12.0 / 24 dar permiteți toate celelalte rețele? Eu pot face ceva de genul asta: