låt oss konfigurera vissa access-listor så jag kan visa dig hur detta görs på Cisco IOS routrar. I den här lektionen täcker vi standardåtkomstlistan. Här är topologin:
två routrar och varje router har ett loopback-gränssnitt. Jag kommer att använda två statiska rutter så att routrarna kan nå varandras loopback-gränssnitt:
R1(config)#ip route 2.2.2.0 255.255.255.0 192.168.12.2R2(config)#ip route 1.1.1.0 255.255.255.0 192.168.12.1låt oss nu börja med en standardåtkomstlista! Jag skapar något på R2 som endast tillåter trafik från nätverket 192.168.12.0 /24:
R2(config)#access-list 1 permit 192.168.12.0 0.0.0.255denna enda tillståndsinmatning kommer att räcka. Tänk på längst ner i åtkomstlistan är en”neka någon”. Vi ser det inte men det är där. Låt oss tillämpa denna åtkomstlista inkommande på R2:
R2(config)#interface fastEthernet 0/0R2(config-if)#ip access-group 1 inanvänd kommandot ip access-group för att tillämpa det på ett gränssnitt. Jag tillämpade det inkommande med in-nyckelordet.
R2#show ip interface fastEthernet 0/0FastEthernet0/0 is up, line protocol is up Internet address is 192.168.12.2/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1Du kan verifiera att åtkomstlistan har tillämpats med kommandot Visa ip-gränssnitt. Ovan ser du att access-list 1 har tillämpats inkommande.
låt oss nu generera lite trafik…
R1#ping 192.168.12.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 msvår ping är framgångsrik; låt oss kolla åtkomstlistan:
R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)som du kan se visar åtkomstlistan antalet matchningar per uttalande. Vi kan använda detta för att verifiera vår åtkomstlista. Låt mig visa dig något användbart när du spelar med access-listor:
R1#ping 192.168.12.2 source loopback 0Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:Packet sent with a source address of 1.1.1.1 U.U.USuccess rate is 0 percent (0/5)När du skickar en ping kan du använda källnyckelordet för att välja gränssnittet. Källans IP-adress för detta IP-paket är nu 1.1.1.1 och du kan se att dessa pingar misslyckas eftersom åtkomstlistan släpper dem.
R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)Du kommer inte att se dem med kommandot Visa åtkomstlista eftersom ”neka någon” släpper dem.
vad händer om jag ville ha något annat? Låt oss säga att jag vill neka trafik från nätverket 192.168.12.0 / 24 men tillåter alla andra nätverk? Jag kan göra något så här: