Что нового

Article [ENSA] CCNA [24. Настройка стандартных списков контроля доступа для IPv4]

Epsilon 0

Epsilon

Команда форума
10.11.2019
267
318
Создание списка управления доступом (ACL)

Все списки управления доступом (ACL) должны быть запланированы. Однако это особенно справедливо для списков ACL, требующих нескольких записей управления доступом (ACE).
При настройке сложного списка ACL рекомендуется:
  • Используйте текстовый редактор и выпишите определенную политику, которая будет реализована.
  • Добавьте команды конфигурации IOS для выполнения этих задач.
  • Включить комментарии для документирования списка ACL.
  • Скопируйте и вставьте команды на устройство.
  • Всегда тщательно тестируйте ACL, чтобы убедиться, что он правильно применяет требуемую политику.
Эти рекомендации позволяют создавать ACL продуманно, не влияя на трафик в сети.

Синтаксис стандартного нумерованного списка контроля доступа (ACL) IPv4

Чтобы создать нумерованный стандартный список ACL, используйте следующую команду глобальной конфигурации:

1630308726056.png

Используйте команду глобальной конфигурации no access-list access-list-number, чтобы удалить нумерованный стандартный список ACL.

Таблица содержит подробное описание синтаксиса для стандартного ACL-списка.

ПараметрОписание
access-list-number
  • Это десятичное число ACL.
  • Стандартный диапазон номеров ACL — от 1 до 99 или от 1300 до 1999.
denyЗапрещает доступ при совпадении условий.
permitРазрешает доступ при совпадении условий.
remarktext
  • (Необязательно) Добавляет текстовую запись для целей документации.
  • Длина комментария ограничена 100 символами.
source
  • Определяет исходный адрес сети или узла для фильтрации.
  • Используйте ключевое слово any для определения всех сетей.
  • Используйте ключевое слово host ip-address или просто введите ip-адрес (без ключевого слова host ) для идентификации конкретного IP-адреса.
source-wildcard(Опционально). 32-битная шаблонная маска должна применяться к адресу источника. . Если этот параметр опущен, по умолчанию принимается маска 0.0.0.0.
log
  • (Необязательно) Это ключевое слово генерирует и отправляет информационное сообщение всякий раз, когда ACE совпадает с пакетом.
  • Сообщение включает номер ACL, совпадающее условие (то есть, permit или deny), адрес источника и количество пакетов.
  • Сообщение генерируется для первого совпадающего пакета.
  • Это ключевое слово должно быть реализовано только для устранения неполадок или обеспечения безопасности сети.

Синтаксис стандартного именованного списка контроля доступа (ACL) IPv4

Присвоение имен ACL-спискам упрощает понимание функции того или иного списка. Чтобы создать именованный стандартный список ACL, используйте следующую команду глобальной конфигурации:

Код:
Router(config)# ip access-list standard access-list-name
Эта команда входит в именованный стандартный режим конфигурации, в котором настраиваются списки ACL.

Имена ACL-списков состоят из буквенно-цифровых символов, они чувствительны к регистру и должны быть уникальными. Указывать имена ACL-списков заглавными буквами не обязательно, но это делает их более заметными при просмотре выходных данных текущей конфигурации. Это также снижает вероятность случайного создания двух разных ACL-списков с одинаковыми именами, но различающимися использованием заглавных и строчных букв.

Примечание: Используйте команду глобальной конфигурации no ip access-list standard access-list-name для удаления именованного стандартного ACL IPv4.

В этом примере создается именованный стандартный ACL IPv4 с именем NO-ACCESS. Обратите внимание, что запрос изменяется на именованный стандартный режим конфигурации ACL. Оператора ACE вводятся в именованном стандартном режиме конфигурации ACL. Используйте справку для просмотра всех именованных стандартных параметров ACE ACL.

Три выделенных параметра настроены аналогично нумерованному стандартному ACL. В отличие от метода нумерованного ACL, нет необходимости повторять начальную команду ip access-list для каждого ACE.

1630308779466.png

Применение стандартного списка контроля доступа IPv4

После настройки стандартного списка ACL IPv4 он должен быть связан с интерфейсом или сервисом. Следующая команда может быть использована для привязки нумерованного или именованного стандартного ACL IPv4 к интерфейсу:

Код:
Router(config-if) # ip access-group {access-list-number | access-list-name} {in | out}
Чтобы удалить список ACL из интерфейса, сначала введите команду конфигурации интерфейса no ip access-group. Однако ACL по-прежнему будет настроен на маршрутизаторе. Чтобы удалить список ACL с маршрутизатора, используйте команду глобальной конфигурации no access-list.

Примеры стандартного нумерованного списка контроля доступа (ACL) IPv4

Топология на рисунке будет использоваться для демонстрации настройки и применения нумерованных и именованных стандартных списков ACL IPv4 к интерфейсу. В этом первом примере показана реализация стандартного списка ACL IPv4 с нумерацией.

1630308814802.png

Предположим, что доступ в Интернет разрешен только PC1. Чтобы включить эту политику, стандартный ACL ACE может быть применен исходящий на S0/1/0.

1630308840192.png

Обратите внимание, что выходные данные команды show access-lists не отображают инструкции remark. Комментарии ACL отображаются в файле текущей конфигурации. Хотя эта команда remark не требуется для включения списка управления доступом, она настоятельно рекомендуется для целей документации.

Теперь предположим, что новая политика сети гласит, что узлы в локальной сети 2 также должны быть разрешены кна доступ к Интернету. Чтобы включить эту политику, в список ACL 10 можно добавить вторую запись в стандартный ACL, как показано в выходных данных.

1630308859363.png

Разрешение списку ACL 10 на исходящий через Serial0/1/0 интерфейс

1630308905263.png

Результирующая политика ACL 10 разрешает только узлу 192.168.10.10 и всем узлам из LAN 2 выходить из интерфейса Serial 0/1/0. Все остальные узлы в сети 192.168.10.0 не будут допущены в Интернет.

Используйте эту команду show running-config для просмотра списка ACL в конфигурации, как показано в выходных данных.

1630309014873.png

Обратите внимание на то, как также отображаются инструкции remarks.

Наконец, используйте команду show ip interface, чтобы проверить, применяется ли к интерфейсу ACL. В выходных данных примера выходные данные специально просматривают интерфейс Serial 0/1/0 для строк, которые содержат текст «access list».

1630309033208.png

Примеры стандартного именованного списка контроля доступа (ACL) IPv4

Во втором примере показана именованная реализация стандартного ACL для IPv4. Топология повторяется на рисунке для вашего удобства.

1630309049331.png

Предположим, что доступ в Интернет разрешен только PC1. Чтобы включить эту политику, именованный стандартный ACL PERMIT-ACCESS может быть применен к исходящему интерфейсу S0/1/0.

Удалите ранее настроенный ACL 10 и создайте именованный стандартный ACL с именем PERMIT-ACCESS, как показано здесь.

1630309071796.png

Теперь добавьте ACE, разрешающую только хост 192.168.10.10, и другую ACE, разрешающую все хосты LAN 2 в Интернет.

1630309087131.png

Примените новый именованный ACL к исходящему интерфейсу Serial 0/1/0.

1630309109294.png

Используйте команду show access-lists и show running-config для просмотра ACL в конфигурации, как показано в выходных данных.

1630309128768.png

Наконец, используйте команду show ip interface, чтобы проверить, применяется ли к интерфейсу ACL. В выходных данных примера выходные данные специально просматривают интерфейс Serial 0/1/0 для строк, которые содержат текст «access list».

1630309147862.png
 
Последнее редактирование модератором:
Верх Низ