IP списки доступа Cisco IOS

Материал из wiki
Версия от 08:58, 31 октября 2013; Moiseevvi (обсуждение | вклад) (Новая страница: «== IP списки доступа Cisco IOS == Access-lists (ACL) – списки контроля доступа. Существует несколько ра…»)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к: навигация, поиск

IP списки доступа Cisco IOS

Access-lists (ACL) – списки контроля доступа. Существует несколько разновидностей аксесс-листов, применяемых на маршрутизаторах и коммутаторах Cisco. Аксесс-листы используются для фильтрации трафика или для определения классов трафика при применении политик. Список доступа представляет собой набор строк вида условие-действие. Условием может быть соответствие пакета определенному протоколу или набору параметров. Действием может быть разрешение пакета (permit), либо запрещение (deny). Для списков доступа справедливы следующие правила:

o Созданный список доступа не действует, пока он не применен к конкретному интерфейсу. o Список доступа применяется на интерфейсе в конкретном направлении – для исходящего, либо входящего трафика (inbound/outbound). o К интерфейсу можно применить только по одному аксесс-листу на протокол (ip), на направление (in/out). o Список доступа проверяется строка за строкой до первого совпадения. Оставшиеся строки игнорируются. o В конце любого IP аксесс-листа подразумевается запрещающее правило (implicit deny). Пакет, не попавший не под одно условие в списке, отбрасывается, в соответствии с правилом implicit deny. o Рекомендуется более специфические правила указывать в начале аксесс-листа, а более общие – в конце. o Новые строки по умолчанию дописываются в конец списка. o Отдельную строку можно удалить из именованного аксесс-листа, другие ACL удаляются лишь целиком. o Список доступа должен иметь по крайней мере один permit, иначе он будет блокировать весь трафик. o Интерфейс, которому назначен несуществующий аксесс-лист не фильтрует трафик. o IP Extended Access-lists применяются как можно ближе к источнику трафика.

По способу создания списки доступа делятся на стандартные, расширенные, и именованные. Удобнее всего работать с именованными.

Стандартный Access-list Фильтрует только по ip адресу источника. Должен иметь номер в диапазоне 1-99. Пример:

access-list 10 deny host 172.16.30.2 – запретить ip источника access-list 10 permit any - разрешить всё

Расширенный Access-list Фильтрует по адресам источника и получателя, по протоколам 3, 4 уровня. Должен иметь номер в диапазоне 100-199. Пример:

access-list 110 deny tcp any host 172.16.30.2 eq 22

								- запретить tcp от всех на хост с портом 22

access-list 110 deny ip 192.168.160.0 0.0.31.255 any - запретить ip от сети по шаблону на всех access-list 110 permit ip any any - разрешить всё



Применение к интерфейсу conf t - переход в режим конфигурирования int fa 0/0 - переход к интерфейсу FastEthernet0/0

 ip access-group 110 in		- применить ACL 110 на вход
 ip access-group 120 our	- применить ACL 120 на выход

Применение к линиям доступа telnet conf t - переход в режим конфигурирования line vty 0 4 - переход к линиям vty с 0 по 4

 access-class 10 in		- применить ACL 10 на вход

Именованный расширенный Access-list Фильтрует по адресам источника и получателя, по протоколам 3, 4 уровня. Должен иметь имя. Возможно удалять отдельные строки. Пример:

ip access-list extended INET - создать список с именем INET

 deny tcp any host 172.16.30.2 eq 22  - запретить tcp от всех на хост с портом 22
 deny ip 192.168.160.0 0.0.31.255 any -  запретить ip от сети по шаблону на всех
 permit ip any any         				    - разрешить всё

Строки доступа нумеруются с шагом 10 по-умолчанию. Можно перенумеровать аксесс-лист с другим шагом. Можно добавить строку пронумеровав – она попадет в указанное место, по нумерации.