IP списки доступа Cisco IOS

Материал из wiki
Версия от 09:06, 31 октября 2013; Moiseevvi (обсуждение | вклад) (Расширенный Access-list)
Перейти к: навигация, поиск

IP списки доступа Cisco IOS

Access-lists (ACL) – списки контроля доступа. Существует несколько разновидностей аксесс-листов, применяемых на маршрутизаторах и коммутаторах Cisco. Аксесс-листы используются для фильтрации трафика или для определения классов трафика при применении политик. Список доступа представляет собой набор строк вида условие-действие. Условием может быть соответствие пакета определенному протоколу или набору параметров. Действием может быть разрешение пакета (permit), либо запрещение (deny). Для списков доступа справедливы следующие правила:

  • Созданный список доступа не действует, пока он не применен к конкретному интерфейсу.
  • Список доступа применяется на интерфейсе в конкретном направлении – для исходящего, либо входящего трафика (inbound/outbound).
  • К интерфейсу можно применить только по одному аксесс-листу на протокол (ip), на направление (in/out).
  • Список доступа проверяется строка за строкой до первого совпадения. Оставшиеся строки игнорируются.
  • В конце любого IP аксесс-листа подразумевается запрещающее правило (implicit deny). Пакет, не попавший не под одно условие в списке, отбрасывается, в соответствии с правилом implicit deny.
  • Рекомендуется более специфические правила указывать в начале аксесс-листа, а более общие – в конце.
  • Новые строки по умолчанию дописываются в конец списка.
  • Отдельную строку можно удалить из именованного аксесс-листа, другие ACL удаляются лишь целиком.
  • Список доступа должен иметь по крайней мере один permit, иначе он будет блокировать весь трафик.
  • Интерфейс, которому назначен несуществующий аксесс-лист не фильтрует трафик.
  • IP Extended Access-lists применяются как можно ближе к источнику трафика.


По способу создания списки доступа делятся на стандартные, расширенные, и именованные. Удобнее всего работать с именованными.

Стандартный Access-list

Фильтрует только по ip адресу источника. Должен иметь номер в диапазоне 1-99. Пример:

access-list 10 deny host 172.16.30.2 – запретить ip источника
access-list 10 permit any            - разрешить всё

Расширенный Access-list

Фильтрует по адресам источника и получателя, по протоколам 3, 4 уровня. Должен иметь номер в диапазоне 100-199. Пример:

 access-list 110 deny tcp any host 172.16.30.2 eq 22		- запретить tcp от всех на хост с портом 22
 access-list 110 deny ip 192.168.160.0 0.0.31.255 any       -  запретить ip от сети по шаблону на всех
 access-list 110 permit ip any any             - разрешить всё

Применение к интерфейсу

conf t					- переход в режим конфигурирования
int fa 0/0				- переход к интерфейсу FastEthernet0/0
 ip access-group 110 in		- применить ACL 110 на вход
 ip access-group 120 out	- применить ACL 120 на выход

Применение к линиям доступа telnet

conf t					- переход в режим конфигурирования
line vty 0 4				- переход к линиям vty с 0 по 4
 access-class 10 in		- применить ACL 10 на вход

Именованный расширенный Access-list

Фильтрует по адресам источника и получателя, по протоколам 3, 4 уровня. Должен иметь имя. Возможно удалять отдельные строки. Пример:

 ip access-list extended INET      - создать список с именем INET
  deny tcp any host 172.16.30.2 eq 22  - запретить tcp от всех на хост с портом 22
 deny ip 192.168.160.0 0.0.31.255 any -  запретить ip от сети по шаблону на всех
 permit ip any any         				    - разрешить всё

Строки доступа нумеруются с шагом 10 по-умолчанию. Можно перенумеровать аксесс-лист с другим шагом. Можно добавить строку пронумеровав – она попадет в указанное место, по нумерации.

Подробная инструкция по работе с IP ACL от cisco

http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml

Примеры типичных применений IP ACL

http://www.cisco.com/en/US/tech/tk648/tk361/technologies_configuration_example09186a0080100548.shtml