Конфигурация расширенных АС Ls

 

Для того, чтобы сконфигурировать расширенный IР АСLs на маршрутизаторе Сisсо, надо создать расширенный IР АСL и применить его к интерфейсу.

 

В режиме глобальной конфигурации для создания строки расширенного списка контроля доступа надо ввести команду ассе ss - list с номером от от 100 до 199 или от 2000 до 2699.

 

Router(config)# ассе ss-list access-list-number [ permit | deny ] protocol source [source-wildcard] destination [destination-wildcard] [operator port] [established] [log]

 

Параметры команды    ассе ss - list	Описание
access-list-number	Идентифицирует список, к которому принадлежит строка: число от 1 до 99 или от 1300 до 1999
protocol	Используемый протокол, например IР, ТСР, UDP, IСМР,GRE или IGRP.
permit | deny	Показывает действие строки АСL над пакетом, совпавшим с условием: пропустить или блокировать
source	Идентифицирует IР адрес источника
source - wildcard	Показывает, какие биты надо проверять с полем адреса: маска по умолчанию равна 0.0.0.0
destination	Идентифицирует IР адрес получателя
destination-wildcard	Показывает, какие биты надо проверять с полем адреса: маска по умолчанию равна 0.0.0.0
operator port	lt (меньше чем, Less than), gt (больше чем, greater than), еq (равно, еqual), neq (не равно, not equal) и номер порта.
established	Разрешает прохождение TCP потока, если он использует установленное соединение (бит АСК в заголовке сегмента установлен)
log	Регистрация пакета в системном журнале

 

Затем сформированный список контроля доступа должен быть активирован (применен) на интерфейсе. Для этого в подрежиме конфигурирования интерфейса надо ввести команду iр access - group. Разрешается только один АСL для одного протокола на одном направлении одного интерфейса.

 

Router(config-if)# ip access-group [access-list-number| access-list-name] in | out

 

Параметры команды i р access - group	Описание
access – list-number	Указывает номер АСL, который применяется к этому интерфейсу
in | о ut	Указывает, в каком направлении АСL. привязывается к интерфейсу: как входящий или исходящий: по умолчанию — исходящий

 

Для того, чтобы удалить IР АСL с интерфейса, сначала в подрежиме конфигурации интерфейса надо ввести команду no ip access - group, а затем в режиме глобальной конфигурации команду no ip access - list для удаления самого АСL.

 

Пример:

Администратору необходимо сформировать расширенный АСL, который бы запрещал только FTP в подсеть 172.1.1.0 из подсети 172.1.3.0.

 

 

Рис 7

 

Поскольку сеть, из которой ограничен доступ, подключена к маршрутизатору R3 через интерфейс Е0, а в расширенном списке контроля доступа указывается источник и назначение, то ACL будем размещать на R3.

 

R1(config)#access-list 101 deny tcp 172.1.3.0 0.0.0.255 172.1.1.0 0.0.0.255 eq 21

R1(config)#access-list 101 deny tcp 172.1.3.0 0.0.0.255 172.1.1.0 0.0.0.255 eq 20

R1(config)#access-list 101 permit ip any any

R1(config)#interface FastEthernet 0/0

R1(config-if)#ip access-group 1 out

 

Этот АСL блокирует в сеть 172.1.1.0 только FTP пакеты от сети источника 172.1.3.0. Весь другой трафик проходит.

 

TCP - Протокол транспортного уровня.

eq 21 - Порт назначения; в данном случае стандартный номер порта для управления FТР.

eq 20 - Порт назначения; в данном случае стандартный номер порта для данных FТР.

permit any any - cтрока разрешения пропускает весь остальной IР трафик на входе интерфейса Е0

 

 

Пример:

Администратору необходимо сформировать расширенный АСL, который бы запрещал только Те ln е t из подсети 172.1.1.0.

 

 

Рис 7

 

Поскольку сеть, из которой ограничен доступ, подключена к маршрутизатору R1 через интерфейс Е0, а в расширенном списке контроля доступа указывается источник и назначение, то ACL будем размещать на R1.

 

R1(config)#access-list 101 deny TCP 172.1.1.0 0.0.0.255 any eq 23

R1(config)#access-list 101 permit any any

R1(config)#interface Ethernet 0

R1(config-if)#ip access-group 1 in

 

Этот АСL блокирует из сети 172.1.1.0 только Те ln е t. Весь другой трафик проходит.

 

TCP - Протокол транспортного уровня.

eq 23 - Порт назначения; указывает на стандартный номер порта для Те lnet.

permit any any - cтрока разрешения пропускает весь остальной IР трафик на входе интерфейса Е0

 

Именованные АС Ls

 

Функция именованных АСLs позволяет идентифицировать стандартные и расширенные IР АСLs с помощью алфавитно-цифровой последовательности (имени) вместо численного обозначения. Администратор, который хочет изменить нумерованный АСL, сначала должен удалить весь нумерованный АСL, а затем переконфигурировать его заново. Удалять отдельные строки нельзя.

 

Именованные IР АСLs позволяют удалять (но не вставлять) отдельные строки в АСL. Поскольку вы можете удалять строки списка контроля доступа, вы можете изменять фрагменты своего АСL, вместо того чтобы удалять весь АСL и конфигурировать его заново. Используйте именованные IР АСLs, когда вам необходимо интуитивно-понятное название АСL.

 

Основные ограничения в конфигурации именованных IР АСLs:

 

• Именованные IР АСLs не совместимы с релизами Сisсо IОS до 11.2.

 

• Нельзя использовать одно и то же имя для разных АСLs, даже для АСLs разных типов. Например, нельзя создать стандартный АСL с именем “George” и расширенный АСL с тем же именем.