Cisco CCNA іспит Підручник Налаштування стандартних списків доступу

Списки управління доступом (ACL) дозволяє маршрутизатора, щоб дозволити або заборонити пакети на основі різних критеріїв. ACL налаштовується в глобальному режимі, але застосовується на рівні інтерфейсу. ACL не набуває чинності, поки не буде явно застосовувати для інтерфейсу з IP-доступу групи команд. Пакети можуть фільтруватися, як вони увійти або вийти з інтерфейсу.

Якщо пакет входить або виходить з інтерфейсом прикладного ACL, пакет порівнюється з критеріями ACL. Якщо пакет відповідає першому рядку ACL, необхідно, Äúpermit, AU або, Äúdeny, AU дію. Якщо ні матчу, друга лінія, AOS критерію розглядається. Знову ж, якщо є збіг, вживаються відповідні заходи, якщо немає матчу, в третьому рядку ACL порівнюється з пакетом.

Цей процес триває, поки не буде знайдено збіг, і в цей момент ACL зупиняється. Якщо збіг не знайдено, за замовчуванням, Äúdeny, AU відбувається, і пакет не буде оброблений. Коли ACL налаштований, якщо пакет явно не дозволено, воно буде підлягати неявній заперечувати в кінці кожного ACL. Це поведінка за умовчанням ACL і не може бути змінений.

Стандартний ACL стосується лише одним з факторів, адресу джерела, IP-пакета. Пункт призначення не розглядається. Розширені списки контролю доступу враховувати як джерела і призначення пакета, і можна розглянути номер порту, а також. Числовий діапазон для кожного різна: за допомогою списків стандартних діапазонах 1-99 і 1300-1399; розширені списки використовують 100-199 і 2000 до 2699.

Є кілька моментів, варто повторити, перш ніж почати налаштування стандартних ACL.

Стандартні списки ACL розглядати тільки IP-адреси джерела до матчів.

ACL ліній виконуються зверху вниз. Якщо ні матчі на першій лінії, другий знаходиться у віданні; якщо відповідності на другий, третій поки не буде запущена, і так далі, поки не буде матч, або в кінці ACL буде досягнута. Цей верхній-вниз процес надає особливого значення порядок рядків.

Існує неявне відмовляти в кінці кожного ACL. Якщо пакети не прямо дозволено, вони неявно відмовлено.

Якщо маршрутизатор 3, AOS Ethernet інтерфейс повинен приймати тільки пакети з вихідним мережа 172.12.12.0, ACL буде налаштований так:

R3 конф # т

R3 (конфігурації) # доступі-лист 5, дозволяють 172.12.12.0 0.0.0.255

ACL складається лише з однієї явної лінії, яка дозволяє пакети від джерела IP адреса 172.12.12.0 / 24. Неявній заперечувати, що не налаштований або не бачив в робочій конфігурації, буде заперечувати всі пакети, що не відповідають першій лінії.

ACL потім застосовується до Ethernet0 інтерфейсу:

R3 конф # т

R3 (конфігурації) # інтерфейс E0

R3 (конфігурації-якщо) # IP-доступу в групі 5

Але перш ніж писати списки ACL, це дуже хороша ідея, щоб подивитися, що інші списки ACL вже працює на маршрутизаторі! Для перегляду списків ACL, що працюють на маршрутизаторі, використовуйте команду Показати список доступу.

R1 # показати список доступу

Стандартний список доступу IP 1

дозволяють 0.0.0.0

Стандартний список доступу IP 5

дозволяють 172.1.1.1

Стандартний список доступу IP-7

дозволяють 23.3.3.3

Розширений список доступу IP 100

TCP дозволяє будь будь WWW Lt (26 матчів)

TCP дозволяє будь будь NEQ Telnet (12 матчів)

заперечувати IP будь будь

Розширений список доступу IP 105

заперечує будь-які TCP будь-яке рівняння WWW

заперечує будь-які TCP будь-яке рівняння Telnet

Ви збираєтеся використовувати списки управління доступом на всьому шляху вгору по сходах сертифікації Cisco, і протягом всієї кар’єри. Важливо знати, як писати і застосовувати ACL, має першорядне значення, і все починається з засвоєння основ!