ACL (Access control lists) – списки доступа.
Прежде чем начать работать с ACL желательно ознакомится с таким понятием как сетевая маска
Стандартные списки доступа
Следующая команда показывает синтаксис стандартного списка доступа:
access-list access-list-number {permit|deny}
{host|source source-wildcard|any}
Где:
1 access-list-number – номер списка доступа
2 permit|deny – разрешить | запретить
3 host|source source-wildcard|any – адрес источника(получателя) | любой источник
После того, как Вы создадите ACL , Вы можете применить его к интерфейсу. Его можно назначить для входящего или исходящего трафика.
Пример
interface ip access-group number{in|out}
Где:
1 – интерфейс предназначенный для ACL
2 ip access-group number – номер ACL
3 {in|out} – входящий | исходящий трафик
Следующий пример показывает стандартный ACL, который блокирует весь трафик, исключая источник 10.1.1.x. :
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 1 in
access-list 1 permit 10.1.1.0 0.0.0.255
Расширенные списки доступа – Extended ACLs
Расширенные списки доступа могут применяться для следующих протоколов:
IP
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} protocol source source-wildcard
destination destination-wildcard [precedence precedence]
[tos tos] [log | log-input] [time-range time-range-name]
ICMP
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} icmp source source-wildcard
destination destination-wildcard
[icmp-type | [[icmp-type icmp-code] | [icmp-message]]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]
TCP
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} tcp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [established]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]
UDP
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} udp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]
Во всех версиях CISCO IOS© расширенные ACL имеют номера от 101 до 199.Начиная с версии Cisco IOS Software Release 12.0.1 расширенные ACL так же могут иметь номера от 2000 и до 2699.
Значение 0.0.0.0/255.255.255.255 может быть заменено на any.
Начиная с Cisco IOS Software Release 11.2 ACL могут так же носить имя.
Пример
interface
ip access-group {number|name} {in|out}
Следующий пример показывает, что трафик с внутренней сети 10.1.1.x c запросами ping «на ружу» будет разрешён только по запросу:
interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group 101 in
access-list 101 deny icmp any 10.1.1.0 0.0.0.255 echo
access-list 101 permit ip any 10.1.1.0 0.0.0.255
Набрав команду:
Router(config)#access-list ?
Вы получите следующий список:
Стандартные списки доступа
Расширенные списки доступа
Расширенные 48-битные списки доступа по MAC адресам
Стандартные список доступа (дополнительные номера)
Cписки доступа основанные на типах протоколов
Расширенные списки доступа (дополнительные номера)
48-битные списки доступа по MAC адресам
dynamic-extended Расширенные ACL зависящие от времени
rate-limit Специфические ACL построенные на оценке лимитов
Комментируемые ACL
Для каждого ACL можно делать комментарии
Пример:
ip access-list {standard|extended} name
remark metka
где metka – описание Вашего списка.
искать(access control lists) основные понятия на сайте