Cisco Packet Tracer - listy ACL

Z Systemy operacyjne i sieci komputerowe
Przejdź do nawigacji Przejdź do wyszukiwania

Listy kontroli dostępu, czyli ACL (Access Control List) służą do filtrowania ruchu, czyli pełnią funkcję zapory sieciowej.

Standartowe listy ACL

Służą do:

  • zablokowania (deny) lub dopuszczenia (permit) całego ruchu z sieci
  • odrzucenia zestawu protokołów

Przykład standartowej listy ACL

ListaACL.jpg

Spójrzmy, ping z hosta 192.168.0.3 przechodzi bezproblemowo do hosta 10.0.0.3

PingACL.jpg

Teraz zablokujemy cały ruch z adresu 192.168.0.3. Listę ACL ustawimy na ruterze Router0, na interfejsie FastEthernet0/0 

Router0>ena
Router0#conf term
Router0(config)#access-list 1 deny host 192.168.0.3
Router0(config)#access-list 1 permit any
Router0(config)#interface FastEthernet0/0
Router0(config-if)#ip access-group 1 out

Jak widać teraz ping nie przechodzi.

PingACL2.jpg

Przeanalizujmy

KROK 1. Utworzenie listy ACL 

Router0(config)#access-list 1 deny host 192.168.0.3
Router0(config)#access-list 1 permit any

access-list 1 polecenie tworzące listę ACL oraz jej nr (standartowe listy ACL mają numery z zakresu 1-99) deny host 192.168.0.3 blokuje host 192.168.0.3

Router0(config)#access-list 1 permit any - puszcza cały pozostały ruch. Jest to konieczne. gdyż zawsze domyślnie, listy ACL kończą się deny all , czyli właściwie cały ruch byłby zablokowany

KROK 2. Przypisanie listy ACL do interfejsu 

Router0(config)#interface FastEthernet0/0
Router0(config-if)#ip access-group 1 out

Router0(config)#interface FastEthernet0/0 - wejście do konfiguracji interfejsu

Router0(config-if)#ip access-group 1 out - polecenie grupuje listę ACL do interfejsu, out oznacza ruch wychodzący

Zobaczmy jakie zmiany zaszły w bieżącej konfiguracji 

Router0#show running-config
Building configuration...

Current configuration : 774 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router0
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
 ip address 10.0.0.1 255.0.0.0
''' ip access-group 1 out'''
 duplex auto
 speed auto
!
interface FastEthernet1/0
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface Serial2/0
 ip address 172.16.1.1 255.255.0.0
!
interface Serial3/0
 no ip address
 shutdown
!
interface FastEthernet4/0
 no ip address
 shutdown
!
interface FastEthernet5/0
 no ip address
 shutdown
!
router rip
 network 10.0.0.0
 network 172.16.0.0
!
ip classless
!
!
'''access-list 1 deny host 192.168.0.3
access-list 1 permit any'''
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
 login
!
!
!
end
Źródło: „http://soisk.info/index.php?title=Cisco_Packet_Tracer_-_listy_ACL&oldid=3988