Cisco Packet Tracer - listy ACL

Listy kontroli dostępu, czyli ACL (Access Control List) służą do filtrowania ruchu, czyli pełnią funkcję zapory sieciowej.

Standardowe listy ACL

Służą do:

• zablokowania (deny) lub dopuszczenia (permit) całego ruchu z sieci
• odrzucenia zestawu protokołów

Przykład 1 standardowej listy ACL

Spójrzmy, ping z hosta 192.168.0.3 przechodzi bezproblemowo do hosta 10.0.0.3

Teraz zablokujemy cały ruch z adresu 192.168.0.3. Listę ACL ustawimy na ruterze Router0, na interfejsie FastEthernet0/0

Router0>ena
Router0#conf term
Router0(config)#access-list 1 deny host 192.168.0.3
Router0(config)#access-list 1 permit any
Router0(config)#interface FastEthernet0/0
Router0(config-if)#ip access-group 1 out

Jak widać teraz ping nie przechodzi.

Przeanalizujmy

KROK 1. Utworzenie listy ACL

Router0(config)#access-list 1 deny host 192.168.0.3
Router0(config)#access-list 1 permit any

access-list 1 polecenie tworzące listę ACL oraz jej nr (standardowe listy ACL mają numery z zakresu 1-99) deny host 192.168.0.3 blokuje host 192.168.0.3

Router0(config)#access-list 1 permit any - puszcza cały pozostały ruch. Jest to konieczne. gdyż zawsze domyślnie, listy ACL kończą się deny all , czyli właściwie cały ruch byłby zablokowany

KROK 2. Przypisanie listy ACL do interfejsu

Router0(config)#interface FastEthernet0/0
Router0(config-if)#ip access-group 1 out

Router0(config)#interface FastEthernet0/0 - wejście do konfiguracji interfejsu

Router0(config-if)#ip access-group 1 out - polecenie grupuje listę ACL do interfejsu, out oznacza ruch wychodzący

Przykład 2 standardowej listy ACL

Na ruterze Router0 (interfejs FastEthernet0/0) zablokujemy całą sieć 192.168.0.0.

Router>ena
Router#conf term
Router0(config)#access-list 1 deny 192.168.0.0 0.255.255.255
Router0(config)#access-list 1 permit any
Router0(config)#interface fastethernet0/0
Router0(config-if)#ip access-group 1 out

Jak widać pingi nie przechodzą, choć wyświetlają się rożne komunikaty.