IP списки доступа Cisco IOS — различия между версиями
Moiseevvi (обсуждение | вклад) (Новая страница: «== IP списки доступа Cisco IOS == Access-lists (ACL) – списки контроля доступа. Существует несколько ра…») |
Moiseevvi (обсуждение | вклад) |
||
| Строка 4: | Строка 4: | ||
Существует несколько разновидностей аксесс-листов, применяемых на маршрутизаторах и коммутаторах Cisco. Аксесс-листы используются для фильтрации трафика или для определения классов трафика при применении политик. Список доступа представляет собой набор строк вида условие-действие. Условием может быть соответствие пакета определенному протоколу или набору параметров. Действием может быть разрешение пакета (permit), либо запрещение (deny). Для списков доступа справедливы следующие правила: | Существует несколько разновидностей аксесс-листов, применяемых на маршрутизаторах и коммутаторах Cisco. Аксесс-листы используются для фильтрации трафика или для определения классов трафика при применении политик. Список доступа представляет собой набор строк вида условие-действие. Условием может быть соответствие пакета определенному протоколу или набору параметров. Действием может быть разрешение пакета (permit), либо запрещение (deny). Для списков доступа справедливы следующие правила: | ||
| − | + | * Созданный список доступа не действует, пока он не применен к конкретному интерфейсу. | |
| − | + | * Список доступа применяется на интерфейсе в конкретном направлении – для исходящего, либо входящего трафика (inbound/outbound). | |
| − | + | * К интерфейсу можно применить только по одному аксесс-листу на протокол (ip), на направление (in/out). | |
| − | + | * Список доступа проверяется строка за строкой до первого совпадения. Оставшиеся строки игнорируются. | |
| − | + | * В конце любого IP аксесс-листа подразумевается запрещающее правило (implicit deny). Пакет, не попавший не под одно условие в списке, отбрасывается, в соответствии с правилом implicit deny. | |
| − | + | * Рекомендуется более специфические правила указывать в начале аксесс-листа, а более общие – в конце. | |
| − | + | * Новые строки по умолчанию дописываются в конец списка. | |
| − | + | * Отдельную строку можно удалить из именованного аксесс-листа, другие ACL удаляются лишь целиком. | |
| − | + | * Список доступа должен иметь по крайней мере один permit, иначе он будет блокировать весь трафик. | |
| − | + | * Интерфейс, которому назначен несуществующий аксесс-лист не фильтрует трафик. | |
| − | + | * IP Extended Access-lists применяются как можно ближе к источнику трафика. | |
По способу создания списки доступа делятся на стандартные, расширенные, и именованные. Удобнее всего работать с именованными. | По способу создания списки доступа делятся на стандартные, расширенные, и именованные. Удобнее всего работать с именованными. | ||
| − | Стандартный Access-list | + | === Стандартный Access-list === |
| − | + | Фильтрует только по ip адресу источника. Должен иметь номер в диапазоне 1-99. Пример: | |
access-list 10 deny host 172.16.30.2 – запретить ip источника | access-list 10 deny host 172.16.30.2 – запретить ip источника | ||
access-list 10 permit any - разрешить всё | access-list 10 permit any - разрешить всё | ||
| − | Расширенный Access-list | + | === Расширенный Access-list === |
| − | + | Фильтрует по адресам источника и получателя, по протоколам 3, 4 уровня. Должен иметь номер в диапазоне 100-199. Пример: | |
| − | access-list 110 deny tcp any host 172.16.30.2 eq 22 | + | access-list 110 deny tcp any host 172.16.30.2 eq 22 - запретить tcp от всех на хост с портом 22 |
| − | + | access-list 110 deny ip 192.168.160.0 0.0.31.255 any - запретить ip от сети по шаблону на всех | |
| − | access-list 110 deny ip 192.168.160.0 0.0.31.255 any | + | access-list 110 permit ip any any - разрешить всё |
| − | - запретить ip от сети по шаблону на всех | ||
| − | access-list 110 permit ip any any - разрешить всё | ||
| − | + | === Применение к интерфейсу === | |
| − | + | conf t - переход в режим конфигурирования | |
| − | + | int fa 0/0 - переход к интерфейсу FastEthernet0/0 | |
| − | Применение к интерфейсу | ||
| − | conf t - переход в режим конфигурирования | ||
| − | int fa 0/0 - переход к интерфейсу FastEthernet0/0 | ||
ip access-group 110 in - применить ACL 110 на вход | ip access-group 110 in - применить ACL 110 на вход | ||
ip access-group 120 our - применить ACL 120 на выход | ip access-group 120 our - применить ACL 120 на выход | ||
| − | Применение к линиям доступа telnet | + | === Применение к линиям доступа telnet === |
| − | conf t - переход в режим конфигурирования | + | conf t - переход в режим конфигурирования |
| − | line vty 0 4 - переход к линиям vty с 0 по 4 | + | line vty 0 4 - переход к линиям vty с 0 по 4 |
access-class 10 in - применить ACL 10 на вход | access-class 10 in - применить ACL 10 на вход | ||
| − | Именованный расширенный Access-list | + | === Именованный расширенный Access-list === |
| − | + | Фильтрует по адресам источника и получателя, по протоколам 3, 4 уровня. Должен иметь имя. Возможно удалять отдельные строки. Пример: | |
| − | ip access-list extended INET - создать список с именем INET | + | ip access-list extended INET - создать список с именем INET |
| − | + | deny tcp any host 172.16.30.2 eq 22 - запретить tcp от всех на хост с портом 22 | |
deny ip 192.168.160.0 0.0.31.255 any - запретить ip от сети по шаблону на всех | deny ip 192.168.160.0 0.0.31.255 any - запретить ip от сети по шаблону на всех | ||
permit ip any any - разрешить всё | permit ip any any - разрешить всё | ||
Строки доступа нумеруются с шагом 10 по-умолчанию. Можно перенумеровать аксесс-лист с другим шагом. Можно добавить строку пронумеровав – она попадет в указанное место, по нумерации. | Строки доступа нумеруются с шагом 10 по-умолчанию. Можно перенумеровать аксесс-лист с другим шагом. Можно добавить строку пронумеровав – она попадет в указанное место, по нумерации. | ||
Версия 09:00, 31 октября 2013
Содержание
IP списки доступа Cisco IOS
Access-lists (ACL) – списки контроля доступа. Существует несколько разновидностей аксесс-листов, применяемых на маршрутизаторах и коммутаторах Cisco. Аксесс-листы используются для фильтрации трафика или для определения классов трафика при применении политик. Список доступа представляет собой набор строк вида условие-действие. Условием может быть соответствие пакета определенному протоколу или набору параметров. Действием может быть разрешение пакета (permit), либо запрещение (deny). Для списков доступа справедливы следующие правила:
- Созданный список доступа не действует, пока он не применен к конкретному интерфейсу.
- Список доступа применяется на интерфейсе в конкретном направлении – для исходящего, либо входящего трафика (inbound/outbound).
- К интерфейсу можно применить только по одному аксесс-листу на протокол (ip), на направление (in/out).
- Список доступа проверяется строка за строкой до первого совпадения. Оставшиеся строки игнорируются.
- В конце любого IP аксесс-листа подразумевается запрещающее правило (implicit deny). Пакет, не попавший не под одно условие в списке, отбрасывается, в соответствии с правилом implicit deny.
- Рекомендуется более специфические правила указывать в начале аксесс-листа, а более общие – в конце.
- Новые строки по умолчанию дописываются в конец списка.
- Отдельную строку можно удалить из именованного аксесс-листа, другие ACL удаляются лишь целиком.
- Список доступа должен иметь по крайней мере один permit, иначе он будет блокировать весь трафик.
- Интерфейс, которому назначен несуществующий аксесс-лист не фильтрует трафик.
- IP Extended Access-lists применяются как можно ближе к источнику трафика.
По способу создания списки доступа делятся на стандартные, расширенные, и именованные. Удобнее всего работать с именованными.
Стандартный Access-list
Фильтрует только по ip адресу источника. Должен иметь номер в диапазоне 1-99. Пример:
access-list 10 deny host 172.16.30.2 – запретить ip источника access-list 10 permit any - разрешить всё
Расширенный Access-list
Фильтрует по адресам источника и получателя, по протоколам 3, 4 уровня. Должен иметь номер в диапазоне 100-199. Пример:
access-list 110 deny tcp any host 172.16.30.2 eq 22 - запретить tcp от всех на хост с портом 22 access-list 110 deny ip 192.168.160.0 0.0.31.255 any - запретить ip от сети по шаблону на всех access-list 110 permit ip any any - разрешить всё
Применение к интерфейсу
conf t - переход в режим конфигурирования int fa 0/0 - переход к интерфейсу FastEthernet0/0 ip access-group 110 in - применить ACL 110 на вход ip access-group 120 our - применить ACL 120 на выход
Применение к линиям доступа telnet
conf t - переход в режим конфигурирования line vty 0 4 - переход к линиям vty с 0 по 4 access-class 10 in - применить ACL 10 на вход
Именованный расширенный Access-list
Фильтрует по адресам источника и получателя, по протоколам 3, 4 уровня. Должен иметь имя. Возможно удалять отдельные строки. Пример:
ip access-list extended INET - создать список с именем INET deny tcp any host 172.16.30.2 eq 22 - запретить tcp от всех на хост с портом 22 deny ip 192.168.160.0 0.0.31.255 any - запретить ip от сети по шаблону на всех permit ip any any - разрешить всё
Строки доступа нумеруются с шагом 10 по-умолчанию. Можно перенумеровать аксесс-лист с другим шагом. Можно добавить строку пронумеровав – она попадет в указанное место, по нумерации.
