IP списки доступа Cisco IOS
Содержание
IP списки доступа Cisco IOS
Access-lists (ACL) – списки контроля доступа. Существует несколько разновидностей аксесс-листов, применяемых на маршрутизаторах и коммутаторах Cisco. Аксесс-листы используются для фильтрации трафика или для определения классов трафика при применении политик. Список доступа представляет собой набор строк вида условие-действие. Условием может быть соответствие пакета определенному протоколу или набору параметров. Действием может быть разрешение пакета (permit), либо запрещение (deny). Для списков доступа справедливы следующие правила:
- Созданный список доступа не действует, пока он не применен к конкретному интерфейсу.
- Список доступа применяется на интерфейсе в конкретном направлении – для исходящего, либо входящего трафика (inbound/outbound).
- К интерфейсу можно применить только по одному аксесс-листу на протокол (ip), на направление (in/out).
- Список доступа проверяется строка за строкой до первого совпадения. Оставшиеся строки игнорируются.
- В конце любого IP аксесс-листа подразумевается запрещающее правило (implicit deny). Пакет, не попавший не под одно условие в списке, отбрасывается, в соответствии с правилом implicit deny.
- Рекомендуется более специфические правила указывать в начале аксесс-листа, а более общие – в конце.
- Новые строки по умолчанию дописываются в конец списка.
- Отдельную строку можно удалить из именованного аксесс-листа, другие ACL удаляются лишь целиком.
- Список доступа должен иметь по крайней мере один permit, иначе он будет блокировать весь трафик.
- Интерфейс, которому назначен несуществующий аксесс-лист не фильтрует трафик.
- IP Extended Access-lists применяются как можно ближе к источнику трафика.
По способу создания списки доступа делятся на стандартные, расширенные, и именованные. Удобнее всего работать с именованными.
Стандартный Access-list
Фильтрует только по ip адресу источника. Должен иметь номер в диапазоне 1-99. Пример:
access-list 10 deny host 172.16.30.2 – запретить ip источника access-list 10 permit any - разрешить всё
Расширенный Access-list
Фильтрует по адресам источника и получателя, по протоколам 3, 4 уровня. Должен иметь номер в диапазоне 100-199. Пример:
access-list 110 deny tcp any host 172.16.30.2 eq 22 - запретить tcp от всех на хост с портом 22 access-list 110 deny ip 192.168.160.0 0.0.31.255 any - запретить ip от сети по шаблону на всех access-list 110 permit ip any any - разрешить всё
Применение к интерфейсу
conf t - переход в режим конфигурирования int fa 0/0 - переход к интерфейсу FastEthernet0/0 ip access-group 110 in - применить ACL 110 на вход ip access-group 120 out - применить ACL 120 на выход
Применение к линиям доступа telnet
conf t - переход в режим конфигурирования line vty 0 4 - переход к линиям vty с 0 по 4 access-class 10 in - применить ACL 10 на вход
Именованный расширенный Access-list
Фильтрует по адресам источника и получателя, по протоколам 3, 4 уровня. Должен иметь имя. Возможно удалять отдельные строки. Пример:
ip access-list extended INET - создать список с именем INET deny tcp any host 172.16.30.2 eq 22 - запретить tcp от всех на хост с портом 22 deny ip 192.168.160.0 0.0.31.255 any - запретить ip от сети по шаблону на всех permit ip any any - разрешить всё
Строки доступа нумеруются с шагом 10 по-умолчанию. Можно перенумеровать аксесс-лист с другим шагом. Можно добавить строку пронумеровав – она попадет в указанное место, по нумерации.
Подробная инструкция по работе с IP ACL от cisco
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml
Примеры типичных применений IP ACL
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_configuration_example09186a0080100548.shtml