Лабораторна робота списки доступу

Якщо спробувати дати інтуїтивно зрозуміле визначення, список доступу - це набір правил, якими маршрутизатор вибирає чи зіставляє маршрут чи пакет. У IOS списки доступу використовуються як основний механізм керування різноманітними режимами роботи маршрутизатора, і найкращий спосіб познайомитися з ними - почати з найпростішої програми керування потоком вхідного та вихідного трафіку через певний інтерфейс.

Кожне правило в стандартному списку доступу дотримується трьох важливих елементів:

число, що ідентифікує перелік при зверненні до нього в інших частинах конфігурації маршрутизатора;

інструкцію deny (заборонити) або permit (дозволити);

Коли вхідні або вихідні пакети досягають інтерфейсу, що має список доступу, маршрутизатор звіряє пакети з кожним правилом у списку доступу і приймає рішення, слід заблокувати (відхилити) або дозволити (прийняти).

access-list 1 deny 10.10.1.0 0.0.0.255

access-list 1 deny 10.10.2.0 0.0.0.255

access-list 1 permit any

ip access-group 1 in

Як я вже згадано, існує безліч інших контекстів, що допускають застосування списків доступу. Їх можна використовувати для обмеження доступу до певної лінії TTY, для вказівки маршрутів вхідного та вихідного трафіку у різних процесах маршрутизації, для вирішення безлічі інших завдань. Також варто зауважити, що хоча застосування списку доступу 1 до пакетів, що надходять на інтерфейс ethernet0, запобігає проходженню через маршрутизатор трафіку з підмереж 10.10.1.0 та 10.10.2.0, цей список ніяк не впливає на трафік, що надходить на будь-який інший інтерфейс, а також не враховує інші протоколи, відмінні від IP. Необхідноналаштовувати кожен інтерфейс та протокол окремо.

лабораторна

Списки доступу можна застосовувати до вихідного трафіку. Наприклад, можна створити список, що забороняє трафік на порті 80, і застосувати його до вихідних пакетів, що надсилаються через інтерфейс ethernet0. Таким чином, вузли в мережі не зможуть звертатися до веб-серверів в мережі А:

! Заборонити трафік на порту 80 (www-трафік)

ip access-list 111 deny tcp any any eq 80

ip access-list 111 permit ip any any

! Застосувати список доступу 111 до вихідного трафіку

ip access-group 111 out

Відповідність пакетів пунктам списку

access-list номер дія джерело

номер – число від 1 до 99, що ідентифікує список.

дія - ключове слово permit або deny, залежно від того, чи хочете ви дозволити або блокувати пакети.

Адреса повинна точно збігатися із зазначеним

Практично кожен користувач, вперше зіткнувшись зі списками доступу, має труднощі у розумінні шаблонних масок. Проблема полягає в тому, що шаблонна маска виглядає як маска підмережі, але насправді нею не є, а є доповненням відповідної маски підмережі. Наприклад, щоб дозволити будь-який IP-трафік у мережу 192.168.2.0/24 (тобто 192.168.2.0 з маскою підмережі 255.255.255.0), відповідний пункт списку доступу має виглядати так:

access-list 10 permit 192.168.2.0 0.0.0.255