Interface ethernet 0
Ip address 1.1.1.1 255.0.0.0 ip access-group 1 in
Ip access-group 2 out
следует
выбрать
номер
списка, он по- Рис 13. Пример конфигурирования списков управления доступом следовательно вводит директивы списка ACL, начиная с ключевого слова access-list и заканчивая правильными параметрами, как показано на рисунке 13. Создание списка
управления доступом — это только половина дела. Вторая, и не менее важная часть процесса, — это привязка списка к интерфейсу.
Списки ACL могут быть привязаны к одному и более интерфейсам и могут фильтровать как входные, так и выходные потоки данных. Привязка списка к интерфейсу (интерфейсам) осуществляется посредством команды access-group (рисунок 13). Команда access-group вводится в режиме конфигурирования интерфейса. Список управления доступом привязывается к интерфейсу во входном или выходном направлении: для входящего или исходящего трафика. Чтобы определить, в каком направлении должен воздействовать список ACL на проходящие через интерфейс потоки данных, следует
30
"взглянуть на интерфейс изнутри маршрутизатора", т.е. представить себе, что вы находитесь внутри устройства. Такой подход поможет разобраться в потоках трафика во многих ситуациях, когда необходимо понять, какие потоки данных в каком направлении передаются. С точки зрения "наблюдателя внутри маршрутизатора", трафик, который входит из внешнего мира внутрь устройства через интерфейс, может быть отфильтрован входным списком управления доступом; соответственно, поток данных, который направлен из устройства во внешнюю сеть через интерфейс, может быть отфильтрован выходным списком. После того как нумерованный список ACL создан, его следует привязать к нужному интерфейсу. Чтобы изменить порядок следования директив в нумерованном списке управления доступом, необходимо удалить весь список с помощью команды no access-list номер списка и создать его заново.
На практике команды списков управления доступом представляют собой длинные символьные строки. Основные задачи, решение которых описано в этом разделе, включают в себя следующие действия:
· необходимо сконфигурировать список управления доступом в режиме глобальной конфигурации маршрутизатора;
· следует назначить номер списку управления доступом в диапазоне от 1 до 99, если требуется создать стандартный список для протокола IP;
· следует назначить номер списку управления доступом в диапазоне от 100 до 199, если требуется создать расширенный список ACL для протокола IP;
· при создании списка ACL необходимо тщательно отбирать необходимые ди-рективы и соблюдать их логическую последовательность. В списке должны быть указаны разрешенные IP-протоколы; все данные других протоколов должны быть запрещены;
· необходимо выбрать IP-протоколы, которые следует проверять; все остальные протоколы проверяться не будут. В дальнейшем для большей точности можно будет также указать порт получателя;
· после того как будет создан необходимый список контроля доступа, его следует привязать к определенному интерфейсу.
Несмотря на то, что каждый протокол выдвигает свои специфические требования и правила, выполнение которых необходимо для фильтрации трафика, в целом создание списков управления доступом требует выполнения всего двух основных действий, которые указаны ниже.
Этап 1. Создать список доступа ACL.
Этап 2. Применить список доступа на конкретном интерфейсе.
31
Списки управления доступом применяются к одному или нескольким интерфейсам и выполняют фильтрацию входящих или исходящих потоков данных, в зависимости от установленной конфигурации. Списки для исходящего трафика обычно более эффективны, поэтому предпочтительнее использовать именно их. Маршрутизатор, в котором сконфигурирован список ACL для входящего трафика, должен проверять каждый пакет на его соответствие условиям списка перед тем, как отправить пакет на выходной интерфейс.