4.4. Стандартные списки acl

Стандартный список управления доступом позволяет проверять и сравнивать адреса отправителей пакетов с директивами, как показано на рисунке 14.

Стандартные списки управления доступом используются тогда, когда необходимо заблокировать или разрешить доступ всему набору протоколов на ос-новании адреса сети, подсети или узла.

Например, для

пакетов, поступивших

на интерфейс Е0 ^{Рис 14. Принцип работы стандартных списков управления доступом}

проверяются адреса отправителя и протоколы. Затем они сравниваются с директивами списка управления доступа. Если соответствие найдено, выполняется указанное действие (разрешение или запрет). Если пакеты соответствуют разрешающему правилу (permit), они перенаправляются через маршрутизатор к выходному интерфейсу, который логически связан со списком управления доступом. Если же пакеты соответствуют запрещающему правилу (deny), они отбрасываются.

Полный синтаксис директивы стандартного списка ACL имеет вид: Router(config)#access-list access-list-number {permit|deny|remark} source [source-

wildcart] [log]

32

Ключевое слово remark используется для внесения в список комментария, который впоследствии поможет разобраться в списке управления доступом. Длина такой строки-комментария не может превышать ста символов.

Например, с первого взгляда тяжело сказать, для чего именно нужна такая запись: access-list 1 permit 171.69.2.88

Если же в списке управления доступом присутствует комментарий, то разобраться, к чему именно относится определенная директива, будет значительно проще.

access-list 1 remark Permit only Howard workstation though ACL 1 171.69.2.88

access-list 1 permit 171.69.2.88

Для удаления стандартного списка управления доступом используется форма этой команды с ключевым словом nо:

Router(config)# no access-list number

Стандартная версия команды

access-list списка доступа в режиме

глобальной конфигурации задает

access-list access-list access-list access-list

2 Deny 172.16.1.1

2 Permit 192.168.1.0 0.0.0.255 2 deny 172.16.0.0 0.0.255.255

2 Permit 10.0.0.0 0.255.255.255

стандартный список управления

доступом с номером в диапазоне от 1

до 99. В На рисунке 15 показан

ис 15. Принцип конфигурирования стандартных списков управления доступом

стандартный список доступа, который

содержит 4 директивы; все директивы входят в список доступа с номером 2. Следует помнить, что даже если пакеты не отвечают ни одному из правил (т.е. записям или директивам) списка доступа, они попадают под неявное правило в конце списка доступа ACL, которое запрещает передачу всех пакетов (это правило не отображается в конфигурации).

В первой строке списка управления доступом указано, что инвертированная маска не используется. В подобной ситуации, когда не указана маска, используется инвертированная маска со стандартным значением 0.0.0.0. Данная директива списка ACL запретит доступ с одного IP-адреса — 172.16.1.1.

Вторая строка разрешает доступ с адресов из сети 192.168.1.0, т.е. с любого адреса, который начинается с комбинации 192.168.1.

Третья строка-директива запрещает доступ из сети 172.16.0.0, а четвертая разрешает передавать пакеты с любого адреса, который начинается с 10., т.е. из сети 10.0.0.0.

33

Команда ip access-group используется для привязки созданного списка управления доступом к интерфейсу. Для каждого порта, протокола и направления допускается использовать только один список. Команда имеет следуюший формат:

Router (config) # ip access-group номер списка {in | out}