Конфигурация стандартного списка доступа для управления IP трафиком

Стандартный список доступа (Standard access list) Использует для фильтрации пакетов IP только IP-адрес источника. Обычно этот список полностью разрешает или запрещает весь стек протоколов. Стандартные списки IPX допускают фильтрацию по IPX-адресам источника и назначения.

Конфигурирование списков доступа производится в два этапа:

1. Создание списка доступа в режиме глобального конфигурирования.

2. Привязка списка доступа к интерфейсу в режиме детального конфигурирования интерфейса.

Формат команды создания стандартного списка доступа следующий:

Router(config)#access-list {№} {permit или deny} {адрес источника}.

Списки доступа могут фильтровать как трафик, входящий в маршрутизатор (in), так и трафик, исходящий из маршрутизатора (out). Направление трафика указывается при привязке списка доступа к интерфейсу. Формат команды привязки списка к интерфейсу следующий:

Router(config-if)#{протокол} access-group {номер} {in или out}

После привязки списка доступа его содержимое не может быть изменено. Не удовлетворяющий администратора список доступа должен быть удален командой no access-list и затем создан заново.

Стандартный список доступа IP фильтрует сетевой трафик по IP-адресам

источника в пакетах протокола IP. Для создания этого списка нужно использовать номера 1 — 99.

Ниже перечислены номера списков доступа для фильтрации в сети.

Состав поддерживаемых протоколов зависит от используемой версии IOS.

RouterA(config)#access-list?

Протокол Диапазон номеров

Стандартный список IP 1 to 99

Расширенный список IP 100 to 199

MAC Ethernet address 700 to 799

IPX 800 to 899

Extended IPX 900 to 999

IPX SAP 1000 to 1099

Используя для списка доступа номера из диапазона 1 — 99, мы указываем маршрутизатору на создание стандартного списка доступа IP. RouterA(config)#access-list 10?

deny Specify packets to reject

(указывает отбрасываемые пакеты)

permit Specify packets to forward

(указывает перенаправляемые пакеты)

После выбора номера для списка доступа нужно определить тип списка: you permit или deny. Пример создания оператора deny:

RouterA(config)#access-list 10 deny?

Hostname or A.B.С. D Address to match

any Any source host

(любой хост-источник)

host A single host address

(определенный адрес хоста)

Опишем подробно следующую операцию. Вы можете выбрать один из трех вариантов. Команда any запрещает/разрешает любой хост, можно указать IP-адрес для сравнения с определенной сетью или хостом IP, либо применить команду host для указания определенного хоста.

Пример использования команды host:

RouterA(config)#access-list 10 deny host 172.16.30.2

Мы запретили все пакеты от хоста 172.16.30.2.

Командой по умолчанию является host. Для команды access-list 10 deny 172.16.30.2 маршрутизатор предполагает сравнение с адресом хоста 172.16.30.2.

Однако существует иной путь указания хоста — использование заменителей (wildcard, подстановочных символов). По сути, это единственный способ указания в списке доступа сети или подсети.