Из данного топика ты узнаешь:
Что такое ACL и как с помощью него (их) управлять трафиком, идущим через циску.

Списки доступа (acess list) используются для управления входящим/ исходящим трафиком. Настраиваются списки доступа на маршрутизаторах Cisco в два этапа:

1. Cоздается список доступа (access list), то есть задаются правила, определяющие действия маршрутизатора с определенными пакетами.
2. Созданный acl назначается определенному интерфейсу.

Таким образом, разные списки доступа могут быть завязаны на разные интерфейсы.

Каждый список доступа (access list) идентифицируется номером.
Выделяют два типа acl:

1. Стандартный — ему назначается номер из диапазона от 1 до 99,
2. Расширенный — ему назначается номер из диапазона от 100 до 199.

Стандартные списки доступа позволяют запрещать или разрешать весь трафик с определенного адреса. Расширенные списки доступа позволяют настраивать правила более гибко, указывая к примеру тип протокола и порт.

Синтаксис:

1. Стандартный список доступа (standart access list). Используя команду

"access-list <номер (1-99)> <действие (deny|permit)> <адрес источника>"

в режиме конфигурирования создается список доступа. Затем, используя команду

"ip access-group <номер списка доступа> in|out"

в режиме конфигурирования интерфейса список доступа связывается с интерфейсом. Правило in или out определяет к каким пакетам будет применяться это правило (к входящим или исходящим).

2. Расширенный список доступа (extended access list) Используя команду:

"access-list <номер (100-199)> <действие (permit|deny)> <протокол> <адрес источника> <адрес получателя> <порт>"

создаем расширенный список доступа (extended access list). Далее с помощью команды

"ip access-group <номер списка доступа> in|out"

завязываем список доступа (access list) на конкретный интерфейс.
Рассмотрим примеры создания расширенных списков доступа:

!--- This command is used to permit Telnet traffic
!--- from machine 10.1.1.2 to machine 172.16.1.1.
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet

!--- This command is used to permit tcp traffic from
!--- 10.1.1.2 host machine to 172.16.1.1 host machine.
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1

!--- This command is used to permit udp traffic from
!--- 10.1.1.2 host machine to 172.16.1.1 host machine.
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1

!--- This command is used to permit ip traffic from
!--- 10.1.1.0 network to 172.16.1.10 network.
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

P.S. Обратите внимание на то, что вместо классической маски используется т.н. inverse mask или wildcard. См. онлайн калькулятор ip-calculator.ru/

### Практика

Опираться будем на следующую топологию см. ( mega-admin.com/blog/cisco/69.html )


Создаем правила доступа с первой циски на вторую

Разрешаем пинг

exorcist2(config)#access-list 101 permit icmp host 192.168.3.1 host 192.168.2.1

Разрешаем телнет:

exorcist2(config)#$ 101 permit tcp host 192.168.3.1 host 192.168.2.1 eq telnet

Разрешаем ssh:

exorcist2(config)#$ 101 permit tcp host 192.168.3.1 host 192.168.2.1 eq 22

Назначаем созданные ACLs интерфейсу f1/0

exorcist2(config)#int f1/0
exorcist2(config-if)#ip access-group 101 in

Обратите внимание на то, что в наших экспериментах ACL мы привязали к ближайшему к фильтруемой сети интерфейсу(f1/0, и это правильно), однако правила для входящего трафика писали для IP 192.168.2.1 который назначен f1/1 интерфейсу второй циски(просто так захотелось=).

Проверяем с первой циски

Неудачная попытка приконектиться к 192.168.3.2 (интерфейс f1/0) второй циски, объясняется тем, что после после создания acl и назначения его интерфейсу в конец списка доступа добавляется запрещающее правило
deny ip any any.
Коннект к 192.168.3.2 проходит успешно только после добавления правила ACL, допускающего ssh коннект с 192.168.3.1 на любой хост:

exorcist2(config)#access-list 101 permit tcp host 192.168.3.1 any eq 22

Удачный телнет и ссх вход на вторую циску.


Просмотреть список активных ACL можно командой show access-lists
Как видим пинг и наши попытки входа были зарегистрированы о чем свидетельствуют «matches»


Удачного администрирования!