14.2. Конфигурирование стандартных списков доступа

Конфигурирование списков доступа производится в два этапа:

1. Создание списка доступа в режиме глобального конфигурирования.

2. Привязка списка доступа к интерфейсу в режиме детального конфигурирования интерфейса.

Формат команды создания стандартного списка доступа следующий:

Router(config)#access-list {номер} {permit или deny} {адрес источника}.

Списки доступа могут фильтровать как трафик, входящий в маршрутизатор (in), так и трафик, исходящий из маршрутизатора (out). Направление трафика указывается при привязке списка доступа к интерфейсу. Формат команды привязки списка доступа к интерфейсу следующий:

Router(config-if)#{протокол} access-group {номер} {in или out}

После привязки списка доступа его содержимое не может быть изменено. Не удовлетворяющий администратора список доступа должен быть удален командой no access-list и затем создан заново.

Конфигурирование стандартных списков доступа проведено для сети рис.14.2.

Рис. 14.2. Схема сети

Ниже рассмотрено несколько примеров создания списков доступа по защите Сети 1 (рис.14.2).

Пример 1. Необходимо, чтобы серверы Сети 1 были доступны только узлу Host 2-1 Сети 2 с адресом 192.168.20.11, а все остальные узлы Сети 2 и Сети 3 не имели бы доступа в Сеть1. Список доступа следует установить на интерфейс F0/0 маршрутизатора Router_A. Номер списка доступа (10) выбирается из диапазона табл. 14.1. Адреса сетей, а также названия и адреса интерфейсов приведены в табл. 14.2.

Таблица 14.2

Адреса сетей и интерфейсов маршрутизаторов

Создание и установка списка доступа производится по командам:

Router_A(config)#access-list 10 permit 192.168.20.11

Router_A(config)#int f0/0

Router_A(config)#ip access-group 10 out

Согласно созданной конфигурации ко всем исходящим из маршрутизатора пакетам через интерфейс F0/0 будет применяться список доступа:

permit 192.168.20.11 – присутствует в списке в явном виде,

deny any – присутствует неявно в конце каждого списка доступа.

Некоторые версии операционных систем IOS маршрутизаторов требуют в обязательном порядке использование масок WildCard при задании адресов узлов и сетей, либо расширения host при задании адресов узлов. Подобные дополнения рассмотрены ниже.

Пример 2. Серверы Сети 1 должны быть доступны всем узлам Сети 2 и узлу Host 3-1 Сети 3 с адресом 192.168.30.11, остальные узлы Сети 3 не должны иметь доступа. Список доступа установить на интерфейс F0/0 Router_A. В списке доступа имеются адреса сети и отдельного узла, поэтому необходимо использовать маску WildCard. Нулевые значения маски WildCard означают требование обработки соответствующих разрядов адреса, а единичные значения – игнорирование соответствующих разрядов адреса при функционировании списка доступа. Таким образом, маска 0.0.0.0 предписывает анализ и обработку всех разрядов адреса, т.е. в этом случае будет обрабатываться адрес каждого узла. Маска 0.0.0.255 показывает, что обрабатываться будет только сетевая часть адреса класса С.

Следовательно, список доступа будет следующим:

Router_A(config)#access-list 11 permit 192.168.30.11 0.0.0.0

Router_A(config)#access-list 11 permit 192.168.20.0 0.0.0.255

Router_A(config)#int f0/0

Router_A(config)#ip access-group 11 out

Согласно созданной конфигурации ко всем исходящим из маршрутизатора пакетам через интерфейс f0/0 будет применяться список доступа:

permit 192.168.30.11 – WildCard 0.0.0.0,

permit 192.168.20.0 – WildCard 0.0.0.255,

deny any – присутствует неявно в конце списка доступа.

Записи 192.168.30.11 0.0.0.0 полностью соответствует другой вариант – host 192.168.30.11, который также предписывает обрабатывать адрес только одного узла.

Пример 3. В Сети рис.14.2 необходимо установить список доступа, который:

1. блокирует рабочей станции 192.168.20.11 Сети 2 доступ в Сеть1;

2. блокирует рабочей станции 192.168.30.24 Сети 3 доступ в Сеть1;

Для этого создается список доступа:

Router_А(config)#access-list 12 deny host 192.168.20.11

Router_А(config)#access-list 12 deny host 192.168.30.24

Router_А(config)#access-list 12 permit any

Router_А(config)#int f0/0

Router_А(config-if)#ip access-group 12 out

Данный список блокирует доступ в Сеть 1 только двум рабочим станциям 192.168.20.11 и 192.168.30.24, а всем остальным – доступ разрешен. Если бы отсутствовала третья строка списка доступа, то ни одна станция из других сетей не могла бы попасть в Сеть 1.