zmej.org.ua - Памятки системного администратора.

Списки доступа (Access list) ACL

ip access-group

Режим:
Router(config-if)#
Синтаксис:
ip access-group access-list-number | access-list-name {in | out} || no ip access-group access-list-number | access-list-name

Описание:

* access-list-number | access-list-name : Имя или название ACL

in, out : На какие пакеты будет действоавть этот ACL.

    * in - на те которые получены с этого интерфейса
    * out - те которые должны быть отправлены с этого интерфейса.

Пример: Запрет на доступ к серверам 10.0.0.[1 - 3] всем кто подключен к serial 0/0, на всю остальную сеть 10.0.0.0/8 - запрета нет.

Router(config)# access-list 2 deny 10.0.0.1
Router(config)# access-list 2 deny 10.0.0.2
Router(config)# access-list 2 deny 10.0.0.3
Router(config)# access-list 2 permit 10.0.0.0 0.255.255.255
Router(config)# interface serial 0/0
Router(config-if)# ip access-group 2 in

Номера ACL (стандартные,расширенные, acl numbers)

Протокол IP: Стандартные: 1 - 99 Стандартные: 1300-1999 Расширенные: 100 - 199 Расширенные: 2000 - 2699 Протокол IPX: Стандартные: 800 - 899 Расширенные: 900 - 999

access-list

Режим:

Router(config)#

Синтаксис:
Стандартный:

access-list access-list-number {
  deny | permit | remark line  }
source [source-wildcard] [log]
Расширенный: access-list
access-list-number [dynamic dynamic-name [timeout minutes]]
  {deny | permit | remark line }
protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log | log-input][time-range name]
|| no access-list access-list-number

Описание:

    * access-list-number[20] - номер ACL списка.
    * dynamic dynamic-name timeout minutes - Означает что данная запись в этом ACL будет динамической (будет ставлятся в ACL только тогда, когда произойдет телнет на циску, и удалятся через minutes мин. неактивности)
    * deny - запретить прохождение пакетов permit - разрешить прохождение пакетов
    * remark line - комментарий
    * protocol - протокол для которого данное правило будет работать
    * source [source-wildcard] - источник пакетов, wild-card маска источника
    * destination [destination-wildcard] - получатель пакетов, wild-card маска получателя
    * precedence precedence - (0..7) Первые 3-и бита поля TOS (тоже самое можно сделать через TOS)
    * tos tos - (0..15) Поле TOS IPv4 пакета (Type of service)
    * log - Логирование на консоль (какой ACL, протокол, откуда+куда пакет пришел, ...)
    * log-input - Тоже что и log + интерфейс + MAC адрес отправителя
    * time-range name - Когда должно действовать это правило. (Смотри команду time-range)

Пример динамического ACL:

Router(config)# access-list 101 permit tcp 0.0.0.0 255.255.255.255 10.0.0.1 0.0.0.0 eq telnet
Router(config)# access-list 101 dynamic admin_www permit tcp 10.0.0.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 80
Router(config)# access-list 101 deny ip any any

Стандартный:

Router(config)# access-list 1 permit 10.0.0.1 0.0.0.0

show access-lists

Режим:

Router#

Синтаксис:

show access-lists [access-list-number | access-list-name]

Описание:

    * access-list-number - Номер Access списка
    * access-list-name - Имя ACL (для именованых ACL)

Команда выводит состав ACL списка.
Пример:

Router# show access-lists 110
permit tcp host 10.0.0.10 any established (4304 matches)
permit udp host 10.0.0.10 any eq domain (129 matches)
permit icmp host 10.0.0.10 any
permit tcp host 10.0.0.10 host 10.0.0.11 gt 1023
permit tcp host 10.0.0.10 host 10.0.0.11 eq smtp (2 matches)
permit tcp host 10.0.0.10 host 10.0.0.12 eq smtp

clear access-list counters

Режим:

Router> или Router#

Синтаксис:

clear access-list counters [access-list-number | access-list-name]

Описание:

    * access-list-number - Номер Access списка
    * access-list-name - Имя ACL (для именованых ACL)

Команда очищает значения счетчиков списка доступа. (Которые можно увидеть выполнив команду [21] show access-lists)
Пример:

Router# clear access-list counters 110
или Router> clear access-list counters 110