Опубликован: 11.02.2017 | Доступ: свободный | Студентов: 2762 / 706 | Длительность: 13:28:00
Лекция 5:

Списки контроля доступа

< Лекция 4 || Лекция 5: 123456 || Лекция 6 >

Именованные списки доступа

Именованные списки доступа позволяют за счет введения имени списка сократить затем объем записей при конфигурировании. Кроме того, снимаются ограничения в 99 стандартных и 100 номеров расширенных списков, поскольку имен можно придумать много. Именованный список доступа с именем spisok для вышеприведенного примера 4 будет выглядеть следующим образом:

Router_А(config)#access-list extended spisok
Router_А(config-ext-nac1)#permit tcp host 192.168.30.11 host 192.168.10.25 eq 8080 
Router_А(config-ext-nac1)#permit tcp 192.168.20.0 0.0.0.255 host 192.168.10.25 eq 8080 
Router_А(config-ext-nac1)#permit tcp any any eq WWW
Router_А(config-ext-nac1)#exit
Router_А(config)#int g0/0
Router_А(config-if)#ip access-group spisok out
    

Контроль списков доступа

Контроль списков доступа производится по командам show. Например, контроль любых списков доступа производится по команде:

RouterА#show access-list
Extended IP access list 110
permit tcp host 192.168.30.11 host 192.168.10.25 eq 8080 (34 matches)
permit tcp 192.168.20.11 0.0.0.255 host 192.168.10.25 eq 8080 (11 matches)
permit tcp any any eq WWW (29 matches)
    

Контроль IP-списков доступа производится по команде:

RouterА#show ip access-list
    

Списки доступа, установленные на интерфейсы, можно посмотреть по команде show ip interface, а также show running-config.

Редактирование списков доступа

В "Списки контроля доступа" отмечалось, что при необходимости редактирования рекомендуется список доступа целиком удалить и создать новый список с новыми условиями. Чтобы облегчить этот процесс, требующий редактирования список можно скопировать, например, из распечатки команды show run, затем вставить его в текстовый редактор, отредактировать, удалить старый список из конфигурации маршрутизации и создать новый отредактированный список.

Второй способ редактирования предусматривает использование свойства нумерации строк именованного списка доступа. Например, создан именованный список доступа:

R-A(config)#ip access-list standard ACL
R-A(config-std-nacl)#permit host 192.168.20.11
R-A(config-std-nacl)#permit host 192.168.30.11
R-A(config-std-nacl)#int g0/0
R-A(config-if)#ip access-group ACL out
    

Команда show access-lists отображает строки списка, причем нумерация идет через 10

R-A#show access-lists
Standard IP access list ACL
    10 permit host 192.168.20.11 (4 match(es))
20 permit host 192.168.30.11 (4 match(es))
R-A#
    

Если в списке необходимо произвести изменения, например, запретить узлу host 192.168.20.11 доступ в сеть 1 и разрешить доступ всем остальным узлам сети 192.168.20.0, то это может реализовать следующая последовательность команд:

R-A(config)#ip access-list standard ACL
R-A(config-std-nacl)#no 10
R-A(config-std-nacl)#10 deny host 192.168.20.11
R-A(config-std-nacl)#15 permit 192.168.20.0 0.0.0.255
    

В этом примере новая строка списка (15) вставлена между 10-ой и 20-ой строками:

R-A#sh access-list
Standard IP access list ACL
    10 deny host 192.168.20.11
    15 permit 192.168.20.0 0.0.0.255
    20 permit host 192.168.30.11 (4 match(es))
R-A#
    
< Лекция 4 || Лекция 5: 123456 || Лекция 6 >
Богдан Божок
Богдан Божок

Поделитесь пожалуйста ► Первой частью курса.

В первой лекции упоминается, цитирую: "В первой части настоящего курса отмечалось, что соединение локальных сетей LAN..." 

Дмитрий Михайлусов
Дмитрий Михайлусов