ACL beállítások/parancsok
A célállomáshoz minél közelebb érdemes rakni. FONTOS: az interfészt is be kell
aztán állítani!
Wildcard kiszámolása: ahol a maszkban 1-es van, az 0, vagy ha 1-es, az 0
255.255.255.255-ből vonjuk ki az adott maszkot és megkapjuk a wildcard formát
(vagy fordítva)
pl: 255.255.255.255 - 0.0.0.63 -> 255.255.255.192
255.255.255.255 - 255.255.255.240 -> 0.0.0.15
-------------------------
Leírás, megjegyzés
access-list -szám-/-név- remark -szöveg-
-------------------------
Engedélyezés
access-list -szám-/-név- permit -hálózat ip címe- -wildcard maszk-
pl.: access-list 1 permit 192.168.10.0 0.0.0.255
-------------------------
Tiltás
access-list -szám-/-név- deny -ip cím-/-any-
pl: access-list 1 deny any
-------------------------
Interfész beállításra példa [interface]
Példa 1:
R3(config)# interface g0/1
R3(config-if)# ip access-group 1 out
Példa 2:
R2(config)#int s0/0/1
R2(config-if)#ip nat outside
R2(config-if)#int f0/0
R2(config-if)#ip nat inside
R2(config-if)#exit
------------------------
Bejegyzett acl-ek listázása
R3# show access-list 1
Standard IP access list 1
10 permit 192.168.10.0, wildcard bits 0.0.0.255
20 permit 192.168.20.0, wildcard bits 0.0.0.255
30 deny any
-----------------------
Interfész beállításainak listázása
R3# show ip interface g0/1
GigabitEthernet0/1 is up, line protocol is up
Internet address is 192.168.30.1/24
Broadcast address is 255.255.255.255
Address determined by non-volatile memory
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.10
Outgoing access list is 1
Inbound access list is not set
Output omitted
-----------------------
Kiterjesztett pingelés
R1# ping
Protocol [ip]:
Target IP address: 192.168.30.3
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.20.1
Type of service [0]:
-----------------------
Nevesített ACL létrehozása
R1(config)# ip access-list standard BRANCH-OFFICE-POLICY
R1(config-std-nacl)# permit host 192.168.30.3
R1(config-std-nacl)# permit 192.168.40.0 0.0.0.255
Majd aktiválása az interfészen
R1# config t
R1(config)# interface g0/1
R1(config-if)# ip access-group BRANCH-OFFICE-POLICY out
-----------------------
Nevesített ACL módosítása
Az alábbi példában már van egy 10-es és 20-as bejegyzés, ezt bővítjük:
R1#(config)# ip access-list standard BRANCH-OFFICE-POLICY
R1(config-std-nacl)# 30 permit 209.165.200.224 0.0.0.31
R1(config-std-nacl)# 40 deny any
Ellenőrzés:
R1# show access-lists
Standard IP access list BRANCH-OFFICE-POLICY
10 permit 192.168.30.3 (8 matches)
20 permit 192.168.40.0, wildcard bits 0.0.0.255 (5 matches)
30 permit 209.165.200.224, wildcard bits 0.0.0.31
40 deny any
-----------------------