Access Listlà một lao lý quan trọng bên trên hệ quản lý điều hành Cisco. ACL là một trong list tinh chỉnh và điều khiển truy vấn nhập dùng để lọc gói tin lớp 3 và phân một số loại tài liệu.

Bạn đang xem: Hướng dẫn cấu hình access list

Phân các loại tài liệu được vận dụng cho những dịch vụ: NAT, Distribute-danh mục, VPN

Lọc gói tin lớp 3. Đóng phương châm là 1 trong chốt canh lúc gán vào một cổng của Router, chốt canh đã có thể chấp nhận được dữ liệu đi qua hay bị ngăn.

Access list đơn thuần chỉ là một trong những danh sách, ví như họ ko áp vào đâu hoặc áp dụng vào mục đích gì thì đã không có tác dụng.

b. Access danh mục dùng làm lọc gói tin lớp 3

Xét sơ thiết bị mạng nlỗi sau

*

Chỉ chất nhận được mạng 192.168.1.0/24 đi ra Internet trải qua cổng S0/1/0. Access danh mục sẽ có 2 từ khóa: Permit (đến phép) với Deny (chặn)

=> Câu lệnh: R1(config)#access-menu 10 permit 192.168.1.0 0.0.0.255 (trong đó: 0.0.0.255 là wildcard mask).

Access-danh mục khởi tạo ra lên không có chức năng nhưng mà buộc phải ném lên cổng. Tại phía trên ta để trên cổng S0/1/0 theo chiều Out

=> Câu lệnh:

R1(config)# int f0/0

R1(config-if)# ip access-group 10 out

Cách thức thao tác làm việc của Access list

khi những trang bị bên phía trong mạng 192.168.1.0 gửi gói tin ra phía bên ngoài Internet tài liệu vẫn gửi tới Router cùng chuyển ra cổng bên phía ngoài là S0/1/0. Hiện giờ tài liệu đã chạm chán chốt Access-menu, Access-danh sách đang kiểm tra thấy Permit mạng 192.168.1.0 cho nên nó được cho phép trải qua.

lúc những thiết bị bên mạng 192.168.2.0 ra đi Access-list trên cổng S0/1/0 đang khám nghiệm, nó không thấy mạng này vào danh sách cho phép đi qua nên sẽ diệt bỏ.

Xem thêm: Hướng Dẫn Làm Món Vịt Om Sấu, Cách Làm Vịt Om Sấu Ngon Cực Đơn Giản Tại Nhà

Crúc ý:

Access danh sách theo chiều Out là cai quản dữ liệu từ phía bên trong ra.

Access danh mục teo chiều In là làm chủ tài liệu tự phía bên ngoài bước vào.

Trên mỗi cổng của Access danh sách chỉ được gán một Access danh sách theo một chiều ( Lúc đã viết mệnh đề cùng gán mang đến mạng 192.168.1.0 theo hướng Out, giả dụ ta viết mệnh đề gán cho mạng 192.168.2.0 cũng để trên cổng S0/1/0 cùng theo chiều Out sẽ không có kết quả).

Nếu vẫn gán mạng 192.168.1.0 theo hướng Out để đo lường và tính toán trên cổng S0/1/0 thì ta hoàn toàn có thể gán chiều In để đo lường và tính toán giữ lượng vào mang đến mạng 192.168.2.0

2. Tìm phát âm về những các loại Access List

a. Standard Access list ( AL tiêu chuẩn)

Chỉ chất vấn IP mối cung cấp (Source IP) của gói tin đi tới

R(config)# access-list n tương tác IP wildcard (n của dạng Stanrd chạy từ một cho tới 99)

=> Gán vào cổng theo chiều nào:

R1(config)# int f0/0

R1(config-if)# ip access-group n

Ví dụ:Cấm mạng 192.168.1.0/24 truy cập vào mạng 192.168.trăng tròn.1

R2(config)# access-danh mục 1 deny 192.168.1.0 0.0.0.255

=> Gán vào cổng f0/1 theo hướng out :

R1(config)# int f0/1

R1(config-if)# ip access-group n out

Bảng Access list vẫn xét cấp độ ưu tiên tự các cái bên trên rồi new xuống những chiếc bên dưới

R(config)# access-list 1 deny 192.168.1.0 0.0.0.255 (loại này tiến hành trước)

R(config)# access-menu 1 permit any (Sau Lúc tiến hành thử dùng bên trên thì loại này mới mang đến lượt)

R(config)# access-danh mục 1 deny any (cái này mang định luôn luôn bật sinh sống sau cuối trong access list)

Khi viết Access menu nên để ý thứ từ những cái nhằm cấu hình thiết lập. Khi sẽ viết rồi chúng ta thiết yếu sửa được mà chỉ vứt access menu đó đi (cần sử dụng lệnh no access danh sách 1).

b. Extanded Access list (AL msống rộng)

Câu lệnh khởi tạo

R(config)# access-danh sách n protocolSource.IPWildthẻ Des.IPWildthẻ >

eq: equal (bằng)

lt: less than (không nhiều hơn)

gt: greater than (những hơn)

n chạy từ bỏ 100 tới 199

Gán vào cổng theo chiều nào:

R1(config)# int s0/1/0

R1(config-if)# ip access-group n

Protocol

*

Ta rất có thể áp được trên 4 cổng là: R1 (f0/0, s0/1/0), R2 (S0/2/0, F0/1). Nên đặt ở cổng sớm nhất thì vẫn chưa hẳn mất quảng con đường chạy và chiếm băng thông

Ví dụ1:Viết một Access menu cấm toàn thể mạng 192.168.1.0/24 truy vấn tới Server 192.168.20.6/24 theo giao thức Web:

R1(config)#access-menu 100 deny tcp 192.168.1.0 0.0.0.255 192.168.20.6 0.0.0.0 eq 80

R1(config)#access-menu 100 permit ip any any (phần lớn gì ko chặn sẽ mang đến đi qua)

Gán vào cổng theo chiều In:

R1(config)# int f0/0

R1(config-if)# ip access-group n in (chiều in vì những thiết bị mạng 192.168.1.0 vẫn đi vào Router cổng F0/0, chiều Out S0/1/0)

lấy ví dụ 2:Viết Access các mục cấm mạng 192.168.1.0/24 và 192.168.2.0/24 truy vấn cho tới Server 192.168.trăng tròn.6/24 theo giao thức Web, TFTP:

R1(config)#access-list 100 deny tcp 192.168.1.0 0.0.0.255 192.168.trăng tròn.6 0.0.0.0 eq 80

R1(config)#access-menu 100 deny udp 192.168.2.0 0.0.0.255 192.168.đôi mươi.6 0.0.0.0 eq 69

R1(config)#access-danh mục 100 permit ip any any (phần đa gì không ngăn đang đến đi qua)

Gán vào cổng theo hướng Out:

R1(config)# int s0/1/0

R1(config-if)# ip access-group n out (chiều in vì những đồ vật mạng 192.168.1.0 vẫn lấn sân vào Router cổng F0/0, chiều Out S0/1/0)

Cách viết nthêm gọn

Viết đầy đủ:

R1(config)#access-danh mục 100 deny tcp 192.168.1.0 0.0.0.255 192.168.đôi mươi.6 0.0.0.0 eq 80

Viết ngắn thêm gọn:

R1(config)#access-các mục 100 deny tcp 192.168.1.0 0.0.0.255 host 192.168.20.6 eq 80

Viết ngăn Ping:

R1(config)# access-danh sách 100 deny ICMP 192.168.1.0 0.0.0.255 host 192.168.đôi mươi.6

ví dụ như 3:Cấm cục bộ mạng 192.168.1.0 telnet cho tới R2 (rất có thể cho tới phần đông router mà lại trừ R2).

R2(config)# access-list 2 deny 192.168.1.0 0.0.0.255

R2(config)# access-menu 2 permit any

R2(config)# line vty 0 4

R2(config-line)#access-class 2 in

3. Named ACL

Cú pháp khai báo

R(config)# ip access-menu thương hiệu ACL

R(config-std-name)# permit hoặc deny(....) (đoạn sau giống như bình thường)

Đặt vào cổng:

R(config)# int s0/1/0

R(config-ip)# ip access-grouptên ACL

Không knhì báo số Access các mục nó vẫn tự động hóa tạo nên thân mẫu bên trên với cái bên dưới là tăng thêm 10 đơn vị chức năng.