Access Listlà 1 phương tiện đặc biệt quan trọng trên hệ điều hành Cisco. ACL là 1 list điều khiển tầm nã nhập dùng để lọc gói tin lớp 3 và phân loại tài liệu.
Bạn đang xem: Access list là gì
Phân các loại dữ liệu được áp dụng cho các dịch vụ: NAT, Distribute-menu, VPN
Lọc gói tin lớp 3. Đóng sứ mệnh là 1 chốt canh Lúc gán vào một trong những cổng của Router, chốt canh vẫn có thể chấp nhận được dữ liệu đi qua giỏi bị ngăn.
Access danh mục 1-1 thuần chỉ là 1 trong list, nếu bọn họ ko áp vào đâu hoặc thực hiện vào mục đích gì thì đã không có công dụng.
b. Access các mục dùng làm lọc gói tin lớp 3
Xét sơ đồ gia dụng mạng nlỗi sau
Chỉ chất nhận được mạng 192.168.1.0/24 ra đi Internet trải qua cổng S0/1/0. Access danh mục sẽ có được 2 trường đoản cú khóa: Permit (mang đến phép) và Deny (chặn)
=> Câu lệnh: R1(config)#access-các mục 10 permit 192.168.1.0 0.0.0.255 (trong đó: 0.0.0.255 là wildthẻ mask).
Access-danh mục khởi tạo lên không có công dụng nhưng cần bỏ lên trên cổng. Ở phía trên ta để lên cổng S0/1/0 theo chiều Out
=> Câu lệnh:
R1(config)# int f0/0
R1(config-if)# ip access-group 10 out
Cách thức thao tác làm việc của Access list
Lúc các sản phẩm công nghệ bên trong mạng 192.168.1.0 gửi gói tin ra bên ngoài Internet tài liệu đã chuyển cho tới Router với gửi ra cổng bên ngoài là S0/1/0. Trong thời điểm này dữ liệu vẫn chạm chán chốt Access-list, Access-list đang kiểm tra thấy Permit mạng 192.168.1.0 nên nó được cho phép trải qua.
Lúc những thứ bên mạng 192.168.2.0 đi ra Access-các mục bên trên cổng S0/1/0 đang kiểm tra, nó ko thấy mạng này vào danh sách có thể chấp nhận được đi qua bắt buộc đang hủy quăng quật.
Xem thêm: Iphone Bị Lỗi Chế Độ Tai Nghe Không Thoát Chế Độ Tai Nghe Iphone Hiệu Quả
Crúc ý:
Access danh sách theo hướng Out là thống trị tài liệu từ bỏ bên phía trong ra.
Access danh mục teo chiều In là quản lý dữ liệu tự bên ngoài bước vào.
Trên từng cổng của Access danh sách chỉ được gán một Access các mục theo một chiều ( lúc đang viết mệnh đề cùng gán cho mạng 192.168.1.0 theo hướng Out, nếu như ta viết mệnh đề gán đến mạng 192.168.2.0 cũng để lên cổng S0/1/0 với theo hướng Out đã không tồn tại kết quả).
Nếu đã gán mạng 192.168.1.0 theo hướng Out để đo lường bên trên cổng S0/1/0 thì ta có thể gán chiều In nhằm giám sát và đo lường lưu lượng vào cho mạng 192.168.2.0
2. Tìm gọi về những nhiều loại Access List
a. Standard Access danh sách ( AL tiêu chuẩn)
Chỉ kiểm tra IP nguồn (Source IP) của gói tin đi tới
R(config)# access-list n
=> Gán vào cổng theo hướng nào:
R1(config)# int f0/0
R1(config-if)# ip access-group n
Ví dụ:Cnóng mạng 192.168.1.0/24 truy vấn vào mạng 192.168.20.1
R2(config)# access-list 1 deny 192.168.1.0 0.0.0.255
=> Gán vào cổng f0/1 theo hướng out :
R1(config)# int f0/1
R1(config-if)# ip access-group n out
Bảng Access danh sách đã xét cấp độ ưu tiên từ bỏ những cái trên rồi mới xuống các chiếc mặt dưới
R(config)# access-danh sách 1 deny 192.168.1.0 0.0.0.255 (chiếc này triển khai trước)
R(config)# access-các mục 1 permit any (Sau Khi tiến hành tận hưởng bên trên thì chiếc này new cho lượt)
R(config)# access-menu 1 deny any (dòng này khoác định luôn bật làm việc ở đầu cuối trong access list)
khi viết Access danh mục yêu cầu chú ý vật dụng trường đoản cú những dòng nhằm cấu hình thiết lập. khi sẽ viết rồi chúng ta cấp thiết sửa được nhưng mà chỉ vứt access menu đó đi (cần sử dụng lệnh no access danh mục 1).
b. Extanded Access menu (AL mở rộng)
Câu lệnh khởi tạo
R(config)# access-list n
eq: equal (bằng)
lt: less than (ít hơn)
gt: greater than (các hơn)
n chạy từ 100 tới 199
Gán vào cổng theo chiều nào:
R1(config)# int s0/1/0
R1(config-if)# ip access-group n
Protocol
Ta rất có thể áp được bên trên 4 cổng là: R1 (f0/0, s0/1/0), R2 (S0/2/0, F0/1). Nên đặt tại cổng sớm nhất thì vẫn không phải mất quảng mặt đường chạy cùng chiếm phần băng thông
Ví dụ1:Viết một Access list cấm toàn bộ mạng 192.168.1.0/24 truy vấn tới Server 192.168.đôi mươi.6/24 theo giao thức Web:
R1(config)#access-danh mục 100 deny tcp 192.168.1.0 0.0.0.255 192.168.20.6 0.0.0.0 eq 80
R1(config)#access-các mục 100 permit ip any any (đa số gì không chặn sẽ đến đi qua)
Gán vào cổng theo chiều In:
R1(config)# int f0/0
R1(config-if)# ip access-group n in (chiều in vày các lắp thêm mạng 192.168.1.0 đã bước vào Router cổng F0/0, chiều Out S0/1/0)
lấy ví dụ 2:Viết Access danh sách cấm mạng 192.168.1.0/24 với 192.168.2.0/24 truy vấn cho tới Server 192.168.20.6/24 theo giao thức Web, TFTP:
R1(config)#access-danh sách 100 deny tcp 192.168.1.0 0.0.0.255 192.168.đôi mươi.6 0.0.0.0 eq 80
R1(config)#access-các mục 100 deny udp 192.168.2.0 0.0.0.255 192.168.đôi mươi.6 0.0.0.0 eq 69
R1(config)#access-menu 100 permit ip any any (rất nhiều gì ko ngăn đang cho đi qua)
Gán vào cổng theo chiều Out:
R1(config)# int s0/1/0
R1(config-if)# ip access-group n out (chiều in bởi vì những đồ vật mạng 192.168.1.0 vẫn bước vào Router cổng F0/0, chiều Out S0/1/0)
Cách viết nthêm gọn
Viết đầy đủ:
R1(config)#access-menu 100 deny tcp 192.168.1.0 0.0.0.255 192.168.trăng tròn.6 0.0.0.0 eq 80
Viết nđính gọn:
R1(config)#access-menu 100 deny tcp 192.168.1.0 0.0.0.255 host 192.168.đôi mươi.6 eq 80
Viết chặn Ping:
R1(config)# access-menu 100 deny ICMP. 192.168.1.0 0.0.0.255 host 192.168.20.6
ví dụ như 3:Cấm toàn thể mạng 192.168.1.0 telnet tới R2 (hoàn toàn có thể cho tới rất nhiều router nhưng mà trừ R2).
R2(config)# access-list 2 deny 192.168.1.0 0.0.0.255
R2(config)# access-danh mục 2 permit any
R2(config)# line vty 0 4
R2(config-line)#access-class 2 in
3. Named ACL
Cú pháp khai báo
R(config)# ip access-menu
R(config-std-name)#
Đặt vào cổng:
R(config)# int s0/1/0
R(config-ip)# ip access-groupthương hiệu ACL
Không knhì báo số Access list nó vẫn tự động hóa tạo thành giữa loại trên và chiếc dưới là tạo thêm 10 đơn vị chức năng.
