Команда запрещает передавать трафик с узла 10.0.0.5 на узел 12.0.0.5.
Denyudp 110.0.0.0. 0.255.255.255 host52.0.0.1eq67
Команда запрещает udp-трафик из сети110.0.0.0 (вместо маски задается инверсия) на узел 52.0.0.1.
Denyip 110.0.0.0. 0.255.255.255 145.15.0.0 0.0.255.255
Команда запрещает передавать трафик из сети 110.0.0.0 в сеть 145.15.0.0 (вместо масок задается инверсия)
Denyicmphost 10.0.0.100 192.168.0.0 0.0.0.255 echo
Команда запрещает применение протокола ICMPс типом echoс хоста 10.0.0.100 в подсеть 192.168.0.0.
Permiticmp any any echo-reply
Разрешить эхо-ответ протокола ICMPс любого хоста любому другому хосту.
Permitipanyany
Разрешить IP-трафик с любого узла на любой.
Поскольку (как и в стандартном списке) если пакет не попал ни под одно из правил, он игнорируется, то целесообразно последним правилом ставить вышеописанное правило permit.
После создания списка доступа, его необходимо применить к определенному интерфейсу. Существует две возможности это выполнить:
- связать список доступа со входом интерфейса;
- связать список доступа с выходом интерфейса.
|
|
В первом случае проверка трафика на соответствие правилам будет осуществляться в момент попадания данного трафика с указанного интерфейса на маршрутизатор (рис. 1).
Рис. 1 – Входящий трафик
В этом случае привязка осуществляется (в режиме конфигурации интерфейса) следующим образом:
interface<наименование интерфейса>
ipaccess-group<номерсписка>in
Рассмотрим, например, сеть, представленную на рис.2. Пусть всем узлам сети 10.0.4.0 назначены одни и те же правила управления трафиком в списке доступа с номером 11. Тогда целесообразно при входе на маршрутизатор сразу проверить, выполняются ли эти правила. В этом случае список доступа привязывается ко входному порту интерфейса с IP-адресом 10.0.4.1маршрутизатора.
Рис. 2 – Пример сети
Пусть интерфейс, соединяющий маршрутизатор с сетью – это FastEthernet 0/0. Тогда команды привязки списка к интерфейсу будут следующими:
InterfacefastEthernet 0/0
Ipaccess-group 11 in
Второй вариант привязки осуществляется на выход интерфейса маршрутизатора.
Рис. 3 – Выходной интерфейс
Пусть, например, в сети, пример которой приведен на рис. 2, требуется запретить доступ в сеть 10.0.1.0. Тогда целесообразно это правило записать на выход интерфейса, соединяющего сеть 10.0.1.0 с маршрутизатором. Если данное праивло записано под номером 12, то привязка его к интерфейсу будет выглядеть следующим образом: