Где применяются:
Что собой представляют: последовательность шаблонов просматривается по очереди; если происходит сопоставление с разрешающим шаблоном, то пакет считается разрешенным; если с запрещающим или сопоставления не происходит вовсе, то пакет является запрещенным.
Как применяются:
Типы списков доступа:
(config)# access-list
номер-листа {deny|permit} tcp
исходный-адрес
исходная-маска [оператор порт [порт]]
адрес-назначения
маска-назначения [оператор порт [порт]] [precedence
старшинство] [tos
тип-сервиса] [established] [log]
(config)# access-list
номер-листа {deny|permit} udp
исходный-адрес
исходная-маска [оператор порт ]
адрес-назначения
маска-назначения [оператор порт ] [precedence
старшинство] [tos
тип-сервиса] [log]
1100-1199 - по 48-битным
MAC-адресам
Протокол - номер протокола или имя (eigrp, gre, icmp, igmp, igrp, ip, ipinip,
nos, ospf, tcp или udp).
Оператор сравнивает исходный порт или порт
назначения (lt, gt, eq, neq, или range) с
числом или
мнемоническим именем порта.
Маски - инверсные (например: 0.0.0.255).
any - сокращение для═ 0.0.0.0 255.255.255.255
host адрес - вместо "адрес 0.0.0.0"
Все добавления к списку будут
добавлены в конец, хочешь
вставить в середины - удали все и по новой...
В конце списка
подразумевается "запретить все".
Начиная с версии 11.2 вместо номеров можно
использовать имена (команды ip access-list standard
имя и ip access-list extended
имя)
Применение к
интерфейсу. К
интерфейсу можно применить только один список
доступа. Список доступа м.б. либо inbound
(приверяется когда пакет
поступает на вход
интерфейса снаружи), либо outbound
(проврка происходит, когда пакет
приходит изнутри киски на
интерфейс).
(config-if)#ip access-group
номер-листа {in | out}
Управление и отладка:
Журнализация
производится на уровне 6 (informational), так что
настройка команд logging должна быть
соответсвующей.