Команда ip access-list используется для создания именованных списков доступа. Списки доступа могут быть стандартными и расширенными.
Выполнение команды ip access-list осуществляет вход в режим настройки списка, в котором с помощью команд deny и permit следует определить условия доступа.
Синтаксис ip access-list {standard | extended} name
no ip access-list {standard | extended} name
standard Указывает стандартный список доступа .
extended Указывает расширенный список доступа .
name Имя списка доступа. Возможные варианты имени списка:
число из диапазонов <1-99> и <1300-1999> для стандартных списков
число из диапазонов <100-199> и <2000-2699> для расширенных списков
слово, которое не должно начинаться с цифры, и не содержит пробелов и кавычек.
Значение по умолчанию значение по умолчанию отсутствует.
Режимы команды Global configuration.
При использовании опции standard осуществляется вход в режим настройки стандартных списков доступа (config-std-nacl).
При использовании опции extended осуществляется вход в режим настройки расширенных списков доступа (config-ext-nacl).
Рекомендации по использованию
Команда ip access-list с опцией standard используется для создания и редактирования стандартных списков доступа (config-std-nacl). Стандартные списки доступа используются для фильтрации пакетов только по IP-адресу отправителя (источника) пакетов.
Команда ip access-list с опцией extended используется для создания и редактирования расширенных списков доступа (config-ext-nacl). Расширенные списки доступа используются для более гибкой фильтрации пакетов – по IP-адресу отправителя пакета, IP-адресу получателя пакета, по типу протокола, порту отправителя пакета и порту получателя.
Если ввести команду ip access-list extended с именем, с которым уже существует standard список доступа, то выдается сообщение об ошибке (аналогично Cisco IOS):
Access-list type conflicts with prior definition
% A named standard IP access list with this name already exists
Если ввести команду ip access-list standard с именем, с которым уже существует extended список доступа, то выдается сообщение об ошибке (аналогично Cisco IOS):
Access-list type conflicts with prior definition
% A named extended IP access list with this name already exists
Редактирование записей списков доступа производится с помощью команд permit и deny. В зависимости от того в каком режиме производится редактирование, возможности команд permit и deny будут различаться.
Созданные списки доступа могут использоваться в следующих случаях:
· фильтрующие списки доступа привязываются к сетевому интерфейсу (команда ip access-group при настройке интерфейса);
· списки доступа привязываются к статической криптографической карте и динамической криптокарте для указания защищенного трафика (команда match address при настройке crypto map);
· стандартные нумерованные списки доступа используются для ограничения сервисов (протоколов) (команда ip port-map);
· задавать критерий соответствия трафика данному классу (команда match access-group при настройке class-map).
Удаление списка доступа целиком осуществляется командой
no ip access-list {standard|extended} name
Пример
Ниже приведен пример создания списка доступа с именем E105:
Router(config)#ip access-list extended E105
Router(config-ext-nacl)#deny udp host 10.1.1.2 range 500 500 host 10.2.2.2 range 500 500
Router(config-ext-nacl)#deny udp host 10.1.1.2 range 500 500 host 10.3.3.2 range 500 500
Router(config-ext-nacl)#deny udp host 10.1.1.2 range 500 500 host 4.4.4.4 range 500 500
Router(config-ext-nacl)#permit ip 10.11.11.0 0.0.0.255 10.4.4.0 0.0.0.255