permit (standard)

Команда  permit  используется для редактирования стандартных списков доступа. Данная команда задает условия доступа, при соответствии которым трафик разрешен. Для отмены разрешающей записи в стандартном списке доступа используется та же команда с префиксом  no.

 

Синтаксис                      permit source [source-wildcard] [log]

                   no permit source [source-wildcard] [log]

source                           Этот параметр описывает отправителя (источник) пакета. Возможны три варианта описания источника:

                           ·        явное указание IP-адреса в формате четырех десятичных значений, разделенных точками

                           ·        использование ключевого слова any, обозначающего пару значений 0.0.0.0 255.255.255.255 для параметров source и source-wildcard.

                            ·       использование ключевого слова host перед значением source, что предполагает значение 0.0.0.0 для параметра source-wildcard.

source-wildcard    используется в списках доступа и правилах IPsec для того, чтобы определить соответствует ли пакет какой-либо записи списка доступа.

                   source-wildcard это инвертированная маска подсети, которая указывает какая часть IP-адреса пакета должна совпадать с IP-адресом в записи списка доступа. source-wildcard содержит 32 бита, такое же количество битов и в IP-адресе. Если в source-wildcard какой-либо бит равен 0, то тот же самый бит в IP-адресе пакета должен точно совпадать по значению с соответствующим битом в IP-адресе записи списка доступа. Если в source-wildcard какой-либо бит равен 1, то соответствующий бит в IP-адресе пакета проверять не нужно, он может принимать значение либо 0 либо 1, т.е. он является несущественным битом. Например, если source-wildcard равна 0.0.0.0, то все значения битов в IP-адресе пакета должны точно совпадать с соответствующими битами в IP-адресе записи списка доступа. При source-wildcard  равной 0.0.255.255 значения первых 16 битов в IP-адресе пакета должны точно совпадать со значениями этих же битов в IP-адресе записи списка доступа. Важно, чтобы в source-wildcard в двоичном представлении не чередовались 0 и 1. Например, можно использовать инвертированную маску 0.0.31.255, которую можно записать в двоичном представлении как 00000000.00000000.00011111.11111111 и нельзя 0.0.255.0 (00000000.00000000.11111111.00000000). Установка значения инвертированной маски 255.255.255.255 для любого IP-адреса будет интерпретироваться, как установка значения source равного  any  IP-адрес.
Поэтому, возможны три варианта описания source-wildcard:

                            ·       явное указание инвертированной маски подсети в формате четырех десятичных значений, разделенных точками

              ·       255.255.255.255, что означает для source значение 0.0.0.0, т.е. источник имеет значение any. Никакие биты в IP-адресе пакета сравнивать с записями списка доступа не нужно

              ·       0.0.0.0, что означает использование ключевого слова host перед значением source. В IP-адресе поступившего пакета нужно сравнивать все биты с соответствующими битами в адресе записей списка доступа

log                                Флаг log задает ведение журнала. В Syslog выдаются сообщения о пакетах, удовлетворяющих условиям данного списка доступа. В сообщении указан номер списка доступа, разрешено или запрещено прохождение пакета, адрес отправителя и количество пакетов. Сообщение формируется для первого совпавшего пакета, а затем с периодичностью в 5 минут выдается сообщение о количестве пропущенных или запрещенных пакетов за этот интервал времени.

 

Режимы команды                               config-std-nacl (режим редактирования стандартных списков доступа)

 

Рекомендации по использованию

Команда permit в режиме редактирования стандартных списков доступа используется для разрешения трафика, исходящего от указанного источника.

Нумерация записей в списке 

Перед командой permit или deny допускается вводить порядковый номер записи в списке, который можно использовать для упрощения редактирования записей, например,

ip access-list standard acl1

 10 permit 10.1.1.1

 20 deny 10.2.1.0 0.0.0.255

 30 permit  any 

 

В режиме редактирования списка доступа запись с указанным номером будет вставлена на нужную позицию, например,

15 permit 10.1.1.1 0.0.255.255

Если запись с таким номером существует, то будет выдано сообщение об ошибке: % Duplicate sequence number.

По умолчанию первой записи в списке присваивается номер 10, а следующие номера в списке следуют с приращением 10. Максимальный порядковый номер 2147483647. Если сгенерированный порядковый номер превысил максимальный, то выдается сообщение об ошибке: % Exceeded maximum sequence number.

При выходе из консоли нумерация записей теряется. При следующем старте консоли записи располагаются в порядке возрастания номеров в режиме по умолчанию.

 

Просмотр по команде show  running-config 

По команде show  running-config нумерованные списки доступа показываются в виде последовательности команд access-list  за одним исключением:

если после редактирования нумерованного списка доступа он становится пустым (в нем нет записей вида permit или deny (no permit, no deny)), то он будет показан в виде:

ip access-list {standard|extended} name

По команде show  running-config выводится конфигурация, в которой слово host может отсутствовать.

Так как по команде show  running-config ранее введенные номера записей в списке не показываются, то при редактировании, чтобы внести запись на нужную позицию, можно еще раз упорядочить записи в списке с заданным начальным номером и приращением. Для этого используется команда: ip access-list resequence.

В стандартных списках доступа при последующем вводе наличие или отсутствие модификатора log в записи не учитывается при сравнении записей:

Пример:

ip access-list standard st-acl-1

 permit  10.20.30.40

 permit  10.20.30.40 log

ip access-list standard st-acl-2

 permit  10.20.30.40 log

 permit  10.20.30.40

По show running-config будет выдано: 

ip access-list standard st-acl-1

 permit  10.20.30.40

ip access-list standard st-acl-2

 permit  10.20.30.40 log 

 

Удаление 

Удаление записи в списке доступа осуществляется:

·      командой no <полная запись>, например:
no permit host 10.1.1.1

·      или по номеру записи, например: no 15.

 

Пример удаления записи с модификатором log:

ip access-list standard st-acl-1

 permit  10.20.30.40

 permit  10.20.30.41 log

!

 no permit  10.20.30.40 log

 no  permit  10.20.30.41

В результате обе записи в списке доступа будут удалены.

 

Отличие данной команды от подобной команды Cisco  IOS: 

·      В инвертированной маске подсети source-wildcard и destination-wildcard должна быть непрерывная линейка из установленных битов в конце, не допускается чередование 0 и 1.

·      Не допускается использование hostname в качестве source и destination.

·      Показывается пустой нумерованный список по команде show running-config.

 

Пример 

Приведенный ниже пример демонстрирует создание стандартного списка доступа с именем "a133", в котором используются команды запрета трафика от подсети 192.168.110.0 и хоста 10.10.1.101, и разрешение трафика от любого другого источника. Если выполнена команда запрета трафика от подсети 192.168.110.0, то проверка следующих правил уже не осуществляется. Если данное правило не выполнено, то происходит проверка следующего, если оно выполнено, то следующее не проверяется и т.д.

Router(config)#ip access-list standard a133

Router(config-std-nacl)#deny 192.168.110.0 0.0.0.255

Router(config-std-nacl)#deny host 10.10.1.101

Router(config-std-nacl)#permit any

Router(config-std-nacl)#exit