Синтаксис

ip access-list {standard | extended} name 

no ip access-list {standard | extended} name

Standard

Указывает стандартный список доступа

Extended

Указывает расширенный список доступа

Name

Имя списка доступа. Возможные варианты имени списка:

•      число из диапазонов <1-99> и <1300-1999> для стандартных списков

•      число из диапазонов <100-199> и <2000-2699> для расширенных списков

•   слово, которое должно начинаться с латинской буквы, не содержать пробелов и кавычек, не может быть одним из следующих слов (независимо от регистра) - in, out, interface.

Значение по

умолчанию

отсутствует

Режимы команды

Global configuration 

При использовании опции standard осуществляется вход в режим настройки стандартных списков доступа (config-std-nacl).

При использовании опции  extended  осуществляется вход в режим настройки расширенных списков доступа (config-ext-nacl).

Рекомендации по

использованию

Команда  ip access-list  с опцией standard  используется для создания и редактирования стандартных списков доступа (config-std-nacl). Стандартные списки доступа используются для фильтрации пакетов только по IP-адресу отправителя (источника) пакетов.

Команда ip access-list  с опцией  extended используется для создания и редактирования расширенных списков доступа (config-ext-nacl). Расширенные списки доступа используются для более гибкой фильтрации пакетов - по IP-адресу отправителя пакета, IP-адресу получателя пакета, по типу протокола, порту отправителя пакета и порту получателя.

При попытке ввода команды с неправильным именем выдается сообщение об ошибке:

% Invalid access list name

Примечание

При ручном вводе команд и при загрузке конфигурации из внешнего файла имена in, out, interface не допускаются. Однако при загрузке конфигурации из базы локальных настроек такие имена допускаются с выводом предупреждений вида:

% Warning: forbidden access list name ("<name>"). It is recommended to rename it.

Команды с такими именами можно удалить из конфигурации, но нельзя редактировать.

Если ввести команду ip access-list extended  с именем, с которым уже существует standard список доступа, то выдается сообщение об ошибке (аналогично Cisco IOS):

Access-list type conflicts with prior definition

% A named standard IP access list with this name already exists

Если ввести команду ip access-list standard с именем, с которым уже существует extended список доступа, то выдается сообщение об ошибке (аналогично Cisco IOS):

Access-list type conflicts with prior definition

% A named extended IP access list with this name already exists 

Редактирование записей списков доступа производится с помощью команд permit и deny. В зависимости от того в каком режиме производится редактирование, возможности команд permit и deny будут различаться.

Созданные списки доступа могут использоваться в следующих случаях:

•      фильтрующие списки доступа привязываются к сетевому интерфейсу (команда ip access-group при настройке интерфейса);

•      списки доступа привязываются к статической криптографической карте и динамической криптокарте для указания защищенного трафика (команда match address при настройке crypto map);

•      стандартные нумерованные списки доступа используются для ограничения сервисов (протоколов) (команда ip port-map);

•      задавать критерий соответствия трафика данному классу (команда match access-group при настройке class-map).

Удаление списка доступа целиком осуществляется командой

no ip access-list {standard|extended} name

Пример

Ниже приведен пример создания списка доступа с именем E105:

Router(config)#ip access-list extended E105

Router(config-ext-nacl)#deny udp host 10.1.1.2 range 500 500 host 10.2.2.2 range 500 500

Router(config-ext-nacl)#deny udp host 10.1.1.2 range 500 500 host 10.3.3.2 range 500 500

Router(config-ext-nacl)#deny udp host 10.1.1.2 range 500 500 host 4.4.4.4 range 500 500

Router(config-ext-nacl)#permit ip 10.11.11.0 0.0.0.255 10.4.4.0 0.0.0.255