Standard ACL placering

Standard ACL konfigurering      |      Modifiera IPv4 ACL

När en Standard ACL är konfigurerad måste den tillämpas till ett interface eller en funktion. Följande kommando kan användas:

Router(config-if)# ip access-group {access-list-number | access-list-name} {in | out}

Förklaring:

  1. ip access-group
    • Anger att en ACL ska tillämpas på ett interface.
  2. {access-list-number | access-list-name}
    • access-list-number: Anger en numrerad ACL (t.ex. 10 för standard eller 100 för extended).
    • access-list-name: Anger en namngiven ACL istället för en numrerad.
  3. {in | out}
    • in: ACL tillämpas på inkommande trafik (trafik som går in i interfacet).
    • out: ACL tillämpas på utgående trafik (trafik som skickas ut via interfacet).

För att ta bort tillämpning av en ACL från ett interface, använd först kommandot no ip access-group i interfacets konfigurationsläget. Därefter ta bort ACL:n från routern med kommandot no access-list.

Exempel på tillämpning av en numrerad Standard IPv4 ACL

Topologin i bilden används för att demonstrera konfiguration och tillämpning/placering av numrerade och namngivna Standard IPv4 ACL på ett interface.

Exempel 1: Anta att endast PC1 är tillåten att ansluta till internet. För att aktivera denna policy kan en numrerad standard ACL med en ACE-post appliceras utgående på S0/1/0, som visas i bilden.

R1(config)# access-list 10 remark ACE permits ONLY host 192.168.10.10 to the internet
R1(config)# access-list 10 permit host 192.168.10.10
R1(config)# do show access-lists
Standard IP access list 10
10 permit 192.168.10.10
  • Observera att kommandot show access-lists inte visar kommentarer. Dessa visas i konfigurationsfilen running-config.
  • Även om kommandot remark inte påverkar konfigurations funktionerna, rekommenderas det starkt för dokumentations ändamål.

Exempel 2: Enligt en ny nätverkspolicy ska nu alla datorer i LAN 2 också få tillgång till internet. Därför kan en ny ACE läggas till i samma ACL 10, som visas i exemplet nedan:

R1(config)# access-list 10 remark ACE permits all hosts in LAN 2
R1(config)# access-list 10 permit 192.168.20.0 0.0.0.255
R1(config)# do show access-lists
Standard IP access list 10
10 permit 192.168.10.10
20 permit 192.168.20.0, wildcard bits 0.0.0.255

R1(config)#

Tillämpa ACL 10 utgående (outbound) på interface Serial 0/1/0.

R1(config)# interface Serial 0/1/0
R1(config-if)# ip access-group 10 out
R1(config-if)# end
R1#

Resultatet av ACL 10:

  • Endast datorn 192.168.10.10 i LAN 1 får ta sig ut till externa nätverk.
  • Alla datorer i LAN 2 får passera genom Serial 0/1/0-interfacet.
  • Övriga enheter i nätverket 192.168.10.0 kommer inte att ha åtkomst till internet.

Använd kommandot show running-config för att granska ACL-inställningarna. Notera att kommentarer också inkluderas.

R1# show run | section access-list

access-list 10 remark ACE permit host 192.168.10.10
access-list 10 permit 192.168.10.10
access-list 10 remark ACE permit all hosts in LAN 2
access-list 10 permit 192.168.20.0 0.0.0.255

R1#

Slutligen, använd kommandot show ip interface för att verifiera om ett interface har en ACL tillämpad på det. I exemplet nedan visas specifikt interfacet Serial 0/1/0.

R1# show ip int Serial 0/1/0 | include access list

Outgoing Common access list is not set
Outgoing access list is 10
Inbound Common access list is not set
Inbound access list is not set

R1#

Exempel på tillämpning av en namngiven Standard IPv4 ACL

Samma topologin används i detta exempel:

Anta att endast PC1 är tillåten att ansluta till internet. För att möjliggöra denna policy kan en namngiven standard ACL med namn PERMIT-ACCESS appliceras utgående på S0/1/0.

Först behöver vi ta bort den tidigare konfigurerade numrerad ACL 10 och skapa en ny namngiven Standard ACL med syfte att ge PC1 tillgång till Internet. Vi lägger till en ACE-post som enbart tillåter datorn 192.168.10.10 i nätverket 192.168.10.0/24 och en annan ACE-post som tillåter alla datorer i LAN 2 192.168.20.0/24.

R1(config)# no access-list 10
R1(config)# ip access-list standard PERMIT-ACCESS
R1(config-std-nacl)# remark ACE permits host 192.168.10.10
R1(config-std-nacl)# permit host 192.168.10.10
R1(config-std-nacl)# remark ACE permits all hosts in LAN 2
R1(config-std-nacl)# permit 192.168.20.0 0.0.0.255
R1(config-std-nacl)# exit
R1(config)#

Applicera ACL PERMIT-ACCESS outbound på interfacet Serial 0/1/0.

R1(config)# interface Serial 0/1/0
R1(config-if)# ip access-groupPERMIT-ACCESS out
R1(config-if)# end
R1#

Använd kommandot show access-lists och show running-config för att granska ACL i konfigurationen:

R1# show access-lists

Standard IP access list PERMIT-ACCESS
10 permit 192.168.10.10
20 permit 192.168.20.0, wildcard bits 0.0.0.255

R1# show run | section ip access-list

ip access-list standard PERMIT-ACCESS
remark ACE permits host 192.168.10.10
permit 192.168.10.10
remark ACE permits all hosts in LAN 2
permit 192.168.20.0 0.0.0.255

R1#

Slutligen, använd kommandot show ip interface för att verifiera om ett interface har en ACL tillämpad på det. Sök efter texten “access list”.

R1# show ip int Serial 0/1/0 | include access list
Outgoing Common access list is not set
Outgoing access list is PERMIT-ACCESS
Inbound Common access list is not set
Inbound access list is not set
R1#

Standard ACL konfigurering      |      Modifiera IPv4 ACL