Списки доступу дозволяють створювати правила управління трафіком, за якими буде відбуватися межсетевое взаємодія як в локальних, так і в корпоративних мережах.
access-list номер_спіска deny any
яке забороняє весь трафік по тому інтерфейсу мережевого пристрою, до якого даний список був застосований.
Для того, щоб почати використовувати список доступу, необхідно виконати наступні три етапи:
1 - створити список;
2 - наповнити список правилами обробки трафіку;
3 - застосувати список доступу до інтерфейсу пристрою на вхід або на вихід цього інтерфейсу.
Етап перший - створення списку доступу:
Switch3 (config) #ip access-list standart 10
(Створюється стандартний список доступу під номером 10, в даному випадку створюється на комутаторі)
Router1 (config) #ip access-list extended 100
(Створюється розширений список доступу під номером 100, в даному випадку створюється на маршрутизаторі).
Етап другий - введення правил в список доступу:
Кожне, правило в списку доступу стримає три важливі елементи:
1 - число, яке ідентифікує список при зверненні до нього в інших частинах конфігурації маршрутизатора або комутатора третього рівня;
2 - інструкцію deny (заборонити) або permit (дозволити);
3 - ідентифікатор пакета, який задається по одному з трьох варіантів:
Приклад стандартного списку доступу №10:
access-list 10 deny host 11.0.0.5
access-list 10 deny 12.0.0.0 0.255.255.255
access-list 10 permit any
- заборонений весь трафік в мережі 12.0.0.0/8 (в правилі вказується не реальна маска підмережі, а її шаблон);
- весь інший трафік дозволений.
В розширених списках доступу слідом за вказівкою дії ключами permit або deny повинен знаходитися параметр з позначенням протоколу (можливі протоколи IP, TCP, UDP, ICMP), який вказує, чи повинна виконуватися перевірка всіх пакетів IP або тільки пакетів з заголовками ICMP, TCP або UDP . Якщо перевірці підлягають номера портів TCP або UDP, то повинен бути вказаний протокол TCP або UDP (служби FTP і WEB використовують протокол TCP).
При створенні розширених списків в правилах доступу можна включати фільтрацію трафіку по протоколах і портам. Для вказівки портів в правилі доступу вказуються такі позначення (таблиця 10.1):