Команда ip access-group для привязки списка доступа к интерфейсу

Создана 11.10.2023
Отредактирована 18.11.2024

Команда ip access group применяется для привязки списка доступа к интерфейсу. Список доступа будет использоваться для фильтрации трафика на данном интерфейсе. Обратите внимание, интерфейс может быть как физическим, так и виртуальным.

Синтаксис	ip access-group {access-list-number \| access-list-name} {in\| out}
access-list-number	номер списка доступа, который является числом из диапазона 1-199 или 1300-2699 *
access-list-name	имя списка доступа
in	список доступа применяется для входящего трафика в маршрутизатор/коммутатор L3
out	список доступа применяется для исходящего трафика из маршрутизатора/коммутатора L3 в сеть

* Cisco добавила в списки ACL множество нововведений, включая следующие:

Стандартный нумерованный список ACL (1-99);
Расширенный нумерованный список ACL (100-199);
Дополнительные номера ACL (стандартные 1300-1999, расширенные 2000-2699);
Именованные списки ACL.

Списки доступа могут быть настроены для входящего трафика in, или для исходящего out, а так же для входящего и исходящего одновременно.

Рис. 1. Входящий трафик из сети в маршрутизатор

Рис. 2. Исходящий трафик с маршрутизатора в сеть

Рис. 3. Входящий трафик из сети в маршрутизатор/Исходящий трафик с маршрутизатора в сеть

ip access-group in для входящего трафика в маршрутизатор

Пример №1

Ниже приведён пример создания расширенного ( extended ) именованного ( vlan565-in ) списка доступа ( ACL ) для входящего трафика ( in ) и привязки его к подинтерфейсу FastEthernet 0/0.565

Router(config)#interface fa0/0.565
Router(config-if)#description vlan 565
Router(config-if)#encapsulation dot1Q 565
Router(config-if)#ip address 192.168.2.1 255.255.255.0
Router(config-if)#ip access-group vlan565-in in
Router(config-if)#exit

Router(config)#ip access-list extended vlan565-in
Router(config-ext-nacl)#permit icmp any any
Router(config-ext-nacl)#permit tcp host 192.168.2.5 host 192.168.3.6 eq 80
Router(config-ext-nacl)#permit tcp host 192.168.2.6 eq 80 host 192.168.3.5
Router(config-ext-nacl)#deny ip any any
Router(config-ext-nacl)#end

Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]

Рис. 4. Логическая топология компьютерной сети (ip access-group vlan565-in in)

Это прямой (от PC2) входящий трафик из сети 192.168.2.0/24 в маршрутизатор

1.Если сделать запрос из сегмента spb с PC2 на web-server-msk, то для того чтобы пакет прошёл через Router, нужно применить правило:

permit tcp host 192.168.2.5 host 192.168.3.6 eq 80

Ниже представлена краткая информация пакета и сегмента

Запрос от PC2

Протокол	Src IP/Port	Dst IP/Port
IPv4	192.168.2.5	192.168.3.6
TCP	25385	80

Это ответный (от web-server-spb) входящий трафик из сети 192.168.2.0/24 в маршрутизатор

2. Если сделать запрос из сегмента msk с PC3 на web-server-spb, то для того чтобы пакет прошёл через Router, нужно применить правило:

permit tcp host 192.168.2.6 eq 80 host 192.168.3.5

В этом случае пакет прошёл в маршрутизатор от PC3, маршрутизатор пропустил этот пакет, но потом, когда web-server-spb отправил ответ PC3, маршрутизатор проверяет пакет, если пакет соответствует разрешающему правилу, он пропускает его, в противном случае блокирует.

Запрос от PC3

Протокол	Src IP/Port	Dst IP/Port
IPv4	192.168.3.5	192.168.2.6
TCP	1025	80

Ответ от web-server-spb (этот пакет соответствует разрешающему правилу)

Протокол	Src IP/Port	Dst IP/Port
IPv4	192.168.2.6	192.168.3.5
TCP	80	1025

3. Бывают случаи, что пользователи просят доступ к web-серверу (web-server-spb), который находится внутри компании, такие пользователи подключаются через VPN. Предположим, у пользователя IP: 10.15.45.45 Для того чтобы пакет прошёл через Router, нужно применить правило:

permit tcp host 192.168.2.6 eq 80 host 10.15.45.45

Скачать файл для программы Cisco Packet Tracer - ip_access-group_in.pkt

ip access-group out для исходящего трафика с маршрутизатора

Пример №2

Router(config)#interface fa0/0.837
Router(config-if)#description vlan 837
Router(config-if)#encapsulation dot1Q 837
Router(config-if)#ip address 192.168.3.1 255.255.255.0
Router(config-if)#ip access-group vlan837-out out
Router(config-if)#exit

Router(config)#ip access-list extended vlan837-out
Router(config-ext-nacl)#permit icmp any any
Router(config-ext-nacl)#permit tcp host 192.168.2.5 host 192.168.3.6 eq 80
Router(config-ext-nacl)#deny ip any any
Router(config-ext-nacl)#end

Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]

Рис. 5. Логическая топология компьютерной сети (ip access-group vlan837-out out)

Это прямой исходящий трафик с маршрутизатора в сеть 192.168.3.0

1.Если сделать запрос из сегмента SPB с PC2 на web-server1, то для того чтобы пакет прошёл через Router, нужно применить правило:

permit tcp host 192.168.2.5 host 192.168.3.6 eq 80

Если сделать аналогичный запрос с PC0, то он не пройдёт, так как нет правила для PC0, чтобы не расширять список, можно удалить правило выше, а вместо него открыть доступ сразу для всего сегмента сети spb к этому серверу (web-server1).

permit tcp 192.168.2.0 0.0.0.255 host 192.168.3.6 eq 80

На Рис. 5 виден и второй сервер web-server2, их может быть намного больше, предположим, что их там 100 и более, для того чтобы к ним был доступ из всего сегмента SPB, нужно применить правило:

permit tcp 192.168.2.0 0.0.0.255 any eq 80

Это ответный исходящий трафик с маршрутизатора в сеть 192.168.3.0

2. Теперь сделаем запрос из сегмента сети MSK в сегмент сети RND, c web-server2 (IP: 192.168.3.15) к PC1 (IP: 192.168.7.10) по telnet, для того чтобы запрос прошёл, нужно применить правило:

permit tcp host 192.168.7.10 eq telnet host 192.168.3.15

Скачать файл для программы Cisco Packet Tracer - ip_access-group_out.pkt