Расширенные листы доступа, позволяют фильтровать трафик основываясь на ip-адресах источника, назначения; портах приложений; типу протокола.
Простое правило, расширенный лист лучше всего применять как можно ближе к месту назначения.Сценарий:
Компьютеры получают адреса по dhcp от сервера. На маршрутизаторах прописаны статические маршруты. На маршрутизаторах настроен доступ по telnet.
Требуется:- разрешить из сети 192.168.2.0/24 доступ к веб-серверу и серверу электронной почты, dhcp и dns. Запретить остальные tcp-соединения.
- разрешить из сети 192.168.3.0/24 доступ к ftp-серверу, telnet, dhcp и dns. Запретить остальные tcp-соединения.
Настройка:
R1:
R1(config)# access-list 100 permit tcp 192.168.2.0 0.0.0.255 any eq www
R1(config)# access-list 100 permit tcp 192.168.2.0 0.0.0.255 any eq pop3
R1(config)# access-list 100 permit tcp 192.168.2.0 0.0.0.255 any eq smtp
R1(config)# access-list 100 deny tcp any any
R1(config)# access-list 100 permit ip any any
R1(config)# interface fastethernet 0/0
R1(config-if)# ip access-group 100 in
R3:
R3(config)# access-list 100 permit tcp 192.168.3.0 0.0.0.255 any eq ftp
R3(config)# access-list 100 permit tcp 192.168.3.0 0.0.0.255 any eq telnet
R3(config)# access-list 100 deny tcp any any
R3(config)# access-list 100 permit ip any any
R3(config)# interface fastethernet 0/1
R3(config-if)# ip access-group 100 in
Проверяем конфигурацию:
PS отличие pkt в том что сеть 192.168.3.0/24 получает адреса от маршрутизатора R2. Что сути лабораторной работы не меняет.
