! Запретить трафик на порту 80 (www-трафик) ip access-list 111 deny tcp any any eq 80 ip access-list 111 deny ip host 10.0.0.15 host 12.0.0.5 ip access-list 111 permit ip any any interface ethernetO ! Применить список доступа 111 к исходящему трафику ip access-group 111 out В этом списке внешние узлы не смогут обращаться на сайты внутренней сети, т.к. список доступа был применен на выход (для внешних узлов) интерфейса, а
так же узлу 10.0.0.15 запрещен доступ к узлу 12.0.0.5 Остальной трафик разрешен.
Этап третий – применение списка доступа.
Списки доступа могут быть использованы для двух типов устройств:
– на маршрутизаторе;
- на коммутаторе третьего уровня.
На каждом интерфейсе может быть включено два списка доступа: только один список доступа для входящих пакетов и только один список для исходящих пакетов.
Каждый список работает только с тем интерфейсом, на который он был применен и не действует на остальные интерфейсы устройства, если он там не применялся.
Однако один список доступа может быть применен к разным интерфейсам.
Применение списка доступа к устройству осуществляется следующими командами:
interface ethernet0/0/0 ip access-group 1 in ip access-group 2 out В данном случае к интерфейсу ethernet0/0/0 применили два списка доступа:
список доступа №1 – на вход интерфейса (т.е. для внутренних адресов); список доступа №2 – на выход интерфейса (применение к внешней сети).
Чтобы просмотреть все созданные списки доступа и применение их к интерфейсам устройства используйте следующие команды:
Команда просмотра списков доступа:
Router# Sh access-list Просмотр текущей конфигурации устройства и привязки списков к интерфейсам:
Router# Show running-config Просмотр сохраненной конфигурации:
Router# Show configuration Сохранение текущей конфигурации:
Router# write memory Или
Router# copy run start Команда удаления списка доступа: