Расширенные ACL-списки для IPv4

Настройка расширенных ACL-списков для IPv4

Последовательность шагов настройки расширенных ACL-списков такая же, как для стандартных ACL-списков. Сначала расширенный ACL-список настраивается, а затем активируется на интерфейсе. При этом следует учитывать, что синтаксис команды и параметры более сложны для обеспечения поддержки дополнительных функций, предоставляемых расширенными ACL-списками.

Примечание. Внутренний алгоритм применяется для упорядочения записей стандартного списка контроля доступа и не применяется для расширенных ACL-списков. Записи отображаются и обрабатываются в том порядке, в котором они вводились в процессе настройки.

На рис. 1 изображён общий синтаксис команд для расширенного списка контроля доступа IPv4. Обратите внимание, что существует множество ключевых слов и параметров для расширенных ACL-списков. Нет необходимости использовать все ключевые слова и параметры при конфигурации расширенного списка контроля доступа. Помните, что ? может использоваться для получения помощи при вводе сложных команд.

На рис. 2 приведён пример расширенного списка контроля доступа. В этом примере сетевой администратор настроил ACL-списки для ограничения сетевого доступа любой внешней сети, чтобы разрешить просмотр веб-сайтов только из LAN, подключённой к G0/0. ACL 103 разрешает трафику, поступающий от любого адреса в сети 192.168.10.0, перейти к любому месту назначения с учетом ограничения, что трафик использует только порты 80 (HTTP) и 443 (HTTPS).

Характер протокола HTTP требует, чтобы трафик возвращался обратно в сеть от веб-сайтов, к которым обращались внутренние клиенты. Сетевой администратор хочет ограничить возвращающийся трафик до HTTP-обменов от запрашиваемых веб-сайтов, запрещая весь остальной трафик. Эту задачу выполняет ACL 104, блокируя весь входящий трафик за исключением трафика от ранее установленных подключений. Запись permit в ACL 104 разрешает входящий трафик параметром established.

Параметр established разрешает возврат в сеть 192.168.10.0/24 только того трафика, который изначально исходил из этой сети. Пакет удовлетворяет условиям, если обратный сегмент протокола TCP имеет биты ACK и RST, которые указывают, что пакет принадлежит существующему подключению. Без параметра established записи ACL-списка клиент может послать трафик на веб-сервер, но не получить обратный трафик, возвращающийся от веб-сервера.