Для демонстрации создания и настройки списков доступа, создается расширенный ACL, запрещающий ICMP-эхо запросы до шлюза 192.168.20.1.
Пример проверки наличия списков правил:
Switch_config#show ip access-list
Switch_config#
! Если создать список, но не задать правила, выведет:
Switch_config#show ip access-list
Extended IP access list test
Index Rule content
------------------------------------------------------------------
Проверка доступности шлюза до создания ACL:
Switch_config#ping 192.168.20.1
PING 192.168.20.1 (192.168.20.1): 56 data bytes
!!!!!
--- 192.168.20.1 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 0/0/0 ms
Создание расширенного ACL с названием test и указание запрещающего правила на фильтрацию ICMP-пакетов от любого источника до любого хоста:
Switch_config#ip access-list extended test
Switch_config_ext#deny icmp ?
A.B.C.D -- Address to match
interface -- Interface to match
any -- Any source host
src-range -- The range of source address
Switch_config_ext#deny icmp any any
Switch_config_ext#exit
Switch_config#write
Применение созданного ACL test на SVI-интерфейс:
Switch_config#int vlan 20
Switch_config_v20#ip access-group test out
Switch_config_v20#exit
Проверка присутствия ACL test в конфигурации:
Switch_config#show ip access-list
Extended IP access list test
Index Rule content
-------------------------------------------------------------------
1 deny icmp any any
Повторная проверка доступности шлюза:
Switch_config#ping 192.168.20.1
PING 192.168.20.1 (192.168.20.1): 56 data bytes
.....
--- 192.168.20.1 ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss
Чтобы удалить ACL, необходимо ввести следующие команды:
!На интерфейсе:
Switch_config_v20#no ip access-group test out
!В режиме конфигурирования:
Switch_config#no ip access-list ex test
Switch_config#show ip access-list
Switch_config#
!Пусто, список test удален.