Konzept

• Access Liste bilden
  • Default Policy ist impliziet deny
• Access Group anwenden

Standardlisten von 1 bis 99

Nur die Quelladresse wird geprüft

• switch-gelb#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

• switch-gelb(config)#access-list 1 permit 192.168.20.53
• switch-gelb(config)#end

Anzeigen der Access Listen

• switch-gelb#show access-lists

Standard IP access list 1
   10 permit 192.168.20.53

Anwenden der Access Group

• switch-gelb#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

• switch-gelb(config)#interface Vlan1
• switch-gelb(config-if)#ip access-group 1 out
• switch-gelb(config-if)#exit

Von Vlan20 nach Vlan1

Linux Host ip

Linux Host ping

Linux freigeben

• switch-gelb#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

• switch-gelb(config)#access-list 1 permit 192.168.20.4

Anzeigen der neuen Access Liste

• switch-gelb#show access-lists

Standard IP access list 1
   10 permit 192.168.20.53
   20 permit 192.168.20.4

Ping von Linux Host geht

Erweitertelisten von 100 bis 199

Quell- und Zieladresse sowie Quell- und Zielport als auch Protokoll

Hier wird der Zugriff auf einen Nameserver frei geschaltet und ping(icmp) egal wohin

• switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 host 192.168.240.200 eq 53
• switch-gelb(config)#access-list 100 permit udp 192.168.20.0 0.0.0.255 host 192.168.240.200 eq 53
• switch-gelb(config)#access-list 100 permit icmp 192.168.20.0 0.0.0.255 any

Access Liste anwenden

• switch-gelb#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

• switch-gelb(config)#interface vlan 1
• switch-gelb(config-if)#do show run int vlan1

Building configuration...

Current configuration : 88 bytes
!
interface Vlan1
 ip address 192.168.240.154 255.255.248.0
 ip access-group 1 out
end

• switch-gelb(config-if)#no ip access-group 1 out
• switch-gelb(config-if)#ip access-group 100 out