Cisco router ve L3 switchlerde access listler ile network kuralları oluşturabilmemiz mümkündür. Cisco cihazlarda iki çeşit access list bulunmaktadır. Bunlar standart ve extended’dir. Standart access listler basit kurallar oluşturmamıza olanak tanımaktadır. Extended access listler ise gelişmiş network kuralları oluşturmamızı sağlar. Bu yazıda standart access listler ile ilgili örnekler yapacağız.
Konumuza başlamadan önce standart access listler ile ilgili aşağıdaki iki kurala dikkat etmemiz gerektiğini hatırlatmak isterim.
- Standart access listler hedef networke yakın cihazda yazılmalıdır.
- Standart access listler 1-99 arasında değer almaktadır.
Örnek1;
1-) Örnek network yapımız aşağıdaki görselde gözükmektedir. iki farklı networkümüz bulunmaktadır. Örnek yapımız için routerlarda interface lere ve bilgisayarlara görseldeki gibi ip tanımlaması yapılmıştır ve iki networkün birbirleriyle haberleşebilmesi için gerekli route tanımlamaları yapılmıştır. İki network birbirleriyle sorunsuz olarak haberleşebilmektedir. İlk olarak yazacağımız standart access list kuralı ile 10.0.0.10 ip adresinin 192.168.1.0/24 networküne ulaşmasını engelleyeceğiz. Bunun için hedefe yakın router (Router0) üzerinden işlem yapacağız. Hedef network (192.168.1.0/24) bu router üzerinde olduğu için bu şekilde işlem yapmamız gerekmektedir.
2-) 10.0.0.10 ip adresinin 192.168.1.0/24 networküne ulaşmasını engellemek için aşağıdaki komutları uygulamamız yeterli olacaktır;
enable
conf term
access-list 1 deny host 10.0.0.10
access-list 1 permit any
int gig0/0/1
ip access-group 1 outBurada ilk olarak deny ile 10.0.0.10 ip adresini yasaklamış olduk. Kalan ip adreslerin networke erişebilmeleri için permit any komutunu uyguladık. Daha sonra Router0 cihazın gigabit0/0/1 portuna bu kuralı out olarak tanımladık.
3-) İlk olarak 10.0.0.10 ip adresinden 192.168.1.10 ip adresli cihaza ping atmayı deneyelim.
Görselde de gözüktüğü gibi erişim yok.
4-) Şimdi 10.0.0.11 ip adresli cihazdan 192.168.1.10 ip adresli cihaza ping atmayı deneyelim.
Ping işlemi başarılı. Kuralımız doğru olarak çalışıyor.
Örnek2;
İlk örneğimizde network ortamında sadece bir cihazı engellemek için yazmamız gereken access list kuralını öğrendik. Bu örnekte ise bir networkün farklı bir networke erişimini engellemeyi anlatacağız. Bu işlem için tekrar yukarıda kurduğumuz örnek yapıda işlem yapacağız. Bu sefer 10.0.0.0/24 networkünden 192.168.1.0/24 networküne erişimi engelleyeceğiz. Bu işlem için uygulamamız gereken komutlar aşağıdaki gibidir;
access-list 2 deny 10.0.0.0 0.0.0.255
access-list 2 permit any
int gig0/0/1
ip access-group 2 out
Evet bu işlemden sonra 10.0.0.0/24 networkündeki hiçbir cihaz 192.168.1.0/24 networküne ulaşamayacaktır.
Heya i’m for the first time here. I came across this board and I find It really useful & it helped me out much. I hope to give something back and help others like you aided me.