R1(config)# access-list ACL_NUMBER permit|deny IP_ADDRESS WILDCARD_MASK

Где:

• ACL_NUMBER - номер листа, стандартные листы именуются в промежутке 1-99 и 1300-1999;
• permit/deny - разрешаем или запрещаем;
• IP_ADDRESS/HOST - сетевой адрес;
• WILDCARD_MASK - обратная маска;

Не нужно напрягаться и считать wildcard (обратную) маску в голове. Воспользуйся нашим калькулятором подсетей:

Как только мы создали лист контроля доступа, его нужно применить к интерфейсу. Пуляем команду:

ip access-group ACL_NUMBER in|out interdace

Синтаксис команды описан ниже:

• ACL_NUMBER - номер листа контроля доступа;
• in|out - покидает трафик (out) или входит на интерфейс (in);
• interface - номер и тип интерфейса;

Пример настройки

В топологии указанной ниже, нам нужно разрешить трафик из управляющей подсети на сервер S1.

Для начала, напишем ACL и разрешим трафик из подсети 10.0.0.0/24 к серверу S1. Сделаем это мы следующей командой:

access-list 1 permit 10.0.0.0 0.0.0.255

Данная команда разрешает весь трафик из подсети 10.0.0, также мы можем указать конкретный хост – тогда трафик будет разрешен только с него:

access-list 1 permit host 10.0.0.1

В конце каждого листа есть скрытая команда deny all – это означает, что трафик из других подсетей будет по умолчанию блокироваться. Если подобный эффект вам не нужен – можно создать лист:

access list 2 permit any any