Předpoklad – Seznamy přístupů (ACL)
Seznam přístupů (ACL) je sada pravidel definovaných pro řízení síťového provozu a omezení síťových útoků. Seznamy ACL se používají k filtrování provozu na základě sady pravidel definovaných pro příchozí nebo odchozí síť.
Standardní seznam přístupových adres –
Jedná se o seznam přístupových adres, který je vytvořen pouze na základě zdrojové IP adresy. Tyto seznamy ACL povolují nebo zakazují celou sadu protokolů. Nerozlišují mezi IP přenosy, jako jsou TCP, UDP, Https atd. Při použití čísel 1-99 nebo 1300-1999 je směrovač chápe jako standardní ACL a zadanou adresu jako zdrojovou IP adresu.
Vlastnosti –
- Standardní přístupový seznam se obvykle používá v blízkosti cíle (ale ne vždy).
- Ve standardním přístupovém seznamu je zakázána celá síť nebo podsíť.
- Standardní access-list používá rozsah 1-99 a rozšířený rozsah 1300-1999.
- Standardní access-list je implementován pouze pomocí zdrojové IP adresy.
- Pokud je použito číslování se standardním access-listem, pak nelze pravidla zapamatování odstranit. Pokud je jedno z pravidel odstraněno, pak bude odstraněn celý seznam přístupů.
- Pokud je použit pojmenovaný standardní seznam přístupů, pak máte možnost odstranit pravidlo ze seznamu přístupů.
Poznámka – Standardní seznamy přístupů jsou méně používané ve srovnání s rozšířenými seznamy přístupů, protože pro provoz bude povolena nebo zakázána celá sada protokolů IP, protože nelze rozlišovat mezi různými protokoly IP.
Konfigurace –
Zde je malá topologie, ve které jsou 3 oddělení, a to prodejní, finanční a marketingové. Obchodní oddělení má síť 172.16.40.0/24, finanční oddělení má síť 172.16.50.0/24 a marketingové oddělení má síť 172.16.60.0/24. V tomto případě se jedná o síť 172.16.40.0/24. Nyní chceme zakázat připojení z prodejního oddělení do finančního oddělení a ostatním povolit přístup do této sítě.
Nyní nejprve nakonfigurujte číslovaný standardní přístupový seznam pro zakázání jakéhokoli IP spojení z prodejního do finančního oddělení.
R1# config terminalR1(config)# access-list 10 deny 172.16.40.0 0.0.0.255
Tady, stejně jako u rozšířeného přístupového seznamu, nemůžete určit konkrétní IP provoz, který má být povolen nebo zakázán. Všimněte si také, že byla použita zástupná maska (0.0.0.255, což znamená masku podsítě 255.255.255.0). Z číselného rozsahu standardního seznamu přístupu je použito 10.
R1(config)# access-list 110 permit ip any any
Jak již víte, na konci každého access-listu je implicitní deny, což znamená, že pokud provoz neodpovídá žádnému pravidlu access-listu, bude provoz zahozen.
Zadání any znamená, že na finanční oddělení se dostane provoz ze zdroje s libovolnou ip adresou kromě provozu, který odpovídá výše uvedeným pravidlům, která jste vytvořili.
Nyní je třeba aplikovat access-list na rozhraní směrovače:
R1(config)# int fa0/1R1(config-if)# ip access-group 10 out
Jak si vzpomínáte, standardní access-list se obecně aplikuje na cílové místo a i zde, pokud aplikujete access-list v blízkosti cíle, vyhoví naší potřebě, proto byl aplikován outbound na rozhraní fa0/1.
Příklad pojmenovaného standardního access-listu –
Nyní s ohledem na stejnou topologii vytvoříte pojmenovaný standardní access-list.
R1(config)# ip access-list standard blockacl
Pomocí tohoto příkazu jste vytvořili seznam přístupu s názvem blockacl.
R1(config-std-nacl)# deny 172.16.40.0 0.0.0.255 R1(config-std-nacl)# permit any
A pak stejnou konfiguraci, jakou jste provedli v číslovaném access-listu.
R1(config)# int fa0/1R1(config-if)# ip access-group blockacl out
Standardní access-list pro Telnet příklad –
Jak víte, ve standardním access-listu nelze určit konkrétní IP provoz, který má být zakázán, ale telnetové připojení lze povolit nebo zakázat pomocí standardního access-listu použitím access listu na linku vty.
Na uvedeném obrázku chcete zakázat telnet do finančního oddělení z jakékoli sítě. Konfigurace pro totéž:
R1(config)# access-list 10 deny anyR1(config)# line vty 0 4R1(config-line)# access-class 10 out
