Forudsætning – Access-lists (ACL)
Access-list (ACL) er et sæt regler, der er defineret med henblik på at kontrollere netværkstrafikken og reducere netværksangreb. ACL’er bruges til at filtrere trafik baseret på det sæt regler, der er defineret for indgående eller udgående trafik fra netværket.
Standard Access-list –
Dette er den Access-list, der kun er lavet ved hjælp af kilde-IP-adressen. Disse ACL’er tillader eller afviser hele protokolpakken. De skelner ikke mellem IP-trafik såsom TCP, UDP, Https osv. Ved at bruge tallene 1-99 eller 1300-1999 vil routeren forstå det som en standard-ACL og den angivne adresse som kilde-IP-adresse.
Funktioner –
- Standard Access-list anvendes generelt tæt på destinationen (men ikke altid).
- I standard access-list nægtes hele netværket eller undernetværket.
- Standard access-list anvender intervallet 1-99 og det udvidede interval 1300-1999.
- Standard access-list implementeres kun ved hjælp af kilde-IP-adresse.
- Hvis der anvendes nummereret med standard access-list, kan huskeregler ikke slettes. Hvis en af reglerne slettes, slettes hele adgangslisten.
- Hvis der anvendes navngivet med standard Access-list, har du fleksibilitet til at slette en regel fra access-listen.
Note – Standard Access-list bruges mindre i forhold til udvidet access-list, da hele IP-protokolpakken vil blive tilladt eller afvist for trafikken, da den ikke kan skelne mellem de forskellige IP-protokoller.
Konfiguration –
Her er en lille topologi, hvor der er 3 afdelinger, nemlig salg, finans og marketing. Salgsafdelingen har netværket 172.16.40.0/24, finansafdelingen har netværket 172.16.50.0/24 og marketingafdelingen har netværket 172.16.60.0/24. Nu ønsker jeg at nægte forbindelse fra salgsafdelingen til finansafdelingen og tillade andre at nå dette netværk.
Nu skal du først konfigurere en nummereret standardadgangsliste for at nægte enhver IP-forbindelse fra salgsafdelingen til finansafdelingen.
R1# config terminalR1(config)# access-list 10 deny 172.16.40.0 0.0.0.255
Her kan du ligesom ved udvidet adgangsliste ikke angive den bestemte IP-trafik, der skal tillades eller nægtes. Bemærk også, at der er anvendt en wildcard-maske (0.0.0.0.255, hvilket betyder Subnetmaske 255.255.255.255.0). 10 er brugt fra nummeret standard access-list range.
R1(config)# access-list 110 permit ip any any
Nu er der, som du allerede ved, en implicit deny i slutningen af hver access-list, hvilket betyder, at hvis trafikken ikke matcher nogen af reglerne i access-listen, vil trafikken blive droppet.
Gennem at angive any betyder, at kilde med enhver ip-adresse trafik vil nå finansafdelingen undtagen den trafik, som den matcher ovenstående regler, som du har lavet.
Nu skal du anvende access-listen på routerens grænseflade:
R1(config)# int fa0/1R1(config-if)# ip access-group 10 out
Som du husker, at standard access-listen generelt anvendes på destinationen, og her også hvis du anvender access-listen tæt på destinationen, vil det opfylde vores behov, derfor er outbound til grænseflade fa0/1 blevet anvendt.
Eksempel på navngiven standard Access-list –
Nu vil du i betragtning af den samme topologi lave en navngiven standard access-list.
R1(config)# ip access-list standard blockacl
Med denne kommando har du lavet en access-list med navnet blockacl.
R1(config-std-nacl)# deny 172.16.40.0 0.0.0.255 R1(config-std-nacl)# permit any
Og derefter den samme konfiguration, som du har foretaget i nummereret access-list.
R1(config)# int fa0/1R1(config-if)# ip access-group blockacl out
Standard access-list for Telnet eksempel –
Som du ved, kan du ikke angive en bestemt IP-trafik, der skal nægtes i standard access-list, men telnet-forbindelse kan tillades eller nægtes ved hjælp af standard access-list ved at anvende access-list på line vty-linjer.
Her, i den givne figur, ønsker du at afvise telnet til finansafdelingen fra ethvert netværk. Konfigurer for det samme:
R1(config)# access-list 10 deny anyR1(config)# line vty 0 4R1(config-line)# access-class 10 out
