Voraussetzung – Access-lists (ACL)
Access-list (ACL) ist ein Satz von Regeln, die zur Kontrolle des Netzwerkverkehrs und zur Reduzierung von Netzwerkangriffen definiert wurden. ACLs werden verwendet, um den Datenverkehr auf der Grundlage von Regeln zu filtern, die für den eingehenden oder ausgehenden Datenverkehr im Netzwerk definiert sind.
Standard-Zugriffsliste –
Dies sind die Zugriffslisten, die nur mit der Quell-IP-Adresse erstellt werden. Diese ACLs erlauben oder verweigern die gesamte Protokollsuite. Sie unterscheiden nicht zwischen dem IP-Verkehr wie TCP, UDP, Https usw. Wenn Sie die Zahlen 1-99 oder 1300-1999 verwenden, versteht der Router dies als Standard-ACL und die angegebene Adresse als Quell-IP-Adresse.
Merkmale –
- Standard Access-Liste wird in der Regel in der Nähe des Ziels angewendet (aber nicht immer).
- In der Standard Access-Liste wird das gesamte Netzwerk oder ein Teilnetzwerk verweigert.
- Die Standard-Zugriffsliste verwendet den Bereich 1-99 und den erweiterten Bereich 1300-1999.
- Die Standard-Zugriffsliste wird nur mit der Quell-IP-Adresse implementiert.
- Wenn eine nummerierte Standard-Zugriffsliste verwendet wird, können die Regeln nicht gelöscht werden. Wenn eine der Regeln gelöscht wird, dann wird die gesamte Zugriffsliste gelöscht.
- Wenn benannt mit Standard-Zugriffsliste verwendet wird, dann haben Sie die Flexibilität, eine Regel aus der Zugriffsliste zu löschen.
Hinweis – Standard-Zugriffsliste sind weniger als im Vergleich zu erweiterten Zugriffsliste verwendet, da die gesamte IP-Protokoll-Suite wird erlaubt oder verweigert für den Verkehr, da es nicht zwischen den verschiedenen IP-Protokoll-Verkehr unterscheiden.
Konfiguration –
Hier ist eine kleine Topologie, in der es 3 Abteilungen gibt, nämlich Verkauf, Finanzen und Marketing. Die Verkaufsabteilung hat das Netzwerk 172.16.40.0/24, die Finanzabteilung hat das Netzwerk 172.16.50.0/24 und die Marketingabteilung hat das Netzwerk 172.16.60.0/24. Nun möchte ich die Verbindung von der Verkaufsabteilung zur Finanzabteilung sperren und anderen erlauben, dieses Netzwerk zu erreichen.
Nun konfigurieren Sie zuerst eine nummerierte Standard-Zugriffsliste, um jede IP-Verbindung von der Verkaufsabteilung zur Finanzabteilung zu verweigern.
R1# config terminalR1(config)# access-list 10 deny 172.16.40.0 0.0.0.255
Hier können Sie, wie bei der erweiterten Zugriffsliste, nicht den bestimmten IP-Verkehr angeben, der erlaubt oder verweigert werden soll. Beachten Sie auch, dass eine Platzhaltermaske verwendet wurde (0.0.0.255, was die Subnetzmaske 255.255.255.0 bedeutet). 10 wird aus dem Standard-Zugriffslistenbereich verwendet.
R1(config)# access-list 110 permit ip any any
Nun, wie Sie bereits wissen, gibt es ein implizites Deny am Ende jeder Zugriffsliste, was bedeutet, dass, wenn der Verkehr mit keiner der Regeln der Zugriffsliste übereinstimmt, der Verkehr verworfen wird.
Durch die Angabe von any bedeutet, dass der Verkehr mit einer beliebigen IP-Adresse die Finanzabteilung erreichen wird, außer dem Verkehr, der mit den oben genannten Regeln übereinstimmt, die Sie erstellt haben.
Nun müssen Sie die Zugriffsliste auf die Schnittstelle des Routers anwenden:
R1(config)# int fa0/1R1(config-if)# ip access-group 10 out
Wie Sie sich erinnern, wird die Standard-Zugriffsliste in der Regel auf das Ziel angewendet, und auch hier, wenn Sie die Zugriffsliste in der Nähe des Ziels anwenden, wird sie unsere Bedürfnisse erfüllen, daher wurde ausgehend auf die Schnittstelle fa0/1 angewendet.
Beispiel für eine benannte Standard-Zugriffsliste –
Nun, unter Berücksichtigung der gleichen Topologie, werden Sie eine benannte Standard-Zugriffsliste erstellen.
R1(config)# ip access-list standard blockacl
Mit diesem Befehl haben Sie eine Zugriffsliste namens blockacl erstellt.
R1(config-std-nacl)# deny 172.16.40.0 0.0.0.255 R1(config-std-nacl)# permit any
Und dann die gleiche Konfiguration, die Sie in der nummerierten Zugriffsliste vorgenommen haben.
R1(config)# int fa0/1R1(config-if)# ip access-group blockacl out
Standard-Zugriffsliste für Telnet Beispiel –
Wie Sie wissen, können Sie in der Standard-Zugriffsliste keinen bestimmten IP-Verkehr angeben, der verweigert werden soll, aber die Telnet-Verbindung kann mit der Standard-Zugriffsliste zugelassen oder verweigert werden, indem die Zugriffsliste auf die Vty-Leitungen angewendet wird.
Hier, in der gegebenen Abbildung, möchten Sie Telnet zur Finanzabteilung von jedem Netzwerk aus verweigern. Konfigurieren Sie dazu:
R1(config)# access-list 10 deny anyR1(config)# line vty 0 4R1(config-line)# access-class 10 out