Edellytys – Access-listat (ACL)
Access-list (ACL) on joukko sääntöjä, jotka on määritelty verkkoliikenteen hallitsemiseksi ja verkkohyökkäysten vähentämiseksi. ACL:ien avulla suodatetaan liikennettä verkkoon saapuvalle tai sieltä lähtevälle liikenteelle määriteltyjen sääntöjen perusteella.
Standard Access-list –
Näissä Access-listoissa käytetään vain lähde-IP-osoitetta. Nämä ACL:t sallivat tai kieltävät koko protokollapaketin. Ne eivät tee eroa IP-liikenteen välillä, kuten TCP, UDP, Https jne. Kun käytetään numeroita 1-99 tai 1300-1999, reititin pitää sitä tavallisena ACL:nä ja määritettyä osoitetta lähde-IP-osoitteena.
Ominaisuudet –
- Standard Access-listaa sovelletaan yleensä lähellä kohdetta (mutta ei aina).
- Standard Access-listassa kielletään koko verkko tai aliverkko.
- Standard access-list käyttää vaihteluväliä 1-99 ja laajennettua vaihteluväliä 1300-1999.
- Standard access-list on toteutettu käyttäen vain lähde-IP-osoitetta.
- Jos käytetään numeroitua standard Access-listaa, niin muistisääntöjä ei voi poistaa. Jos yksi sääntö poistetaan, koko pääsylista poistetaan.
- Jos käytetään nimettyä standardia pääsylistaa, voit joustavasti poistaa säännön pääsylistasta.
Huomautus – Standardia pääsylistaa käytetään vähemmän verrattuna laajennettuun pääsylistaan, koska koko IP-protokollapaketti sallitaan tai kielletään liikenteeltä, koska se ei erota eri IP-protokollien välistä liikennettä.
Konfigurointi –
Tässä on pieni topologia, jossa on kolme osastoa, nimittäin myynti, talous ja markkinointi. Myyntiosastolla on verkko 172.16.40.0/24, rahoitusosastolla verkko 172.16.50.0/24 ja markkinointiosastolla verkko 172.16.60.0/24. Nyt halutaan kieltää yhteys myyntiosastolta rahoitusosastolle ja sallia muiden päästä kyseiseen verkkoon.
Nyt konfiguroidaan ensin numeroitu vakiomuotoinen pääsylista, jolla kielletään kaikki IP-yhteydet myyntiosastolta rahoitusosastolle.
R1# config terminalR1(config)# access-list 10 deny 172.16.40.0 0.0.0.255
Tässä, kuten laajennetussa pääsylistassa, et voi määritellä tiettyä IP-liikennettä, joka sallitaan tai kielletään. Huomaa myös, että on käytetty jokerimaskia (0.0.0.255, joka tarkoittaa aliverkon maskia 255.255.255.255.0). 10 on käytetty numeron vakio access-list -alueesta.
R1(config)# access-list 110 permit ip any any
Nyt, kuten jo tiedät, jokaisen pääsylistan lopussa on implisiittinen deny, joka tarkoittaa, että jos liikenne ei vastaa mitään pääsylistan sääntöä, liikenne hylätään.
Määrittelemällä any tarkoitetaan, että lähde, jolla on mikä tahansa ip-osoite, pääsee rahoitusosastolle, lukuun ottamatta liikennettä, joka vastaa yllä olevia sääntöjä, jotka olet tehnyt.
Nyt sinun täytyy soveltaa pääsylistaa reitittimen rajapintaan:
R1(config)# int fa0/1R1(config-if)# ip access-group 10 out
Kuten muistat, että tavallista pääsylistaa sovelletaan yleensä määränpäähän ja tässäkin tapauksessa, jos käytät pääsylistaa lähellä määränpäätä, se tyydyttää tarpeemme, siksi on sovellettu outbound rajapintaan fa0/1.
Nimetty vakio Access-lista esimerkki –
Nyt otetaan huomioon sama topologia ja tehdään nimetty vakio access-lista.
R1(config)# ip access-list standard blockacl
Tämän komennon avulla olet tehnyt blockacl-nimisen pääsylistan.
R1(config-std-nacl)# deny 172.16.40.0 0.0.0.255 R1(config-std-nacl)# permit any
Ja sitten sama konfigurointi, jonka olet tehnyt numeroidussa access-listassa.
R1(config)# int fa0/1R1(config-if)# ip access-group blockacl out
Standard access-list for Telnet example –
Kuten tiedät, et voi määrittää tiettyä IP-liikennettä kiellettäväksi standard access-listissä, mutta telnet-yhteys voidaan sallia tai kieltää standard access-listin avulla soveltamalla access-listiä linjan vty-linjoihin.
Tässä kuvassa halutaan kieltää telnet-yhteys talousosastolle mistä tahansa verkosta. Konfigurointi samaa varten:
R1(config)# access-list 10 deny anyR1(config)# line vty 0 4R1(config-line)# access-class 10 out