Wymagania wstępne – Listy dostępu (ACL)
Lista dostępu (ACL) jest zestawem reguł zdefiniowanych w celu kontrolowania ruchu sieciowego i zmniejszania ataków sieciowych. Listy ACL są używane do filtrowania ruchu w oparciu o zestaw reguł zdefiniowanych dla przychodzących lub wychodzących z sieci.
Standard Access-list –
Są to listy dostępu, które są tworzone przy użyciu tylko źródłowego adresu IP. Te listy ACL zezwalają lub odmawiają dostępu do całego zestawu protokołów. Nie rozróżniają one pomiędzy ruchem IP takim jak TCP, UDP, Https itp. Używając liczb 1-99 lub 1300-1999, router będzie rozumiał to jako standardowy ACL, a podany adres jako źródłowy adres IP.
Właściwości –
- Standardowa lista dostępu jest generalnie stosowana blisko miejsca przeznaczenia (ale nie zawsze).
- W standardowej liście dostępu, cała sieć lub podsieć jest odrzucana.
- Standardowa lista dostępu używa zakresu 1-99 i rozszerzonego zakresu 1300-1999.
- Standardowa lista dostępu jest zaimplementowana przy użyciu tylko źródłowego adresu IP.
- Jeżeli używana jest numerowana standardowa lista dostępu, to zapamiętane reguły nie mogą być usunięte. Jeśli jedna z reguł zostanie usunięta, wówczas cała lista dostępu zostanie usunięta.
- Jeśli użyto nazwanej standardowej listy dostępu, wówczas istnieje możliwość usunięcia reguły z listy dostępu.
Uwaga – Standardowe listy dostępu są mniej używane w porównaniu z rozszerzonymi listami dostępu, ponieważ cały zestaw protokołów IP zostanie dopuszczony lub odrzucony dla ruchu, ponieważ nie można rozróżnić między różnymi protokołami IP.
Konfiguracja –
Przedstawiamy małą topologię, w której istnieją 3 działy: sprzedaży, finansów i marketingu. Dział sprzedaży ma sieć 172.16.40.0/24, dział finansów ma sieć 172.16.50.0/24, a dział marketingu ma sieć 172.16.60.0/24. Teraz chcemy uniemożliwić połączenie z działu sprzedaży do działu finansów i pozwolić innym na dostęp do tej sieci.
Teraz, najpierw konfigurujemy numerowaną standardową listę dostępu do odmowy połączenia IP z działu sprzedaży do działu finansowego.
R1# config terminalR1(config)# access-list 10 deny 172.16.40.0 0.0.0.255
Tutaj, podobnie jak w przypadku rozszerzonej listy dostępu, nie można określić konkretnego ruchu IP, który ma być dozwolony lub zabroniony. Należy również zauważyć, że maska wieloznaczna została użyta (0.0.0.255 co oznacza maskę podsieci 255.255.255.0). 10 jest używane z zakresu standardowych list dostępu.
R1(config)# access-list 110 permit ip any any
Jak już wiesz, na końcu każdej listy dostępu znajduje się niejawne zaprzeczenie, co oznacza, że jeśli ruch nie pasuje do żadnej z reguł listy dostępu, to ruch zostanie odrzucony.
Przez określenie any oznacza, że ruch źródłowy o dowolnym adresie IP dotrze do działu finansowego z wyjątkiem ruchu, który pasuje do powyższych reguł, które zostały wprowadzone.
Teraz, musisz zastosować access-list na interfejsie routera:
R1(config)# int fa0/1R1(config-if)# ip access-group 10 out
Jak pamiętasz, że standardowa access-lista jest generalnie stosowana do miejsca docelowego i tutaj również, jeśli zastosujesz access-listę blisko miejsca docelowego, spełni to naszą potrzebę, dlatego outbound do interfejsu fa0/1 został zastosowany.
Przykład nazwanej standardowej listy dostępu –
Teraz, biorąc pod uwagę tę samą topologię, utworzysz nazwaną standardową listę dostępu.
R1(config)# ip access-list standard blockacl
Za pomocą tego polecenia utworzyłeś listę dostępu o nazwie blockacl.
R1(config-std-nacl)# deny 172.16.40.0 0.0.0.255 R1(config-std-nacl)# permit any
A następnie taką samą konfigurację wykonałeś w numerowanej liście dostępu.
R1(config)# int fa0/1R1(config-if)# ip access-group blockacl out
Standardowa lista dostępu dla przykładu Telnet –
Jak wiadomo, nie można określić konkretnego ruchu IP, który ma być odrzucony w standardowej liście dostępu, ale połączenie telnet może być dozwolone lub odrzucone przy użyciu standardowej listy dostępu poprzez zastosowanie listy dostępu na liniach vty.
Na tym rysunku chcemy odmówić połączenia telnet do działu finansowego z dowolnej sieci. Konfiguracja dla tego samego:
R1(config)# access-list 10 deny anyR1(config)# line vty 0 4R1(config-line)# access-class 10 out