Előfeltétel – Access-listák (ACL)
A hozzáférési lista (ACL) a hálózati forgalom ellenőrzésére és a hálózati támadások csökkentésére meghatározott szabályok összessége. Az ACL-ek a hálózaton bejövő vagy onnan kimenő forgalom szűrésére szolgálnak a meghatározott szabálykészlet alapján.

Standard hozzáférési lista –
Ezek a hozzáférési listák csak a forrás IP-cím alapján készülnek. Ezek az ACL-ek engedélyezik vagy megtagadják a teljes protokollcsomagot. Nem tesznek különbséget az IP-forgalom, például TCP, UDP, Https stb. között. Az 1-99 vagy 1300-1999 számok használatával az útválasztó szabványos ACL-ként fogja értelmezni, és a megadott címet fogja forrás IP-címnek tekinteni.

Jellemzők –

  1. A szabványos hozzáférési listát általában a célállomás közelében alkalmazzák (de nem mindig).
  2. A szabványos hozzáférési listában az egész hálózat vagy alhálózat tiltott.
  3. A szabványos hozzáférési lista az 1-99-es és a kiterjesztett 1300-1999-es tartományt használja.
  4. A szabványos hozzáférési lista csak a forrás IP-címét használja.
  5. Ha számozott szabványos hozzáférési listát használunk, akkor a megjegyezhető szabályok nem törölhetők. Ha az egyik szabályt töröljük, akkor az egész hozzáférési lista törlődik.
  6. Ha a szabványos hozzáférési listával nevet használunk, akkor rugalmasan törölhetünk egy szabályt a hozzáférési listából.

Megjegyzés – A szabványos hozzáférési listát kevésbé használják, mint a kiterjesztett hozzáférési listát, mivel a teljes IP protokollcsomagot engedélyezi vagy megtagadja a forgalmat, mivel nem tud különbséget tenni a különböző IP protokollok között.

Konfiguráció –

Itt egy kis topológia, amelyben 3 osztály van, nevezetesen az értékesítés, a pénzügy és a marketing. Az értékesítési részlegnek 172.16.40.0/24-es hálózata van, a pénzügyi részlegnek 172.16.50.0/24-es hálózata van, a marketing részlegnek pedig 172.16.60.0/24-es hálózata. Szeretnénk megtagadni a kapcsolatot az értékesítési részleg és a pénzügyi részleg között, és engedélyezni, hogy a többiek elérjék ezt a hálózatot.

Most először konfiguráljuk a számozott szabványos hozzáférési listát, hogy megtagadjuk az értékesítésből a pénzügyi osztályra irányuló IP-kapcsolatokat.

R1# config terminalR1(config)# access-list 10 deny 172.16.40.0 0.0.0.255

A bővített hozzáférési listához hasonlóan itt sem adhatjuk meg az engedélyezendő vagy megtagadandó IP-forgalmat. Vegye figyelembe azt is, hogy wildcard maszk került alkalmazásra (0.0.0.0.255, ami 255.255.255.255.0 alhálózati maszkot jelent). A 10-es számot a szabványos hozzáférési lista tartományból használjuk.

R1(config)# access-list 110 permit ip any any

Most, mint már tudod, minden hozzáférési lista végén van egy implicit deny, ami azt jelenti, hogy ha a forgalom nem felel meg a hozzáférési lista bármelyik szabályának, akkor a forgalom el lesz dobva.
Az any megadása azt jelenti, hogy a bármilyen ip-című forrásból érkező forgalom eléri a pénzügyi osztályt, kivéve azt a forgalmat, amelyik megfelel a fenti szabályoknak.

Most, a hozzáférési listát kell alkalmaznunk a router interfészén:

R1(config)# int fa0/1R1(config-if)# ip access-group 10 out

Amint emlékszünk, hogy a szabványos hozzáférési listát általában a célállomáshoz alkalmazzuk, és itt is, ha a célállomáshoz közel alkalmazzuk a hozzáférési listát, akkor az kielégíti az igényünket, ezért kifelé a fa0/1-es interfészre alkalmaztuk.

Nevezett szabványos hozzáférési lista példa –

Most ugyanezt a topológiát figyelembe véve készítünk egy nevezett szabványos hozzáférési listát.

R1(config)# ip access-list standard blockacl

Ezzel a paranccsal készítettél egy blockacl nevű hozzáférési listát.

R1(config-std-nacl)# deny 172.16.40.0 0.0.0.255 R1(config-std-nacl)# permit any

És ezután ugyanazt a konfigurációt végezted el a számozott hozzáférési listában.

R1(config)# int fa0/1R1(config-if)# ip access-group blockacl out

Szabványos hozzáférési lista a Telnet példájához –
Mint tudjuk, a szabványos hozzáférési listában nem adható meg egy adott IP-forgalom megtagadása, de a telnet-kapcsolat engedélyezhető vagy megtagadható a szabványos hozzáférési lista használatával a hozzáférési lista alkalmazásával a vty vonalakra.

Az adott ábrán a telnetet a pénzügyi osztályra bármely hálózatról meg akarja tiltani. Konfigurálás ugyanehhez:

R1(config)# access-list 10 deny anyR1(config)# line vty 0 4R1(config-line)# access-class 10 out 
Cikkcímkék :

Gyakorlat Címkék :

admin

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.

lg