Előfeltétel – Access-listák (ACL)
A hozzáférési lista (ACL) a hálózati forgalom ellenőrzésére és a hálózati támadások csökkentésére meghatározott szabályok összessége. Az ACL-ek a hálózaton bejövő vagy onnan kimenő forgalom szűrésére szolgálnak a meghatározott szabálykészlet alapján.
Standard hozzáférési lista –
Ezek a hozzáférési listák csak a forrás IP-cím alapján készülnek. Ezek az ACL-ek engedélyezik vagy megtagadják a teljes protokollcsomagot. Nem tesznek különbséget az IP-forgalom, például TCP, UDP, Https stb. között. Az 1-99 vagy 1300-1999 számok használatával az útválasztó szabványos ACL-ként fogja értelmezni, és a megadott címet fogja forrás IP-címnek tekinteni.
Jellemzők –
- A szabványos hozzáférési listát általában a célállomás közelében alkalmazzák (de nem mindig).
- A szabványos hozzáférési listában az egész hálózat vagy alhálózat tiltott.
- A szabványos hozzáférési lista az 1-99-es és a kiterjesztett 1300-1999-es tartományt használja.
- A szabványos hozzáférési lista csak a forrás IP-címét használja.
- Ha számozott szabványos hozzáférési listát használunk, akkor a megjegyezhető szabályok nem törölhetők. Ha az egyik szabályt töröljük, akkor az egész hozzáférési lista törlődik.
- Ha a szabványos hozzáférési listával nevet használunk, akkor rugalmasan törölhetünk egy szabályt a hozzáférési listából.
Megjegyzés – A szabványos hozzáférési listát kevésbé használják, mint a kiterjesztett hozzáférési listát, mivel a teljes IP protokollcsomagot engedélyezi vagy megtagadja a forgalmat, mivel nem tud különbséget tenni a különböző IP protokollok között.
Konfiguráció –
Itt egy kis topológia, amelyben 3 osztály van, nevezetesen az értékesítés, a pénzügy és a marketing. Az értékesítési részlegnek 172.16.40.0/24-es hálózata van, a pénzügyi részlegnek 172.16.50.0/24-es hálózata van, a marketing részlegnek pedig 172.16.60.0/24-es hálózata. Szeretnénk megtagadni a kapcsolatot az értékesítési részleg és a pénzügyi részleg között, és engedélyezni, hogy a többiek elérjék ezt a hálózatot.
Most először konfiguráljuk a számozott szabványos hozzáférési listát, hogy megtagadjuk az értékesítésből a pénzügyi osztályra irányuló IP-kapcsolatokat.
R1# config terminalR1(config)# access-list 10 deny 172.16.40.0 0.0.0.255
A bővített hozzáférési listához hasonlóan itt sem adhatjuk meg az engedélyezendő vagy megtagadandó IP-forgalmat. Vegye figyelembe azt is, hogy wildcard maszk került alkalmazásra (0.0.0.0.255, ami 255.255.255.255.0 alhálózati maszkot jelent). A 10-es számot a szabványos hozzáférési lista tartományból használjuk.
R1(config)# access-list 110 permit ip any any
Most, mint már tudod, minden hozzáférési lista végén van egy implicit deny, ami azt jelenti, hogy ha a forgalom nem felel meg a hozzáférési lista bármelyik szabályának, akkor a forgalom el lesz dobva.
Az any megadása azt jelenti, hogy a bármilyen ip-című forrásból érkező forgalom eléri a pénzügyi osztályt, kivéve azt a forgalmat, amelyik megfelel a fenti szabályoknak.
Most, a hozzáférési listát kell alkalmaznunk a router interfészén:
R1(config)# int fa0/1R1(config-if)# ip access-group 10 out
Amint emlékszünk, hogy a szabványos hozzáférési listát általában a célállomáshoz alkalmazzuk, és itt is, ha a célállomáshoz közel alkalmazzuk a hozzáférési listát, akkor az kielégíti az igényünket, ezért kifelé a fa0/1-es interfészre alkalmaztuk.
Nevezett szabványos hozzáférési lista példa –
Most ugyanezt a topológiát figyelembe véve készítünk egy nevezett szabványos hozzáférési listát.
R1(config)# ip access-list standard blockacl
Ezzel a paranccsal készítettél egy blockacl nevű hozzáférési listát.
R1(config-std-nacl)# deny 172.16.40.0 0.0.0.255 R1(config-std-nacl)# permit any
És ezután ugyanazt a konfigurációt végezted el a számozott hozzáférési listában.
R1(config)# int fa0/1R1(config-if)# ip access-group blockacl out
Szabványos hozzáférési lista a Telnet példájához –
Mint tudjuk, a szabványos hozzáférési listában nem adható meg egy adott IP-forgalom megtagadása, de a telnet-kapcsolat engedélyezhető vagy megtagadható a szabványos hozzáférési lista használatával a hozzáférési lista alkalmazásával a vty vonalakra.
Az adott ábrán a telnetet a pénzügyi osztályra bármely hálózatról meg akarja tiltani. Konfigurálás ugyanehhez:
R1(config)# access-list 10 deny anyR1(config)# line vty 0 4R1(config-line)# access-class 10 out