Prequisito – Access-lists (ACL)
Access-list (ACL) è un insieme di regole definite per controllare il traffico di rete e ridurre gli attacchi. Le ACL sono utilizzate per filtrare il traffico in base all’insieme di regole definite per l’entrata o l’uscita dalla rete.
Standard Access-list –
Queste sono le Access-list che sono fatte usando solo l’indirizzo IP sorgente. Queste ACL permettono o negano l’intera suite di protocolli. Non distinguono tra il traffico IP come TCP, UDP, Https ecc. Usando i numeri 1-99 o 1300-1999, il router lo capirà come una ACL standard e l’indirizzo specificato come indirizzo IP sorgente.
Caratteristiche –
- Lista di accesso standard è generalmente applicata vicino alla destinazione (ma non sempre).
- Nella lista di accesso standard, l’intera rete o sottorete è negata.
- Lista d’accesso standard usa l’intervallo 1-99 e l’intervallo esteso 1300-1999.
- Lista d’accesso standard è implementata usando solo l’indirizzo IP sorgente.
- Se viene usata una lista d’accesso standard numerata, le regole da ricordare non possono essere cancellate. Se una delle regole viene cancellata allora l’intera access-list verrà cancellata.
- Se viene usata una Access-list numerata standard allora si ha la flessibilità di cancellare una regola dall’access-list.
Nota – Le Access-list standard sono meno usate rispetto alle Access-list estese poiché l’intera suite di protocolli IP sarà permessa o negata per il traffico poiché non può distinguere tra i diversi protocolli IP.
Configurazione –
Qui c’è una piccola topologia in cui ci sono 3 dipartimenti cioè vendite, finanza e marketing. Il reparto vendite ha la rete 172.16.40.0/24, il reparto finanza ha la rete 172.16.50.0/24 e il reparto marketing ha la rete 172.16.60.0/24. Ora, voglio negare la connessione dal reparto vendite al reparto finanza e permettere agli altri di raggiungere quella rete.
Ora, prima configuriamo un accesso standard numerato – lista per negare qualsiasi connessione IP dal reparto vendite al reparto finanza.
R1# config terminalR1(config)# access-list 10 deny 172.16.40.0 0.0.0.255
Qui, come le access-list estese, non potete specificare il particolare traffico IP da permettere o negare. Inoltre, si noti che è stata usata una maschera jolly (0.0.0.255 che significa Subnet mask 255.255.255.0). 10 è usato dalla gamma di access-list standard di numeri.
R1(config)# access-list 110 permit ip any any
Ora, come già sapete c’è un deny implicito alla fine di ogni access-list che significa che se il traffico non corrisponde a nessuna delle regole dell’access-list allora il traffico sarà abbandonato.
Specificando qualsiasi significa che la fonte che ha qualsiasi indirizzo ip raggiungerà il dipartimento finanziario tranne il traffico che corrisponde alle regole sopra che avete fatto.
Ora, dovete applicare l’access-list sull’interfaccia del router:
R1(config)# int fa0/1R1(config-if)# ip access-group 10 out
Come ricordate l’access-list standard è generalmente applicata alla destinazione e qui anche se si applica l’access-list vicino alla destinazione, soddisferà il nostro bisogno, quindi, in uscita all’interfaccia fa0/1 è stata applicata.
Esempio di Access-list standard nominata –
Ora, considerando la stessa topologia, si farà una access-list standard nominata.
R1(config)# ip access-list standard blockacl
Utilizzando questo comando hai creato una access-list chiamata blockacl.
R1(config-std-nacl)# deny 172.16.40.0 0.0.0.255 R1(config-std-nacl)# permit any
E poi la stessa configurazione che avete fatto in access-list numerata.
R1(config)# int fa0/1R1(config-if)# ip access-group blockacl out
Lista di accesso standard per Telnet esempio –
Come sapete, non potete specificare un particolare traffico IP da negare nella lista di accesso standard ma la connessione telnet può essere permessa o negata usando la lista di accesso standard applicando la lista di accesso sulle linee vty.
Qui, nella figura data, vuoi negare il telnet al dipartimento finanziario da qualsiasi rete. Configurazione per lo stesso:
R1(config)# access-list 10 deny anyR1(config)# line vty 0 4R1(config-line)# access-class 10 out
