Voorwaarde – Toegangslijsten (ACL)
Een Toegangslijst (ACL) is een set regels die gedefinieerd is voor het controleren van netwerkverkeer en het verminderen van netwerkaanvallen. ACL’s worden gebruikt om verkeer te filteren op basis van de set van regels die zijn gedefinieerd voor de inkomende of uitgaande van het netwerk.
Standaard Access-list –
Dit zijn de Access-list die alleen met het bron IP adres zijn gemaakt. Deze ACL’s staan de gehele protocolsuite toe of weigeren deze. Ze maken geen onderscheid tussen IP verkeer zoals TCP, UDP, Https enz. Door de nummers 1-99 of 1300-1999 te gebruiken, zal de router dit opvatten als een standaard ACL en het gespecificeerde adres als bron IP adres.
Features –
- Standaard Access-list wordt in het algemeen dicht bij de bestemming toegepast (maar niet altijd).
- In standaard access-list wordt het hele netwerk of subnetwerk geweigerd.
- Standaard access-list gebruikt het bereik 1-99 en het uitgebreide bereik 1300-1999.
- Standaard access-list is alleen geïmplementeerd met behulp van bron-IP-adres.
- Als genummerd met standaard Access-list wordt gebruikt, dan kunnen de regels niet worden verwijderd. Als een van de regels wordt verwijderd, wordt de hele toegangslijst verwijderd.
- Als de standaard Access-lijst met naam wordt gebruikt, heeft u de flexibiliteit om een regel uit de toegangslijst te verwijderen.
Note – Standaard Access-lijst worden minder gebruikt in vergelijking met uitgebreide access-lijst als de gehele IP-protocol suite zal worden toegestaan of geweigerd voor het verkeer, omdat het geen onderscheid kan maken tussen de verschillende IP-protocol verkeer.
Configuratie –
Hier ziet u een kleine topologie waarin er 3 afdelingen zijn, namelijk verkoop, financiën en marketing. De afdeling verkoop heeft netwerk 172.16.40.0/24, de afdeling financiën heeft netwerk 172.16.50.0/24 en de afdeling marketing heeft netwerk 172.16.60.0/24. Nu wil ik de verbinding van de verkoopafdeling naar de financiële afdeling weigeren en anderen toestaan om dat netwerk te bereiken.
Nu, eerst een genummerde standaard toegangs – lijst configureren voor het weigeren van elke IP-verbinding van de afdeling verkoop naar de afdeling financiën.
R1# config terminalR1(config)# access-list 10 deny 172.16.40.0 0.0.0.255
Hier, net als bij de uitgebreide toegangs – lijst, kunt u niet het specifieke IP-verkeer specificeren dat moet worden toegestaan of geweigerd. Merk ook op dat er een wildcard masker is gebruikt (0.0.0.255 wat betekent Subnet mask 255.255.255.0). 10 wordt gebruikt uit het nummer standaard access-list bereik.
R1(config)# access-list 110 permit ip any any
Nou, zoals je al weet is er een impliciete deny aan het eind van elke access-list wat betekent dat als het verkeer niet overeenkomt met een van de regels van de access-list dan zal het verkeer worden gedropt.
Door het specificeren van any betekent dat de bron met elk ip-adres verkeer zal de financiële afdeling bereiken, behalve het verkeer dat overeenkomt met de bovenstaande regels die je hebt gemaakt.
Nu moet je de access-list op de interface van de router toepassen:
R1(config)# int fa0/1R1(config-if)# ip access-group 10 out
Zoals je je herinnert dat de standaard access-list over het algemeen op de bestemming wordt toegepast en ook hier als je access-list dicht bij de bestemming toepast, zal het aan onze behoefte voldoen, daarom is outbound naar interface fa0/1 toegepast.
Genoemde standaard access-list voorbeeld –
Nu, met dezelfde topologie in gedachten, gaat u een benoemde standaard access-list maken.
R1(config)# ip access-list standard blockacl
Met behulp van dit commando hebt u een toegangslijst gemaakt met de naam blockacl.
R1(config-std-nacl)# deny 172.16.40.0 0.0.0.255 R1(config-std-nacl)# permit any
En dan dezelfde configuratie die je hebt gedaan in genummerde access-list.
R1(config)# int fa0/1R1(config-if)# ip access-group blockacl out
Standaard toegangslijst voor Telnet voorbeeld –
Zoals u weet, kunt u geen bepaald IP verkeer specificeren dat moet worden geweigerd in standaard toegangslijst, maar telnet verbinding kan worden toegestaan of geweigerd met standaard toegangslijst door toegangslijst toe te passen op lijn vty lijnen.
Hier, in de gegeven figuur, wilt u telnet naar de afdeling Financiën vanaf elk netwerk weigeren. Configureren voor hetzelfde:
R1(config)# access-list 10 deny anyR1(config)# line vty 0 4R1(config-line)# access-class 10 out
