Precondiții – Liste de acces (ACL)
Lista de acces (ACL) este un set de reguli definite pentru controlul traficului de rețea și reducerea atacurilor în rețea. ACL-urile sunt utilizate pentru a filtra traficul pe baza setului de reguli definite pentru intrarea sau ieșirea din rețea.
Listă de acces standard –
Acestea sunt listele de acces care se întocmesc folosind doar adresa IP sursă. Aceste ACL-uri permit sau refuză întreaga suită de protocoale. Ele nu fac distincție între traficul IP, cum ar fi TCP, UDP, Https etc. Prin utilizarea numerelor 1-99 sau 1300-1999, routerul va înțelege că este o ACL standard și că adresa specificată este adresa IP sursă.
Caracteristici –
- Lista de acces standard se aplică, în general, aproape de destinație (dar nu întotdeauna).
- În lista de acces standard, întreaga rețea sau subrețea este refuzată.
- Lista de acces standard utilizează intervalul 1-99 și intervalul extins 1300-1999.
- Lista de acces standard este implementată utilizând doar adresa IP sursă.
- Dacă se utilizează o numerotare cu lista de acces standard, atunci regulile de memorare nu pot fi șterse. Dacă una dintre reguli este ștearsă, atunci întreaga listă de acces va fi ștearsă.
- Dacă se utilizează o listă de acces standard cu nume, atunci aveți flexibilitatea de a șterge o regulă din lista de acces.
Nota – Listele de acces standard sunt mai puțin utilizate în comparație cu listele de acces extinse, deoarece întreaga suită de protocoale IP va fi permisă sau refuzată pentru trafic, deoarece nu se poate face distincția între diferitele protocoale IP.
Configurare –
Iată o mică topologie în care există 3 departamente, și anume vânzări, finanțe și marketing. Departamentul de vânzări are rețeaua 172.16.40.0/24, departamentul financiar are rețeaua 172.16.50.0/24 și departamentul de marketing are rețeaua 172.16.60.0/24. Acum, doriți să refuzați conexiunea de la departamentul de vânzări la departamentul financiar și să permiteți celorlalți să ajungă la rețeaua respectivă.
Acum, mai întâi configurați o listă de acces standard numerotată pentru a refuza orice conexiune IP de la departamentul de vânzări la departamentul financiar.
R1# config terminalR1(config)# access-list 10 deny 172.16.40.0 0.0.0.255
Acum, ca și în cazul listei de acces extinse, nu puteți specifica traficul IP care trebuie permis sau refuzat. De asemenea, rețineți că a fost utilizată o mască wildcard (0.0.0.0.255, ceea ce înseamnă masca de subrețea 255.255.255.255.0). 10 este utilizat din intervalul de numere standard al listei de acces.
R1(config)# access-list 110 permit ip any any
Acum, după cum știți deja, există un refuz implicit la sfârșitul fiecărei liste de acces, ceea ce înseamnă că, dacă traficul nu se potrivește cu niciuna dintre regulile din lista de acces, atunci traficul va fi eliminat.
Specificând „orice” înseamnă că sursa care are orice adresă IP va ajunge la departamentul financiar, cu excepția traficului care se potrivește cu regulile de mai sus pe care le-ați făcut.
Acum, trebuie să aplicați lista de acces pe interfața routerului:
R1(config)# int fa0/1R1(config-if)# ip access-group 10 out
Acum vă amintiți că lista de acces standard este în general aplicată la destinație și aici, de asemenea, dacă aplicați lista de acces aproape de destinație, aceasta va satisface nevoia noastră, prin urmare, a fost aplicată ieșirea pe interfața fa0/1.
Exemplu de listă de acces standard cu nume –
Acum, având în vedere aceeași topologie, veți realiza o listă de acces standard cu nume.
R1(config)# ip access-list standard blockacl
Cu ajutorul acestei comenzi ați realizat o listă de acces numită blockacl.
R1(config-std-nacl)# deny 172.16.40.0 0.0.0.255 R1(config-std-nacl)# permit any
Și apoi aceeași configurație pe care ați făcut-o în lista de acces numerotată.
R1(config)# int fa0/1R1(config-if)# ip access-group blockacl out
Exemplu de listă de acces standard pentru Telnet –
După cum știți, nu puteți specifica un anumit trafic IP care să fie refuzat în lista de acces standard, dar conexiunea telnet poate fi permisă sau refuzată folosind lista de acces standard prin aplicarea listei de acces pe liniile vty.
Aici, în figura dată, doriți să refuzați accesul telnet la departamentul Finanțe din orice rețea. Configurarea pentru același lucru:
R1(config)# access-list 10 deny anyR1(config)# line vty 0 4R1(config-line)# access-class 10 out