Förutsättning – Access-lists (ACL)
Access-list (ACL) är en uppsättning regler som definieras för att kontrollera nätverkstrafiken och minska nätverksattacker. ACL:er används för att filtrera trafik baserat på den uppsättning regler som definierats för inkommande eller utgående trafik i nätverket.
Standard Access-list –
Detta är den Access-list som görs enbart med hjälp av källans IP-adress. Dessa ACL:er tillåter eller nekar hela protokollsviten. De skiljer inte mellan IP-trafik som TCP, UDP, Https osv. Genom att använda siffrorna 1-99 eller 1300-1999 kommer routern att förstå det som en standard-ACL och den angivna adressen som käll-IP-adress.
Funktioner –
- Standard Access-list tillämpas i allmänhet nära destinationen (men inte alltid).
- I standard access-list nekas hela nätverket eller delnätverket.
- Standard access-list använder intervallet 1-99 och det utökade intervallet 1300-1999.
- Standard access-list implementeras endast med hjälp av källans IP-adress.
- Om numrerad med standard access-list används kan inte minnesregler raderas. Om en av reglerna raderas raderas hela åtkomstlistan.
- Om namngiven med standardåtkomstlista används har du möjlighet att radera en regel från åtkomstlistan.
Anmärkningar – Standardåtkomstlista används i mindre utsträckning jämfört med utökad åtkomstlista eftersom hela IP-protokollsviten kommer att tillåtas eller nekas för trafiken eftersom den inte kan skilja mellan olika IP-protokolltrafik.
Konfiguration –
Här är en liten topologi där det finns tre avdelningar, nämligen försäljning, ekonomi och marknadsföring. Försäljningsavdelningen har nätverket 172.16.40.0/24, finansavdelningen har nätverket 172.16.50.0/24 och marknadsavdelningen har nätverket 172.16.60.0/24. Nu vill jag neka anslutning från försäljningsavdelningen till finansavdelningen och tillåta andra att nå det nätverket.
Nu konfigurerar du först en numrerad standardåtkomstlista för att neka alla IP-anslutningar från försäljningsavdelningen till ekonomiavdelningen.
R1# config terminalR1(config)# access-list 10 deny 172.16.40.0 0.0.0.255
Här, precis som i den utökade åtkomstlistan, kan du inte ange vilken IP-trafik som ska tillåtas eller nekas. Observera också att wildcard-mask har använts (0.0.0.0.255 vilket innebär subnätmask 255.255.255.255.0). 10 används från det standardiserade nummerintervallet för åtkomstlistor.
R1(config)# access-list 110 permit ip any any
Nu, som ni redan vet finns det en implicit deny i slutet av varje accesslista, vilket innebär att om trafiken inte matchar någon av reglerna i accesslistan kommer trafiken att avbrytas.
Då du anger any innebär det att trafik från en källa som har vilken ip-adress som helst kommer att nå finansavdelningen utom den trafik som matchar de ovanstående regler som du har gjort.
Nu måste du tillämpa access-listan på routerns gränssnitt:
R1(config)# int fa0/1R1(config-if)# ip access-group 10 out
Som du kommer ihåg att standard access-listan i allmänhet tillämpas på destinationen och här också om du tillämpar access-listan nära destinationen, kommer det att tillfredsställa vårt behov, därför har utgående till gränssnitt fa0/1 tillämpats.
Exempel på namngiven standardåtkomstlista –
Nu, med samma topologi, ska du göra en namngiven standardåtkomstlista.
R1(config)# ip access-list standard blockacl
Med det här kommandot har du gjort en accesslista som heter blockacl.
R1(config-std-nacl)# deny 172.16.40.0 0.0.0.255 R1(config-std-nacl)# permit any
Och sedan samma konfiguration som du har gjort i numbered access-list.
R1(config)# int fa0/1R1(config-if)# ip access-group blockacl out
Standard access-list för Telnet exempel –
Som du vet kan du inte ange en viss IP-trafik som ska nekas i standard access-list men telnet-anslutning kan tillåtas eller nekas med hjälp av standard access-list genom att tillämpa access-list på linje vty-linjer.
Här, i den givna figuren, vill du förbjuda telnet till finansavdelningen från alla nätverk. Konfigurera för samma sak:
R1(config)# access-list 10 deny anyR1(config)# line vty 0 4R1(config-line)# access-class 10 out