Förutsättning – Access-lists (ACL)
Access-list (ACL) är en uppsättning regler som definieras för att kontrollera nätverkstrafiken och minska nätverksattacker. ACL:er används för att filtrera trafik baserat på den uppsättning regler som definierats för inkommande eller utgående trafik i nätverket.

Standard Access-list –
Detta är den Access-list som görs enbart med hjälp av källans IP-adress. Dessa ACL:er tillåter eller nekar hela protokollsviten. De skiljer inte mellan IP-trafik som TCP, UDP, Https osv. Genom att använda siffrorna 1-99 eller 1300-1999 kommer routern att förstå det som en standard-ACL och den angivna adressen som käll-IP-adress.

Funktioner –

  1. Standard Access-list tillämpas i allmänhet nära destinationen (men inte alltid).
  2. I standard access-list nekas hela nätverket eller delnätverket.
  3. Standard access-list använder intervallet 1-99 och det utökade intervallet 1300-1999.
  4. Standard access-list implementeras endast med hjälp av källans IP-adress.
  5. Om numrerad med standard access-list används kan inte minnesregler raderas. Om en av reglerna raderas raderas hela åtkomstlistan.
  6. Om namngiven med standardåtkomstlista används har du möjlighet att radera en regel från åtkomstlistan.

Anmärkningar – Standardåtkomstlista används i mindre utsträckning jämfört med utökad åtkomstlista eftersom hela IP-protokollsviten kommer att tillåtas eller nekas för trafiken eftersom den inte kan skilja mellan olika IP-protokolltrafik.

Konfiguration –

Här är en liten topologi där det finns tre avdelningar, nämligen försäljning, ekonomi och marknadsföring. Försäljningsavdelningen har nätverket 172.16.40.0/24, finansavdelningen har nätverket 172.16.50.0/24 och marknadsavdelningen har nätverket 172.16.60.0/24. Nu vill jag neka anslutning från försäljningsavdelningen till finansavdelningen och tillåta andra att nå det nätverket.

Nu konfigurerar du först en numrerad standardåtkomstlista för att neka alla IP-anslutningar från försäljningsavdelningen till ekonomiavdelningen.

R1# config terminalR1(config)# access-list 10 deny 172.16.40.0 0.0.0.255

Här, precis som i den utökade åtkomstlistan, kan du inte ange vilken IP-trafik som ska tillåtas eller nekas. Observera också att wildcard-mask har använts (0.0.0.0.255 vilket innebär subnätmask 255.255.255.255.0). 10 används från det standardiserade nummerintervallet för åtkomstlistor.

R1(config)# access-list 110 permit ip any any

Nu, som ni redan vet finns det en implicit deny i slutet av varje accesslista, vilket innebär att om trafiken inte matchar någon av reglerna i accesslistan kommer trafiken att avbrytas.
Då du anger any innebär det att trafik från en källa som har vilken ip-adress som helst kommer att nå finansavdelningen utom den trafik som matchar de ovanstående regler som du har gjort.

Nu måste du tillämpa access-listan på routerns gränssnitt:

R1(config)# int fa0/1R1(config-if)# ip access-group 10 out

Som du kommer ihåg att standard access-listan i allmänhet tillämpas på destinationen och här också om du tillämpar access-listan nära destinationen, kommer det att tillfredsställa vårt behov, därför har utgående till gränssnitt fa0/1 tillämpats.

Exempel på namngiven standardåtkomstlista –

Nu, med samma topologi, ska du göra en namngiven standardåtkomstlista.

R1(config)# ip access-list standard blockacl

Med det här kommandot har du gjort en accesslista som heter blockacl.

R1(config-std-nacl)# deny 172.16.40.0 0.0.0.255 R1(config-std-nacl)# permit any

Och sedan samma konfiguration som du har gjort i numbered access-list.

R1(config)# int fa0/1R1(config-if)# ip access-group blockacl out

Standard access-list för Telnet exempel –
Som du vet kan du inte ange en viss IP-trafik som ska nekas i standard access-list men telnet-anslutning kan tillåtas eller nekas med hjälp av standard access-list genom att tillämpa access-list på linje vty-linjer.

Här, i den givna figuren, vill du förbjuda telnet till finansavdelningen från alla nätverk. Konfigurera för samma sak:

R1(config)# access-list 10 deny anyR1(config)# line vty 0 4R1(config-line)# access-class 10 out 
Artikel Taggar :

Övning Taggar:

admin

Lämna ett svar

Din e-postadress kommer inte publiceras.

lg