Definicja i konfiguracja Access Control List na routerach Cisco

baza wiedzy Network Expert

Access Control List (ACL) – zestaw reguł filtrujących ruch w sieci. Każda z reguł zawiera zestaw warunków jakie muszą być spełnione aby pakiet przechodzący przez router został przepuszczony (bądź odrzucony). W ten sposób mamy kontrolę nad ruchem w sieci zezwalając użytkownikom na dostęp do określonych zasobów w sieci oraz blokując niechciany (lub niebezpieczny) ruch.

Rodzaje ACL na routerach CISCO:

Access Control List na routerach CISCO dzielą się na dwa rodzaje:

  • Standardowa access lista
  • Rozszerzona access lista

Standardowa access lista filtruje ruch w sieci tylko na podstawie adresu źródłowego. Poniżej przykładowa konfiguracja ACL na routerze:

access-list {1-99 | 1300-1999} {permit | deny} source-address [wildcard mask]

Wytłumaczmy to na przykładzie. Naszym zadaniem jest zablokowanie ruchu dla adresu 172.16.1.10 do Internetu podczas gdy na resztę ruchu zezwalamy

Router>enable

Rouer#configure terminal

Router(config)#access-list 1 deny host 172.16.1.10

Router(config)#access-list 1 permit any

Router(config)#interface fastEthernet 0/1

Router(config-if)#ip access-group 1 out

Opiszemy powyższy przykład. Wchodzimy w tryb uprzywilejowany routera. Tworzymy access listę podając jej numer (1-99 | 1300-1999). Następnie ustalamy jaka akcja ma być podjęta (deny-odrzucamy ruch, permit-zezwalamy na ruch). Dalej wpisujemy adres źródłowy hosta którego ma dotyczyć access lista (w naszym przykładzie było to 172.16.1.10). Linijka „access-list 1 permit any” zezwala na resztę ruchu. (UWAGA: bez tej linijki reszta ruchu była by zablokowana. Domyślną akcją dla acl-ki jest blokowanie ruchu).
Nasza access lista jest gotowa. Dalej instalujemy access listę na interfejs routera. Wchodzimy w tryb konfiguracji interfejsu. Wpisujemy komendę (ip access-group) i podajemy kierunek filtrowania ruchu (in-ruch przychodzący, out-ruch wychodzący). W naszym przykładzie ruch wychodzi do Internetu czyli wpisaliśmy polecenie „out”

Rozszerzona access lista. Jej działanie jest takie same jak w przypadku access listy podstawowej czyli filtrowanie ruchu lecz tym razem filtrujemy pakiet na podstawie: adresu źródłowego, adresu docelowego oraz portu. Jej definicja wygląda tak:

access-list access-list-number (100–199 | 2000– 2699) {permit | deny} protocol (IP, TCP, UDP, ICMP, GRE, IGRP) source source-wildcard [operator port]

destination destination-wildcard [operator port]

Definicja access listy wydaje się skomplikowana lecz w rzeczywistości jest bardzo prosta i intuicyjna.

Dla przykładu naszym zadaniem będzie zablokowanie ruchu sieciowego dla adresu 172.16.1.10 do adresu 10.1.1.1 po porcie 80 (http) podczas gdy na resztę ruchu po tym porcie zezwolimy:

Router>enable

Rouer#configure terminal

Router(config)#access-list 200 deny ip host 172.16.1.10 10.1.1.1 0.0.0.0 eq 80

Router(config)#access-list 1 permit ip any any

Router(config)#interface fastEthernet 0/1

Router(config-if)#ip access-group 1 out

Podobnie jak przy standardowej access liście wchodzimy w tryb uprzywilejowany. Wpisujemy polecenie access-list i podajemy numer (1-99 | 1300-1999). Dalej wpisujemy jaka akcja ma być podjęta (permit lub denny). Dalej podajemy protokół (w naszym przypadku będzie to IP). Następnie wpisujemy adres hosta który ma być blokowany (172.16.1.10). Dalej wpisujemy adres docelowy (10.1.1.1 0.0.0.0). Na koniec linijki wpisujemy numer portu (eq 80). W następnej linijce zezwalamy na ruch dla reszty sieci. Na końcu podobnie jak w standardowej access liście instalujemy ją na interface podając kierunek filtrowania ruchu (in/out)

Maska wildcard. W przykładzie powyższym została użyta maska wildcard’owa podczas gdy wpisywaliśmy adres docelowy 10.1.1.1 0.0.0.0. Maska wildcard’owa jest to odwrotność zwykłej maski podsieci, np. aby zablokować ruch do sieci 10.1.1.0/24 użyjemy maski wildcard’owej (0.0.0.255). Aby zablokować ruch do sieci 192.168.0.0/16 użyjemy maski wildcard’owej (0.0.255.255). Aby zablokować ruch do podsieci 10.1.1.0/12 skorzystamy z maski….możemy skorzystać ze wzoru (255.255.255.255 – 255.240.0.0 (adres maski/12) = 0.15.255.255. To będzie nasza maska wildcard’owa.

Dla praktyki zróbmy przykład z rozszerzoną access listą która blokuje ruch z podsieci 192.168.0.0/16 do podsieci 172.16.1.0/24 po porcie 23

Router>enable

Rouer#configure terminal

Router(config)#access-list 230 deny ip host 192.168.0.0 0.0.255.255 172.16.1.0 0.0.0.255 eq 23

Router(config)#access-list 1 permit ip any any

Router(config)#interface fastEthernet 0/1

Router(config-if)#ip access-group 1 out

Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów

Network w liczbach

0
lat na rynku
0
realizacji
0
Klientów

Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów

Network w liczbach

0
lat na rynku
0
realizacji
0
Klientów
2019-01-09T09:24:02+00:00