Definicja i konfiguracja Access Control List na routerach Cisco
Access Control List (ACL) – zestaw reguł filtrujących ruch w sieci. Każda z reguł zawiera zestaw warunków jakie muszą być spełnione aby pakiet przechodzący przez router został przepuszczony (bądź odrzucony). W ten sposób mamy kontrolę nad ruchem w sieci zezwalając użytkownikom na dostęp do określonych zasobów w sieci oraz blokując niechciany (lub niebezpieczny) ruch.
Rodzaje ACL na routerach CISCO:
Access Control List na routerach CISCO dzielą się na dwa rodzaje:
- Standardowa access lista
- Rozszerzona access lista
Standardowa access lista filtruje ruch w sieci tylko na podstawie adresu źródłowego. Poniżej przykładowa konfiguracja ACL na routerze:
access-list {1-99 | 1300-1999} {permit | deny} source-address [wildcard mask]
Wytłumaczmy to na przykładzie. Naszym zadaniem jest zablokowanie ruchu dla adresu 172.16.1.10 do Internetu podczas gdy na resztę ruchu zezwalamy
Router>enable
Rouer#configure terminal
Router(config)#access-list 1 deny host 172.16.1.10
Router(config)#access-list 1 permit any
Router(config)#interface fastEthernet 0/1
Router(config-if)#ip access-group 1 out
Opiszemy powyższy przykład. Wchodzimy w tryb uprzywilejowany routera. Tworzymy access listę podając jej numer (1-99 | 1300-1999). Następnie ustalamy jaka akcja ma być podjęta (deny-odrzucamy ruch, permit-zezwalamy na ruch). Dalej wpisujemy adres źródłowy hosta którego ma dotyczyć access lista (w naszym przykładzie było to 172.16.1.10). Linijka „access-list 1 permit any” zezwala na resztę ruchu. (UWAGA: bez tej linijki reszta ruchu była by zablokowana. Domyślną akcją dla acl-ki jest blokowanie ruchu).
Nasza access lista jest gotowa. Dalej instalujemy access listę na interfejs routera. Wchodzimy w tryb konfiguracji interfejsu. Wpisujemy komendę (ip access-group) i podajemy kierunek filtrowania ruchu (in-ruch przychodzący, out-ruch wychodzący). W naszym przykładzie ruch wychodzi do Internetu czyli wpisaliśmy polecenie „out”
Rozszerzona access lista. Jej działanie jest takie same jak w przypadku access listy podstawowej czyli filtrowanie ruchu lecz tym razem filtrujemy pakiet na podstawie: adresu źródłowego, adresu docelowego oraz portu. Jej definicja wygląda tak:
access-list access-list-number (100–199 | 2000– 2699) {permit | deny} protocol (IP, TCP, UDP, ICMP, GRE, IGRP) source source-wildcard [operator port]
destination destination-wildcard [operator port]
Definicja access listy wydaje się skomplikowana lecz w rzeczywistości jest bardzo prosta i intuicyjna.
Dla przykładu naszym zadaniem będzie zablokowanie ruchu sieciowego dla adresu 172.16.1.10 do adresu 10.1.1.1 po porcie 80 (http) podczas gdy na resztę ruchu po tym porcie zezwolimy:
Router>enable
Rouer#configure terminal
Router(config)#access-list 230 deny ip host 192.168.0.0 0.0.255.255 172.16.1.0 0.0.0.255 eq 23
Router(config)#access-list 230 permit ip any any
Router(config)#interface fastEthernet 0/1
Router(config-if)#ip access-group 230 out
Podobnie jak przy standardowej access liście wchodzimy w tryb uprzywilejowany. Wpisujemy polecenie access-list i podajemy numer (1-99 | 1300-1999). Dalej wpisujemy jaka akcja ma być podjęta (permit lub denny). Dalej podajemy protokół (w naszym przypadku będzie to IP). Następnie wpisujemy adres hosta który ma być blokowany (172.16.1.10). Dalej wpisujemy adres docelowy (10.1.1.1 0.0.0.0). Na koniec linijki wpisujemy numer portu (eq 80). W następnej linijce zezwalamy na ruch dla reszty sieci. Na końcu podobnie jak w standardowej access liście instalujemy ją na interface podając kierunek filtrowania ruchu (in/out)
Maska wildcard. W przykładzie powyższym została użyta maska wildcard’owa podczas gdy wpisywaliśmy adres docelowy 10.1.1.1 0.0.0.0. Maska wildcard’owa jest to odwrotność zwykłej maski podsieci, np. aby zablokować ruch do sieci 10.1.1.0/24 użyjemy maski wildcard’owej (0.0.0.255). Aby zablokować ruch do sieci 192.168.0.0/16 użyjemy maski wildcard’owej (0.0.255.255). Aby zablokować ruch do podsieci 10.1.1.0/12 skorzystamy z maski….możemy skorzystać ze wzoru (255.255.255.255 – 255.240.0.0 (adres maski/12) = 0.15.255.255. To będzie nasza maska wildcard’owa.
Dla praktyki zróbmy przykład z rozszerzoną access listą która blokuje ruch z podsieci 192.168.0.0/16 do podsieci 172.16.1.0/24 po porcie 23
Router>enable
Rouer#configure terminal
Router(config)#access-list 230 deny ip host 192.168.0.0 0.0.255.255 172.16.1.0 0.0.0.255 eq 23
Router(config)#access-list 1 permit ip any any
Router(config)#interface fastEthernet 0/1
Router(config-if)#ip access-group 1 out
To również może Cię zainteresować:
Potrzebujesz wsparcia w zakresie budowy sieci? Jesteśmy do Twojej dyspozycji
napisz do nas: kontakt@netxp.pl / formularz lub zadzwoń (48) 881 556 929
Oferujemy kompleksowe wsparcie
sprzedaż oraz wynajem sprzętu i infrastruktury sieciowej – usługi
Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów
Network w liczbach
Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów