Tidigare avsnitt har behandlat ACL syfte och riktlinjer för att skapa och tillämpa ACL. Detta avsnitt kommer att ta upp tillämpning av de olika ACL typer, samt exempel på placering av dessa ACL.
Det finns två typer av IPv4 ACL:
- Standard ACL: Tillåter (permit) eller nekar (deny) paket enbart baserat på källans (source) IPv4-adress.
- Extended ACL: Tillåter (permit) eller nekar (deny) paket baserat på både källans (source) och destinationens IPv4-adresser, protokolltyp, source- och destinationsportar för TCP eller UDP, och mer.
Exempelvis, se följande standard ACL-kommando:
- R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255
ACL 10 tillåter datorer i source-nätverket 192.168.10.0/24. På grund av den implicita ”deny any” i slutet blockeras all trafik utom trafiken från 192.168.10.0/24-nätverket med denna ACL.
I nästa exempel tillåter en extended ACL 100 trafik från vilken dator som helst på 192.168.10.0/24-nätverket till vilket IPv4-nätverk som helst om destinations porten är 80 (HTTP).
- R1(config)# access-list 100 permit tcp 192.168.10.0 0.0.0.255 any eq www
Observera hur standard ACL 10 endast kan filtrera efter source-adress medan den extended ACL 100 filtrerar på både source- och destinationsadress samt lager 3 och lager 4 protokoll-information (dvs. TCP).
Numrerade ACL
ACL-nummer 1 till 99 eller 1300 till 1999 är standard ACL:er medan ACL-nummer 100 till 199, eller 2000 till 2699 är utökade ACL:er.
R1(config)# access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1100-1199> Extended 48-bit MAC address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<700-799> 48-bit MAC address access list
rate-limit Simple rate-limit specific access list
template Enable IP template acls
R1(config)# access-list
Namngivna ACL
Namngivna ACL är att föredra när du konfigurerar ACL. Specifikt kan både standard– och extended ACL namnges för att ge information om ACL:ens syfte. Till exempel är det bättre att namnge en extended ACL som FTP-FILTER än att ha en numrerad ACL 100.
Kommandot ip access-list extended används för att skapa en namngiven ACL, som visas i följande exempel.
- R1(config)# ip access-list extended FTP-FILTER
- R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq ftp
- R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq ftp-data
- R1(config-ext-nacl)#
Sammanfattning av regler för namngivna ACL:
- Tilldela ett namn för att identifiera ACL:ens syfte.
- Namn kan innehålla alfanumeriska tecken.
- Namn får inte innehålla mellanslag eller skiljetecken.
- Det rekommenderas att namnet skrivs med VERSALER.
- Poster (ACE) kan läggas till eller tas bort inom ACL:n.
Placering av ACL
Varje ACL bör placeras där den har störst effekt på effektiviteten.
Figuren illustrerar var standard- och extended ACL:er bör placeras i ett företagsnätverk. Anta att målet är att förhindra att trafik från nätverket 192.168.10.0/24 når nätverket 192.168.30.0/24.
- Extended – ACL bör placeras nära trafikens källa för att effektivt förhindra oönskad trafik från att passera genom nätverket till dess destinationen.
- Standard – ACL bör placeras så nära destinationen som möjligt. Om en standard-ACL istället placeras vid trafikens källa, skulle beslutet om att tillåta eller neka trafik endast baseras på källadressen, oberoende av trafikens slutmål.
Placeringen av ACL och därmed typen av ACL som används, kan också bero på en rad andra faktorer som anges i tabellen.
Faktorer som påverkar placering av ACL | Förklaring |
---|---|
Omfattningen av organisationens kontroll | Placeringen av ACL kan bero på om organisationen har kontroll över både source- och destinationsnätverken. |
Bandbredd i de involverade nätverken | Det kan vara önskvärt att filtrera oönskad trafik vid källan för att förhindra överföring av bandbreddskonsumerande trafik. |
Enkelhet i konfiguration | Det kan vara enklare att implementera en ACL vid destinationen, men trafiken kommer att använda bandbredd i onödan. En utökad ACL kan användas på varje router där trafiken har sitt ursprung. Detta skulle spara bandbredd genom att filtrera trafiken vid källan, men det skulle kräva skapandet av utökad ACL på flera routrar. |
Placering av standard ACL
Enligt riktlinjerna för placering av ACL bör standard-ACL placeras så nära destinationen som möjligt.
I figuren vill administratören förhindra att trafik från nätverket 192.168.10.0/24 kommer åt nätverket 192.168.30.0/24.
Enligt de grundläggande riktlinjerna för placering skulle administratören placera en standard ACL på router R3. Det finns två möjliga interface på R3 där standard-ACL kan tillämpas:
- R3 S0/1/1 interface (inbound) – En standard-ACL kan tillämpas inåtgående (inbound) på R3 S0/1/1 interfacet för att blockera trafik från 192.168.10.0-nätverket. Detta skulle emellertid även blockera trafik till 192.168.31.0/24-nätverket. Följaktligen bör inte standard ACL tillämpas på detta interface.
- R3 G0/0/0 interface (outbound) – En standard-ACL kan tillämpas utåtgående på R3 G0/0/0 interfacet. Detta påverkar inte andra nätverk som nås via R3. Paket från 192.168.10.0-nätverket kommer fortfarande att kunna nå 192.168.31.0-nätverket. Detta är det optimala interfacet för att placera standard-ACL och uppfylla kraven.
Placering av Extended ACL
Som tidigare nämnts bör en utökad ACL placeras så nära källan som möjligt för att effektivt stoppa oönskad trafik innan den korsar flera nätverk och eventuellt nekas vid sin slutdestination. Organisationen kan dock bara placera ACL på enheter som den har kontroll över. Därför måste placeringen av den utökade ACL anpassas efter var organisationens kontrollområde slutar.
I figuren vill till exempel Företag A förhindra Telnet- och FTP-trafik till Företag B:s nätverk 192.168.30.0/24 från deras eget nätverk 192.168.11.0/24 samtidigt som all annan trafik tillåts.
Det finns flera sätt att uppnå dessa mål. En utökad ACL på R3 skulle kunna lösa uppgiften, men administratören kontrollerar inte R3. Dessutom tillåter denna lösning att oönskad trafik korsar hela nätverket, bara för att blockeras vid destinationen. Detta påverkar nätverkets övergripande effektivitet. Lösningen är att placera en utökad ACL på R1 som specificerar både source- och destinations adresser.
Det finns två möjliga interface på R1 där den utökade ACL kan tillämpas:
- R1 S0/1/0 interface (outbound) – Den utökade ACL kan tillämpas utåtgående på S0/1/0 interfacet. Dock kommer denna lösning att kontrollera alla paket som lämnar R1, inklusive paket från 192.168.10.0/24.
- R1 G0/0/1 interface (inbound) – Den utökade ACL kan tillämpas inåtgående på G0/0/1 och endast paket från nätverket 192.168.11.0/24 kommer att behandlas av ACL på R1. Eftersom filtret ska begränsas till endast de paket som lämnar nätverket 192.168.11.0/24 är tillämpningen av den utökade ACL på G0/1 den bästa lösningen.