Numrerad utökat IPv4 ACL

I tidigare avsnitt gick vi igenom hur man konfigurerar och justerar standard ACL samt hur man säkrar VTY-portar med en standard IPv4 ACL. Standard ACL filtrerar enbart baserat på source-adress. För mer detaljerad kontroll av trafikfiltrering kan Extended IPv4 ACL skapas.

Utökad ACL används oftare än standard ACL eftersom de erbjuder en högre grad av kontroll. De kan filtrera baserat på source-adress, destinationsadress, protokoll (t.ex. IP, TCP, UDP, ICMP) och portnummer. Detta ger en bredare uppsättning kriterier för att basera ACL på. Till exempel kan en utökad ACL tillåta e-posttrafik från ett nätverk till en specifik destination samtidigt som den nekar filöverföringar och webbsurfning.

Precis som standard ACL kan utökad ACL skapas som:

  • Numrerad utökad ACL – Skapas med kommandot för global konfiguration access-list access-list-number.
  • Namngiven utökad ACL – Skapas med kommandot ip access-list extended access-list-name.

Numrerad utökad IPv4 ACL syntax

Proceduren för att konfigurera utökade ACL är desamma som för standard ACL. En utökad ACL konfigureras först och tillämpas sedan på ett interface. Kommandosyntaxen och parametrarna är dock mer komplexa för att stödja de ytterligare funktioner som utökade ACL erbjuder.

För att skapa en numrerad utökad ACL, använd följande kommando:

Router(config)# access-list access-list-number {deny | permit | remark text} protocol source source-wildcard [operator {port}] destination destination-wildcard [operator {port}] [established] [log]

Använd kommandot no access-list access-list-number i den globala konfigurationen för att ta bort en utökad ACL.

Även om det finns många nyckelord och parametrar för utökade ACL är det inte nödvändigt att använda alla när du konfigurerar en utökad ACL. Tabellen ger en detaljerad förklaring av syntaxen för en utökad ACL.

Parameter Beskrivning
access-list-number 
  • Detta är det decimala numret för en ACL.
  • Extended ACL-nummerområde är 100 till 199 och 2000 till 2699.
deny Detta nekar åtkomst om villkoret matchas.
permit Detta tillåter åtkomst om villkoret matchas.
remark text
  • (Frivilligt) Detta lägger till en textpost för dokumentationsändamål.
  • Varje kommentar är begränsad till 100 tecken.
protocol
  • Namn eller nummer för ett internetprotokoll.
  • Vanliga nyckelord inkluderar ip, tcp, udp och icmp.
  • Nyckelordet ip matchar alla IP-protokoll.
source
  • Detta identifierar source-nätverket eller host-adress för filtrering.
  • Använd nyckelordet any för att specificera alla nätverk.
  • Använd nyckelordet host ip-address eller ange enbart en ip-adress (utan nyckelordet host) för att identifiera en specifik IP-adress.
source-wildcard (Frivilligt) Detta är en 32-bitars wildcard-mask som appliceras på källan.
destination
  • Detta identifierar destinationsnätverket eller host-adress för filtrering.
  • Använd nyckelordet any för att specificera alla nätverk.
  • Använd nyckelordet host eller ange enbart en ip-adress.
destination-wildcard (Frivilligt) Detta är en 32-bitars wildcard-mask som appliceras på destination.
operator
  • (Valfritt) Detta jämför source- eller destinationsportar.
  • Vissa operatorer inkluderar lt (mindre än), gt (större än), eq (lika med) och neq (inte lika med).
port (Frivilligt) Det decimala numret eller namn för TCP eller UDP.
established
  • (Valfritt) Endast för TCP protokollet.
  • Detta är den första generation av brandväggsfunktion.
log
  • (Frivilligt) Detta nyckelord genererar och skickar ett informationsmeddelande varje gång ACE matchas.
  • Meddelandet inkluderar ACL-nummer, matchat villkor (dvs. tillåtet eller nekat), source-adress och antal paket.
  • Detta meddelande genereras för det första matchade paketet.
  • Detta nyckelord bör endast implementeras vid felsökning eller säkerhet.

Kommandot för att tillämpa en utökad IPv4 ACL på ett interface är detsamma som för standard IPv4 ACL.

Router(config-if)# ip access-group {access-list-number | access-list-name} {in | out}

För att ta bort en ACL från ett interface, börja med att ange kommandot no ip access-group i konfigurationsläget för interfacet. För att ta bort en ACL från routern, använd kommandot no access-list i det globala konfigurationsläget.

ACE-poster ordning i Standard och Extended ACL

  • För Standard ACL, även om du anger ACEs i en specifik ordning, kan intern logik i systemet omorganisera dem baserat på olika optimeringsregler i syfte att effektivisera processandet av reglerna. Detta innebär att även om du matar in ACEs i ordningen A, B, C, kan systemet internt modifiera dem till exempelvis C, A, B för att snabbare kunna göra en matchning.
  • För Extended ACL, tillämpas inte denna modifieringslogik. ACEs behandlas och visas precis i den ordning du konfigurerar dem. Om du anger ACEs i ordningen A, B, C, kommer de att förbli i den ordningen både när du visar dem med kommandon som show access-lists och när de behandlas av routern. Detta ger dig full kontroll och förutsägbarhet över hur reglerna tillämpas, vilket är viktigt när du behöver en noggrann kontroll baserat på flera olika parametrar som source- och destinationsadresser, protokoll och portnummer.