Extended ACL Numrerad

Säkerhet med ACL     |      Protokoll och portar


I tidigare avsnitt gick vi igenom hur man konfigurerar och justerar Standard ACL, samt hur dessa kan användas för att säkra VTY-portar. Standard ACL filtrerar endast baserat på source-adress, vilket begränsar dess användningsområde.

För mer detaljerad trafikfiltrering och kontroll används istället Extended IPv4 ACL , som erbjuder fler filtrerings alternativ och används i större utsträckning än Standard ACL.

Typer av Extended IPv4 ACL

Precis som Standard ACL kan Extended ACL konfigureras på två sätt:

  • Numrerad Extended ACL – Skapas med kommandot access-list access-list-number.
  • Namngiven Extended ACL – Skapas med kommandot ip access-list extended access-list-name.

Konfiguration av numrerad Extended ACL

Proceduren för att konfigurera en Extended ACL är desamma som för Standard ACL – den konfigureras först och tillämpas sedan på ett interface.

Syntax för att skapa en numrerad Extended ACL:

Router(config)# access-list access-list-number {deny | permit | remark text} protocol source source-wildcard [operator {port}] destination destination-wildcard [operator {port}] [established] [log]

Även om det finns många nyckelord och parametrar för Extended ACL, behöver inte alla användas i en konfiguration. Tabellen nedan förklarar syntaxen mer i detalje:

Parameter Beskrivning
access-list-number  Numret för ACL. Extended ACL använder 100–199 och 2000–2699.
deny Blockerar trafik som matchar villkoret.
permit Tillåter trafik som matchar villkoret.
remark text (Frivilligt) Kommentar för dokumentation (max 100 tecken).
protocol Namn eller nummer för ett internetprotokoll. Vanliga nyckelord: ip, tcp, udp, icmp.
source Källnätverk eller en enskild IP-adress. any för alla nätverk, host för en specifik IP.
source-wildcard (Frivilligt) Wildcard-mask för att specificera ett nätverk eller intervall.
destination Destinationsnätverk eller enskild IP-adress. any för alla nätverk, host för en specifik IP.
destination-wildcard (Frivilligt) Wildcard-mask för att specificera destination.
operator (Valfritt) Jämförelseoperator för portar (lt – mindre än, gt – större än, eq – lika med, neq – inte lika med).
port (Frivilligt) TCP/UDP-portnummer eller protokollnamn (ex: eq 80 för HTTP).
established (Valfritt) För TCP – tillåter endast etablerade sessioner.
log (Frivilligt) Genererar en loggpost vid en matchning.

Tillämpning av Extended ACL

Kommandot för att tillämpa en Extended ACL på ett interface är detsamma som för en Standard ACL:

Router(config-if)# ip access-group {access-list-number | access-list-name} {in | out}

För att ta bort en ACL från ett interface:

Router(config-if)# no ip access-group {access-list-number | access-list-name}

För att ta bort ACL:n helt från routern:

Router(config)# no access-list access-list-number

ACE-poster: Ordning i Standard och Extended ACL

Ordningen i vilken Access Control Entries (ACE) bearbetas skiljer sig mellan Standard och Extended ACL.

ACL typ ACE-ordning Beskrivning
Standard ACL Kan omorganiseras av IOS Systemet kan optimera och ändra ordningen för att förbättra prestanda. ACE-poster kan placeras i en annan ordning än den de skrevs in i.
Extended ACL Bevarar ordningen som konfigurerades IOS ändrar inte ordningen på ACE-poster i en Extended ACL. ACE bearbetas i den exakta ordningen de skrevs in.

Gällande ACE-ordning:

  • I en Standard ACL kan ACE-poster optimeras internt för att påskynda filtreringen.
  • I en Extended ACL är ordningen kritisk, eftersom varje ACE behandlas exakt i den ordning de skrivs in.

Exempel på en Extended ACL konfiguration och syfte

Anta att vi vill blockera HTTP-trafik men tillåta all annan trafik mellan nätverk 192.168.1.0/24 och 192.168.2.0/24.

R1(config)# access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80
R1(config)# access-list 101 permit ip any any

Förklaring:

  • access-list 101 deny tcp → Neka TCP-trafik.
  • 192.168.1.0 0.0.0.255 → source-nätverk.
  • 192.168.2.0 0.0.0.255 → Destination-nätverk.
  • eq 80 → Portnummer 80 (HTTP).
  • permit ip any any → Tillåt all annan trafik.

Tillämpa ACL 101 på ett interface (utgående trafik):

R1(config)# interface GigabitEthernet0/1
R1(config-if)# ip access-group 101 out
R1(config-if)# end

Sammanfattning

Extended ACL erbjuder en högre grad av kontroll jämfört med Standard ACL genom att möjliggöra filtrering baserat på IP-adress, protokoll och portar. Den kan konfigureras antingen som en numrerad ACL, exempelvis access-list 100, eller som en namngiven ACL med kommandot ip access-list extended BLOCK-WEB. När den har skapats tillämpas den på ett interface med kommandot ip access-group.

Till skillnad från Standard ACL, där ACE-poster kan omorganiseras av systemet, behåller en Extended ACL posterna i den ordning de skrevs in.

För felsökning och övervakning kan administratörer använda nyckelordet log för att generera loggposter vid matchningar och visa konfigurationen med kommandot show access-lists.


Säkerhet med ACL     |      Protokoll och portar