Protokoll och portar

Vilka protokoll används mest för åtkomstlistor? I exemplet nedan tas fram de protokollen som kan användas i numrerad utökad ACL, notera frågetecknet.

R1(config)# access-list 100 permit ?
<0-255>    An IP protocol number
ahp            Authentication Header Protocol
dvmrp       dvmrp
eigrp         Cisco’s EIGRP routing protocol
esp            Encapsulation Security Payload
gre             Cisco’s GRE tunneling
icmp          Internet Control Message Protocol
igmp          Internet Gateway Message Protocol
ip               Any Internet Protocol
ipinip         IP in IP tunneling
nos            KA9Q NOS compatible IP over IP tunneling
object-group         Service object group
ospf         OSPF routing protocol
pcp         Payload Compression Protocol
pim         Protocol Independent Multicast
tcp         Transmission Control Protocol
udp         User Datagram Protocol
R1(config)# access-list 100 permit

De fyra framhävda protokollen (TCP, UDP, IP, ICMP) är de mest populära alternativen. Använd frågetecknet (?) för att få hjälp vid inmatning av komplexa ACE. Om ett internetprotokoll inte listas kan IP-protokoll numret användas som identifikation, till exempel ICMP är nummer 1, TCP nummer 6 och UDP nummer 17.

Protokoll och portnummer konfigurationer

Utökade ACL kan filtrera baserat på olika portnummer och portnamn. Som demonstration konfigureras en utökad ACL 100 för att filtrera HTTP-trafik. Den första ACE-post använder portnamnet www. Den andra ACE-post använder portnummer 80. Båda ACE-posterna uppnår exakt samma resultat.

R1(config)# access-list 100 permit tcp any any eq www
R1(config)# !eller
R1(config)# access-list 100 permit tcp any any eq 80

Konfigurering av portnummer krävs när det inte finns något specifikt protokollnamn angivet, som till exempel SSH (portnummer 22) eller HTTPS (portnummer 443), vilket visas i nästa exempel.

R1(config)# access-list 100 permit tcp any any eq 22
R1(config)# access-list 100 permit tcp any any eq 443
R1(config)#

Tillämpning av numrerad utökad IPv4 ACL

Topologin i figuren kommer att användas som exempel för att demonstrera konfiguration och tillämpning av den numrerade utökade IPv4 ACL på ett interface. Den första exemplet visar en implementering av en numrerad utökad IPv4 ACL.

I det här exemplet tillåter ACL 110 både HTTP- och HTTPS-trafik från nätverket 192.168.10.0 att nå vilken destination som helst.

Utökade ACL kan tillämpas på olika platser, men de appliceras vanligtvis nära source. Därför tillämpas ACL 110 inkommande på R1:s G0/0/0 interface.

R1(config)# access-list 110 permit tcp 192.168.10.0 0.0.0.255 any eq www
R1(config)# access-list 110 permit tcp 192.168.10.0 0.0.0.255 any eq 443
R1(config)# interface g0/0/0
R1(config-if)# ip access-group 110 in
R1(config-if)# exit
R1(config)#