Protokoll och portar

Extended ACL Numrerad      |      TCP Established


För att skapa en numrerad utökad ACL måste rätt protokoll anges. Nedan visas en lista över de protokoll som kan användas, vilket framgår genom att använda frågetecknet ? efter kommandot access-list 100 permit:

R1(config)# access-list 100 permit ?
<0-255>        An IP protocol number
ahp            Authentication Header Protocol
dvmrp          Distance Vector Multicast Routing Protocol
eigrp          Cisco's EIGRP routing protocol
esp            Encapsulation Security Payload
gre            Cisco's GRE tunneling
icmp           Internet Control Message Protocol
igmp           Internet Gateway Message Protocol
ip             Any Internet Protocol
ipinip         IP in IP tunneling
nos            KA9Q NOS compatible IP over IP tunneling
object-group   Service object group
ospf           OSPF routing protocol
pcp            Payload Compression Protocol
pim            Protocol Independent Multicast
tcp            Transmission Control Protocol
udp            User Datagram Protocol

De fyra vanligaste protokollen vid skapandet av en ACL är: IP,TCP,UDP och ICMP. För att underlätta vid konfiguration kan frågetecknet (?) användas för att visa tillgängliga alternativ när en ACL-kommandorad skrivs. Om ett specifikt internet-protokoll inte listas kan istället dess IP-protokollnummer användas. Exempelvis har ICMP protokollnummer 1, TCP nummer 6 och UDP nummer 17.

Filtrering med portnummer och protokoll

Extended ACL kan filtrera trafik baserat på protokoll och portnummer. I följande exempel konfigureras ACL 100 för att filtrera HTTP-trafik. Två sätt att ange HTTP-porten:

R1(config)# access-list 100 permit tcp any any eq www
R1(config)# !eller
R1(config)# access-list 100 permit tcp any any eq 80

Båda ACE-posterna tillåter HTTP-trafik och ger samma resultat eftersom www är ett synonymt namn för port 80.

För vissa tjänster finns inga specifika protokollnamn, i dessa fall måste portnummer användas. Exempel på SSH (port 22) och HTTPS (port 443):

R1(config)# access-list 100 permit tcp any any eq 22
R1(config)# access-list 100 permit tcp any any eq 443

I detta fall tillåter ACL SSH- och HTTPS-trafik från valfri källa till valfri destination.

Tillämpning av en numrerad Extended IPv4 ACL

Placering av Extended ACL är viktig. De placeras närmare källan för att blockera oönskad trafik tidigt, vilket minskar belastningen på nätverket.

I följande exempel används topologin i figuren för att demonstrera hur ACL 110 konfigureras och tillämpas på ett interface.

Målet är att tillåta både HTTP- och HTTPS-trafik från nätverket 192.168.10.0/24 till alla destinationer.

R1(config)# access-list 110 permit tcp 192.168.10.0 0.0.0.255 any eq www
R1(config)# access-list 110 permit tcp 192.168.10.0 0.0.0.255 any eq 443
R1(config)# interface g0/0/0
R1(config-if)# ip access-group 110 in
R1(config-if)# exit
R1(config)#

Förklaring:

  • access-list 110 permit tcp 192.168.10.0 0.0.0.255 any eq www → Tillåter HTTP-trafik från nätverket 192.168.10.0/24 till alla destinationer.
  • access-list 110 permit tcp 192.168.10.0 0.0.0.255 any eq 443 → Tillåter HTTPS-trafik från samma nätverk.
  • ip access-group 110 in → Tillämpas inkommande på interfacet G0/0/0 för att filtrera trafiken så tidigt som möjligt.

Genom att placera Extended ACL nära källan förhindras onödig trafik från att färdas genom nätverket, vilket förbättrar prestanda och säkerhet.


Extended ACL Numrerad      |      TCP Established