Syftet med den här laborationen är att implementera Access Control Lists (ACL) på routrar i ett nätverk bestående av tre routrar (R1, R2, R3) och tre LAN. Varje LAN har en server och en PC med olika tjänster som DNS, FTP och webbserver. Målet är att använda ACL för att kontrollera vilken trafik som tillåts eller blockeras mellan olika nätverk, vilket ger en grundläggande säkerhetsfunktion i nätverket.
Laborationer delas upp i två delar: Kort om ACL och konfigurationer.
Kort om Access Control List
Access Control Lists (ACL) används för att filtrera trafik och implementera säkerhetsregler på nätverksroutrar. Access Control Lists kan konfigureras som standard eller utökade (extended), och de kan också vara nummerbaserade (numbered) eller namngivna (named).
- Numrerad ACL: Dessa ACL identifieras med ett numeriskt intervall, där standard ACL
använder nummer mellan 1 och 99 (eller 1300–1999), och utökade ACL använder nummer mellan 100 och 199 (eller 2000–2699). - Namngivna ACL (Named): En namngiven ACL ger dig mer flexibilitet eftersom du kan tilldela ett namn till ACL istället för att använda siffror. Detta gör det enklare att förstå och underhålla reglerna i större nätverk. Det finns både standard och utökade named ACL.
Beroende på hur du vill filtrera trafik kan du välja mellan standard och utökade ACL:
Standard ACL
- Filtrerar trafik baserat enbart på source IP-adress.
- Kan vara nummerbaserad eller namngiven (named).
- Har ett ACL-nummer i intervallet 1–99 eller 1300–1999.
- Bör tillämpas nära destinationen
- Syntax för standard ACL:
- Router(config)# access-list <1 – 99> permit | deny source [wildcard-mask]
- Router(config)# ip access-list standard <namn>
- Router(config-std-nacl)# permit | deny source [wildcard-mask]
Extended ACL
- Filtrerar trafik baserat på source- och destinations-IP-adresser, samt specifika protokoll (t.ex. TCP, UDP) och portar.
- Kan vara nummerbaserad eller namngiven (named).
- Har ett ACL-nummer i intervallet 100–199 eller 2000–2699.
- Bör tillämpas nära source
- Syntax för utökad ACL:
- Router(config)# access-list <100 – 199> permit | deny protocol source source-wildcard destination destination-wildcard [eq port]
- Router(config)# ip access-list extended <namn>
- Router(config-ext-nacl)# permit | deny protocol source source-wildcard destination destination-wildcard [eq port]