Extended ACL Namngiven

TCP Established | Scenario 1

Att namnge en ACL gör det enklare att förstå dess syfte och funktionalitet. För att skapa en namngiven Extended ACL används följande kommando i det globala konfigurationsläget:

Router(config)# ip access-list extended access-list-name

Detta kommando tar dig till konfigurationsläget för den namngivna Extended ACL:n där regler kan definieras. Kom ihåg att ACL-namn är alfanumeriska, skiftlägeskänsliga och måste vara unika.

I följande exempel skapas en namngiven Extended ACL kallad NO-FTP-ACCESS. När kommandot anges ändras prompten till det dedikerade ACL-konfigurationsläget där ACE-poster ka läggas till.

R1(config)# ip access-list extended NO-FTP-ACCESS
R1(config-ext-nacl)#

Exempel 1: Webbsurfning och Returtrafik

Topologin i figuren används för att demonstrera konfiguration och tillämpning av två namngivna Extended IPv4 ACL:er på ett interface:

SURFING – Tillåter intern HTTP- och HTTPS-trafik att lämna nätverket mot internet.
BROWSING – Tillåter endast returtrafik av webbsidor tillbaka till de interna datorerna, medan all annan utgående trafik implicit nekas.

Konfiguration

SURFING ACL appliceras inkommande på G0/0/0 för att tillåta utgående HTTP eller HTTPS trafik från interna användare.
BROWSING ACL appliceras utgående på G0/0/0 för att endast tillåta etablerad returtrafik från Internet tillbaka till interna användare.

Funktionalitet

SURFING ACL säkerställer att interna användare kan surfa på webben genom att tillåta HTTP- och HTTPS-trafik. Filtreringen sker när trafiken kommer in i routern via G0/0/0. Endast godkända trafik vidarebefordras ut mot Internet via G0/0/1.
BROWSING ACL säkerställer att endast returtrafik från etablerade HTTP- och HTTPS-anslutningar tillåts tillbaka till interna användare. Filtreringen sker när trafiken lämnar routern via G0/0/0. Endast godkänd returtrafik skickas vidare till det interna nätverket.

R1(config)# ip access-list extended SURFING
R1(config-ext-nacl)# remark Permits internal HTTP and HTTPS traffic
R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq www
R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq 443
R1(config-ext-nacl)# exit
R1(config)#
R1(config)# ip access-list extended BROWSING
R1(config-ext-nacl)# remark Only permit returning HTTP and HTTPS traffic
R1(config-ext-nacl)# permit tcp any 192.168.10.0 0.0.0.255 established
R1(config-ext-nacl)# exit
R1(config)#
R1(config)# interface g0/0/0
R1(config-if)# ip access-group SURFING in
R1(config-if)# ip access-group BROWSING out
R1(config-if)# end

Verifiering av ACL-statistik med show access-lists bekräftar att interna datorer har fått åtkomst till HTTPS-resurser (träffar på port 443) och att returtrafik från etablerade anslutningar till externa servrar har tillåtits.

R1# show access-lists
Extended IP access list SURFING
10 permit tcp 192.168.10.0 0.0.0.255 any eq www
20 permit tcp 192.168.10.0 0.0.0.255 any eq 443 (124 matches)

Extended IP access list BROWSING
10 permit tcp any 192.168.10.0 0.0.0.255 established (369 matches)

Redigera en Extended ACL

Liksom för Standard ACL kan en Extended ACL redigeras i en textredigerare om många ändringar behövs. Om endast enstaka ändringar ska göras kan sekvensnummer användas.

Scenario: Efter att SURFING och BROWSING ACL har skapats, upptäcks ett fel i SURFING ACL, där source IP-adressen i ACE 10 är felaktig. Se ACE 10 där adressen börjar med 19 istället 192.

R1# show access-lists
Extended IP access list SURFING
10 permit tcp 19.168.10.0 0.0.0.255 any eq www
20 permit tcp 192.168.10.0 0.0.0.255 any eq 443

För att korrigera detta används sekvensnummer för att radera och ersätta den felaktiga posten.

R1# configure terminal
R1(config)# ip access-list extended SURFING
R1(config-ext-nacl)# no 10
R1(config-ext-nacl)# 10 permit tcp 192.168.10.0 0.0.0.255 any eq www
R1(config-ext-nacl)# end

Exempel 2: Begränsad Åtkomst för PC1

I ett annat scenario ska endast PC1 (192.168.10.10) ha åtkomst till specifika tjänster på Internet, medan övriga interna användare nekas åtkomst.
Två namngivna utökade ACL:er används:

PERMIT-PC1 – Tillåter endast PC1 att använda specifika TCP-baserade tjänster.
REPLY-PC1 – Tillåter endast returtrafik från internet tillbaka till PC1.

Konfiguration av PERMIT-PC1:

R1(config)# ip access-list extended PERMIT-PC1
R1(config-ext-nacl)# remark Permit PC1 TCP access to Internet
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 20
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 21
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 22
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 23
R1(config-ext-nacl)# permit udp host 192.168.10.10 any eq 53
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 53
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 80
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 443
R1(config-ext-nacl)# deny ip 192.168.10.0 0.0.0.255 any
R1(config-ext-nacl)# exit

Förklaring:

eq 20 – FTP Data (överföringskanal för FTP)
eq 21 – FTP Control (kommandokanal för FTP)
eq 22 – SSH (säker fjärranslutning)
eq 23 – Telnet (osäker fjärranslutning)
eq 53 – DNS (domännamnsuppslag)
eq 80 – HTTP (webbtrafik)
eq 443 – HTTPS (säker webbtrafik)

Konfiguration av REPLY-PC1 (returtrafik):

R1(config)# ip access-list extended REPLY-PC1
R1(config-ext-nacl)# remark Only permit returning traffic to PC1
R1(config-ext-nacl)# permit tcp any host 192.168.10.10 established
R1(config-ext-nacl)# exit

Förklaring:

permit tcp → Tillåt TCP-trafik.
any → Trafiken kan komma från vilken extern källa som helst (t.ex. en webbsida på Internet).
host 192.168.10.10 → Destinationen måste vara PC1 (192.168.10.10).
established → Endast trafik från anslutningar som redan har initierats av PC1 tillåts.
- Det innebär att svar från exempelvis webbservrar (port 80/443) eller en SSH-server (port 22) kommer att tillåtas, men nya anslutningar initierade från Internet kommer att blockeras.

Tillämpning på interface G0/0/0:

R1(config)# interface g0/0/0
R1(config-if)# ip access-group PERMIT-PC1 in
R1(config-if)# ip access-group REPLY-PC1 out
R1(config-if)# end

Faktorer att Beakta vid Tillämpning av ACL

Vid tillämpning av en ACL är det viktigt att noggrant överväga följande:

Vilken enhet ACL:n ska appliceras på – Routrar eller brandväggar.
Vilket interface ACL:n ska appliceras på – Exempelvis G0/0/0 eller G0/0/1.
Om ACL:n ska tillämpas inkommande (in) eller utgående (out) – För optimal filtrerings effektivitet.