Att namnge en ACL gör det enklare att förstå dess funktion. För att skapa en namngiven utökad ACL, använd följande kommando i den globala konfigurationsläget:
Router(config)# ip access-list extended access-list-name
Detta kommando tar dig till konfigurationsläget för den namngivna utökade ACL:n. Kom ihåg att ACL-namn är alfanumeriska, skiftlägeskänsliga och måste vara unika.
I exemplet skapas en namngiven utökad ACL kallad NO-FTP-ACCESS, och prompten ändras till det namngivna utökade ACL-konfigurationsläget. ACE-satser matas in i det underordnade konfigurationsläget för den namngivna utökade ACL:n.
R1(config)# ip access-list extended NO-FTP-ACCESS
R1(config-ext-nacl)#
Namngiven utökad IPv4 ACL
Namngivna utökade ACL:er skapas i princip på samma sätt som namngivna standard-ACL:er.
Topologin i figuren används för att demonstrera konfiguration och tillämpning av två namngivna utökade IPv4 ACL:er på ett gränssnitt:
Exempel 1:
- SURFING – Denna kommer att tillåta att intern HTTP- och HTTPS-trafik lämnar nätverket mot Internet.
- BROWSING – Denna kommer endast att tillåta retur av webbtrafik till de interna värdarna medan all annan trafik som lämnar R1 G0/0/0-interfacet implicit nekas.
SURFING ACL tillåter HTTP- och HTTPS-trafik från interna användare att lämna via G0/0/1-interfacet som är anslutet till Internet. Webbtrafik som återvänder från internet tillåts tillbaka in i det interna privata nätverket av BROWSING ACL.
SURFING ACL appliceras inkommande och BROWSING ACL appliceras utgående på R1 G0/0/0-gränssnittet, som visas i utmatningen.
Interna datorer har haft tillgång till säkra webbresurser från Internet. Kommandot show access-lists används för att verifiera ACL-statistiken. Observera att räknarna för tillåten säker HTTPS-trafik (dvs. eq 443) i SURFING ACL och räknarna för returnerad etablerad trafik i BROWSING ACL har ökat.
R1(config)# ip access-list extended SURFING
R1(config-ext-nacl)# Remark Permits inside HTTP and HTTPS traffic
R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq 80
R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq 443
R1(config-ext-nacl)# exit
R1(config)#
R1(config)# ip access-list extended BROWSING
R1(config-ext-nacl)# Remark Only permit returning HTTP and HTTPS traffic
R1(config-ext-nacl)# permit tcp any 192.168.10.0 0.0.0.255 established
R1(config-ext-nacl)# exit
R1(config)# interface g0/0/0
R1(config-if)# ip access-group SURFING in
R1(config-if)# ip access-group BROWSING out
R1(config-if)# end
R1# show access-lists
Extended IP access list SURFING
10 permit tcp 192.168.10.0 0.0.0.255 any eq www
20 permit tcp 192.168.10.0 0.0.0.255 any eq 443 (124 matches)
Extended IP access list BROWSING
10 permit tcp any 192.168.10.0 0.0.0.255 established (369 matches)
R1#
Redigera utökade ACL
Liksom för standard ACL kan en utökad ACL redigeras med en textredigerare när många ändringar behövs. Om redigeringen endast gäller en eller två ACE-poster kan sekvensnummer användas istället.
Anta till exempel att du precis har lagt in SURFING och BROWSING ACL och vill kontrollera deras konfiguration med kommandot show access-lists.
- R1# show access-lists
- Extended IP access list BROWSING
- 10 permit tcp any 192.168.10.0 0.0.0.255 established
- Extended IP access list SURFING
- 10 permit tcp 19.168.10.0 0.0.0.255 any eq www
- 20 permit tcp 192.168.10.0 0.0.0.255 any eq 443
- R1#
Du märker att ACE sekvensnummer 10 i SURFING ACL har en felaktig source IP-nätverksadress. För att korrigera detta fel med sekvensnummer, tas det ursprungliga ACE-posten bort med kommandot no 10 och det korrigerade ACE-posten läggs till för att ersätta det ursprungliga.
R1# configure terminal
R1(config)# ip access-list extended SURFING
R1(config-ext-nacl)# no 10
R1(config-ext-nacl)# 10 permit tcp 192.168.10.0 0.0.0.255 any eq www
R1(config-ext-nacl)# end
Exempel 2:
Figuren visar ett annat scenario för att implementera en namngiven utökad IPv4 ACL. Antag att PC1 i det interna privata nätverket är tillåtet FTP, SSH, Telnet, DNS, HTTP och HTTPS-trafik. Däremot ska alla andra användare i det interna privata nätverket nekas tillgång.
Två namngivna utökade ACL kommer att skapas:
- PERMIT-PC1 – Detta kommer endast att tillåta PC1 TCP-åtkomst till Internet och neka alla andra datorer i det privata nätverket.
- REPLY-PC1 – Detta kommer endast att tillåta specificerad återvändande TCP-trafik till PC1 och implicit neka all annan trafik.
Exemplet visar konfigurationen för den inkommande PERMIT-PC1 ACL och den utgående REPLY-PC1.
PERMIT-PC1 ACL tillåter PC1 (dvs. 192.168.10.10) TCP-åtkomst till FTP (dvs. portar 20 och 21), SSH (22), Telnet (23), DNS (53), HTTP (80) och HTTPS (443) trafik. DNS (53) är tillåtet för både TCP och UDP.
REPLY-PC1 ACL kommer att tillåta returtrafik till PC1.
Det finns många faktorer att överväga när man tillämpar en ACL inklusive:
- Enheten som den ska tillämpas på
- Interfacet som den ska tillämpas på
- Riktningen den ska tillämpas i
Noggranna överväganden måste göras för att undvika oönskade filtreringseffekter. PERMIT-PC1 ACL tillämpas inåtgående och REPLY-PC1 ACL tillämpas utåtgående på R1:s G0/0/0-interface.
R1(config)# ip access-list extended PERMIT-PC1
R1(config-ext-nacl)# Remark Permit PC1 TCP access to internet
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 20
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 21
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 22
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 23
R1(config-ext-nacl)# permit udp host 192.168.10.10 any eq 53
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 53
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 80
R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 443
R1(config-ext-nacl)# deny ip 192.168.10.0 0.0.0.255 any
R1(config-ext-nacl)# exit
R1(config)#
R1(config)# ip access-list extended REPLY-PC1
R1(config-ext-nacl)# Remark Only permit returning traffic to PC1
R1(config-ext-nacl)# permit tcp any host 192.168.10.10 established
R1(config-ext-nacl)# exit
R1(config)# interface g0/0/0
R1(config-if)# ip access-group PERMIT-PC1 in
R1(config-if)# ip access-group REPLY-PC1 out
R1(config-if)# end
R1#