Standard ACL konfigurering

Placering av ACL      |      Standard ACL placering


I ett tidigare avsnitt diskuterades vad en Access Control List (ACL) är och dess betydelse. Här utforskar vi hur man skapar numrerade och namngivna Standard ACL. En noggrann planering är avgörande, särskilt för ACL med flera Access Control Entries (ACE).

Rekommendationer för att konfigurera en ACL

Vid skapande av en komplex ACL bör du:

  • Använda en textredigerare för att skriva ut policydetaljer.
  • Lägga till nödvändiga IOS-kommandon för att implementera policyn.
  • Inkludera kommentarer för dokumentation.
  • Kopiera och klistra in kommandona på enheten.
  • Noggrant testa ACL:en för att säkerställa korrekt tillämpning.

Numrerad Standard IPv4 ACL – syntax

En numrerad Standard IPv4 ACL används för att filtrera trafik baserat på avsändarens IPv4-adress. För att skapa en numrerad Standard ACL (Numbered ACL), används följande kommando:

Router(config)# access-list access-list-number {deny | permit | remark text} <source> [source-wildcard] [log]

Nedan förklaras syntaxen för att skapa en numrerad Standard ACL:

Parameter Beskrivning
access-list Anger att en ACL skapas och identifieras med ett nummer. Standard ACL använder 1–99 och 1300–1999.
deny Blockerar trafik från den angivna käll-IP-adressen.
permit Tillåter trafik från den angivna käll-IP-adressen.
remark text Lägger till en kommentar i ACL:en för dokumentation.
source
  • Detta identifierar source-nätverket eller host-adress för filtrering.
  • Använd nyckelordet any för att specificera alla nätverk.
  • Använd nyckelordet host ip-address eller ange enbart en ip-adress (utan nyckelordet host) för att identifiera en specifik IP-adress.
source-wildcard Wildcard-mask för att specificera ett nätverk eller adressintervall (valfritt, standard är 0.0.0.0 för exakt matchning).
log Genererar en loggpost när en matchning inträffar (valfritt).

Exempel 1: Tillåt en specifik host (192.168.1.10)

Router(config)# access-list 10 permit 192.168.1.10 0.0.0.0

Endast 192.168.1.10 tillåts. Wildcard-masken 0.0.0.0 innebär att alla bitar i IP-adressen måste matcha exakt. Alternativt kan nyckelordet host användas:

Router(config)# access-list 10 permit host 192.168.1.10

Exempel 2: Blockera ett helt nätverk (192.168.1.0/24)

Router(config)# access-list 10 deny 192.168.1.0 0.0.0.255

Alla adresser från 192.168.1.1 till 192.168.1.255 blockeras

Exempel 3: lägga till en kommentar i ACL:en

Router(config)# access-list 10 remark Blockera åtkomst till nätverk 192.168.1.0/24

Kommentaren hjälper administratörer att förstå ACL-regeln vid felsökning och underhåll

Exempel 4: Logga matchad trafik

Router(config)# acces-list 10 deny 192.168.1.0 0.0.0.255 log

Vid varje matchning genereras en loggpost i enhetens syslog.

Exempel 5: Ta bort Standard ACL 10

Router(config)# no access-list 10

Förklaring: Tar bort ACL 10, inklusive alla tillhörande regler.

Namngivna Standard ACL (Named Standard ACL)

Namngivna ACL:er gör det enklare att förstå deras funktion och syfte jämfört med numrerade ACL:er.

För att skapa en Named Standard ACL, använd följande kommando:

Router(config)# ip access-list standard <access-list-name>

Regler för namn

  • Namnet måste vara unikt.
  • Namn är skiftlägeskänsliga (case-sensitive).
  • Versaler rekommenderas för tydlighet.

Exempel – Skapa en namngiven Standard ACL NO_ACCESS

R1(config)# ip access-list standard NO_ACCESS
R1(config-std-nacl)# ?

Observera att prompten har ändrats till std (standard) och nacl (named ACL). Frågetecken används för att se vad mer kan konfigureras.

Standard Access List configuration commands:
<1-2147483647> Sequence Number
default        Set a command to its defaults
deny           Specify packets to reject
exit           Exit from access-list configuration mode
no             Negate a command or set its defaults
permit         Specify packets to forward
remark         Access list entry comment

Med hjälp av utdatan kan konfigureras att blockera all trafik från nätverket 192.168.1.0/24, men tillåta all annan trafik.

Router(config)# ip access-list standard NO_ACCESS
Router(config-std-nacl)# deny 192.168.1.0 0.0.0.255
Router(config-std-nacl)# permit any

För att ta bort en namngiven Standard ACL

Router(config)# no ip access-list standard <access-list-name>

Placering av ACL      |      Standard ACL placering