Placering av ACL | Standard ACL placering
I ett tidigare avsnitt diskuterades vad en Access Control List (ACL) är och dess betydelse. Här utforskar vi hur man skapar numrerade och namngivna Standard ACL. En noggrann planering är avgörande, särskilt för ACL med flera Access Control Entries (ACE).
Rekommendationer för att konfigurera en ACL
Vid skapande av en komplex ACL bör du:
- Använda en textredigerare för att skriva ut policydetaljer.
- Lägga till nödvändiga IOS-kommandon för att implementera policyn.
- Inkludera kommentarer för dokumentation.
- Kopiera och klistra in kommandona på enheten.
- Noggrant testa ACL:en för att säkerställa korrekt tillämpning.
Numrerad Standard IPv4 ACL – syntax
En numrerad Standard IPv4 ACL används för att filtrera trafik baserat på avsändarens IPv4-adress. För att skapa en numrerad Standard ACL (Numbered ACL), används följande kommando:
Router(config)# access-list access-list-number {deny | permit | remark text} <source> [source-wildcard] [log]
Nedan förklaras syntaxen för att skapa en numrerad Standard ACL:
| Parameter | Beskrivning |
|---|---|
| access-list | Anger att en ACL skapas och identifieras med ett nummer. Standard ACL använder 1–99 och 1300–1999. |
| deny | Blockerar trafik från den angivna käll-IP-adressen. |
| permit | Tillåter trafik från den angivna käll-IP-adressen. |
| remark text | Lägger till en kommentar i ACL:en för dokumentation. |
| source |
|
| source-wildcard | Wildcard-mask för att specificera ett nätverk eller adressintervall (valfritt, standard är 0.0.0.0 för exakt matchning). |
| log | Genererar en loggpost när en matchning inträffar (valfritt). |
Exempel 1: Tillåt en specifik host (192.168.1.10)
Router(config)# access-list 10 permit 192.168.1.10 0.0.0.0
Endast 192.168.1.10 tillåts. Wildcard-masken 0.0.0.0 innebär att alla bitar i IP-adressen måste matcha exakt. Alternativt kan nyckelordet host användas:
Router(config)# access-list 10 permit host 192.168.1.10
Exempel 2: Blockera ett helt nätverk (192.168.1.0/24)
Router(config)# access-list 10 deny 192.168.1.0 0.0.0.255
Alla adresser från 192.168.1.1 till 192.168.1.255 blockeras
Exempel 3: lägga till en kommentar i ACL:en
Router(config)# access-list 10 remark Blockera åtkomst till nätverk 192.168.1.0/24
Kommentaren hjälper administratörer att förstå ACL-regeln vid felsökning och underhåll
Exempel 4: Logga matchad trafik
Router(config)# acces-list 10 deny 192.168.1.0 0.0.0.255 log
Vid varje matchning genereras en loggpost i enhetens syslog.
Exempel 5: Ta bort Standard ACL 10
Router(config)# no access-list 10
Förklaring: Tar bort ACL 10, inklusive alla tillhörande regler.
Namngivna Standard ACL (Named Standard ACL)
Namngivna ACL:er gör det enklare att förstå deras funktion och syfte jämfört med numrerade ACL:er.
För att skapa en Named Standard ACL, använd följande kommando:
Router(config)# ip access-list standard <access-list-name>
Regler för namn
- Namnet måste vara unikt.
- Namn är skiftlägeskänsliga (case-sensitive).
- Versaler rekommenderas för tydlighet.
Exempel – Skapa en namngiven Standard ACL NO_ACCESS
R1(config)# ip access-list standard NO_ACCESS
R1(config-std-nacl)# ?
Observera att prompten har ändrats till std (standard) och nacl (named ACL). Frågetecken används för att se vad mer kan konfigureras.
Standard Access List configuration commands: <1-2147483647> Sequence Number default Set a command to its defaults deny Specify packets to reject exit Exit from access-list configuration mode no Negate a command or set its defaults permit Specify packets to forward remark Access list entry comment
Med hjälp av utdatan kan konfigureras att blockera all trafik från nätverket 192.168.1.0/24, men tillåta all annan trafik.
Router(config)# ip access-list standard NO_ACCESS
Router(config-std-nacl)# deny 192.168.1.0 0.0.0.255
Router(config-std-nacl)# permit any
För att ta bort en namngiven Standard ACL
Router(config)# no ip access-list standard <access-list-name>