Typer av ACL

Att skapa ACL | Placering av ACL

Tidigare avsnitt har behandlat ACL:s syfte och riktlinjer för att skapa och tillämpa/placera ACL. Detta avsnitt kommer att ta upp tillämpning/placering av de olika ACL typer, samt exempel på hur dessa placeras.

Det finns två typer av IPv4 ACL:

Standard ACL: Tillåter (permit) eller nekar (deny) paket enbart baserat på källans (source) IPv4-adress.
Extended ACL: Tillåter (permit) eller nekar (deny) paket baserat på både källans (source) och destinationens IPv4-adresser, protokolltyp, source- och destinationsportar för TCP eller UDP, och mer.

Exempel på Standard ACL

R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255

ACL 10 tillåter trafik från enheter i nätverket 192.168.10.0/24. På grund av den implicita "deny any" i slutet blockeras all annan trafik som inte uttryckligen tillåts av denna ACL.

Exempel på Extended ACL

I följande exempel tillåter en extended ACL 100 trafik från vilken enhet som helst i nätverket 192.168.10.0/24 till vilket IPv4-nätverk som helst, förutsatt att destinationsporten är 80 (HTTP):

R1(config)# access-list 100 permit tcp 192.168.10.0 0.0.0.255 any eq www

Observera att Standard ACL 10 endast kan filtrera efter source-adress, medan Extended ACL 100 filtrerar både på source- och destination-adress samt protokollinformation från lager 3 och lager 4 (dvs. TCP).

Hur ACL (standard/extended) identifieras och konfigureras

Named ACL – Namngivna ACL
Numbered ACL – Numrerad ACL

Numrerade ACL

Numrerade ACL delas in i två huvudkategorier:

Standard ACL: Nummer 1-99 och 1300-1999
Extended ACL: Nummer 100-199 och 2000-2699

Exempel på kommandoutmatning vid konfiguration av ACL:

R1(config)# access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1100-1199> Extended 48-bit MAC address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<700-799> 48-bit MAC address access list
rate-limit Simple rate-limit specific access list
template Enable IP template acls

Namngivna ACL

Namngivna ACL rekommenderas vid konfiguration, eftersom både Standard- och Extended ACL kan ges beskrivande namn som tydligt anger deras syfte. Till exempel är det bättre att använda namnet FTP-FILTER istället för en generisk numrerad ACL som 100.

För att skapa en namngiven extended ACL används kommandot ip access-list extended, som i följande exempel:

R1(config)# ip access-list extended FTP-FILTER
R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq ftp
R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq ftp-data

Regler för namngivna ACL:

Tilldela ett namn som beskriver ACL:ens syfte.
Namn kan innehålla alfanumeriska tecken.
Namn får inte innehålla mellanslag eller specieltecken.
Det rekommenderas att namnet skrivs med VERSALER.
Poster (ACE) kan läggas till eller tas bort inom ACL:n.

Sammanfattning

Det finns två huvudtyper av ACL: Standard ACL och Extended ACL.

Standard ACL filtrerar trafik enbart baserat på källadressen och bör placeras nära destinationen för att undvika oavsiktlig blockering av legitima paket.

Extended ACL kan filtrera trafik baserat på både käll- och destinationsadress, protokolltyp och portar. Den bör placeras nära källan för att stoppa oönskad trafik tidigt och minska belastningen på nätverket.