Att skapa ACL | Placering av ACL
Tidigare avsnitt har behandlat ACL:s syfte och riktlinjer för att skapa och tillämpa/placera ACL. Detta avsnitt kommer att ta upp tillämpning/placering av de olika ACL typer, samt exempel på hur dessa placeras.
Det finns två typer av IPv4 ACL:
- Standard ACL: Tillåter (permit) eller nekar (deny) paket enbart baserat på källans (source) IPv4-adress.
- Extended ACL: Tillåter (permit) eller nekar (deny) paket baserat på både källans (source) och destinationens IPv4-adresser, protokolltyp, source- och destinationsportar för TCP eller UDP, och mer.
Exempel på Standard ACL
R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255
ACL 10 tillåter trafik från enheter i nätverket 192.168.10.0/24
. På grund av den implicita "deny any"
i slutet blockeras all annan trafik som inte uttryckligen tillåts av denna ACL.
Exempel på Extended ACL
I följande exempel tillåter en extended ACL 100 trafik från vilken enhet som helst i nätverket 192.168.10.0/24
till vilket IPv4-nätverk som helst, förutsatt att destinationsporten är 80 (HTTP):
R1(config)# access-list 100 permit tcp 192.168.10.0 0.0.0.255 any eq www
Observera att Standard ACL 10 endast kan filtrera efter source-adress, medan Extended ACL 100 filtrerar både på source- och destination-adress samt protokollinformation från lager 3 och lager 4 (dvs. TCP).
Hur ACL (standard/extended) identifieras och konfigureras
- Named ACL – Namngivna ACL
- Numbered ACL – Numrerad ACL
Numrerade ACL
Numrerade ACL delas in i två huvudkategorier:
- Standard ACL: Nummer 1-99 och 1300-1999
- Extended ACL: Nummer 100-199 och 2000-2699
Exempel på kommandoutmatning vid konfiguration av ACL:
R1(config)# access-list ? <1-99> IP standard access list <100-199> IP extended access list <1100-1199> Extended 48-bit MAC address access list <1300-1999> IP standard access list (expanded range) <200-299> Protocol type-code access list <2000-2699> IP extended access list (expanded range) <700-799> 48-bit MAC address access list rate-limit Simple rate-limit specific access list template Enable IP template acls
Namngivna ACL
Namngivna ACL rekommenderas vid konfiguration, eftersom både Standard- och Extended ACL kan ges beskrivande namn som tydligt anger deras syfte. Till exempel är det bättre att använda namnet FTP-FILTER istället för en generisk numrerad ACL som 100.
För att skapa en namngiven extended ACL används kommandot ip access-list extended
, som i följande exempel:
R1(config)# ip access-list extended FTP-FILTER R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq ftp R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq ftp-data
Regler för namngivna ACL:
- Tilldela ett namn som beskriver ACL:ens syfte.
- Namn kan innehålla alfanumeriska tecken.
- Namn får inte innehålla mellanslag eller specieltecken.
- Det rekommenderas att namnet skrivs med VERSALER.
- Poster (ACE) kan läggas till eller tas bort inom ACL:n.
Sammanfattning
Det finns två huvudtyper av ACL: Standard ACL och Extended ACL.
Standard ACL filtrerar trafik enbart baserat på källadressen och bör placeras nära destinationen för att undvika oavsiktlig blockering av legitima paket.
Extended ACL kan filtrera trafik baserat på både käll- och destinationsadress, protokolltyp och portar. Den bör placeras nära källan för att stoppa oönskad trafik tidigt och minska belastningen på nätverket.
Båda ACL-typerna kan konfigureras antingen som numrerade eller namngivna, där namngivna ACL ger bättre översikt och flexibilitet i hanteringen.