Den første ting du ønsker at gøre er at definere kilde-IP-adressen, som i dette tilfælde er den uautoriserede 192.168.1.50. Du vil først blokere al trafik fra denne IP-adresse, hvilket du kan gøre med en wildcard-maske, som fungerer som filter inden for denne kildeundergruppe.
Du kan læse alt om, hvordan wildcard-masker fungerer, i et andet indlæg. I dette eksempel skal du vide, at hvis du indtaster 0.0.0.0.0 her, vil du blokere alle oktetter i IP-adressen. I dette tilfælde ville det afvise alle adgangsforsøg fra 192.168.1-subnettet. Det illustrerede eksempel ovenfor har dog kun én vært. Hvis du indtaster “host”, er der ingen maskeanmodning, og der bliver i stedet spurgt om en destination.
Indstilling af destination
Nu, hvor målet er identificeret, er det tid til at indtaste den begrænsede destination. I sin nuværende form vil denne ACL nægte al TCP-trafik mellem 192.168.1.50 og 192.168.2.50. Men det ønsker du ikke at gøre. Det er her, at den portspecifikke funktionalitet bliver vigtig.
Med disse angivelser nægter du portene adgang til dit netværk.
Router1# conf t
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 80
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 443
Den første anvisning blokerer målet på port 80 i destinationen. Den anden erklæring gentager processen for HTTPS, som er port 443. Nøgleordet “EQ”, der betyder lig med, giver mulighed for at indtaste specifikke porte.
For at kontrollere listen skal du kalde listen op (“Vis adgangsliste”), som vil returnere de to nye udsagn.
Router1(config)#do sh access-list 150
Udvidet IP-adgangsliste 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50 host 192.168.2.50 eq 443
Den første afviser, at den første vært kan oprette forbindelse til den anden vært ved hjælp af port 80 (HTTP), og den anden erklæring afviser det samme ved hjælp af port 443 (HTTPS). ACL’en indeholder nu de nødvendige instruktioner. Men konfigurationen er ikke slut endnu, og den er ikke klar til at blive anvendt på en grænseflade.
Negering af “Deny All”
I slutningen af alle ACL’er er der en “Implicit DENY ALL”-anvisning. Denne erklæring vises ikke i konfigurationen eller når du kører kommandoen ‘show access-list’. Men den er der ALTID. ” Så hvis du kun tilføjer de to deny-meddelelser, der er nævnt ovenfor, vil den implicitte deny-meddelelse blokere al adgang og forårsage en total netværksafbrydelse. For at løse dette problem skal ACL’en også have en permit-anvisning.
Opnå Access List 150 (det nummer, der er tildelt denne liste) og tilføj “Permit”. Konfigurer tilladelsen til at omfatte IP fra en hvilken som helst kilde til en hvilken som helst destinationsadresse. Ved at tillade alle variationer i erklæringen tilsidesættes “deny all”-funktionen og forårsager ikke længere denne afbrydelse. I stedet gælder nu kun de to deny-erklæringer, du oprettede, og al anden trafik vil nu blive tilladt.
Router1(config)#access-list 150 permit ip any any
Router1(config)#do sh access-list 150
Extended IP access list 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50 host 192.168.2.50 eq 443
30 permit ip any any
Anvendelse af ACL’en og fastlæggelse af retning
Cisco’s bedste praksis angiver, at denne liste skal anvendes så tidligt i sekvensen som muligt. I dette tilfælde er det på Router 1. I konsollen skal du indtaste “int fa0/0” for FastEthernet 0/0-grænsefladen og derefter kommandoen “ip access-group”. Indtast derefter det relevante listenummer, som i dette tilfælde er 150.
Konsollen vil derefter forespørge “in” (indgående pakke) eller “out” (udgående pakke), hvilket kræver, at retningen bestemmes. Det bedst mulige råd her: Vær routeren. Forestil dig at hver af dine arme er en grænseflade, en FastEthernet 0/0 og en seriel 0/0, og spørg hvilken retning trafikken kommer fra. I dette tilfælde kommer trafikken ind i grænsefladen, hvilket i dette eksempel indikerer, at den sidste post for anvendelse af adgangslisten skal være “in”.
Router1(config)# int fa0/0
Router1(config-if)#ip access-group 150 in
Med adgangslisten anvendt vil vært 192.168.1.50 ikke længere kunne nå vært 192.168.2.50 ved hjælp af enten port 80 eller 443, og dit arbejde er gjort!
CBT Nuggets ACL-kurser
Det følgende CBT Nuggets-træningskursus af træner Jeremy Cioara indeholder to videoer (66 og 67), der dækker adgangslister mere detaljeret.
- Cisco CCENT/CCNA 100-105 ICND1
Vil du lære mere om adgangslister på Cisco-routere? Her er Jeremy med mere om emnet!