Als erstes müssen Sie die Quell-IP-Adresse definieren, die in diesem Fall die nicht autorisierte 192.168.1.50 ist. Sie wollen zunächst den gesamten Verkehr von dieser IP-Adresse blockieren, was Sie mit einer Platzhaltermaske tun können, die als Filter innerhalb dieser Quelluntergruppe fungiert.
Wie Wildcard-Masken funktionieren, können Sie in einem anderen Beitrag nachlesen. In diesem Beispiel sollten Sie wissen, dass die Eingabe von 0.0.0.0 hier jedes Oktett der IP-Adresse blockiert. In diesem Fall würde das jeden Zugriffsversuch aus dem Subnetz 192.168.1 verweigern. In dem oben dargestellten Beispiel gibt es jedoch nur einen Host. Wenn Sie „host“ eingeben, wird keine Maske abgefragt, sondern ein Ziel.
Festlegen des Ziels
Nachdem das Ziel identifiziert wurde, ist es nun an der Zeit, das eingeschränkte Ziel einzugeben. In ihrer aktuellen Form wird diese ACL den gesamten TCP-Verkehr zwischen 192.168.1.50 und 192.168.2.50 verweigern. Aber das wollen Sie nicht tun. An dieser Stelle wird die portspezifische Funktionalität wichtig.
Mit diesen Anweisungen verweigern Sie den Ports den Zugang zu Ihrem Netzwerk.
Router1# conf t
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 80
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 443
Die erste Anweisung blockiert das Ziel an Port 80 des Ziels. Die zweite Anweisung wiederholt den Vorgang für HTTPS, d.h. für Port 443. Das Schlüsselwort „EQ“, das gleichbedeutend mit ist, ermöglicht die Eingabe bestimmter Ports.
Um die Liste zu überprüfen, rufen Sie die Liste auf („Show Access List“), die die beiden neuen Anweisungen zurückgibt.
Router1(config)#do sh access-list 150
Erweiterte IP Zugriffsliste 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50 host 192.168.2.50 eq 443
Die erste Anweisung verbietet dem ersten Host, sich mit dem zweiten über Port 80 (HTTP) zu verbinden, und die zweite Anweisung verbietet dasselbe über Port 443 (HTTPS). Die ACL enthält nun die erforderlichen Anweisungen. Aber die Konfiguration ist noch nicht abgeschlossen und kann noch nicht auf eine Schnittstelle angewendet werden.
Negieren der „Deny All“-Anweisung
Am Ende jeder ACL befindet sich eine „Implizite DENY ALL“-Anweisung. Diese Anweisung erscheint nicht in der Konfiguration oder wenn Sie den Befehl „show access-list“ ausführen. Aber sie ist IMMER vorhanden. „Wenn Sie also nur die beiden oben beschriebenen Verweigerungsanweisungen hinzufügen, wird diese implizite Verweigerungsanweisung den gesamten Zugriff blockieren und einen totalen Netzwerkausfall verursachen. Um dies zu beheben, muss die ACL auch eine permit-Anweisung enthalten.
Rufen Sie die Zugriffsliste 150 (die dieser Liste zugewiesene Nummer) auf und fügen Sie „Erlauben“ hinzu. Konfigurieren Sie die Erlaubnis so, dass sie IP von jeder Quelle zu jeder Zieladresse einschließt. Indem Sie alle Variationen innerhalb der Anweisung zulassen, wird die Funktion „alles verweigern“ außer Kraft gesetzt und verursacht nicht mehr diesen Ausfall. Stattdessen gelten jetzt nur noch die beiden von Ihnen erstellten Deny-Anweisungen, und der gesamte andere Datenverkehr wird zugelassen.
Router1(config)#access-list 150 permit ip any any
Router1(config)#do sh access-list 150
Erweiterte IP Zugriffsliste 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50 host 192.168.2.50 eq 443
30 permit ip any any
Anwenden der ACL und Festlegen der Richtung
Die besten Praktiken von Cisco zeigen, dass diese Liste so früh wie möglich in der Sequenz angewendet werden sollte. In diesem Fall ist das bei Router 1. Geben Sie in der Konsole „int fa0/0“ für die Schnittstelle FastEthernet 0/0 und dann den Befehl „ip access-group“ ein. Dann geben Sie die entsprechende Listennummer ein, die in diesem Fall 150 ist.
Die Konsole wird dann „in“ (eingehendes Paket) oder „out“ (ausgehendes Paket) abfragen, was die Bestimmung der Richtung erfordert. Der beste Ratschlag hier: Seien Sie der Router. Stellen Sie sich vor, jeder Ihrer Arme sei eine Schnittstelle, eine FastEthernet 0/0 und eine serielle 0/0, und fragen Sie, aus welcher Richtung der Verkehr kommt. In diesem Fall kommt der Datenverkehr über die Schnittstelle, was in diesem Beispiel bedeutet, dass der letzte Eintrag bei der Anwendung der Zugriffsliste „in“ sein sollte.
Router1(config)# int fa0/0
Router1(config-if)#ip access-group 150 in
Mit der angewendeten Zugriffsliste wird der Host 192.168.1.50 nicht mehr in der Lage sein, den Host 192.168.2.50 über Port 80 oder 443 zu erreichen, und Ihre Arbeit ist getan!
CBT Nuggets ACL-Kurse
Der folgende CBT Nuggets-Schulungskurs von Trainer Jeremy Cioara enthält zwei Videos (66 und 67), die Zugriffslisten im Detail behandeln.
- Cisco CCENT/CCNA 100-105 ICND1
Wollen Sie mehr über Zugangslisten auf Cisco-Routern erfahren? Hier ist Jeremy mit mehr zu diesem Thema!