Ensin määritetään lähde-IP-osoite, joka tässä tapauksessa on luvaton 192.168.1.50. Haluat ensin estää kaiken kyseisestä IP-osoitteesta tulevan liikenteen, minkä voit tehdä jokerimaskilla, joka toimii suodattimena kyseisessä lähteen alaryhmässä.
Voit lukea kaiken siitä, miten jokerimaskit toimivat, toisesta postauksesta. Tässä esimerkissä sinun on hyvä tietää, että 0.0.0.0:n kirjoittaminen tähän estää IP-osoitteen jokaisen oktetin. Tässä tapauksessa se estäisi jokaisen 192.168.1-aliverkosta tulevan käyttöyrityksen. Yllä olevassa esimerkissä on kuitenkin vain yksi isäntä. Jos kirjoitat ”host”, maskipyyntöä ei tule, vaan sen sijaan kysytään määränpäätä.
Määränpään asettaminen
Nyt kun kohde on tunnistettu, on aika syöttää rajoitettu määränpää. Nykyisessä muodossaan tämä ACL kieltää kaiken TCP-liikenteen välillä 192.168.1.50 ja 192.168.2.50. Tätä ei kuitenkaan haluta tehdä. Tässä kohtaa porttikohtaiset toiminnot tulevat tärkeiksi.
Näillä lausekkeilla kiellät porttien pääsyn verkkoon.
Router1# conf t
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 80
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 443
Ensimmäisellä lausekkeella estät kohteen kohteen portin 80. Toinen lauseke toistaa prosessin HTTPS:lle, joka on portti 443. Avainsana ”EQ”, joka tarkoittaa yhtä suuri kuin, mahdollistaa tiettyjen porttien syöttämisen.
Luettelon tarkistamiseksi voit kutsua luettelon (”Show Access List”), joka palauttaa kaksi uutta lauseketta.
Router1(config)#do sh access-list 150
Laajennettu IP-käyttöluettelo 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50.168.1.50 host 192.168.2.50 eq 443
Ensimmäinen kieltää ensimmäisen isännän yhteyden muodostamisen toiseen isäntään käyttäen porttia 80 (HTTP) ja toinen lauseke kieltää saman porttia 443 (HTTPS) käyttäen. ACL sisältää nyt tarvittavat ohjeet. Mutta konfigurointi ei ole vielä ohi, eikä sitä voi soveltaa rajapintaan.
”Deny All” -lausekkeen kumoaminen
Jokaisen ACL:n lopussa on ’Implicit DENY ALL’ -lauseke. Tämä lauseke ei näy konfiguraatiossa tai kun suoritat komennon ’show access-list’. Se on kuitenkin AINA olemassa. ” Jos siis lisäät vain kaksi edellä mainittua deny-lauseketta, tuo implisiittinen deny-lauseke estää kaiken pääsyn ja aiheuttaa täydellisen verkkokatkoksen. Tämän korjaamiseksi ACL tarvitsee myös permit-lausekkeen.
Nosta Access List 150 (tälle listalle annettu numero) ja lisää ”Permit”. Määritä permit niin, että se sisältää IP:n mistä tahansa lähteestä mihin tahansa kohdeosoitteeseen. Sallimalla kaikki muunnelmat lausekkeen sisällä, ”deny all” -toiminto kumoutuu eikä aiheuta enää tuota katkosta. Sen sijaan vain luomasi kaksi deny-lauseketta ovat nyt voimassa, ja kaikki muu liikenne on nyt sallittua.
Router1(config)#access-list 150 permit ip any any
Router1(config)#do sh access-list 150
Laajennettu IP-käyttöluettelo 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50.168.1.50 host 192.168.2.50 eq 443
30 permit ip any any any
ACL:n soveltaminen ja suunnan määrittäminen
Ciscon parhaat käytännöt osoittavat, että tätä luetteloa tulisi soveltaa mahdollisimman aikaisessa vaiheessa. Tässä tapauksessa se on reitittimellä 1. Kirjoita konsolissa FastEthernet 0/0 -liitännälle ”int fa0/0” ja sen jälkeen komento ”ip access-group”. Kirjoita sitten kyseisen listan numero, joka tässä tapauksessa on 150.
Konsoli kysyy sitten ”in” (saapuva paketti) tai ”out” (lähtevä paketti), mikä edellyttää suunnan määrittämistä. Paras mahdollinen neuvo tässä: ole reititin. Kuvittele, että jokainen käsivarsi on rajapinta, yksi FastEthernet 0/0 ja yksi serial 0/0, ja kysy, mistä suunnasta liikenne tulee. Tässä tapauksessa liikenne tulee rajapinnasta, mikä tässä esimerkissä tarkoittaa, että pääsylistan soveltamisen viimeisen merkinnän pitäisi olla ”in”.
Router1(config)# int fa0/0
Router1(config-if)#ip access-group 150 in
Kun pääsylistaa on sovellettu, isäntä 192.168.1.50 ei enää pysty tavoittamaan isäntää 192.168.2.50 käyttäen joko porttia 80 tai 443, ja työsi on tehty!
CBT Nuggetsin ACL-kurssit
Kouluttaja Jeremy Cioaran seuraava CBT Nuggetsin kurssi sisältää kaksi videota (66 ja 67), joissa käsitellään tarkemmin pääsylistoja.
- Cisco CCENT/CCNA 100-105 ICND1
Haluatko oppia lisää pääsylistoista Ciscon reitittimissä? Tässä Jeremy lisää aiheesta!