Az első dolog, amit meg kell tennünk, az a forrás IP-cím meghatározása, ami ebben az esetben a nem engedélyezett 192.168.1.50. Először is blokkolni akarja az erről az IP-címről érkező összes forgalmat, amit egy wildcard maszkkal tehet meg, amely szűrőként működik az adott forrás alcsoporton belül.
A vadkártyás maszkok működéséről egy másik bejegyzésben olvashat. Ebben a példában tudnia kell, hogy a 0.0.0.0.0 beírása itt az IP-cím minden oktettjét blokkolja. Ebben az esetben ez megtagadna minden hozzáférési kísérletet a 192.168.1 alhálózatból. A fenti példában azonban csak egy állomás van. Ha a “host”-ot írja be, akkor nem lesz maszkkérés, hanem a célállomás megadására kérdez rá.
A célállomás beállítása
Most, hogy a célállomás azonosítva van, itt az ideje a korlátozott célállomás megadásának. Jelenlegi formájában ez az ACL megtagad minden TCP-forgalmat a 192.168.1.50 és 192.168.2.50 között. De ezt nem akarja megtenni. Itt válik fontossá a port-specifikus funkcionalitás.
Ezekkel az utasításokkal megtagadod a portok hozzáférését a hálózatodhoz.
Router1# conf t
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 80
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 443
Az első utasítás a célállomás 80-as portján blokkolja a célt. A második utasítás megismétli a folyamatot a HTTPS esetében, ami a 443-as port. Az “EQ” kulcsszó, ami annyit jelent, hogy egyenlő, lehetővé teszi bizonyos portok megadására.
A lista ellenőrzéséhez hívja elő a listát (“Show Access List”), amely visszaadja a két új utasítást.
Router1(config)#do sh access-list 150
Extended IP access list 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.1.1.50 host 192.168.2.50 eq 443
Az első utasítás megtagadja, hogy az első állomás a 80-as porton (HTTP) keresztül csatlakozzon a másodikhoz, a második utasítás pedig megtagadja ugyanezt a 443-as porton (HTTPS) keresztül. Az ACL most már tartalmazza a szükséges utasításokat. De a konfigurációnak még nincs vége, és még nem áll készen arra, hogy egy interfészre alkalmazzuk.
A “Deny All” tagadása
Minden ACL végén van egy ‘Implicit DENY ALL’ utasítás. Ez az utasítás nem jelenik meg a konfigurációban vagy a ‘show access-list’ parancs futtatásakor. De MINDIG ott van. ” Tehát, ha csak a fent említett két deny utasítást adod hozzá, akkor ez az implicit deny utasítás minden hozzáférést blokkolni fog, és teljes hálózati kiesést fog okozni. Ennek kijavításához az ACL-nek szüksége van egy permit utasításra is.
Növeljük fel a 150-es hozzáférési listát (a listához rendelt szám), és adjuk hozzá a “Permit”-et. Állítsa be az engedélyt úgy, hogy az IP bármely forrásból bármely célcímre kiterjedjen. Azzal, hogy az utasításon belül minden variációt engedélyez, a “deny all” funkció felülbírálódik, és többé nem okoz ilyen kiesést. Ehelyett mostantól csak a két létrehozott deny utasítás lesz érvényes, és minden más forgalom engedélyezett lesz.
Router1(config)#access-list 150 permit ip any any
Router1(config)#do sh access-list 150
Extended IP access list 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50 host 192.168.2.50 eq 443
30 permit ip any any
ACL alkalmazása és az irány meghatározása
A Cisco legjobb gyakorlatai szerint ezt a listát a lehető legkorábban kell alkalmazni. Ebben az esetben ez az 1-es útválasztónál történik. A konzolon írja be az “int fa0/0” parancsot a FastEthernet 0/0 interfészhez, majd az “ip access-group” parancsot. Ezután írja be a megfelelő lista számát, ami ebben az esetben a 150-es.
A konzol ezután lekérdezi az “in” (bejövő csomag) vagy “out” (kimenő csomag) lekérdezést, amihez meg kell határozni az irányt. A lehető legjobb tanács itt: legyen a router. Képzeld el, hogy minden karod egy-egy interfész, egy FastEthernet 0/0 és egy soros 0/0, és kérdezd meg, hogy melyik irányból érkezik a forgalom. Ebben az esetben a forgalom az interfészen érkezik, ami ebben a példában azt jelenti, hogy a hozzáférési lista alkalmazásának utolsó bejegyzésének “in” kell lennie.
Router1(config)# int fa0/0
Router1(config-if)#ip access-group 150 in
A hozzáférési lista alkalmazásával a 192.168.1.50 állomás többé nem fogja tudni elérni a 192.168.2.50 hosztot sem a 80-as, sem a 443-as porton keresztül, és a munkát elvégezte!
CBT Nuggets ACL tanfolyamok
A következő CBT Nuggets tanfolyam Jeremy Cioara oktatótól két videót (66 és 67) tartalmaz, amelyek részletesebben foglalkoznak a hozzáférési listákkal.
- Cisco CCENT/CCNA 100-105 ICND1
Kíván többet megtudni a Cisco útválasztók hozzáférési listáiról? Itt van Jeremy, aki többet tud a témáról!