Het eerste wat u wilt doen is het bron-IP-adres definiëren, dat in dit geval het ongeautoriseerde 192.168.1.50 is. Eerst moet al het verkeer van dat IP-adres worden geblokkeerd, wat kan worden gedaan met een wildcard mask, dat fungeert als een filter binnen die bronsubgroep.
Je kunt alles lezen over hoe wildcard maskers werken in een andere post. In dit voorbeeld moet je weten dat het invoeren van 0.0.0.0 hier elk octet van het IP adres zal blokkeren. In dit geval zou dat elke toegangspoging vanuit het 192.168.1 subnet weigeren. Het geïllustreerde voorbeeld hierboven heeft echter maar één host. Als “host” wordt ingevoerd, wordt er niet om een masker gevraagd, maar in plaats daarvan om een bestemming.
De bestemming instellen
Nu het doel is geïdentificeerd, is het tijd om de beperkte bestemming in te voeren. In zijn huidige vorm zal deze ACL alle TCP verkeer weigeren tussen 192.168.1.50 en 192.168.2.50. Maar dat wil je niet doen. Dit is waar de poort-specifieke functionaliteit belangrijk wordt.
Met deze statements, ontzeg je de poorten de toegang tot je netwerk.
Router1# conf t
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 80
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 443
Het eerste statement blokkeert het doelwit op poort 80 van de bestemming. Het tweede statement herhaalt het proces voor HTTPS, welke poort 443 is. Het sleutelwoord “EQ”, wat gelijk aan betekent, staat de invoer van specifieke poorten toe.
Om de lijst te controleren, roep de lijst op (“Show Access List”), die de twee nieuwe statements zal teruggeven.
Router1(config)#do sh access-list 150
Extended IP access list 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50 host 192.168.2.50 eq 443
De eerste verbiedt de eerste host om verbinding te maken met de tweede via poort 80 (HTTP) en de tweede verbiedt hetzelfde via poort 443 (HTTPS). De ACL bevat nu de noodzakelijke instructies. Maar de configuratie is nog niet klaar, en is nog niet klaar om toegepast te worden op een interface.
De “Deny All” negeren
Aan het eind van iedere ACL staat een “Implicit DENY ALL” statement. Dit statement is niet zichtbaar in de configuratie of wanneer je het ‘show access-list’ commando uitvoert. Maar hij is er ALTIJD. “Dus, als je alleen de twee bovenstaande deny verklaringen toevoegt, zal die impliciete deny verklaring alle toegang blokkeren en een totale netwerkonderbreking veroorzaken. Om dit op te lossen, heeft de ACL ook een toestemmingsverklaring nodig.
Breng Toegangslijst 150 (het nummer dat aan deze lijst is toegekend) naar voren en voeg “Toestaan” toe. Configureer de permissie om IP van elk bron- naar elk bestemmingsadres te omvatten. Door alle variaties binnen het statement toe te staan, wordt de “deny all” functie overruled en veroorzaakt niet langer die uitval. In plaats daarvan zullen nu alleen de twee deny statements die je aanmaakte van toepassing zijn, en al het andere verkeer zal nu worden toegestaan.
Router1(config)#access-list 150 permit ip any
Router1(config)#do sh access-list 150
Extended IP access list 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50 host 192.168.1.50 host 192.168.2.50 eq www.168.1.50 host 192.168.2.50 eq 443
30 allow ip any
Toepassen van de ACL en bepalen van de richting
Cisco best practices geven aan dat deze lijst zo vroeg mogelijk in de sequentie moet worden toegepast. In dit geval is dat bij Router 1. Voer in de console “int fa0/0” in voor de FastEthernet 0/0 interface en vervolgens het commando “ip access-group”. Voer vervolgens het relevante lijstnummer in, dat in dit geval 150 is.
De console zal dan vragen “in” (inkomend pakket) of “out” (uitgaand pakket), waarbij de richting moet worden bepaald. Het best mogelijke advies hier: wees de router. Stel u voor dat elk van uw armen een interface is, een FastEthernet 0/0 en een seriële 0/0, en vraag uit welke richting het verkeer komt. In dit geval komt het verkeer in de interface, wat in dit voorbeeld aangeeft dat de laatste entry van het toepassen van de toegangslijst “in” moet zijn.
Router1(config)# int fa0/0
Router1(config-if)#ip access-group 150 in
Met de toegepaste toegangslijst zal host 192.168.1.50 niet langer in staat zijn om host 192.168.2.50 te bereiken via poort 80 of 443, en uw werk is gedaan!
CBT Nuggets ACL Cursussen
De volgende CBT Nuggets training van trainer Jeremy Cioara bevat twee video’s (66 en 67) die access lists in meer detail behandelen.
- Cisco CCENT/CCNA 100-105 ICND1
Wilt u meer leren over toegangslijsten op Cisco-routers? Hier is Jeremy met meer informatie over het onderwerp!