Pierwszą rzeczą, którą chcesz zrobić, to zdefiniować źródłowy adres IP, który w tym przypadku jest nieautoryzowany 192.168.1.50. Najpierw chcesz zablokować cały ruch z tego adresu IP, co możesz zrobić za pomocą maski wieloznacznej, która działa jako filtr w podgrupie źródłowej.
Możesz przeczytać wszystko o tym jak działają maski wieloznaczne w innym poście. W tym przykładzie, powinieneś wiedzieć, że wpisanie tutaj 0.0.0.0 zablokuje każdy oktet adresu IP. W tym przypadku, będzie to oznaczało odrzucenie każdej próby dostępu z podsieci 192.168.1. Zilustrowany powyżej przykład ma tylko jednego hosta. Jeśli wpiszesz „host”, nie będzie żądania maski, a zamiast tego zostaniesz poproszony o podanie miejsca docelowego.
Ustawianie miejsca docelowego
Teraz, gdy cel został zidentyfikowany, nadszedł czas na wprowadzenie ograniczonego miejsca docelowego. W obecnej formie, ta lista ACL zablokuje cały ruch TCP pomiędzy 192.168.1.50 a 192.168.2.50. Ale nie chcesz tego robić. W tym miejscu funkcjonalność specyficzna dla portu staje się ważna.
Za pomocą tych instrukcji odmówisz portom dostępu do twojej sieci.
Router1# conf t
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 80
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 443
Pierwsza deklaracja blokuje cel na porcie 80 miejsca docelowego. Druga instrukcja powtarza ten proces dla HTTPS, który jest portem 443. Słowo kluczowe „EQ”, oznaczające equal to, pozwoli na wpisanie konkretnych portów.
Aby sprawdzić listę, należy ją wywołać („Pokaż listę dostępu”), co spowoduje zwrócenie dwóch nowych deklaracji.
Router1(config)#do sh access-list 150
Extended IP access list 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.168.1.50 host 192.168.2.50 eq 443
Pierwsze oświadczenie odmawia pierwszemu hostowi łączenia się z drugim przy użyciu portu 80 (HTTP), a drugie odmawia tego samego przy użyciu portu 443 (HTTPS). ACL zawiera teraz niezbędne instrukcje. Ale konfiguracja nie jest jeszcze zakończona i nie jest gotowa do zastosowania na interfejsie.
Zanegowanie „Deny All”
Na końcu każdej ACL, jest 'Implicit DENY ALL’ oświadczenie. Ta deklaracja nie pojawia się w konfiguracji lub kiedy uruchamiasz polecenie 'show access-list’. Ale, jest tam ZAWSZE. „Tak więc, jeśli dodasz tylko dwie deklaracje deny opisane powyżej, ta niejawna deklaracja deny zablokuje cały dostęp i spowoduje całkowitą awarię sieci. Aby to naprawić, ACL potrzebuje również instrukcji permit.
Wywołaj Listę Dostępu 150 (numer przypisany do tej listy) i dodaj „Permit”. Skonfiguruj zezwolenie tak, aby obejmowało IP z dowolnego źródła do dowolnego adresu docelowego. Poprzez dopuszczenie wszystkich wariantów w oświadczeniu, funkcja „deny all” jest unieważniona i nie powoduje już przestojów. Zamiast tego, tylko dwa oświadczenia deny, które utworzyłeś będą teraz stosowane, a cały pozostały ruch będzie teraz dozwolony.
Router1(config)#access-list 150 permit ip any any
Router1(config)#do sh access-list 150
Extended IP access list 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50 host 192.168.2.50 eq 443
30 permit ip any any
Stosowanie ACL i określanie kierunku
Najlepsze praktyki Cisco wskazują, że ta lista powinna być stosowana tak wcześnie w sekwencji jak to możliwe. W tym przypadku jest to Router 1. W konsoli wpisz „int fa0/0” dla interfejsu FastEthernet 0/0, a następnie polecenie „ip access-group”. Następnie wprowadź odpowiedni numer listy, który w tym przypadku wynosi 150.
Konsola zapyta wtedy „in” (pakiet przychodzący) lub „out” (pakiet wychodzący), co wymaga określenia kierunku. Najlepsza możliwa rada tutaj: bądź routerem. Wyobraź sobie, że każde z twoich ramion jest interfejsem, jedno FastEthernet 0/0 i jedno Serial 0/0, i zapytaj, z którego kierunku pochodzi ruch. W tym przypadku, ruch przychodzi w interfejsie, co w tym przykładzie wskazuje, że końcowy wpis stosowania listy dostępu powinien być „in”.
Router1(config)# int fa0/0
Router1(config-if)#ip access-group 150 in
Po zastosowaniu listy dostępu, host 192.168.1.50 nie będzie już w stanie dotrzeć do hosta 192.168.2.50 używając portu 80 lub 443, a twoja praca została wykonana!
Kursy CBT Nuggets ACL
Następujący kurs szkoleniowy CBT Nuggets autorstwa trenera Jeremy’ego Cioary zawiera dwa filmy (66 i 67), które szczegółowo omawiają listy dostępu.
- Cisco CCENT/CCNA 100-105 ICND1
Chcesz dowiedzieć się więcej o listach dostępu na routerach Cisco? Oto Jeremy z większą ilością informacji na ten temat!