Primul lucru pe care doriți să-l faceți este să definiți adresa IP sursă, care în acest caz este adresa neautorizată 192.168.1.50. Veți dori mai întâi să blocați tot traficul de la acea adresă IP, ceea ce puteți face cu o mască wildcard, care acționează ca filtru în cadrul acelui subgrup sursă.
Puteți citi totul despre cum funcționează măștile wildcard într-un alt post. În acest exemplu, trebuie să știți că dacă introduceți aici 0.0.0.0.0.0, veți bloca fiecare octet al adresei IP. În acest caz, acest lucru ar refuza orice încercare de acces din subrețeaua 192.168.1. Totuși, exemplul ilustrat mai sus are doar o singură gazdă. Dacă introduceți „host”, nu se solicită nici o mască, și în schimb se cere o destinație.
Setting the Destination
Acum că ținta este identificată, este timpul să introduceți destinația restricționată. În forma sa actuală, această ACL va refuza tot traficul TCP între 192.168.1.50 și 192.168.2.50. Dar nu doriți să faceți acest lucru. Aici devine importantă funcționalitatea specifică portului.
Cu aceste declarații, veți refuza accesul porturilor la rețeaua dumneavoastră.
Router1# conf t
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 80
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 443
Prima declarație blochează ținta la portul 80 al destinației. A doua declarație repetă procesul pentru HTTPS, care este portul 443. Cuvântul cheie „EQ”, care înseamnă egal cu, va permite introducerea unor porturi specifice.
Pentru a verifica lista, apelați lista („Show Access List”), care va returna cele două noi declarații.
Router1(config)#do sh access-list 150
Lista de acces IP extinsă 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50 host 192.168.2.50 eq 443
Prima refuză ca prima gazdă să se conecteze cu cea de-a doua folosind portul 80 (HTTP), iar a doua declarație refuză același lucru folosind portul 443 (HTTPS). ACL-ul include acum instrucțiunile necesare. Dar configurația nu s-a terminat, încă, și nu este gata să fie aplicată unei interfețe.
Negarea „Deny All”
La sfârșitul fiecărei ACL, există o declarație „Implicit DENY ALL”. Această declarație nu apare în configurație sau atunci când executați comanda „show access-list”. Dar este ÎNTOTDEAUNA acolo. „Așadar, dacă adăugați doar cele două declarații de negare menționate mai sus, acea declarație implicită de negare va bloca tot accesul și va provoca o întrerupere totală a rețelei. Pentru a remedia acest lucru, ACL are nevoie și de o instrucțiune permit.
Căutați Access List 150 (numărul atribuit acestei liste) și adăugați „Permit”. Configurați permisul pentru a include IP de la orice sursă către orice adresă de destinație. Permițând toate variantele din cadrul instrucțiunii, funcția „deny all” este anulată și nu mai provoacă acea întrerupere. În schimb, acum se vor aplica doar cele două declarații „deny” pe care le-ați creat, iar tot restul traficului va fi acum permis.
Router1(config)#access-list 150 permit ip any orice
Router1(config)#do sh access-list 150
Lista de acces IP extinsă 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50 host 192.168.2.50 eq 443
30 permit ip any any
Aplicarea ACL și determinarea direcției
Cele mai bune practici Cisco indică faptul că această listă trebuie aplicată cât mai devreme posibil în secvență. În acest caz, aceasta este la Router 1. În consolă, introduceți „int fa0/0” pentru interfața FastEthernet 0/0 și apoi comanda „ip access-group”. Apoi introduceți numărul listei relevante, care în acest caz este 150.
Consola va interoga apoi „in” (pachet de intrare) sau „out” (pachet de ieșire), ceea ce necesită determinarea direcției. Cel mai bun sfat posibil aici: fiți routerul. Imaginați-vă că fiecare dintre brațele dumneavoastră este o interfață, una FastEthernet 0/0 și una serial 0/0, și întrebați din ce direcție vine traficul. În acest caz, traficul vine dinspre interfață, ceea ce în acest exemplu indică faptul că intrarea finală a aplicării listei de acces ar trebui să fie „in”.
Router1(config)# int fa0/0
Router1(config-if)#ip access-group 150 in
Cu lista de acces aplicată, gazda 192.168.1.50 nu va mai putea ajunge la gazda 192.168.2.50 folosind fie portul 80, fie portul 443, iar munca dumneavoastră este gata!
Cursuri ACL CBT Nuggets
Cursul de formare CBT Nuggets următor, realizat de trainerul Jeremy Cioara, conține două videoclipuri (66 și 67) care acoperă listele de acces în detaliu.
- Cisco CCENT/CCNA 100-105 ICND1
Vreți să învățați mai multe despre listele de acces pe routerele Cisco? Iată-l pe Jeremy cu mai multe despre acest subiect!
.