Extended ACL

Tre frågor rörande Extended ACL ska svaras här:

  • Vad är en Extended ACL?
  • Vilka villkor kan inkluderas i en Extended ACL?
  • Hur tillämpas denna typ av ACL?

Observera att Extended ACL har begränsningar och ensam kan inte skydda ditt nätverk. Men den är en viktig del av en säkerhetspolicy.

Vad är en Extended ACL?

En Extended ACL är en ordnad lista över villkor som måste uppfyllas av paket som routern filtrerar. Extended ACL filtrerar paket på source och destinations IP-adresser, portnummer och protokolltyp.

Vilka villkor kan inkluderas i en Extended ACL?

Extended ACL filtrerar paket grundad i source och destination IP-adress, portnummer och protokoll. Villkoren som kan inkluderas är att neka eller tillåta olika tjänster, applikationer, protokollbaserat nätverkstrafik.

Observera att en ACL är en ordnad lista och därför är sekvensen av dina villkor avgörande. Man ska inte glömma att i slutet av listan finns ett osynligt villkor som nekar allt.

Syntax

access-list <nummer 100-199> <permit | deny> <protokoll> <source> <wildcard mask> <operator source port> <destination> <wildcard mask> <operator destination port> <options> <log>

Förklaringar:

  • access-list är kommandot som skapar en ACL
  • Extended ACL identifieras med ett nummer från intervallet 100-199
  • antingen permit eller deny, inte båda
  • protokoll såsom IP, TCP, UDP, ICMP, GRE och IGRP. TCP, UDP och ICMP använder IP i nätverksskiktet.
  • source IP-adress och dess wildcard mask
  • flera jämförelse operatorer kan användas lt, gt, eq, neq och portnummer
  • destination IP-adress och dess wildcard mask

Hur tillämpas denna typ av ACL?

Bild 1: Scenarion 1

I scenario 1 är ditt mål att filtrera inkommande trafik så att användare utanför ditt nätverk kan komma åt webbservern (192.168.100.100) med port 80. All annan inkommande nätverkstrafik nekas.

Bild 2: Extended ACL

Denna ACL tillåter nätverkstrafik för Internet-användare dirigerat till den interna webbservern. Åtkomstlistan specificerar protokollet TCP i kombination med port 80. Source adressen anges med any och betyder vilken som helst Internet-användare. I ACL 102 finns ett osynligt implicit villkor: deny ip any any som i detta exempel tillåter inte någon nätverkstrafik förutom till port 80.

Nu ACL 102 ska appliceras till interface s0/0/0. Varför? numret 102 identifierar ACL som Extended, sådana ACL appliceras nära till source:

  • R1(config)# int s0/0/0
  • R1(config-if)# ip access-group 102 in
Bild 3: Scenarion 2

I scenario 2 är ditt mål att filtrera inkommande trafik så att användare utanför ditt nätverk kan komma åt den offentliga webbservern i DMZ nätverk. Inga andra nätverkstjänster är tillåtna förutom åtkomst till din e-postserver med IP-adress 192.168.100.200.

R1(config)# access-list 102 permit tcp any 192.168.100.200 0.0.0.0 eq 25

Vi använder Access List nummer 102 för inkommande trafik och åtkomstlistan appliceras denna gång på interface G0/1:

  • R1(config)# int G0/1
  • R1(config-if)# ip access-group 102 out

Här nedan några användbara kommando:

  • show run
  • show access-list
  • show ip access-list
  • show interface g0/1
  • no access-list xx (tar bort ACL xx)