Exempel 2

I denna exempel demonstreras skillnaden mellan Extended Numbered ACL och Extended Named ACL. I nätverkstopologin nedan används 6 routrar 1841. Till varje router har lagts extra seriella moduler. Routrarna R2 och R5 behöver två seriella moduler. Förutom IP-adresskonfigurationer har routing med EIGRP konfigurerats.

Paketfiltrering görs enligt följande villkor:

  1. Neka host 192.168.0.10 åtkomst till host 192.168.168.3 via ping
  2. Neka host 192.168.0.11 åtkomst till host 192.168.168.3 via http
  3. Neka nätet 192.168.10.0 åtkomst till FTP server
Bild 1: Extended Named ACL

Konfigurationer

1.- Neka host 192.168.0.10 åtkomst till host 192.168.168.3 via ping

  • Först ska du testa IP-kommunikation med ping alla till alla.
  • Därefter ska en Extended Numbered ACL skapas, men den ska inte användas.
  • Här behöver vi tänka på vad som är lämpligast, eftersom det fungerar på R1 och R6. Det är Extended ACL.. närmast till source därför på R1 (det skulle också fungera på R6, men onödigt trafik och mot ACL principerna.)
  • R1(config)# access-list 190 deny icmp host 192.168.0.10 host 192.168.168.3 echo
  • R1(config)# access-list 190 permit ip any any
  • R1(config)# do show access-list
  • Extended IP access list 190
    10 deny icmp host 192.168.0.10 host 192.168.168.3 echo
    20 permit ip any any
  • Nu konfigureras en utökad namngiven ACL
  • R1(config)# ip access-list extended ICMP_deny
  • R1(config-ext-nacl)# deny icmp host 192.168.0.10 host 192.168.168.3 echo
  • R1(config-ext-nacl)# permit ip any any
  • R1(config-ext-nacl)# exit
  • R1(config)# int fa0/0
  • R1(config-if)# ip access-group ICMP_deny out
  • R1(config-if)# end
  • R1# show access-list
  • Testa

2.- Neka host 192.168.0.11 åtkomst till host 192.168.168.3 via http

  • Verifiera kommunikationer först
  • Samma tanke som i ettan … tillämpas på R1
  • R1(config)# ip access-list extended WWW_deny
  • R1(config-ext-nacl)# deny tcp host 192.168.0.11 host 192.168.168.3 eq www
  • R1(config-ext-nacl)# deny tcp host 192.168.0.11 host 192.168.168.3 eq 80
  • R1(config-ext-nacl)# permit ip any any
  • R1(config-ext-nacl)# exit
  • R1(config)# int fa0/0
  • R1(config-if)# ip access-group WWW_deny out
  • R1(config-if)# end
  • R1# show access-list
  • Testa

3.- Neka nätet 192.168.10.0 åtkomst till FTP server

  • Testa kommunikationer först
  • R6(config)# ip access-list extended FTP_deny
  • R6(config-ext-nacl)# deny tcp 192.168.10.0 0.0.0.255 host 192.168.168.4 eq 21
  • R6(config-ext-nacl)# deny udp 192.168.10.0 0.0.0.255 host 192.168.168.4 eq 21
  • R6(config-ext-nacl)# permit ip any any
  • R6(config-ext-nacl)# exit
  • R6(config)# int fa0/0
  • R6(config-if)# ip access-group FTP_deny out
  • R6(config-if)# end
  • R6# show access-list
  • Testa

En annan lösning:

1) Neka host 192.168.0.10 åtkomst till host 192.168.168.3 via ping
2) Neka host 192.168.0.11 åtkomst till host 192.168.168.3 via http

R1(config)#ip access-list extended DENY_ICMP_HTTP
R1(config-ext-nacl)#10 deny icmp host 192.168.0.10 host 192.168.168.3 echo
R1(config-ext-nacl)#20 deny tcp host 192.168.0.11 host 192.168.168.3 eq www
R1(config-ext-nacl)#30 permit ip any any
R1(config-ext-nacl)#exit

R1(config)#interface fa0/0
R1(config-if)#ip access-group DENY_ICMP_HTTP in
R1(config-if)#exit

3) Neka nätet 192.168.10.0 åtkomst till FTP server

R6(config)#ip access-list extended DENY_FTP
R6(config-ext-nacl)#10 deny tcp 192.168.10.0 0.0.0.255 host 192.168.168.4 eq ftp
R6(config-ext-nacl)#20 permit ip any any
R6(config-ext-nacl)#exit

R6(config)#interface fa0/1
R6(config-if)#ip access-group DENY_FTP in
R6(config-if)#end