Var ska en Extended ACL lista placeras eller tillämpas? Följer man riktlinjerna så ska den placeras nära till avsändaren och listan ska filtrera bland annat avsändarens, destinationens IP-adresser, protokoll, portnummer.
Frågan besvaras i ett exempel där FTP och Telnet nätverkstrafik från 192.168.11.0 /24 ska blockeras att komma fram till nätverket 192.168.30.0 /24. Detta ska göras med en Extended ACL och att R3 inte är med de maskiner vi får konfigurera. Det betyder att endast R1 och R2 är tillgängliga för vidare konfigurationer.
Exemplet har jag byggt upp med PT-routrar och 2960 switchar samt routing med RIPv2.
Nätverkstopologi
ACL placering
En ACL kan placeras på fyra tänkbara platser som har markerats i orange. Vi analyserar de platserna:
- Det skulle blockera FTP och Telnet trafik från 192.168.11.0 /24 och det är det vi vill göra det.
- Det skulle blockera trafik från 192.168.11.0 men också från 192.168.10.0 /24. Vi vill inte göra det.
- Har inte att göra med Extended ACL som ska placeras nära till källan/avsändaren.
- Har inte att göra med Extended ACL som ska placeras nära till källan/avsändaren.
Konfigurationer
Nätverket har konfigurerats samma som i exempel 2 men en server istället PC3 och en router till har lagts i LAN 30. Router har FTP servertjänst och router Telnet. Här visar jag endast ACL named konfiguration:
- R1(config)# ip access-list extended FTP_TELNET_BLOCK
- R1(config-ext-nacl)# deny tcp 192.168.11.0 0.0.0.255 192.168.30.0 0.0.0.255 eq ftp
- R1(config-ext-nacl)# deny tcp 192.168.11.0 0.0.0.255 192.168.30.0 0.0.0.255 eq telnet
- R1(config-ext-nacl)# permit ip any any
- R1(config-ext-nacl)# exit
- R1(config)# interface fa1/0
- R1(config-if)# ip access-group FTP_TELNET_BLOCK in
- R1(config-if)# end
- R1#