Standard ACL

Standard ACL identifieras numeriskt (1 – 99 och 1300 – 1999). För att skapa en Standar ACL används följande kommandosyntax:

  • Router(config)# access-list  ACL_Identifier_number  permit/deny  matchande-parametrar
    • access-lista – talar om för router lista som ska användas.
    • ACL_Identifier_number –  ett nummer mellan 1 till 99 eller 1300 till 1999.
    • Permit/Deny – är självtalande åtgärd
    • matchande-parametrar – Med denna parameter kan vi ange vad, vem eller vilka som ska påverkas. Vi har tre alternativ för att ange vad, vem eller vilka.
      • any– Matchar alla källor.
      • host – Matchar en viss host. För att matcha en specifik host skriver du nyckelordet host och därefter dess IP-adress.
      • A.B.C.D –  Genom det här alternativet kan vi matcha en enda adress eller en rad adresser. För att matcha en rad adresser behöver vi använda wildcard mask.

Konfiguration av en numrerad standard ACL

Antag att vi vill tillåta datatrafik endast från host 20.0.0.10 255.0.0.0 och blockera alla andra. För att möta detta krav måste vi ha två ACL-villkor.

  1. Permit 20.0.0.10
  2. Deny any (alla andra)
  • Router (config) # access-list 10 permit  20.0.0.10  0.0.0.0 (wildcard mask indikerar att hela adressen måste matcha)
  • Router (config) # access-list 10 deny any

Ordningen av villkoren spelar stor roll vid filtrering. Om vi skapar villkoret deny först blockerar vi trafiken från alla host inklusive 20.0.0.10. Titta på exempel nedan.

  • Router (config) # access-list 10 deny any
  • Router (config) # access-list 10 permit 20.0.0.10  0.0.0.0

Denna ACL blockerar all trafik från alla host, inklusive 20.0.0.10 eftersom villkoren i en ACL kontrolleras uppifrån och ner. När en match hittas, matchas inga ytterligare villkor.

Men det första villkoret (deny any) behöver vi inte konfigurera eftersom den är redan inkluderat (sista raden) som default i alla ACL. Det kallas Implicit deny statement.

Det vi behöver konfigurera är endast ett villkor:

  • Router (config) # access-list 10 permit 20.0.0.10 0.0.0.0
  • Eller
  • Router (config) # access-list 10 permit host 20.0.0.10

Konfiguration av en Standard ACL numrerad och namngiven

Ett namn är mer talande än ett nummer och om vi vill ha en ACL som kan kännas igen med dess namn måste vi använda kommando ip access-list istället för access-list.

  • Router(config)# ip access-list Standard 10
  • Router(config-std-nacl)# permit 20.0.0.10 0.0.0.0
  • Router(config-std-nacl) #exit
  • eller
  • Router (config) #
  • Router(config)# ip access-list Standard Secure_telnet
  • Router(config-std-nacl)# permit 20.0.0.10  0.0.0.0
  • Router(config-std-nacl)# exit
  • Router(config)#

Kommandot ip access-list Standard anger ACL-typen som Standard. Vi måste överväga om en numerisk identifikation är tillräckligt talande annars ett namn kanske passar bättre.

Applicering av ACL

Efter att ha konfigurerat en ACL ska den tillämpas på något av routers interface. Följande kommandon används för att applicera ACL till ett interface.

  • Router(config)# interface type [slot _ #] port_ #
  • Router(config-if)# ip access-group ACL_ # in | out

Första kommandot används för att komma in i interfacets konfigurationsläge. Den andra används för att aktivera ACL. Mer detaljer:

  • ACL_ # – denna parameter specificerar associationen mellan specifik ACL och interface. I vårt fall måste vi använda antingen 10 (Numrerad unik identifierare) eller Secure_telnet (Namngiven unik identifierare).
  • in | out – denna parameter specificerar riktningen. Nyckelorden in betyder inbound och out outbound.

Följande kommandon aktiverar Standard ACL nummer 10 på Serial 0/0/0 interface i inkommande riktning. Observera hur prompten ändrar sig efter exekvering av kommandot ip access-list.

  • Router(config)# ip access-list Standard 10
  • Router(config-std-nacl)# permit 20.0.0.10  0.0.0.0
  • Router(config-std-nacl)# exit
  • Router(config)#
  • Router(config)# interface seriell 0/0/0
  • Router(config-if)# ip access-group 10 in

Följande kommandon aktiverar Standard ACL med namn Secure_telnet på Serial 0/0/1 interface i utgående riktning.

  • Router(config)# ip access-list Standard Secure_telnet
  • Router(config-std-nacl)# permit 20.0.0.10  0.0.0.0
  • Router(config-std-nacl)# exit
  • Router(config)#
  • Router(config)# interface seriell 0/0/1
  • Router(config-if)# ip access-group Secure_telnet out

Att tänka på

  • Vi kan tillämpa samma ACL på flera interface.
  • Vi kan applicera samma ACL två gånger på samma interface men i separat riktning antingen inåt eller utåt.
  • Vi kan inte aktivera samma ACL två gånger på samma interface i samma riktning.
  • En tom ACL tillåter all trafik.
  • Implicit deny villkoret fungerar bara om ACL har minst ett definierat villkor.
  • Allmän regel: applicera endast en ACL på samma interface, samma riktning och samma typ.
  • Standar ACL appliceras till interfacet som är närmast till destinationen