Extended ACL

Tre frågor rörande Extended ACL ska svaras här:

  • Vad är en Extended ACL?
  • Vilka villkor kan inkluderas i en Extended ACL?
  • Hur tillämpas denna typ av ACL?

Vad är en Extended ACL?

En Extended ACL är en filtreringslista över villkor som måste uppfyllas av paket som tar sig genom en router som kör ACL. Till skillnad från Standard ACL som filtrerar nätverkstrafik baserad endast på avsändarens IP-adress filtrerar Extended ACL paket baserad på source och destinations IP-adresser, portnummer och protokolltyp.

Vilka villkor kan inkluderas i en Extended ACL?

Extended ACL filtrerar paket grundad i source och destination IP-adress, portnummer och protokoll. Villkoren som kan inkluderas är att neka eller tillåta olika tjänster, applikationer, samt protokollbaserat nätverkstrafik.

Observera att en ACL är en ordnad lista och därför är sekvensen av villkor avgörande. Man ska inte heller glömma att i slutet av listan finns ett osynligt villkor som nekar allt, deny any any.

Syntax

access-list <nummer 100-199> <permit | deny> <protokoll> <source> <wildcard mask> <operator source port> <destination> <wildcard mask> <operator destination port> <options> <log>

Förklaringar:

  • access-list är kommandot som skapar en ACL
  • Extended ACL identifieras med ett nummer från intervallet 100-199
  • antingen permit eller deny, inte båda
  • protokoll såsom IP, TCP, UDP, ICMP, GRE och IGRP. TCP, UDP och ICMP använder IP i nätverksskiktet.
  • source IP-adress och dess wildcard mask
  • flera jämförelse operatorer kan användas lt, gt, eq, neq och portnummer
  • destination IP-adress och dess wildcard mask

Hur tillämpas denna typ av ACL?

Bild 1: Exempel 1

I exempel 1 är ditt mål att filtrera inkommande trafik så att användare utanför ditt nätverk kan komma åt webbservern (192.168.100.100) med port 80. All annan inkommande nätverkstrafik nekas.

Bild 2: Extended ACL

Denna ACL tillåter nätverkstrafik för Internet-användare dirigerat till den interna webbservern. Åtkomstlistan specificerar protokollet TCP i kombination med port 80. Source adressen anges med any och betyder vilken som helst Internet-användare. Destinationsadressen är 192.168.100.100 (webbservern). I ACL 102 finns ett osynligt implicit villkor: deny ip any any som i detta exempel tillåter inte någon nätverkstrafik förutom till port 80.

Nu ACL 102 ska appliceras till interface s0/0/0 som är nära till source:

  • R1(config)# int s0/0/0
  • R1(config-if)# ip access-group 102 in