Standard ACL

Standard ACL kan identifieras numeriskt eller med namn. För att skapa en Standar ACL som identifieras numeriskt används följande kommandosyntax:

  • Router(config)# access-list  ACL_Identifier_number  permit/deny  matchande-parametrar
    • access-list – talar om för router att ett åtkomstlista ska användas.
    • ACL_Identifier_number –  ett nummer mellan 1 till 99 eller 1300 till 1999 identifierar ACL.
    • Permit/Deny – åtgärd att ta vid paketfiltrering
    • matchande-parametrar – Med denna parameter kan vi ange vad, vem eller vilka som ska påverkas. Vi har tre alternativ för att ange vad, vem eller vilka.
      • any– Matchar alla källor.
      • host – Matchar en viss host. För att matcha en specifik host skriver du nyckelordet host och därefter dess IP-adress.
      • A.B.C.D –  Genom det här alternativet kan vi matcha en enda adress eller en rad adresser. För att matcha en rad adresser behöver vi använda wildcard mask.

Konfiguration av en numrerad standard ACL

Studera nätverkstopologin nedan:

Bild 1: ACL konfiguration och tillämpning

Vi vill:

  1. blockera nätverkstrafik från nätverket 192.168.10.0/24 till nätverket 192.168.30.0/24.
  2. Vi vill också tillåta allt annat nätverkstrafik.
    1. R3(config)# access-list 10 deny 192.168.10.0 0.0.0.255
    2. R3(config)#access-list 10 permit any

Notera att det finns direkt efter den andra raden ett osynligt villkor ”deny any” som kommer att blockera allt annat trafik.

Konfiguration av en namngiven Standard ACL

Ett namn är mer talande än ett nummer och om vi vill ha en ACL som kan kännas igen med dess namn måste vi använda kommando ip access-list istället för access-list.

  • R3(config)# ip access-list standard BLOCK_NETWORK
  • R3(config-std-nacl)# deny 192.168.10.0 0.0.0.255
  • R3(config-std-nacl)# permit any
  • R3(config-std-nacl)#exit
  • R3(config)#

I exemplet ovan anger kommandot ip access-list standard ACL-typen som standard och döper ACL till BLOCK_NETWORK.

Applicering av ACL

Efter att ha konfigurerat en ACL ska den tillämpas/appliceras på ett av routers interface antingen som inkommande eller utgående nätverkstrafik. Vi vill att router R3 blockerar inkommande nätverkstrafik från nätverket 192.168.10.0 /24 till nätverket 192.168.30.0/24. Normalt placeras standard ACL nära till destinationen och därför väljer vi router R3 och dess interface Gig 0/0/0.

Följande kommandon aktiverar Standard ACL 10 på R3 interface G0/0 i utgående riktning.

  • R3(config)# interface seriell G0/0/0
  • R3(config-if)# ip access-group 10 out

OBS: Riktningen är från routers perspektiv.

Att tänka på

  • Vi kan tillämpa samma ACL på flera interface.
  • Vi kan applicera samma ACL två gånger på samma interface men i separat riktning antingen inåt eller utåt.
  • Vi kan inte aktivera samma ACL två gånger på samma interface i samma riktning.
  • En tom ACL tillåter all trafik.
  • Implicit deny villkoret fungerar bara om ACL har minst ett definierat villkor.
  • Allmän regel: applicera/tillämpa endast en ACL på samma interface, samma riktning och samma typ.
  • Standar ACL appliceras till interfacet som är närmast till destinationen