Standard ACL

Standard ACL kan identifieras numeriskt (1 – 99 och 1300 – 1999) eller med namn. För att skapa en Standar ACL som identifieras numeriskt används följande kommandosyntax:

  • Router(config)# access-list  ACL_Identifier_number  permit/deny  matchande-parametrar
    • access-lista – talar om för router att ett åtkomstlista ska användas.
    • ACL_Identifier_number –  ett nummer mellan 1 till 99 eller 1300 till 1999 identifierar ACL.
    • Permit/Deny – åtgärd att ta vid paketfiltrering
    • matchande-parametrar – Med denna parameter kan vi ange vad, vem eller vilka som ska påverkas. Vi har tre alternativ för att ange vad, vem eller vilka.
      • any– Matchar alla källor.
      • host – Matchar en viss host. För att matcha en specifik host skriver du nyckelordet host och därefter dess IP-adress.
      • A.B.C.D –  Genom det här alternativet kan vi matcha en enda adress eller en rad adresser. För att matcha en rad adresser behöver vi använda wildcard mask.

Konfiguration av en numrerad standard ACL

Studera nätverkstopologin nedan:

Bild 1: ACL konfiguration och tillämpning

Vi vill:

  1. blockera nätverkstrafik från nätverket 192.168.10.0/24 till nätverket 192.168.30.0/24.
  2. Vi vill också tillåta allt annat nätverkstrafik.
    1. R3(config)# access-list 10 deny 192.168.10.0 0.0.0.255
    2. R3(config)#access-list 10 permit any

Notera att det finns direkt efter den andra raden ett osynligt villkor “deny any” som kommer att blockera allt annat trafik.

Konfiguration av en namngiven Standard ACL

Ett namn är mer talande än ett nummer och om vi vill ha en ACL som kan kännas igen med dess namn måste vi använda kommando ip access-list istället för access-list.

  • R3(config)# ip access-list standard BLOCK_NETWOR
  • R3(config-std-nacl)# deny 192.168.10.0 0.0.0.255
  • R3(config-std-nacl)# permit any
  • R3(config-std-nacl)#exit
  • R3(config)#

Kommandot ip access-list standard anger ACL-typen som Standard och döper ACL till BLOCK_NETWORK. Vi måste överväga om en numerisk identifikation är tillräckligt talande annars ett namn kanske passar bättre.

Applicering av ACL

Efter att ha konfigurerat en ACL ska den tillämpas på något av routers interface. Från routers perspektiv definieras inkommande eller utgående nätverkstrafik. Vi vill att R3 blockerar inkommande nätverkstrafik till nätverket 192.168.30.0/24 från nätverket 192.168.10.0/24 och vi väljer placera ACL nära till destinationen.

Följande kommandon aktiverar Standard ACL 10 på R3 interface G0/0 i utgående riktning. Riktningen är från routers perspektiv dvs. det ankommer paket från 192.168.10.0/24, paket tas emot och granskas när paket går ut från router R3

  • R3(config)# interface seriell G0/0/0
  • R3(config-if)# ip access-group 10 out

Att tänka på

  • Vi kan tillämpa samma ACL på flera interface.
  • Vi kan applicera samma ACL två gånger på samma interface men i separat riktning antingen inåt eller utåt.
  • Vi kan inte aktivera samma ACL två gånger på samma interface i samma riktning.
  • En tom ACL tillåter all trafik.
  • Implicit deny villkoret fungerar bara om ACL har minst ett definierat villkor.
  • Allmän regel: applicera/tillämpa endast en ACL på samma interface, samma riktning och samma typ.
  • Standar ACL appliceras till interfacet som är närmast till destinationen