egy kiterjesztett ACL jön létre az access-list paranccsal, majd alkalmazzák az interfészre az access-group paranccsal. Standard ACL syntax and description are shown below
Ciscoasa(config)# access-list access-list-number {deny | permit} protocol source-address
Syntax Description |
|
access-list-number |
Identifies an access list by number as a standard or extended list. a Több hozzáférési lista létrehozását és elválasztását is lehetővé teszi. |
deny |
megtagadja a hozzáférést, ha a feltételek megegyeznek. |
engedély |
hozzáférést engedélyez, ha a feltételek megfelelnek. |
protokoll |
egy internetes protokoll neve vagy száma, például IP, TCP, UDP, EIGRP, OSPF stb |
source |
megadja a csomag forrás IP-címének megfelelő IP-címet/hálózatot. Használja az any kulcsszót a forrás és a forrás-helyettesítő karakter rövidítéseként 0.0.0.0 255.255.255.255. |
forrás-helyettesítő |
(opcionális) helyettesítő karakterek, amelyeket a forrásra kell alkalmazni |
destination |
megadja a csomag cél IP-címének megfelelő IP-címet/hálózatot. Használja az any kulcsszót a 0.0.0.0 255.255.255.255. |
destination-wildcard |
(opcionális) helyettesítő karakterek, amelyeket a rendeltetési helyre kell alkalmazni |
log |
információs naplózási üzenetet küld a csomagról, amely megfelel a konzolra küldendő bejegyzésnek. |
Log-input |
(opcionális) tartalmazza a bemeneti interfészt és a forrás MAC-címet vagy VC-t a naplózási kimenetben. |
A Cisco IOS rendszerben a kiterjesztett ACL-ek száma 100-199 és 2000-2699 lehet. A kiterjesztett ACL-eket a csomagok forrásához közel kell alkalmazni, hogy a csomagot a forrás közelében elutasítsák, hogy az útválasztó erőforrásait és sávszélességét megtakarítsák, ahelyett, hogy a célhoz közel továbbítanák, és végül megtagadnák. Az alábbi ábrán bemutatott hálózatot fogjuk használni ennek a koncepciónak a magyarázatához.
feladatunk a hálózat konfigurálása úgy, hogy a 20.1.1.2 gazdagép ne férhessen hozzá a 10.1.1-hez.2, először létrehozunk egy hozzáférési listát az alábbiak szerint
Ciscoasa(config)# access-list 101 IP host megtagadása 20.1.1.2 host 10.1.1.2
Ciscoasa(config)# access-list 101 engedély IP bármilyen
ezután ezt a hozzáférési listát alkalmazzuk egy interfészre, amely feldolgozza a bejövő csomagokat, és ha van egyezés, akkor eldobja a csomagokat. Mivel a kiterjesztett ACL-ek elegendő információt tartalmaznak ahhoz, hogy megfelelően illeszkedjenek a megfelelő csomaghoz, amikor bárhol elhelyezhetik őket a hálózatban, de a józan ész azt diktálja, hogy a hatékonyság érdekében a forrás közelében helyezzük el őket, mivel a forrástól távol helyezve feleslegesen fogyasztja a hálózati erőforrásokat.
konfigurációs példák
Ez a példa a kiterjesztett ACL-ek alkalmazásaira összpontosít. A fenti ábrán látható hálózatot fogjuk használni a kiterjesztett ACL-ek különféle konfigurációs példáinak magyarázatára. Először is egy kiterjesztett ACL-t fogunk használni, hogy korlátozzuk az 1-es gazdagépet az 20.1.1 IP-címmel rendelkező FTP-kiszolgáló eléréséhez.10 LAN-hoz csatlakoztatva az R5 E0 / 0 interfészen.
R1(config)# access-list 101 TCP host megtagadása 10.1.1.2 host 20.1.1.10 EQ FTP
R1(config)# access-list 101 engedély IP bármilyen
R1(config)# interface ethernet0/0
R1(config)# access-group 101 in
a fenti konfiguráció konfigurálja az R1-et bármilyen
korlátozza a host 10.1.1.2-ből származó és a 20.1.1.10 FTP-kiszolgálóra szánt FTP-csomagokat, és engedélyezze az összes többi kommunikációt.
számos más példa is van a kiterjesztett ACL – ekre, mivel képesek egyeztetni a csomag több mezőjét. Például konfigurálhatunk egy ACL-t az R1-en, hogy teljesen megtagadja a 10.1.1.2 gazdagépet, ezáltal elkülönítve azt a teljes internetes hálózattól.
R1(config)# access-list 110 deny ip host 10.1.1.2 any
R1(config)# access-list 110 engedély IP bármilyen
R1(config)# interface ethernet0/0
R1(config)# access-group 101 in
a fenti konfiguráció konfigurálja az R1-et, hogy korlátozza a host-ból származó csomagokat 10.1.1.2.lehetővé teszi az összes többi kommunikációt, ezáltal elszigetelve a gazdagépet az internethálózattól.
Ez elvezet minket a lecke végére, amelyben kiterjedt ACL-eket tárgyaltunk, nagyon fontos, hogy mindketten rendelkezzünk a kiterjesztett ACL-ek elméleti és gyakorlati ismereteivel a téma elsajátításához.