en utökad ACL skapas med kommandot access-list och appliceras sedan på gränssnittet med kommandot access-group. Standard ACL syntax and description are shown below
Ciscoasa(config)# access-list access-list-number {deny | permit} protocol source-address
|
Syntax Description |
|
|
access-list-number |
Identifies an access list by number as a standard or extended list. gör det också möjligt att skapa och separera flera åtkomstlistor. |
|
neka |
nekar åtkomst om villkoren matchas. |
|
Tillåt |
tillåter åtkomst om villkoren matchas. |
|
protokoll |
namn eller nummer på ett Internetprotokoll som IP, TCP, UDP, EIGRP, OSPF etc |
|
source |
anger IP-adressen/nätverket för att matcha källans IP-adress för paketet. Använd valfritt nyckelord som en förkortning för en källa och källa-jokertecken på 0.0.0.0 255.255.255.255. |
|
källa-jokertecken |
(valfritt) jokerteckenbitar som ska appliceras på källan |
|
destination |
anger IP-adressen/nätverket som ska matcha paketets destinations-IP-adress. Använd valfritt nyckelord som en förkortning för en destination och destination-jokertecken på 0.0.0.0 255.255.255.255. |
|
destination-jokertecken |
(valfritt) jokerteckenbitar som ska appliceras på destinationen |
|
log |
orsakar ett informationsloggningsmeddelande om paketet som matchar posten som ska skickas till konsolen. |
|
Log-input |
(tillval) innehåller ingångsgränssnittet och källans MAC-adress eller VC i loggningsutgången. |
i Cisco IOS kan de utökade ACL: erna ha siffror inom intervallet 100-199 och 2000-2699. Utökade ACL: er bör tillämpas nära källan till paketen så att ett paket nekas nära källan för att spara routerresurser och bandbredd snarare än att det vidarebefordras nära destinationen och så småningom nekas. Vi kommer att använda nätverket som visas i figuren nedan för att förklara detta koncept.
vår uppgift är att konfigurera nätverket så att värd 20.1.1.2 inte kan komma åt 10.1.1.2, först kommer vi att skapa en åtkomstlista som visas nedan
Ciscoasa(config)# access-list 101 neka ip-värd 20.1.1.2 värd 10.1.1.2
Ciscoasa(config)# access-list 101 tillåta ip någon någon
och då kommer vi att tillämpa denna åtkomstlista på ett gränssnitt som behandlar inkommande paket och om det finns matchning kommer det att släppa paketen. Eftersom utökade ACL: er innehåller tillräckligt med information för att korrekt matcha rätt paket när kan placera dem var som helst i nätverket, men sunt förnuft dikterar oss att placera dem nära källan för effektivitet, eftersom att placera dem långt ifrån källan kommer onödigt att konsumera nätverksresurser.
konfigurationsexempel
detta exempel fokuserar på tillämpningar av utökade ACL. Vi kommer att använda nätverket i figuren ovan för att förklara olika konfigurationsexempel på utökade ACL. Först och främst kommer vi att använda en utökad ACL för att begränsa värd 1 för att komma åt FTP-servern med IP-adress 20.1.1.10 ansluten till LAN på R5 E0 / 0 gränssnitt.
R1(config)# access-list 101 neka TCP-värd 10.1.1.2 värd 20.1.1.10 EQ FTP
R1(config)# access-list 101 Tillåt ip någon någon
R1(config)# interface ethernet0/0
R1(config)# access-group 101 i
konfigurationen som visas ovan konfigurerar R1 till begränsa FTP-paket som kommer från värd 10.1.1.2 och är avsedda för FTP-servern 20.1.1.10 och tillåta all annan kommunikation.
det finns också flera andra exempel på utökade ACL på grund av deras förmåga att matcha flera fält i ett paket. Till exempel kan vi konfigurera en ACL på R1 för att helt neka värd 10.1.1.2 och därigenom isolera den från hela internetarbetet.
R1(config)# access-list 110 neka ip-värd 10.1.1.2 någon
R1(config)# access-list 110 tillåta ip någon någon
R1(config)# interface ethernet0/0
R1(config)# access-grupp 101 i
konfigurationen som visas ovan konfigurerar R1 för att begränsa alla paket som kommer från värd 10.1.1.2 och tillåta all annan kommunikation och därigenom isolera värden från internetarbetet.
detta leder oss till slutet av den här lektionen där vi täckte utökade ACL: er, det är mycket viktigt att vi båda har teoretisk och praktisk kunskap om utökade ACL: er för att behärska ämnet.