Liste de control acces extins (ACL)

De Edward Tetz

Listele extinse de control al accesului (ACL) vă permit să permiteți sau să refuzați traficul de la anumite adrese IP către o anumită adresă IP de destinație și port. De asemenea, vă permite să specificați diferite tipuri de trafic, cum ar fi ICMP, TCP, UDP, etc. Inutil să spun, este foarte granular și vă permite să fiți foarte specific.



Dacă intenționați să creați un firewall de filtrare a pachetelor pentru a vă proteja rețeaua, este un ACL extins pe care va trebui să îl creați.



Exemplul care va fi folosit include un router care este conectat la segmentul 192.168.8.0/24 pe o interfață internă ( FastEthernet 0/0 ) folosind adresa 192.168.8.1/24 și la segmentul 10.0.2.0/24 pe o interfață externă ( FastEthernet 0/1 ) folosind adresa 10.0.2.1/24.

În acest caz, veți gestiona rețeaua 192.168.8.0/24 și un grup necunoscut și de încredere gestionează restul rețelei, așa cum se arată. În această rețea, doriți să permiteți utilizatorilor să acceseze numai servere web din afara rețelei. Pentru a sprijini acest lucru, trebuie să creați două ACL-uri, 101 și 102.



image0.jpg

Să utilizați lista de acces 101 pentru a gestiona traficul care iese din birou și lista de acces 102 pentru a gestiona traficul care vine din rețeaua care nu are încredere în birou.

Crearea ACL 101



Router1>  enable  Password: Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#access-list 101 remark This ACL is to control the outbound router traffic. Router1(config)#access-list 101 permit tcp 192.168.8.0 0.0.0.255 any eq 80 Router1(config)#access-list 101 permit tcp 192.168.8.0 0.0.0.255 any eq 443 Router1(config)#  end  

Crearea ACL 102

Router1>  enable  Password: Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#access-list 102 remark This ACL is to control the inbound router traffic. Router1(config)#access-list 102 permit tcp any 192.168.8.0 0.0.0.255 established Router1(config)#  end  

Dacă examinați ACL 101, defalcarea formatului comenzii este următoarea:

  • ACL este numărul 101

  • Permite traficul

  • Permite traficul TCP

  • Sursa din care este permisă este definită de 192.168.8.0 cu o mască wildcard de 0.0.0.255

  • Gazda de destinație esteoricegazdă

  • Traficul TCP permis este pe portul 80

  • A doua linie este aceeași, dar permite traficul pe portul TCP 443

Dacă faceți aceeași examinare a celui de-al doilea ACL, ACL 102, ar trebui să ajungeți la următoarele:

  • ACL este numărul 102

  • Permite traficul

  • Permite traficul TCP

  • Sursa din care este permis esteoricegazdă

  • Gazda de destinație este definită de 192.168.8.0 cu o mască wildcard de 0.0.0.255

  • Traficul TCP permis este orice trafic pe o sesiune stabilită

Ultimul element de pe ACL 102 este ceva care trebuie privit mai mult. În ilustrația următoare, un computer client din rețeaua 192.168.8.0/24 a creat o sesiune TCP cu un server la distanță. Această sesiune TCP a avut un proces de handshaking care a stabilit ce porturi urmau să fie utilizate, care a fost un port ales aleatoriu pe client și portul 80 pe server.

ce este un tendon rupt

Portul care este utilizat în ACE depinde de adresa de destinație și, în acest caz, portul de destinație este un port ales aleatoriu de pe client. Mai degrabă decât să specificați că fiecare port posibil este deschis, ceea ce nu ar fi sigur, opțiunea este să spuneți că este permisă orice sesiune stabilită pe client. Prin urmare, dacă clientul deschide conexiunea, acest ACL va permite traficului să revină.

image1.jpg