Access Control List CCNA 2 v3.1 Modul 11 Claes Larsen, CCAI.

Præsentationer af emnet: "Access Control List CCNA 2 v3.1 Modul 11 Claes Larsen, CCAI."— Præsentationens transcript:

1 Access Control List CCNA 2 v3.1 Modul 11 Claes Larsen, CCAI

2 Indhold ACLs Oversigt ACL Konfiguration Extended ACLs Andre ACL funktioner

3 ACL Oversigt

4 Hvad er Access Control List (ACL)?  En ACL er en liste af instruktioner der fortæller en router hvilke pakke typer der må få adgang eller der skal afvises. ACL skal konfigureres før en router kan afvise pakker. Ellers vil routeren accepter og videresende alle pakker så længe der er forbindelse. Der kan gives adgang eller afvises pakker baseret på:  Afsender adresse  Modtager adresse  TCP & UDP port nummer Der kan skrives ACL til alle routed protokoller. D.v.s. hver routed protokol konfigureret til et interface kan have sin egen ACL til at filtrer trafikken.

5 Test pakker med ACL  For at afgøre hvilken pakker der kan tillades eller afvises, bliver pakkerne testet gennem ACLs betingelser i sekventiel orden. Når en betingelse “matcher,” er der ikke flere betingelser der bliver analyseret. Pakken er enten tilladt eller afvist.  Der er en “deny any” (afvis alle) betingelse i enden af ACL. Hvis en pakke ikke matcher nogle af betingelserne i ACL, bliver den droppet.  ACL er lavet i ”real-time”. Det betyder at man ikke senere kan opdater ACL. Den skal skrives om. Det er en god ide at benytte en tekst editor når man skriver en ACL i stedet for at konfigurere den direkte i routeren. På den måde kan ændringer og rettelser laves inden den sendes via HyperTerm.

6 Hvordan benytter routeren en ACL  Checker om en pakke er routbar. Hvis det er tilfældet laves der opslag i routing tabellen  Checker om der er en ACL for det udgående interface  Hvis ingen ACL, switches pakken til udgående interface  Hvis der er en ACL, checkes pakken op mod ACL’s betingelser sekventielt.  Hvis ingen betingelser matcher, hvad sker der så?

7 Udgående Standard ACL Proces Udgående Pakke Kik i routetabel ACL på interface? Matcher betingelsen? Næste betingelse Flere betingelser? Beslutning PermitDeny Nej Ja ICMP meddelelse Videresende Pakken

8 ACL Konfiguration

9 Eksempel på ACL

10  Skriv ACL betingelserne sekventiel i global konfigurations mode. Router(config)#access-list access-list- number {permit/deny} {test- conditions(source address)} Lab-D(config)#access-list 1 deny 192.5.5.10 0.0.0.0  Grupper ACL til en eller flere interfaces i interface konfigurations mode. Router(config-if)#{protocol} access-group access-list-number {in/out} Lab-D(config-if)#ip access-group 1 out Grundlæggende (Standard ACL)

11 access-list-number parameterne  Der er flere typer ACL.  access-list-number specificer typen.  Tabellen herunder viser ACL typer. ACL TypeACL Nummer IP Standard1 til 99 og 1300 til 1999 IP Extended100 til 199 og 2000 til 2699 AppleTalk600 til 699 IPX Standard800 til 899 IPX Extended900 til 999 IPX SAP1000 til 1099 Router(config)#access-list access-list-number {permit/deny}{test-conditions}

12 permit/deny parameter  Efter at access-list er skrevet og det rigtige access-list-number er valgt, skal der tages stilling der skal foretages en permit eller deny afhængig af det der skal ske med pakken. PermitDeny ICMP BeskedVideresende Pakken Router(config)#access-list access-list-number {permit/deny}{test-conditions}

13 {test-conditions} parameter  I {test conditions} delen af ACL, skal der vælges forskellige parameter afhængig af typen af ACL.  Fælles for de fleste access lister er source adressen ip mask og wildcard mask.  En source adresse kan være et subnet, et område af adresser, eller en host. Det bliver også kaldt ip mask fordi wildcard mask benytter source adressen til at checke bits.  Wildcard masken fortæller routeren hvilke bits der skal checkes. Se de følgende slides. Router(config)#access-list access-list-number {permit/deny}{test-conditions} Lab-A(config)#access-list 1 deny 192.5.5.10 0.0.0.0 ip mask wildcard mask

14 Wildcard Mask  En wildcard mask fortæller routeren hvilke bits i adressen der skal matche og hvilke bits der skal ignoreres.  Et “0” bit betyder at denne bit position skal checkets. Et “1” det skal ignoreres. Det er helt forskelligt fra AND processen på Semester 1.  Det foregående eksempel på 192.5.5.10 0.0.0.0 kan kan skrives i binær som: 11000000.00000101.00000101.00001010 (Source address) 00000000.00000000.00000000.00000000 (Wildcard mask)  Hvad fortæller wildcard masken routeren?

15 Wildcard Mask

16

17  Denne tabel fra materialet kan hjælpe:

18 Maskning i praksis  På de næste slides, vil vi lave nogle eksempler på wildcard maskning som speciel retningslinjer. Bliv ikke nervøs hvis du ikke forstår det med det samme. Som med subnetting, øvelse gør mester.( Luk det udleverede materiale)  Skriv en ip mask og en wildcard maske til check af alle host i netværket: 192.5.5.0 255.255.255.0  Svar: 192.5.5.0 0.0.0.255 Vær opmærksom på at denne wildcard maske er et spejlbilled af den defaulte subnet maske for en Class C adresse. Advarsel : Denne regel gælder kun for hele netværk eller subnet.

19 Maskning i praksis  Skriv en ip maske og wildcard maske for check af alle hosts i subnettet: 192.5.5.32 255.255.255.224 Hvis du svarede 192.5.5.32 0.0.0.31 HAR DU RET!! 0.0.0.31 er et spejl billede af 255.255.255.224 Lad os se på dem begge i binært:  11111111.11111111.11111111.11100000 (255.255.255.224)  00000000.00000000.00000000.00011111 (0.0.0.31) For at prøve om denne wildcard maske vil virke, lad os se på en host adresse i.32 subnettet--192.5.5.55  11000000.00000101.00000101.00110111 (192.5.5.55) host address  11000000.00000101.00000101.00100000 (192.5.5.32) ip mask  00000000.00000000.00000000.00011111 (0.0.0.31) wildcard mask

20 Maskning i praksis  Som vist i det foregående eksempel (vist her under), nogle af bittene er blå. Det er bit der skal match.  11000000.00000101.00000101.00110111 (192.5.5.55) host address  11000000.00000101.00000101.00100000 (192.5.5.32) ip mask  00000000.00000000.00000000.00011111 (0.0.0.31) wildcard mask Husk: et “0” bit i en wildcard maske betyder check bitten; et “1” bit i en wildcard maske betyder ignorere. “0”erne skal match mellem adresse på pakken (192.5.5.55) der skal tjekkes og ip masken konfigurerede i access listen (192.5.5.32)  Skriv en ip mask og wildcard maske for subnettet 192.5.5.64 med en subnet maske på 255.255.255.192?  Svar: 192.5.5.64 0.0.0.63

21 Maskning i praksis  Skriv en ip mask og wildcard maske for subnettet 172.16.128.0 med en subnet maske på 255.255.128.0? Svar: 172.16.128.0 0.0.127.255  Skriv en ip mask og wildcard maske for subnettet 172.16.16.0 med en subnet maske på 255.255.252.0? Svar: 172.16.16.0 0.0.3.255  Skriv en ip mask og wildcard maske for subnettet 10.0.8.0 med en subnet maske på 255.255.248.0? Svar: 10.0.8.0 0.0.7.255  Nu skulle du have forstået hvordan ip maske og wildcard masker hænger sammen med subnet. Hvis ikke prøv igen.

22 Maskning af et Host område  Det kan blive nødvendigt at udelukker en del af et subnet samtidig med at man tillader en anden del.  For at maske et område i et subnet, er det ofte nødvendigt at arbejde på et binært niveau.  For eksampel, eleverne benytter området 192.5.5.0 til 192.5.5.127 og lærerne benytter området 192.5.5.128 til 192.5.5.255. Begge grupper er i netværk 192.5.5.0 255.255.255.0  Hvordan vil du skrive en ip maske og en wildcard maske til at deny en gruppe, og permit en anden?

23 Maskning af et Host område  Lad os skrive en maske for eleverne. Først, skriv den første og sidste host adresse i binært. Da de første 3 oktetter er ens koncentrere vi os om den fjerde. Alle deres bit skal være “0”  Første Host’s 4. oktet: 00000000  Sidste Host’s 4. oktet: 01111111 Anden, se efter de bit der er ens i begge (mærket med blå)  0 0000000  0 1111111  Disse “fælles bit” bliver tjekket på samme måde som fælles bittene i 192.5.5 delen af adresserne. Eksempel: Host område 192.5.5.1 til.127 og.128 til.255

24 Maskning af et Host område Endelig, bestemme ip masken og wildcard masken  ip masken kan være enhver host adresse i området, men reglen siger at man skal benytte den første adresse.  I wildcard masken er alle “0”erne for fælles bits  192.5.5.0 0.0.0.127  Hvad med lærerne? Hvad med deres ip maske og wildcard maske? 192.5.5.128 ( 1 0000000) til 192.5.5.255 ( 1 1111111) Svar: 192.5.5.128 0.0.0.127 Bemærket noget? Hvad blev det samme? ændringer? Eksempel: Host område 192.5.5.1 til.127 og.128 til.255

25 Spar tid: any kommandoen  Da ACL har en “deny any” betingelse til sidst, behøver du kun at skrive betingelser til permit.  I vores foregående eksempel, hvis eleverne er nægtet adgang og alle andre har tilladelse, skal du skrive to betingelser: Lab-A(config)#access-list 1 deny 192.5.5.0 0.0.0.127 Lab-A(config)#access-list 1 permit 0.0.0.0 255.255.255.255  Da den sidste betingelse sædvanligvis benyttes til at udelukke “deny any,” giver Cisco dig en mulighed-- any k ommandoen: Lab-A(config)#access-list 1 permit any

26 Spar tid: host kommandoen  Mange netværks administrator ønsker at skrive en ACL der permit en bestemt host (eller deny en host). Betingelserne kan skrives på to måder. Enten... Lab-A(config)#access-list 1 permit 192.5.5.10 0.0.0.0  eller... Lab-A(config)#access-list 1 permit host 192.5.5.10

27 Korrekt placering af Standard ACL  Standard ACL har ikke en destination parameter. Du bliver derfor nød til at placer standard ACL så tæt på modtageren som muligt.  For at se hvorfor, så spørg dig selv hvad vil ske med alt ip trafik hvis du placerede en “deny 192.5.5.0 0.0.0.255” betingelse på Lab-A’s E0?

28 Extended ACL

29 Extended ACL Oversigt  Extended ACL er numrene fra 100 - 199 og “extend” kapaciteten på standard ACL.  Udvidelsen inkludere enskaben til at filtrere trafik baseret på... destination adresse del af ip protokol  Du kan skrive betingelser der kun deny protokoller som f.eks. “icmp” eller routing protokoller som “rip” og “igrp” øver lag af TCP/IP protokol suiten  Du kan skrive betingelser til kun at deny protokoller som “tftp” eller “http”  Du kan benytte operand som eq, gt, lt, og neg (lig med, stører end, mindre end, og ikke lig med) til at specificer hvordan en bestemt protokol skal benyttes.  For eksempel, hvis du ønsker en access liste der tillader al trafik på nær http access, skal du benytte permit ip any any neq 80

30  Skriv ACL betingelserne sekventiel i global konfigurations mode. Router(config)# access-list access-list-number {permit|deny} {protocol|protocol-keyword}{source source-wildcard} {destination destination-wildcard} [protocol-specific options] [log] Lab-A(config)#access-list 101 deny tcp 192.5.5.0 0.0.0.255 210.93.105.0 0.0.0.255 eq telnet log  Skriv ACL betingelserne sekventiel i global konfigurations mode.(samme kommando syntaks som standard) Router(config-if)#{protocol} access-group access- list-number {in/out} Lab-A(config-if)#ip access-group 101 out Grundlæggende (Extended ACL)

31 Extended Parameter  access-list-number vælg fra området 100 til 199  {protocol | protocol-number} Til CCNA, behøver du kun at kende ip og tcp --der er mange flere tilgængelig  {source source-wildcard} samme som i standard  {destination destination-wildcard} samme format som i standard, men specifik til destination  [protocol-specific options] Denne parameter er brugt til bestemme særlig dele af en protokol der behøver filtrering.

32 Port Numre  Gennemgå forskellige port numre til tcp og udp protokol og lær de mest benyttede der vist herunder.  Du kan også bare skrive navnet ( telnet ) i stedet for nummeret ( 23 ) i {protocol-specific options} Port NumreBeskrivelse 21FTP 23Telnet 25SMTP 53DNS 69TFTP

33 Korrekt placering af Extended ACL  Da extended ACL har destination information, skal du placer den så tæt på afsender som muligt.  Placer en extended ACL på det første router interface pakken møder og specificere indgangen i access-group commandoen.

34 Korrekt placering af Extended ACL  I grafiken forneden, ønsker vi at deny netværk 221.23.123.0 til access server 198.150.13.34.  Hvilken router og interface skal access listen anvendes på? Skriv access listen på Router C, sæt den til E0. Det vil holde netværket fri for trafik fra 221.23.123.0 til 198.150.13.34 men stadig tillade 221.23.123.0 access til Internet

35 Skriv og afprøv ACL Router-C(config)#access-list 100 deny ip 221.23.123.0 0.0.0.255 198.150.13.34 0.0.0.0 Router-C(config)#access-list 100 permit ip any any Router-C(config)#int e0 Router-C(config-if)#ip access-group 100 in

36 Restricting Virtual Terminal Access

37 Andre ACL funktioner

38 Navngive ACL  En god egenskab i Ciscos IOS er mugligheden for at navngive ACL. Dette er specielt virknings fuld hvis der benyttes flere end 99 standard ACL på den samme router.  Når du engang har navngivet en ACL, ændres promten og du behøver ikke længer at skrive access-list og access-list-number parameter.  I eksemplet her under er ACL navnet over_and som et hint til hvor det skal placeres i interface-- out Lab-A(config)# ip access-list standard over_and Lab-A(config-std-nacl)#deny host 192.5.5.10......... Lab-A(config-if)#ip access-group over_and out

39 Kontrollere ACL  Show commandoer:  show access-lists viser alle access-lister konfigureret på routeren  show access-lists {name | number} viser en bestem access liste  show ip interface viser access-listen anvendt på interface--både indgang og udgang.  show running-config viser alle access lister og hvilken interface de er anvendt på.