Access Control List CCNA 2 v3.1 Modul 11 Claes Larsen, CCAI

Indhold ACLs Oversigt ACL Konfiguration Extended ACLs Andre ACL funktioner

ACL Oversigt

Hvad er Access Control List (ACL)?  En ACL er en liste af instruktioner der fortæller en router hvilke pakke typer der må få adgang eller der skal afvises. ACL skal konfigureres før en router kan afvise pakker. Ellers vil routeren accepter og videresende alle pakker så længe der er forbindelse. Der kan gives adgang eller afvises pakker baseret på:  Afsender adresse  Modtager adresse  TCP & UDP port nummer Der kan skrives ACL til alle routed protokoller. D.v.s. hver routed protokol konfigureret til et interface kan have sin egen ACL til at filtrer trafikken.

Test pakker med ACL  For at afgøre hvilken pakker der kan tillades eller afvises, bliver pakkerne testet gennem ACLs betingelser i sekventiel orden. Når en betingelse “matcher,” er der ikke flere betingelser der bliver analyseret. Pakken er enten tilladt eller afvist.  Der er en “deny any” (afvis alle) betingelse i enden af ACL. Hvis en pakke ikke matcher nogle af betingelserne i ACL, bliver den droppet.  ACL er lavet i ”real-time”. Det betyder at man ikke senere kan opdater ACL. Den skal skrives om. Det er en god ide at benytte en tekst editor når man skriver en ACL i stedet for at konfigurere den direkte i routeren. På den måde kan ændringer og rettelser laves inden den sendes via HyperTerm.

Hvordan benytter routeren en ACL  Checker om en pakke er routbar. Hvis det er tilfældet laves der opslag i routing tabellen  Checker om der er en ACL for det udgående interface  Hvis ingen ACL, switches pakken til udgående interface  Hvis der er en ACL, checkes pakken op mod ACL’s betingelser sekventielt.  Hvis ingen betingelser matcher, hvad sker der så?

Udgående Standard ACL Proces Udgående Pakke Kik i routetabel ACL på interface? Matcher betingelsen? Næste betingelse Flere betingelser? Beslutning PermitDeny Nej Ja ICMP meddelelse Videresende Pakken

ACL Konfiguration

Eksempel på ACL

 Skriv ACL betingelserne sekventiel i global konfigurations mode. Router(config)#access-list access-list- number {permit/deny} {test- conditions(source address)} Lab-D(config)#access-list 1 deny  Grupper ACL til en eller flere interfaces i interface konfigurations mode. Router(config-if)#{protocol} access-group access-list-number {in/out} Lab-D(config-if)#ip access-group 1 out Grundlæggende (Standard ACL)

access-list-number parameterne  Der er flere typer ACL.  access-list-number specificer typen.  Tabellen herunder viser ACL typer. ACL TypeACL Nummer IP Standard1 til 99 og 1300 til 1999 IP Extended100 til 199 og 2000 til 2699 AppleTalk600 til 699 IPX Standard800 til 899 IPX Extended900 til 999 IPX SAP1000 til 1099 Router(config)#access-list access-list-number {permit/deny}{test-conditions}

permit/deny parameter  Efter at access-list er skrevet og det rigtige access-list-number er valgt, skal der tages stilling der skal foretages en permit eller deny afhængig af det der skal ske med pakken. PermitDeny ICMP BeskedVideresende Pakken Router(config)#access-list access-list-number {permit/deny}{test-conditions}

{test-conditions} parameter  I {test conditions} delen af ACL, skal der vælges forskellige parameter afhængig af typen af ACL.  Fælles for de fleste access lister er source adressen ip mask og wildcard mask.  En source adresse kan være et subnet, et område af adresser, eller en host. Det bliver også kaldt ip mask fordi wildcard mask benytter source adressen til at checke bits.  Wildcard masken fortæller routeren hvilke bits der skal checkes. Se de følgende slides. Router(config)#access-list access-list-number {permit/deny}{test-conditions} Lab-A(config)#access-list 1 deny ip mask wildcard mask

Wildcard Mask  En wildcard mask fortæller routeren hvilke bits i adressen der skal matche og hvilke bits der skal ignoreres.  Et “0” bit betyder at denne bit position skal checkets. Et “1” det skal ignoreres. Det er helt forskelligt fra AND processen på Semester 1.  Det foregående eksempel på kan kan skrives i binær som: (Source address) (Wildcard mask)  Hvad fortæller wildcard masken routeren?

Wildcard Mask

 Denne tabel fra materialet kan hjælpe:

Maskning i praksis  På de næste slides, vil vi lave nogle eksempler på wildcard maskning som speciel retningslinjer. Bliv ikke nervøs hvis du ikke forstår det med det samme. Som med subnetting, øvelse gør mester.( Luk det udleverede materiale)  Skriv en ip mask og en wildcard maske til check af alle host i netværket:  Svar: Vær opmærksom på at denne wildcard maske er et spejlbilled af den defaulte subnet maske for en Class C adresse. Advarsel : Denne regel gælder kun for hele netværk eller subnet.

Maskning i praksis  Skriv en ip maske og wildcard maske for check af alle hosts i subnettet: Hvis du svarede HAR DU RET!! er et spejl billede af Lad os se på dem begge i binært:  ( )  ( ) For at prøve om denne wildcard maske vil virke, lad os se på en host adresse i.32 subnettet  ( ) host address  ( ) ip mask  ( ) wildcard mask

Maskning i praksis  Som vist i det foregående eksempel (vist her under), nogle af bittene er blå. Det er bit der skal match.  ( ) host address  ( ) ip mask  ( ) wildcard mask Husk: et “0” bit i en wildcard maske betyder check bitten; et “1” bit i en wildcard maske betyder ignorere. “0”erne skal match mellem adresse på pakken ( ) der skal tjekkes og ip masken konfigurerede i access listen ( )  Skriv en ip mask og wildcard maske for subnettet med en subnet maske på ?  Svar:

Maskning i praksis  Skriv en ip mask og wildcard maske for subnettet med en subnet maske på ? Svar:  Skriv en ip mask og wildcard maske for subnettet med en subnet maske på ? Svar:  Skriv en ip mask og wildcard maske for subnettet med en subnet maske på ? Svar:  Nu skulle du have forstået hvordan ip maske og wildcard masker hænger sammen med subnet. Hvis ikke prøv igen.

Maskning af et Host område  Det kan blive nødvendigt at udelukker en del af et subnet samtidig med at man tillader en anden del.  For at maske et område i et subnet, er det ofte nødvendigt at arbejde på et binært niveau.  For eksampel, eleverne benytter området til og lærerne benytter området til Begge grupper er i netværk  Hvordan vil du skrive en ip maske og en wildcard maske til at deny en gruppe, og permit en anden?

Maskning af et Host område  Lad os skrive en maske for eleverne. Først, skriv den første og sidste host adresse i binært. Da de første 3 oktetter er ens koncentrere vi os om den fjerde. Alle deres bit skal være “0”  Første Host’s 4. oktet:  Sidste Host’s 4. oktet: Anden, se efter de bit der er ens i begge (mærket med blå)    Disse “fælles bit” bliver tjekket på samme måde som fælles bittene i delen af adresserne. Eksempel: Host område til.127 og.128 til.255

Maskning af et Host område Endelig, bestemme ip masken og wildcard masken  ip masken kan være enhver host adresse i området, men reglen siger at man skal benytte den første adresse.  I wildcard masken er alle “0”erne for fælles bits   Hvad med lærerne? Hvad med deres ip maske og wildcard maske? ( ) til ( ) Svar: Bemærket noget? Hvad blev det samme? ændringer? Eksempel: Host område til.127 og.128 til.255

Spar tid: any kommandoen  Da ACL har en “deny any” betingelse til sidst, behøver du kun at skrive betingelser til permit.  I vores foregående eksempel, hvis eleverne er nægtet adgang og alle andre har tilladelse, skal du skrive to betingelser: Lab-A(config)#access-list 1 deny Lab-A(config)#access-list 1 permit  Da den sidste betingelse sædvanligvis benyttes til at udelukke “deny any,” giver Cisco dig en mulighed-- any k ommandoen: Lab-A(config)#access-list 1 permit any

Spar tid: host kommandoen  Mange netværks administrator ønsker at skrive en ACL der permit en bestemt host (eller deny en host). Betingelserne kan skrives på to måder. Enten... Lab-A(config)#access-list 1 permit  eller... Lab-A(config)#access-list 1 permit host

Korrekt placering af Standard ACL  Standard ACL har ikke en destination parameter. Du bliver derfor nød til at placer standard ACL så tæt på modtageren som muligt.  For at se hvorfor, så spørg dig selv hvad vil ske med alt ip trafik hvis du placerede en “deny ” betingelse på Lab-A’s E0?

Extended ACL

Extended ACL Oversigt  Extended ACL er numrene fra og “extend” kapaciteten på standard ACL.  Udvidelsen inkludere enskaben til at filtrere trafik baseret på... destination adresse del af ip protokol  Du kan skrive betingelser der kun deny protokoller som f.eks. “icmp” eller routing protokoller som “rip” og “igrp” øver lag af TCP/IP protokol suiten  Du kan skrive betingelser til kun at deny protokoller som “tftp” eller “http”  Du kan benytte operand som eq, gt, lt, og neg (lig med, stører end, mindre end, og ikke lig med) til at specificer hvordan en bestemt protokol skal benyttes.  For eksempel, hvis du ønsker en access liste der tillader al trafik på nær http access, skal du benytte permit ip any any neq 80

 Skriv ACL betingelserne sekventiel i global konfigurations mode. Router(config)# access-list access-list-number {permit|deny} {protocol|protocol-keyword}{source source-wildcard} {destination destination-wildcard} [protocol-specific options] [log] Lab-A(config)#access-list 101 deny tcp eq telnet log  Skriv ACL betingelserne sekventiel i global konfigurations mode.(samme kommando syntaks som standard) Router(config-if)#{protocol} access-group access- list-number {in/out} Lab-A(config-if)#ip access-group 101 out Grundlæggende (Extended ACL)

Extended Parameter  access-list-number vælg fra området 100 til 199  {protocol | protocol-number} Til CCNA, behøver du kun at kende ip og tcp --der er mange flere tilgængelig  {source source-wildcard} samme som i standard  {destination destination-wildcard} samme format som i standard, men specifik til destination  [protocol-specific options] Denne parameter er brugt til bestemme særlig dele af en protokol der behøver filtrering.

Port Numre  Gennemgå forskellige port numre til tcp og udp protokol og lær de mest benyttede der vist herunder.  Du kan også bare skrive navnet ( telnet ) i stedet for nummeret ( 23 ) i {protocol-specific options} Port NumreBeskrivelse 21FTP 23Telnet 25SMTP 53DNS 69TFTP

Korrekt placering af Extended ACL  Da extended ACL har destination information, skal du placer den så tæt på afsender som muligt.  Placer en extended ACL på det første router interface pakken møder og specificere indgangen i access-group commandoen.

Korrekt placering af Extended ACL  I grafiken forneden, ønsker vi at deny netværk til access server  Hvilken router og interface skal access listen anvendes på? Skriv access listen på Router C, sæt den til E0. Det vil holde netværket fri for trafik fra til men stadig tillade access til Internet

Skriv og afprøv ACL Router-C(config)#access-list 100 deny ip Router-C(config)#access-list 100 permit ip any any Router-C(config)#int e0 Router-C(config-if)#ip access-group 100 in

Restricting Virtual Terminal Access

Andre ACL funktioner

Navngive ACL  En god egenskab i Ciscos IOS er mugligheden for at navngive ACL. Dette er specielt virknings fuld hvis der benyttes flere end 99 standard ACL på den samme router.  Når du engang har navngivet en ACL, ændres promten og du behøver ikke længer at skrive access-list og access-list-number parameter.  I eksemplet her under er ACL navnet over_and som et hint til hvor det skal placeres i interface-- out Lab-A(config)# ip access-list standard over_and Lab-A(config-std-nacl)#deny host Lab-A(config-if)#ip access-group over_and out

Kontrollere ACL  Show commandoer:  show access-lists viser alle access-lister konfigureret på routeren  show access-lists {name | number} viser en bestem access liste  show ip interface viser access-listen anvendt på interface--både indgang og udgang.  show running-config viser alle access lister og hvilken interface de er anvendt på.