Mainos / Advertisement:

Cisco acl

Kohteesta Taisto
Versio hetkellä 13. maaliskuuta 2015 kello 09.50 – tehnyt Johannes (keskustelu | muokkaukset)
Siirry navigaatioon Siirry hakuun

{{#allow-groups:user}}

Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended.

  • Stantard ACL tutkailee vain lähde ip-osoitetta
  • Extended ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.

Access listat luetaan aina YLHÄÄLTÄ ALAS. Jos mikään rivi ei kohtaa pakettia, lopuksi se aina KIELLETÄÄN, siis salli paketti erikseen jos haluat sen menevän läpi.


Stantard ACL

Komento kokonaisuudessaan:

Reititin(config)#access-list access-listan-numero [deny | permit | remark] source [source-wildcard] [log]

Parametrit komennossa:

  • Access-listan numero, stantardissa se on 1-99 tai 1300-1999.
  • deny Jos osuu, niin tippuu
  • permit Jos osuu, niin sallii
  • remark Lisää kommentin jotta olis helpompi jälkikäteen ymmärtää mitä acl tekee, tämä on max 100 merkkiä
  • lähde Joko verkon osoite tai hostin osoite mistä paketti on lähtenyt, voi laittaa myös any, jolloin mikävaan lähdeosoite huomioidaan
  • lähteen wildcardi HUOM, vapaaehtoinen. tähänkin voi laittaa any
  • log Vapaaehtoinen, tähän voi määrittää että paketit jotka ottaa hitin tästä listasta esitetään consolissa. Sen, että minkätasoiset viestit consolissa näytetään voi määrittää logging console komennolla


Access-listan voi myös nimetä eikä numeroida. Esimerkiksi jos haluu blokata http liikenteen voi listan nimetä NO_HTTP nimellä. konffaus myös eroaa hieman, voit laittaa monta riviä heti samaan syssyyn.

ip access-list stantard EI_HERMANNIA
  deny host 192.168.100.100
  permit 192.168.100.0 0.0.0.255
  interface Fa0/0
 ip access-group EI_HERMANNIA


Extended ACL

Extended acl on 100-199 tai 2000-2699.

Extended access-listassa tarkastellaan lähdeosoitteen lisäksi pääteosoitetta sekä pyös protokollia ja porttinumeroita.

Extended access-listan komento on toki paljon pidempi, koska siinä on enemmän muuttujia

access-list access-listan numero tai nimi {deny | permit | remark} protokolla lähde [lähteen wildcardi] [muuttuja] [portin numero tai nimi] kohde [kohteen wildcardi]  [muuttuja]  [portin numero tai nimi] [established]

Operaattoreita on seuraavanlaisia:

  • lt (less than) vähintään siis
  • gt (greater than) enintään siis
  • eq (equal) ehkä se yleisin, siis yhtä kuin
  • neq (not equal) ei saa olla yhtäkuin
  • range (katsotaan koko haitari)

Esimerkissä estämme ftp liikenteen vierasverkosta 192.168.100.0/24 yrityksenverkkoon joka on 192.168.200.0/24

access-list 150 deny tcp 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 eq 21
access-list 150 deny tcp 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 eq 21
access-list 150 permit ip any any
interface Fastethernet 0/1
 ip access-group 150 in

Access listan asetus interfaceen

Access listat voi näppärästi laittaa eri interfaceihin komennolla ip access-group. Ensin siis luodaan access-lista, sitten se osoitetaan tietylle interfacelle ja määritellään vielä ohjaako se ulos- vai sisäänpäinmenevää liikennettä.

Esimerkissä reitittimen wan interface on fa0/0 ja verkko josta halutaan sallia liikenne on interfacessa 0/1 ja siellä haluttu verkko on 192.168.100.0/24

access-list 10 permit 192.168.100.0 0.0.0.255
interface fastethernet 0/0 
 ip access-group 10 out

Nyt kaikki verkossa 192.168.100.0/24 olevat laitteet pääsee verkkoon. Jos halutaan estää vaikkapa joku toimiston sihteeri jonka ip on 192.168.100.10, niin lisätään access-listaan vain vähän tavaraa.

no access-list 10 poistetaan vanha acl kummittelemasta
access-list 10 deny 192.168.100.10 0.0.0.0
access-list 10 permit 192.168.100.0 0.0.0.255
interface fastethernet 0/0 
 ip access-group 10 out

ACL hallitsemaan reitittimen hallintaa

Access-listan voi tietenkin laittaa myös esimerkiksi kontrolloimaan telnet tai ssh yhteyksiä. Esimerkissämme sysadminin koneen ip on 192.168.100.100, eikä muille haluta antaa pääsyä reitittimelle ssh:n avulla.

access-list 7 permit 192.168.100.100 0.0.0.0
access-list 7 deny any
line vty 0 4 
 password Qwerty1
 login
 access-class 7 in
Mainos / Advertisement: