Mainos / Advertisement:

Cisco acl

Kohteesta Taisto
Versio hetkellä 12. maaliskuuta 2015 kello 12.59 – tehnyt Johannes (keskustelu | muokkaukset)
Siirry navigaatioon Siirry hakuun

{{#allow-groups:user}}

Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended.

  • Stantard ACL tutkailee vain lähde ip-osoitetta
  • Extended ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.

Access listat luetaan aina YLHÄÄLTÄ ALAS. Jos mikään rivi ei kohtaa pakettia, lopuksi se aina KIELLETÄÄN, siis salli paketti erikseen jos haluat sen menevän läpi.


Stantard ACL

Komento kokonaisuudessaan: 

Reititin(config)#access-list access-listan-numero [deny | permit | remark] source [source-wildcard] [log]

Parametrit komennossa:

  • Access-listan numero, stantardissa se on 1-99 tai 1300-1999.
  • deny Jos osuu, niin tippuu
  • permit Jos osuu, niin sallii
  • remark Lisää kommentin jotta olis helpompi jälkikäteen ymmärtää mitä acl tekee, tämä on max 100 merkkiä
  • lähde Joko verkon osoite tai hostin osoite mistä paketti on lähtenyt, voi laittaa myös any, jolloin mikävaan lähdeosoite huomioidaan
  • lähteen wildcardi HUOM, vapaaehtoinen. tähänkin voi laittaa any
  • log Vapaaehtoinen, tähän voi määrittää että paketit jotka ottaa hitin tästä listasta esitetään consolissa. Sen, että minkätasoiset viestit consolissa näytetään voi määrittää logging console komennolla


Access-listan voi myös nimetä eikä numeroida. Esimerkiksi jos haluu blokata http liikenteen voi listan nimetä NO_HTTP nimellä. konffaus myös eroaa hieman, voit laittaa monta riviä heti samaan syssyyn. 

ip access-list stantard EI_HERMANNIA
  deny host 192.168.100.100
  permit 192.168.100.0 0.0.0.255
  interface Fa0/0
 ip access-group EI_HERMANNIA


Extended ACL

Access listan asetus interfaceen

Access listat voi näppärästi laittaa eri interfaceihin komennolla ip access-group. Ensin siis luodaan access-lista, sitten se osoitetaan tietylle interfacelle ja määritellään vielä ohjaako se ulos- vai sisäänpäinmenevää liikennettä.

Esimerkissä reitittimen wan interface on fa0/0 ja verkko josta halutaan sallia liikenne on interfacessa 0/1 ja siellä haluttu verkko on 192.168.100.0/24 

access-list 10 permit 192.168.100.0 0.0.0.255
interface fastethernet 0/0 
 ip access-group 10 out

Nyt kaikki verkossa 192.168.100.0/24 olevat laitteet pääsee verkkoon. Jos halutaan estää vaikkapa joku toimiston sihteeri jonka ip on 192.168.100.10, niin lisätään access-listaan vain vähän tavaraa. 

no access-list 10 poistetaan vanha acl kummittelemasta
access-list 10 deny 192.168.100.10 0.0.0.0
access-list 10 permit 192.168.100.0 0.0.0.255
interface fastethernet 0/0 
 ip access-group 10 out

ACL hallitsemaan reitittimen hallintaa

Access-listan voi tietenkin laittaa myös esimerkiksi kontrolloimaan telnet tai ssh yhteyksiä. Esimerkissämme sysadminin koneen ip on 192.168.100.100, eikä muille haluta antaa pääsyä reitittimelle ssh:n avulla. 

access-list 7 permit 192.168.100.100 0.0.0.0
access-list 7 deny any
line vty 0 4 
 password Qwerty1
 login
 access-class 7 in
Noudettu kohteesta ”https://taisto.org/index.php?title=Cisco_acl&oldid=5336
Mainos / Advertisement: