Ciele cvičenia

  • Definícia Acess-Control Listov
  • Základné pojmy
  • Úprava Access-Control Listov
  • Konfigurácia štandardných Access-Control Listov
  • Konfigurácia rozšírených Access-Control Listov
  • Umiestnenie Access listu na interface
  • Packet Tracer aktivita

Definícia Acess-Control Listov

  • Sú to prístupové zoznamy, ktoré obsahujú záznamy permit (povoliť) a deny (zamietnuť).
  • Rozdeľujeme ich na štandardné / rozšírené a číslované / pomenované.
  • Nové záznamy sa pridávajú vždy na koniec zoznamu.
  • Ak Access list nájde prvú zhodu v zozname, vykoná akciu a ďalšie zhody už nehľadá.
  • Na koniec neprázdneho zoznamu sa pridá záznam „zakáž všetko” (deny any).
  • Na koniec prázdneho zoznamu sa pridá záznam „povoľ všetko” (permit any).
  • Špecifickejšie pravidlá by mali byť na vrchole zoznamu.

Základné pojmy

Umiestnenie Access-Control Listov
  • Access list je možné uložiť na jeden interface aj v smere in, aj v smere out.
  • Smer in sa používa vtedy, ak komunikácia na daný port prichádza.
  • Smer out sa používa vtedy, ak komunikácia z daného portu odchádza
Štandardný Access-Control List
  • Nadobúda čísla od 1 po 99, a potom od 1300 do 1999.
  • Filtruje len na základe zdrojovej IP adresy.
  • Najčastejšie sa používa v smere out.
  • Umiestňuje sa čo najďalej od zdroja, resp. čo najbližšie k cieľu.
Rozšírený Access-Control List
  • Nadobúda čísla od 100 do 199, a potom od 2000 do 2699.
  • Filtruje na základe zdrojovej IP adresy, cieľovej IP adresy, protokolu na 3. vrstve (IPv4, IPv6), protokolu na 4. vrstve (TCP, UDP)
    a protokolu na 7. vrstve (HTTP, HTTPS).
  • Najčastejšie sa používa v smere in.
  • Umiestňuje sa čo najbližšie k zdroju, resp. čo najďalej od cieľa.
  • Je potrebné brať do úvahy vyťaženie linky a ak to situácia dovoľuje, tak je lepšie uložiť Access list na vstupný interface v smere in.
Pravidlá pri vytváraní Access-Control Listov
  • Jeden Access list môže byť umiestnený len na jednom interface-i, na jednom routri.
  • Jeden Access list môže byť len v jednom smere - in / out.
  • Jeden Access list môže obsahovať len jeden typ protokolu - IPv4 / IPv6.

Úprava Access-Control Listov

Cez textový dokument
  • Cez show running-config si zobrazím daný Access List.
  • Skopírujem daný Access List do textového dokumentu.
  • V textovom dokumente si Access List upravím podľa potreby.
  • Následne zmažem celý Access List zo zariadenia.
  • Nakoniec nakopírujem Access List na zariadenie z textového dokumentu.
Pomocou sekvenčných čísel
  • Každý záznam Access Listu má priradené poradové alebo sekvenčné číslo s hopom (10,20,30...).
  • Pridaním sekvenčného čísla pred nový záznam ho posuniem medzi záznamami (4,9,19,35...).

Konfigurácia štandardných Access-Control Listov

1. Štandardný číslovaný Access List:

Router(config)# access-list 1 remark [text] - filtrovanie jedného zariadenia

Router(config)# access-list 1 deny/permit/remark 192.168.1.1 0.0.0.0/host 192.168.1.1 - filtrovanie jedného zariadenia

Router(config)# access-list 1 deny/permit/remark any/0.0.0.0 0.0.0.0/192.168.1.0 0.0.0.255 - filtrovanie všetkých zariadení

2. Štandardný pomenovaný Access List:

Router(config)# ip access-list standard [nazov-access-listu] - vytvorenie štandardného Access Listu

Router(config-std-nacl)# deny/permit/remark host 192.168.1.1 - výber funkcionality pre daného hosta

Konfigurácia rozšírených Access-Control Listov

1. Rozšírený číslovaný Access List:

Router(config)# access-list 123 remark [text] - vytvorenie číslovaného Access Listu

Router(config)# access-list 123 permit/deny/remark tcp/udp/ip [zdrojová-adresa] [wildcard-maska] [cieľová-adresa][wildcard-maska] eq [protokol] - výber funkcionality pre daného ACL

2. Rozšírený pomenovaný Access List:

Router(config)# ip access-list extended [názov-access-listu] - vytvorenie pomenovaného Access Listu

Router(config-ext-nacl)# deny/permit/remark tcp/udp/ip [zdrojová-adresa][wildcard-maska] [cieľová-adresa][wildcard-maska] eq [protokol] - výber funkcionality pre daného hosta

Umiestnenie Access listu na interface

1. Umiestnenie číslovaného Access Listu na interface:

Router(config)# interface [port] - prechod na interface

Router(config-if)# ip access-group [číslo] in/out - umiestnenie ACL na daný port v zvolenom smere

2. Umiestnenie pomenovaného Access Listu na interface:

Router(config)# interface [port] - prechod na interface

Router(config-if)# ip access-group [názov-access-listu] in/out - umiestnenie ACL na daný port v zvolenom smere

Packet Tracer aktivita

  • Táto aktivita slúži na interaktívnejšie precvičenie Access Control Listov.
  • V tejto aktivite si môžete precvičiť:
    • Základnú konfiguráciu smerovačov
    • Dynamické pridelenie IP adries - DHCP
    • Konfiguráciu štandardných Access Listov
    • Konfiguráciu rozšírených Access Listov
  • Aktivita nie je časovo obmedzená a taktiež nebude ani hodnotená.
  • Toto cvičenie obsahuje taktiež aj GNS-3 aktivitu, na ktorú sa dostanete cez tento odkaz.