Cisco ACL szabályok::

Posted in 2008/09/23 ¬ 14:36h.Imi

A másik nagy mumusom az ACL szabályok. Szintén tipikus vizsgapélda lehetőség, és szintén jól kifejtett magyarázzattal ellátott példa látható a testinside blogon. Az összefoglalót magamnak készítem, hogy a konfigurálás minél gördülékenyebben menjen:

Ha ACL-ek ről van szó, beszélhetünk standard vagy extended változatról.

Standard ACL:

  • A használatával forrás ip címeket tudunk szüri
  • A célhoz legközelebbi interface-en használjuk, hogy elkerüljük az esetleges hibás, nem a célra vonatkozó szűrést.
  • Sorszám 1-99 és 1300-1999
  • 1 szabály alkalmazásával a lista végére kerül automatikusan egy minden forgalmat tiltó sor

    • konfigurációja:
    A router fastethernet 0 -s lábán szeretnénk kitiktani a 192.168.1.0/24-es ip címtartományról érkező csomagokat. A tartomány megadásához wildcard mask-ot használunk

    A szabály felállítása:

      #conf t
      config#access-list 1 deny 192.168.1.0 0.0.0.255
      config#access-list 1 permit any

    Ha egy ip címről van szó, kétféleképp járhatunk el:

      192.168.1.10 0.0.0.0 vagy host 192.168.1.10

    A szabály alkalmazása az interface-en:

      #conf t
      config#interface fastethernet 0
      config-if#ip access-group 1 out
      config-if#exit
      config#

    Extended ACL-ek:

    • IP, TCP, UDP, ICMP, IGRP, IGMP és egyéb protokollok szűrése
    • forrás és cél IP címek alapján szűrés
    • forrás és célport alapján szűrés
    • Extended ACL-t a forráshoz legközelebb helyezünk el, így minimalizáljuk a feleslegesen kimenő forgalmat
    • Számozása 100-199 és 2000-2999

    példa : A 192.168.1.0/24-es tartomány nem férhet hozzá a 172.16.1.20-as IP-jű szerver webserver szolgáltatásához, más forgalom mehet.

      #config t
      config#access-list 100 deny tcp 192.168.1.0 0.0.0.255 host 172.16.1.20 eq 80
      config#access-list 100 permit any any

    Az általános érvényű elhelyezési szabályok természetesen változhatnak annak a függvényében, hogy a hálózazat mely elemét milyen irányból szeretnénk elszeparálni, forgalmat engedélyezni illetve tiltani.

    A szabály alkalmazása az interface-en:

      #config t
      config#interface fastethernet 0
      config-if#ip access-group 100 out

    Telnet hozzáférés szűrése egy számítógépre

      #access-list 2 permit host 192.168.1.1

    ACL alkalmazása a telnet kapcsolatokra:

      #config t
      config#line vty 0 - 4
      config-line#access-class 2 in
CCNA, Cisco

You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

1 Comment »

 
  • Szalay Richárd says:
    2010/06/21 at 09:11

    Szia!

    Az Interneten kutakodva találtam meg az oldaladat. Látom, hogy a bejegyzésed elég régi, de remélem, hogy a levél elér Hozzád!

    A Cisco routerekkel kapcsolatban annyi kérdésem lenne, hogy az ACL-ek interfészhez rendelése során honnan nézzük az ACL irányát. Érthetőbben: amikor megírunk egy ACL-t, akkor az interfészhez rendeljeük kimenő, vagy bejövő irányba. Azzal tisztában vagyok, hogy a normál ACL-t a célhoz, a kiterjesztett ACL-t a forráshoz legközelebb kell elhelyezni. De minek a függvénye, hogy egyiket vagy másikat a routerből nem engedem ki, vagy már eleve be sem engedem oda?

    Bízom benne, hogy valamennyire érthető volt a kérdésem!

    A segítségedet előre is köszönöm!

    Üdvözlettel,
    Szalay Richárd

 

Leave a Reply

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

*
Kérlek, a képen látható kód beírásával igazold, hogy nem vagy robot.
Anti-Spam Image