Video: MicroNugget: How to Configure Extended ACLs on Cisco Routers 2024
Senarai Kawalan Akses Lanjutan (ACLs) membolehkan anda membenarkan atau menafikan trafik dari alamat IP tertentu ke alamat dan pelabuhan tujuan destinasi tertentu. Ia juga membolehkan anda menentukan jenis lalu lintas yang berbeza seperti ICMP, TCP, UDP, dll. Tidak perlu dikatakan, ia sangat berbutir dan membolehkan anda menjadi sangat spesifik.
Jika anda berhasrat untuk membuat firewall penapisan paket untuk melindungi rangkaian anda, ia adalah ACL Extended yang perlu anda buat.
Contoh yang akan digunakan termasuk penghala yang disambungkan ke 192. 168. 8. segmen 0/24 pada antara muka dalaman ( FastEthernet 0/0 ) menggunakan alamat 192. 168. 8. 1/24, dan ke 10. 0. 2. Segmen 0/24 pada antara muka luaran ( FastEthernet 0/1 ) menggunakan alamat 10. 0. 2. 1 / 24.
Dalam kes ini, anda akan menguruskan rangkaian 192. 168. 8. rangkaian 0/24 dan kumpulan yang tidak dikenali dan tidak dipercayai menguruskan rangkaian yang lain, seperti yang ditunjukkan. Di rangkaian ini, anda mahu membenarkan pengguna mengakses hanya pelayan web di luar rangkaian. Untuk menyokong ini, anda perlu membuat dua ACL, 101 dan 102.
Anda menggunakan akses senarai 101 untuk menguruskan lalu lintas yang meninggalkan pejabat dan akses senarai 102 untuk menguruskan trafik yang datang dari rangkaian yang tidak dipercayai ke pejabat.
Mencipta ACL 101
Router1> membolehkan Kata Laluan: Router1 # configure terminal Masukkan perintah konfigurasi, satu per baris. Tamat dengan CNTL / Z. Router1 (config) # access-list 101 komentar ACL ini untuk mengawal trafik router keluar. Router1 (config) # access-list 101 permit tcp 192. 168. 8. 0 0. 0. 0. 255 any eq 80 Router1 (config) # access-list 101 permit tcp 192. 168. 8. 0 0. 0. 0. 255 any eq 443 Router1 (config) # end
Creating ACL 102
Router1> dayakan Kata Laluan: Router1 # configure terminal Masukkan perintah konfigurasi, satu per baris. Tamat dengan CNTL / Z. Router1 (config) # access-list 102 komentar ACL ini untuk mengawal trafik penghala masuk. Router1 (config) # access-list 102 permit tcp any 192. 168. 8. 0 0. 0. 0. 255 didirikan Router1 (config) # end
Jika anda memeriksa ACL 101, pecahan pada format daripada arahan itu adalah seperti berikut:
-
ACL adalah nombor 101
-
Ia membenarkan trafik
-
Ia membenarkan trafik TCP
-
Sumber yang dibenarkan dari ditentukan oleh 192. 168. 8. 0 dengan topeng wildcard 0. 0. 255
-
Hos destinasi adalah mana-mana host
-
Lalu lintas TCP yang dibenarkan adalah pada port 80
-
Garis kedua adalah sama, tetapi ia membenarkan trafik pada port TCP 443
Jika anda melakukan pemeriksaan yang sama ACL kedua, ACL 102, anda harus mematuhi yang berikut:
-
ACL adalah nombor 102
-
Ia membenarkan trafik
-
Ia membenarkan trafik TCP
-
sumber yang dibenarkan dari mana-mana hos
-
Hos destinasi ditakrifkan oleh 192.168. 8. 0 dengan topeng wildcard 0. 0. 0. 255
-
Lalu lintas TCP yang dibenarkan adalah sebarang lalu lintas pada sesi yang ditetapkan
Item terakhir pada ACL 102 adalah sesuatu untuk dilihat lebih sedikit. Dalam ilustrasi berikut, komputer klien pada 192. 168. 8. rangkaian 0/24 telah membuat sesi TCP dengan pelayan jauh. Sesi TCP ini mempunyai proses pembuatan tangan yang menetapkan apa yang akan digunakan pelabuhan, yang merupakan port yang dipilih secara rawak pada klien dan port 80 pada pelayan.
Pelabuhan yang digunakan dalam ACE bergantung kepada alamat destinasi, dan dalam kes ini, pelabuhan destinasi adalah port yang dipilih secara rawak pada klien. Daripada menentukan bahawa setiap pelabuhan yang mungkin terbuka, yang tidak akan selamat, pilihannya adalah mengatakan bahawa sesi yang ditetapkan pada klien dibenarkan. Oleh itu, jika pelanggan membuka sambungan, ACL ini akan membenarkan trafik kembali.
