Конфигурация именованных АС Ls

 

Для того, чтобы сконфигурировать именованный IР АСLs на маршрутизаторе Сisсо, надо в режиме глобальной конфигурации выполнить следующую команду.

 

Router(config)# ip access-list { standard | extended } name

 

Далее, в подрежиме конфигурирования именованного списка контроля доступа указываются условия доступа, которые определяют, будет пакет пропущен или отброшен.

 

Строка в стандартном именованном списке контроля доступа будет иметь вид:

Router(config-std-nacl)# deny { source [source-wildcard]| а ny }

Router(config-std-nacl)# permit { source [source-wildcard]| а ny }

 

Строка в расширенном именованном списке контроля доступа будет иметь вид:

 

Router(config-ext-nacl)# deny { source [source-wildcard] destination [destination-wildcard] [operator port] }

Router(config-ext-nacl)# permit { source [source-wildcard] destination [destination-wildcard] [operator port] }

 

Команда deny

 

Команда deny используется для задания условий блокировки пакетов в именованных списках контроля доступа.

deny { source [source-wildcard] |any }[log]

Эта же команда с ключевым словом no используется для удаления условия блокировки доступа.

no deny { source [source-wildcard] |any}

 

Команда permit

 

Команда permit используется для задания условий разрешения пакетов в именованных списках контроля доступа.

permit { source [source-wildcard] |any }[log]

Эта же команда с ключевым словом no используется для удаления условия из списка.

no permit { source [source-wildcard] |any }

Пример.

 

Администратору необходимо сформировать расширенный АСL с именем telnet, который бы запрещал только Те ln е t из подсети 172.1.1.0.

 

 

Рис 7

 

Поскольку сеть, из которой ограничен доступ, подключена к маршрутизатору R1 через интерфейс Е0, а в расширенном списке контроля доступа указывается источник и назначение, то ACL будем размещать на R1.

 

R1(config)#ip access-list extended telnet

R1(config-ext-nacl)#deny ip 172.1.1.0 0.0.0.255 any eq 23

R1(config-ext-nacl)#permit ip any any

R1(config)#interface fastEthernet 0/0

R1(config-if)#ip access-group telnet in

 

Этот АСL блокирует из сети 172.1.1.0 только Те ln е t. Весь другой трафик проходит.

 

TCP - Протокол транспортного уровня.

eq 23 - Порт назначения; указывает на стандартный номер порта для Те lnet.

permit any any - cтрока разрешения пропускает весь остальной IР трафик на входе интерфейса Е0

 

Конфигурация АС L на vty

 

У маршрутизатора, помимо физических портов, или интерфейсов, таких, как Е0 и Е1, есть и виртуальные порты, через которые открывается для настройки маршрутизатора. По умолчанию можно открыть одновременно 5 telnet сессий (виртуальных терминальных линий), с номерами от vty 0 до vty 4.

 

Для обеспечения безопасности можно запретить доступ на маршрутизатор по линиям vty или разрешить доступ по vty, но запретить Telnet доступ с маршрутизатора.

 

Фильтрация протокола Telnet требует применения расширенного IР АСL, так как протокола верхнего уровня. Но можно использовать стандартный IР АСL для фильтрации входящих Telnet сессий от источника.

 

Для того, чтобы установить IР АСLs на линиях vty, надо в подрежиме настройки vty выполнить команду access - class.

 

Router(config)# line vty {vty#|vty-range}

Router(config-line)# access-class access-list number {in|out}

 

Параметры команды line	Описание
vty #	Переход к конфигурации данной линии vty
vty-range	Переход к конфигурации диапазона vty линий

 

Команда access - class применяет АС L к терминальной линии или диапазону терминальных линий.

 

 

Параметры команды access - class	Описание
access - list - number	Указывает номер АС L, привязанный к терминальной линии. Это десятичное значение от 1 до 99 или от 1300 до 2699.
in	Защищает маршрутизатор от входящих Telnet соединений от источников, указанных в строке запрета АС L.
out	Не позволяет vty портам маршрутизатора инициировать Telnet соединения к адресам, определенным в строке запрета стандартного АСL.   Замечание: адрес источника, указанный в стандартном АС L, рассматривается как адрес назначения, если он используется в access - class out.

 

Пример: доступ по vty

Пример:

Администратору необходимо сформировать АСL, который бы разрешал разрешаете любому узлу из сети 172.1.1.0 0.0.0.255 устанавливать telnet сессию с маршрутизатором. Кроме этого, пользователь должен знать соответствующие пароли для доступа пользовательский и привилегированного режим.

 

На каждую линию виртуального канала (0 - 4) устанавливаются одинаковые ограничения, так как неизвестно, какая линия будет задействована для подключения пользователя.

 

R1(config)#access-list 1 permit 172.1.1.0 0.0.0.255

R1(config)#line vty 0 4

R1(config-line)#access-class 12 in

 

 

Правила размещения АС L

АСLs используются для управления трафиком с помощью отфильтровывания и уничтожения нежелательных пакетов. Правильная установка АСL поможет уменьшить объем нежелательного трафика в сети.

 

Основные принципы конфигурации АС L:

 

• Для правильной работы АСL важен порядок строк. АСL лучше создавать в текстовом редакторе на компьютере, а затем копировать АСL в командную строку маршрутизатора. Например, можно использовать Word на компьютере для создания АСL, а затем Telnet или консольное подключение к маршрутизатору с компьютера. Войдите в режим глобальной конфигурации на маршрутизаторе, а затем скопируйте АСL в буфер на компьютере и вставьте его из документа Word в командную строку маршрутизатора.

• АСL обрабатываются сверху вниз, поэтому можно снизить нагрузку на маршрутизатор от анализа АСL, если в начало списка поместить более специфические и чаще встречающиеся условия проверки.

• Только именованные АСLs позволяют удаление (но не вставку в середину) отдельных строк списка. Если возникает необходимость расположить строки АСL в другом порядке, то придется удалить весь список и заново создать его, расположив строки в желаемом порядке.

• Все АСL заканчиваются невидимой строкой, запрещающей весь трафик.

 

Размещение ACL.

 

В стандартных АСLs указываются только адреса источников пакетов. Если стандартный список контроля доступа разместить у источника, то его пакеты могут не достичь не только того, для кого трафик блокируется, но и до всех других узлов. Поэтому стандартный АСL размещается как можно ближе к сети назначения нежелательного трафика.

 

В расширенных АСLs указываются адреса источников и назначения. Расширенные АСL должны помещаться как можно ближе к источнику с целью уменьшения ненужного трафика.

 

Проверка настройки АС L.

Для проверки настроек ACL используется команды show.

 

Команда show ip interfaces показывает IР настройки интерфейса, а также установлены ли какие-нибудь I Р АС Ls на этом интерфейсе.

 

В выводе команды show ip interfaces E 0, на интерфейсе Е0 активизирован исходящий IР АСL с именем telnet.

 

R1#show ip interface fastEthernet 0/0

FastEthernet0/0 is up, line protocol is down

Internet address is 200.1.2.1/24

Broadcast address is 255.255.255.255

Address determined by setup command

  MTU is 1500 bytes

Helper address is not set

Directed broadcast forwarding is disabled

Multicast reserved groups joined: 224.0.0.10

Outgoing access list is 1

Inbound access list is telnet

Proxy ARP is enabled

Security level is default

Split horizon is enabled

ICMP redirects are always sent

ICMP unreachables are always sent

ICMP mask replies are never sent

IP fast switching is enabled

IP fast switching on the same interface is disabled

IP Flow switching is disabled

IP Feature Fast switching turbo vector

IP multicast fast switching is enabled

IP multicast distributed fast switching is disabled

IP route-cache flags are Fast

Router Discovery is disabled

IP output packet accounting is disabled

IP access violation accounting is disabled

TCP/IP header compression is disabled

RTP/IP header compression is disabled

Probe proxy name replies are disabled

Policy routing is disabled

Network address translation is disabled

WCCP Redirect outbound is disabled

WCCP Redirect inbound is disabled

WCCP Redirect exclude is disabled

BGP Policy Mapping is disabled

 

 

 

Для просмотра содержания всех АСLs используется команда show access - lists.

Можно посмотреть конкретный АСL, написав его имя или номер в качестве дополнительного аргумента этой команды.

R1#show access-lists

Standard IP access list 1

permit 172.1.1.0, wildcard bits 0.0.0.255

Extended IP access list 101

deny tcp 172.1.3.0 0.0.0.255 172.1.1.0 0.0.0.255 eq ftp

deny tcp 172.1.3.0 0.0.0.255 172.1.1.0 0.0.0.255 eq ftp-data

permit ip any any

Extended IP access list telnet

deny ip 172.1.1.0 0.0.0.255 any eq 23

permit ip any any

 

Чтобы посмотреть содержание всех АСLs только для протокола IР используется команда show ip access - lists.

R1#show ip access-lists

Standard IP access list 1

permit 172.1.1.0, wildcard bits 0.0.0.255

Extended IP access list 101

deny tcp 172.1.3.0 0.0.0.255 172.1.1.0 0.0.0.255 eq ftp

deny tcp 172.1.3.0 0.0.0.255 172.1.1.0 0.0.0.255 eq ftp-data

permit ip any any

Extended IP access list telnet

deny ip 172.1.1.0 0.0.0.255 any eq 23

permit ip any any

R1#