IP списки доступа Cisco IOS — различия между версиями

Материал из wiki
Перейти к: навигация, поиск
(Расширенные параметры ACE)
(Расширенные параметры ACE)
Строка 98: Строка 98:
  
 
reflexive
 
reflexive
 +
 +
permit icmp vs. permit ip
  
 
=== Классификация трафика с помощью ACL ===
 
=== Классификация трафика с помощью ACL ===

Версия 05:26, 1 ноября 2013

IP списки доступа Cisco IOS

Access-lists, Access-control-lists (ACL) – списки контроля доступа. Существует несколько разновидностей аксесс-листов, применяемых на маршрутизаторах и коммутаторах Cisco. Аксесс-листы используются для фильтрации трафика или для определения классов трафика при применении политик. Список доступа представляет собой набор строк вида условие-действие. Строка аксесс-листа называется access-control-entry (ACE). Условием может быть соответствие пакета определенному протоколу или набору параметров. Действием может быть разрешение пакета (permit), либо запрещение (deny). Для списков доступа справедливы следующие правила:

  • Созданный список доступа не действует, пока он не применен к конкретному интерфейсу.
  • Список доступа применяется на интерфейсе в конкретном направлении – для исходящего, либо входящего трафика (inbound/outbound).
  • К интерфейсу можно применить только по одному аксесс-листу на протокол (ip), на направление (in/out).
  • Список доступа проверяется строка за строкой до первого совпадения. Оставшиеся строки игнорируются.
  • В конце любого IP аксесс-листа подразумевается запрещающее правило (implicit deny). Пакет, не попавший ни под одно условие в списке, отбрасывается, в соответствии с правилом implicit deny.
  • Рекомендуется более специфические правила указывать в начале аксесс-листа, а более общие – в конце.
  • Новые строки по умолчанию дописываются в конец списка.
  • Отдельную строку можно удалить из именованного аксесс-листа, другие ACL удаляются лишь целиком.
  • Список доступа должен иметь по крайней мере один permit, иначе он будет блокировать весь трафик.
  • Интерфейс, которому назначен несуществующий аксесс-лист не фильтрует трафик.
  • IP Extended Access-lists применяются как можно ближе к источнику трафика.


По способу создания списки доступа делятся на стандартные, расширенные, и именованные. Удобнее всего работать с именованными.

Стандартный Access-list

Фильтрует только по ip адресу источника. Должен иметь номер в диапазоне 1-99. Пример:

access-list 10 deny host 172.16.30.2 – запретить ip источника
access-list 10 permit any            - разрешить всё

Расширенный Access-list

Фильтрует по адресам источника и получателя, по протоколам 3, 4 уровня. Должен иметь номер в диапазоне 100-199. Пример:

acсess-list 110 deny tcp any host 172.16.30.2 eq 22		- запретить tcp от всех на хост с портом 22
access-list 110 deny ip 192.168.160.0 0.0.31.255 any       -  запретить ip от сети по шаблону на всех
access-list 110 permit ip any any             - разрешить всё

Применение к интерфейсу

conf t					- переход в режим конфигурирования
int fa 0/0				- переход к интерфейсу FastEthernet0/0
 ip access-group 110 in		- применить ACL 110 на вход
 ip access-group 120 out	- применить ACL 120 на выход

Применение к линиям доступа telnet

conf t					- переход в режим конфигурирования
line vty 0 4				- переход к линиям vty с 0 по 4
 access-class 10 in		- применить ACL 10 на вход

Именованный расширенный Access-list

Фильтрует по адресам источника и получателя, по протоколам 3, 4 уровня. Должен иметь имя. Возможно удалять отдельные строки. Пример:

 ip access-list extended INET      - создать список с именем INET
  deny tcp any host 172.16.30.2 eq 22  - запретить tcp от всех на хост с портом 22
  deny ip 192.168.160.0 0.0.31.255 any -  запретить ip от сети по шаблону на всех
  permit ip any any         				    - разрешить всё

Строки доступа нумеруются с шагом 10 по-умолчанию. Можно перенумеровать аксесс-лист с другим шагом. Можно добавить строку пронумеровав – она попадет в указанное место, по нумерации.

Просмотр расширенного аксесс-листа:

 router# sh access-list INET
 Extended IP access list INET
  10 deny tcp any host 172.16.30.2 eq 22  (150 matches)
  20 deny ip 192.168.160.0 0.0.31.255 any (4 matches)
  30 permit ip any any  (1556 matches)

Как видим - строки пронумерованы с шагом 10. Можно вставить новую строку в произвольное место листа, используя номер:

router(conf)# ip access-list extended INET
router(config-ext-nacl)# 5 permit ip host 10.10.10.10 any
router(config-ext-nacl)# 223 deny ip host 1.1.1.1 any
router(config-ext-nacl)# end
router# sh access-list INET
 Extended IP access list INET
   5 permit ip host 10.10.10.10 any
  10 deny tcp any host 172.16.30.2 eq 22  (150 matches)
  20 deny ip 192.168.160.0 0.0.31.255 any (4 matches)
  30 permit ip any any  (1556 matches)
  223 deny ip host 1.1.1.1 any

Удалить отдельную строчку из листа можно по номеру, или по полному указанию строки с префиксом "no". Например так:

router(conf)# ip access-list extended INET
router(config-ext-nacl)# no permit ip host 10.10.10.10 any

Или так:

router(config-ext-nacl)# no 223 

Полностью удалить список доступа можно указав соответствующую команду и "no":

router(conf)# no ip access-list extended INET

Расширенные параметры ACE

log

log-input

established

time-range

reflexive

permit icmp vs. permit ip

Классификация трафика с помощью ACL

Отладка IP ACL

Vlan-ACL (VACL)

Порядок обработки пакетов

Подробная инструкция по работе с IP ACL от cisco

http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml

Примеры типичных применений IP ACL

http://www.cisco.com/en/US/tech/tk648/tk361/technologies_configuration_example09186a0080100548.shtml