Skip to main content

Access Control List

ACL Standard Numbered

Fokuserer kun på source IP address. Range 1-99, 1300-1999.

Access-list <Nr.> <Deny/Permit> host <IP> 
Access-list <Nr.> <Deny/Permit> <ID> <Wildcard>
Access-list <Nr.> <Deny/Permit> Any
  • Det er smartest at sætte reglen så tæt på destinationen som muligt.
    • Out, tjekker alt der skal ud af den port som den er sat på.
    • In, tjekker at der kommer udefra og ind ad porten.
Interface GIG/F <Nr.>/<Nr.>.<Nr.> 
IP Access-Group <Nr> In/Out

ACL Standard Named

Der er fordel ved at bruge Name ACL's. man kan slette enkelte indtastninger. Hvor i nummereret sletter man hele ACL listen.

Fokuserer kun på source IP address. Range 1-99, 1300-1999

Access-list standard <Name>
  <entry Nr.> <Deny/Permit> host <IP>
  • Tager en enkelt IP adresse
  <entry Nr.> <Deny/Permit> <ID> <Wildcard>
  • Tager et helt netværk 
  Access-list <Name> <Deny/Permit> Any
  • Husk at afslutte med denne kommando. Så man åbner for alt, der ikke bliver ramt af de andre acl.  
Remark #Beskrivelse af ACL#
  • Man får hurtigt mange access lister, så det er en meget god idé at lave Remarks som beskriver hvad din ACL har af funktion
Interface GIG/F <Nr.>/<Nr.>.<Nr.> 
IP Access-Group <Name> In/Out

ACL Extended Numbered

Extended ACL kan specificeres mere præcis end standard.
Sættes så tæt på source som muligt.
Range 100-199, 2000-2699

IP Access-list <Nr.> <Deny/Permit> <Protcol> <Source-IP> <Dest.-IP>
Interface GIG/F <Nr.>/<Nr.>.<Nr.>
  IP Access-Group <Nr> In/Out

ACL Extended Named

IP Access-list extended <Name/Number>

  <Seq-num> <Deny/Permit>  <Protcol> <Source-IP> <Dest.-IP>

Bruges når det er en specifik port som skal blokeres. Man skal også definere flere porte på denne måde.

image.png

  <Seq-num> <Deny/Permit>  <Protcol> <Source-IP> Eq <SRC-Port-Number> <Dest.-IP> Eq  <Dest.-Port-Number>

HUSK altid denne her, ellers kommer du til at blockere alt andet.

  Permit IP Any Any

Tilføj din ACL til et interface

Interface GIG/F <Nr.>/<Nr.>.<Nr.> 
  IP Access-Group <Nr> In/Out

Access Control List Information

ACL består af en eller flere regler, kaldet for Access Control Entries (ACEs) disse bliver gennemgået af routeren, sekventiel i ACL'en. 

  • ACEs bliver også kaldt ACL Statements. 

  • Når en ACL er oprettet, bliver der automatisk oprettet en Deny ALL i bunden af listen. 

  • Derfor er en Permit all ACE i bunden nødvendig. Ellers bliver alle andre pakker droppet 

 

 

Standard ACL fungere på ISO niveau 3. da den kun kikker på source IP-adresse 

Extended ACL fungere både på niveau 3 og 4. da den tjekker både source IP og destination IP, samt TCP, UDP, Porte og optimalt Protocol.  


ACL Værktøjer og fejlfinding

Show IP Access-lists 
Show Running-config | Include Access-list
  • Viser lidt mere.  
Show running-config | Include Interface|access
  • Viser hver interface, påsatte ACL og retning.  
Show running-config | section access-list
  • Viser alle ACE med tilhørende Remarks

 

 

 

TCP Established

Giver adgang for TCP trafik. Vis det er startet fra lokal netværk. Alt TCP som oprettes udefra, bliver blokeret. 

 

IP Access-list <Nr.> <Deny/Permit> <ID> <Wildcard> Established  

 

Back to top