Skip to main content

Access Control List

ACL Standard Numbered

Fokuserer kun på source IP address. Range 1-99, 1300-1999.

Access-list <Nr.> <Deny/Permit> host <IP> 
Access-list <Nr.> <Deny/Permit> <ID> <Wildcard>
Access-list <Nr.> <Deny/Permit> Any
  • Det er smartest at sætte reglen så tæt på destinationen som muligt.
    • Out, tjekker alt der skal ud af den port som den er sat på.
    • In, tjekker at der kommer udefra og ind ad porten.
Interface GIG/F <Nr.>/<Nr.>.<Nr.> 
IP Access-Group <Nr> In/Out

ACL Standard Named

Der er fordel ved at bruge Name ACL's. man kan slette enkelte indtastninger. Hvor i nummereret sletter man hele ACL listen.

Fokuserer kun på source IP address. Range 1-99, 1300-1999

Access-list standard <Name>
  <entry Nr.> <Deny/Permit> host <IP>
    Tager en enkelt IP adresse
      <entry Nr.> <Deny/Permit> <ID> <Wildcard>
      Tager et helt netværk  
        Access-list <Name> <Deny/Permit> Any
        Husk at afslutte med denne kommando. Så man åbner for alt, der ikke bliver ramt af de andre acl.   
        Remark #Beskrivelse af ACL#
          Man får hurtigt mange access lister, så det er en meget god idé at lave Remarks som beskriver hvad din ACL har af funktion 
          Interface GIG/F <Nr.>/<Nr.>.<Nr.> 
IP Access-Group <Name> In/Out

          ACL Extended Numbered

          Extended ACL kan specificeres mere præcis end standard.
          Sættes så tæt på source som muligt.
          Range 100-199, 2000-2699

          IP Access-list <Nr.> <Deny/Permit> <Protcol> <Source-IP> <Dest.-IP>
          Interface GIG/F <Nr.>/<Nr.>.<Nr.>
  IP Access-Group <Nr> In/Out

           

          ACL Extended Named

          IP Access-list extended <Name/Number>

           

            <Seq-num> <Deny/Permit>  <Protcol> <Source-IP> <Dest.-IP>

           

          Bruges når det er en specifik port som skal blokeres. Man skal også definere flere porte på denne måde.

          image.png

            <Seq-num> <Deny/Permit>  <Protcol> <Source-IP> Eq <SRC-Port-Number> <Dest.-IP> Eq  <Dest.-Port-Number>

          HUSK altid denne her, ellers kommer du til at blockere alt andet.

            Permit IP Any Any

           

          Tilføj din ACL til et interface

          Interface GIG/F <Nr.>/<Nr.>.<Nr.> 
  IP Access-Group <Nr> In/Out

           

          Access Control List Information

          ACL består af en eller flere regler, kaldet for Access Control Entries (ACEs) disse bliver gennemgået af routeren, sekventiel i ACL'en. 

          • ACEs bliver også kaldt ACL Statements. 

          • Når en ACL er oprettet, bliver der automatisk oprettet en Deny ALL i bunden af listen. 

          • Derfor er en Permit all ACE i bunden nødvendig. Ellers bliver alle andre pakker droppet 

           

          Et billede, der indeholder tekst Automatisk genereret beskrivelse

           

          Standard ACL fungere på ISO niveau 3. da den kun kikker på source IP-adresse 

          Extended ACL fungere både på niveau 3 og 4. da den tjekker både source IP og destination IP, samt TCP, UDP, Porte og optimalt Protocol.  


           

          ACL Værktøjer og fejlfinding

           

          Show IP Access-lists 
          Show Running-config | Include Access-list
          • Viser lidt mere.  
          Show running-config | Include Interface|access
          • Viser hver interface, påsatte ACL og retning.  
          Show running-config | section access-list
          • Viser alle ACE med tilhørende Remarks

           

           

           

          TCP Established

          Giver adgang for TCP trafik. Vis det er startet fra lokal netværk. Alt TCP som oprettes udefra, bliver blokeret. 

           

          IP Access-list <Nr.> <Deny/Permit> <ID> <Wildcard> Established  

           

          Back to top