Διευρυμένες λίστες ελέγχου πρόσβασης (ACL) - ανδρικές

Οι Λίστες Ελέγχου Πρόσβασης (ACL) σας επιτρέπουν να επιτρέπετε ή να απορρίπτετε την κυκλοφορία από συγκεκριμένες διευθύνσεις IP σε μια συγκεκριμένη διεύθυνση IP και θύρα. Σας επιτρέπει επίσης να καθορίσετε διαφορετικούς τύπους κίνησης όπως ICMP, TCP, UDP, κ.λπ. Περιττό να πούμε ότι είναι πολύ κοκκώδες και σας επιτρέπει να είστε πολύ συγκεκριμένοι.

Αν σκοπεύετε να δημιουργήσετε ένα τείχος προστασίας φιλτραρίσματος πακέτων για να προστατέψετε το δίκτυό σας, είναι ένα Extended ACL που θα πρέπει να δημιουργήσετε.

FastEthernet 0/0 ) χρησιμοποιώντας ( FastEthernet 0/1 ) χρησιμοποιώντας τη διεύθυνση 10. 0. 2. 1/24 και το 10. 0. 2. 0/24 τμήμα σε εξωτερική διεπαφή ( FastEthernet 0/1

24.

Στην περίπτωση αυτή, θα διαχειριστείτε το δίκτυο 192. 168. 8. 0/24 και κάποια άγνωστη και μη αξιόπιστη ομάδα διαχειρίζεται το υπόλοιπο δίκτυο, όπως φαίνεται. Σε αυτό το δίκτυο, θέλετε να επιτρέπετε στους χρήστες να έχουν πρόσβαση μόνο σε διακομιστές ιστού έξω από το δίκτυο. Για να το υποστηρίξετε, πρέπει να δημιουργήσετε δύο ACL, 101 και 102.

για τη διαχείριση της κυκλοφορίας που προέρχεται από το μη αξιόπιστο δίκτυο στο γραφείο.

Δημιουργία ACL 101 Router1> enable Κωδικός πρόσβασης: Router1 # configure terminal Εισαγωγή εντολών διαμόρφωσης, μία ανά γραμμή. Τερματισμός με CNTL / Z. Router1 (config) # πρόσβαση-λίστα 101 παρατήρηση Αυτό το ACL πρόκειται να ελέγξει την κίνηση εξερχόμενου δρομολογητή. Ο δρομολογητής1 (config) # η λίστα πρόσβασης 101 επιτρέπει το tcp 192. 168. 8. 0 0. 0. 0. 255 οποιοδήποτε eq 80 Router1 (config) # η λίστα πρόσβασης 101 επιτρέπει την tcp 192. 168. 8. 0 0. 0. 0. 255 οποιοδήποτε eq 443 Router1 (config) #

end

Δημιουργία ACL 102

 Router1> enable Κωδικός πρόσβασης: Router1 # configure terminal Εισάγετε τις εντολές διαμόρφωσης, μία ανά γραμμή. Τερματισμός με CNTL / Z. Router1 (config) # λίστα προσπελάσεων 102 παρατήρηση Αυτό το ACL πρόκειται να ελέγξει την κίνηση εισερχόμενου δρομολογητή. Ο δρομολογητής1 (config) # η λίστα πρόσβασης 102 επιτρέπει την tcp οποιαδήποτε 192. 168. 8. 0 0. 0. 0. 255 καθιερωμένη Router1 (config) #

end

• Εάν εξετάζετε το ACL 101, της εντολής έχει ως εξής:

• Το ACL είναι αριθμός 101

• Επιτρέπει την κίνηση

• Επιτρέπει την κίνηση TCP

• Η πηγή που επιτρέπεται από ορίζεται από το 192. 168. 8. 0 με ένα μάσκα μπαλαντέρ 0. 0. 0. 255

• Ο κεντρικός υπολογιστής προορισμού είναι οποιοσδήποτε κεντρικός υπολογιστής

• Η κυκλοφορία TCP που επιτρέπεται είναι στη θύρα 80

Η δεύτερη γραμμή είναι η ίδια, αλλά επιτρέπει την κυκλοφορία στη θύρα TCP 443

• Αν κάνετε την ίδια εξέταση του δεύτερου ACL, ACL 102, θα πρέπει να καταλήξετε στα εξής:

• Το ACL είναι αριθμός 102

• Επιτρέπει την κίνηση

• Επιτρέπει την κίνηση TCP

• πηγή από την οποία επιτρέπεται να είναι οποιοσδήποτε κεντρικός υπολογιστής

• Ο κεντρικός υπολογιστής προορισμού ορίζεται από το 192.168. 8. 0 με μάσκα μπαλαντέρ 0. 0. 0. 255

Η κυκλοφορία TCP που επιτρέπεται είναι οποιαδήποτε κίνηση σε μια καθιερωμένη περίοδο λειτουργίας

Το τελευταίο στοιχείο στο ACL 102 είναι κάτι για να δούμε λίγο περισσότερο. Στην ακόλουθη εικόνα, ένας υπολογιστής-πελάτης στο δίκτυο 192. 168. 8. 0/24 έχει δημιουργήσει μια περίοδο λειτουργίας TCP με έναν απομακρυσμένο διακομιστή. Αυτή η περίοδος TCP είχε μια διαδικασία χειραψίας που καθόριζε ποιες θύρες θα χρησιμοποιηθούν, η οποία ήταν μια τυχαία επιλεγμένη θύρα στον πελάτη και τη θύρα 80 στον εξυπηρετητή.

Η θύρα που χρησιμοποιείται στο ACE εξαρτάται από τη διεύθυνση προορισμού και στην περίπτωση αυτή η θύρα προορισμού είναι μια τυχαία επιλεγμένη θύρα στον πελάτη. Αντί να ορίζουμε ότι κάθε πιθανή θύρα είναι ανοιχτή, η οποία δεν θα είναι ασφαλής, η επιλογή είναι να πούμε ότι οποιαδήποτε καθιερωμένη σύνοδο στον πελάτη επιτρέπεται. Επομένως, αν ο πελάτης ανοίξει τη σύνδεση, αυτό το ACL θα επιτρέψει την επιστροφή στην κυκλοφορία.