Seznam řízení přístupu (ACL) je seznam pravidel, která řídí a filtrují provoz na základě zdrojových a cílových IP adres nebo čísel portů. Děje se tak buď povolením paketů, nebo blokováním paketů z rozhraní na směrovači, přepínači, bráně firewall atd.
Jednotlivé položky nebo příkazy v seznamu přístupu se nazývají položky řízení přístupu (ACE). Každá položka ACE definuje tok provozu (zdroj/cíl), který bude buď povolen, nebo blokován.
Kromě řízení a filtrování provozu v síti lze seznamy ACL použít také jako bezpečnostní opatření pro připojení ke směrovači tím, že povolí pouze potřebné IP adresy nebo sítě pro přístup ke směrovači prostřednictvím telnetu (nebo nejlépe pomocí SSH).
Mají také několik dalších využití, jako je řízení přístupu pro správu, filtrování inzerátů tras, filtrování výstupů ladění, identifikace provozu pro šifrování ve scénářích VPN atd.
Seznamy přístupů jsou v podstatě nástrojem pro porovnávání zajímavých paketů, které pak mohou být podrobeny různým druhům speciálních operací.
V zařízeních Cisco máme dva hlavní typy seznamů ACL. Jsou to standardní seznamy řízení přístupu a rozšířené seznamy řízení přístupu.
- Standardní seznamy řízení přístupu
Standardní seznamy řízení přístupu jsou základní formou seznamů řízení přístupu na směrovačích Cisco, které lze použít k porovnání paketů podle pole zdrojové adresy IP v záhlaví paketu. Tyto přístupové seznamy jsou jednodušší na vytvoření a pochopení, ale možnosti porovnávání paketů jsou také omezeny pouze na zdrojovou adresu.
- Rozšířené přístupové seznamy
Pokud chcete porovnávat pakety na základě něčeho jiného než zdrojové IP adresy, budete potřebovat rozšířený přístupový seznam: číslovaný nebo pojmenovaný. Rozšířené přístupové seznamy mohou filtrovat zdrojové a cílové IP adresy nebo kombinaci adres a několika dalších polí, jako jsou porty TCP/UDP atd.
Standardní i rozšířené přístupové seznamy lze zapsat v číslovaném nebo pojmenovaném formátu, což jsou pouze různé způsoby zápisu přístupových seznamů.
Z hlediska funkčnosti jsou číslované a pojmenované přístupové seznamy rovnocenné. Toho, čeho lze dosáhnout pomocí číslovaného přístupového seznamu, lze dosáhnout také pomocí ekvivalentního pojmenovaného přístupového seznamu, a to platí jak pro standardní, tak pro rozšířené seznamy ACL.
Někteří lidé dávají přednost pojmenovanému formátu, protože je pravděpodobně čitelnější, ale oba formáty se v praxi běžně používají a oba jsou důležité pro certifikační zkoušku Cisco.
V tabulce 1 se dozvíte, jaký rozsah čísel lze použít pro vytvoření standardních a rozšířených číslovaných přístupových seznamů.
Tabulka 1 Rozsahy čísel přístupových seznamů
| Typ přístupového seznamu | Rozsah čísel |
| Standardní přístupové seznamy IP | 1-99 |
| Standardní přístupové seznamy IP (rozšířený rozsah) | 1300-.1999 |
| IP Extended Access Lists | 100-199 |
| IP Extended Access Lists (expanded range) | 2000-2699 |
Budeme uvažovat tyto seznamy řízení přístupu, jak fungují a jak je nakonfigurovat na směrovačích Cisco.
Podívejte se prosím na obrázek 1 níže, který budeme používat pro všechny naše příklady konfigurace.
Scénář se skládá z jednoho směrovače R1 se dvěma rozhraními Fa0/0 a Fa0/1 připojenými k vnitřní síti, resp. k internetu.
Seznamy přístupu by byly zaměřeny na řízení přístupu uživatelů ve vnitřní síti k internetu. Tyto seznamy přístupu by byly aplikovány na rozhraní Fa0/0 v příchozím směru.
Obrázek 1 Aplikace seznamu přístupu
Příklady konfigurace standardního seznamu přístupu
Standardní seznam řízení přístupu umožní povolit nebo zakázat provoz z určité zdrojové adresy IP nebo sítě IP.
Vytvoření číslovaných standardních seznamů přístupu
Začneme konfigurací standardního seznamu přístupu nejprve v číslovaném a poté v pojmenovaném formátu. Přístupový seznam by měl povolit Bobovi přístup k internetu a zároveň zablokovat veškerý přístup pro Smithe a také zaznamenávat neúspěšné pokusy Smithe.
Podívejme se, jak to můžeme udělat pomocí standardního přístupového seznamu v číslovaném formátu.
R1>enable
R1#configure terminal
Zadejte konfigurační příkazy, jeden na řádek. Ukončete klávesou CNTL/Z.
R1(config)#access-list 1 permit host 192.168.1.3
R1(config)#access-list 1 deny host 192.168.1.7 log
R1(config)#
V uvedeném konfiguračním příkladu jsme použili klíčové slovo host pro identifikaci jednotlivých hostitelů, ale stejného výsledku lze dosáhnout i použitím inverzní masky 0.0.0.0.
Použijeme nyní tento seznam přístupu na rozhraní Fa0/0 v příchozím směru.
R1(config)#interface Fa0/0
R1(config-if)#ip access-group 1 ?
in inbound packets
out outbound packets
R1(config-if)#ip access-group 1 in
R1(config-if)#end
R1#
Pojmenované přístupové seznamy mají číslo od 1 do 99. Přístupové seznamy se mohou lišit v závislosti na tom, zda se nacházejí v daném směru. Při vkládání přístupového seznamu na směrovač je třeba přístupové seznamy označit číslem, např. přístupový seznam 1, jak je uvedeno výše.
V každém přístupovém seznamu bude na konci ACL implicitně uvedeno deny all, i když ho nezadáte explicitně. Pokud byste tedy nakonfigurovali přístupový seznam takto, zde je uvedeno, co by to udělalo.
show access-list 1
Výstup bude:
access-list 1 permit host 192.168.1.3
access-list 1 deny host 192.168.1.7 log
access-list 1 deny any
Vytvoření pojmenovaných standardních přístupových seznamů
Nyní vytvoříme přístupový seznam v pojmenovaném formátu a použijeme jej na rozhraní Fa0/0, abychom dosáhli stejného efektu. Zde bychom místo klíčového slova host použili inverzní masku, která by odpovídala jednotlivým hostitelům.
R1>enable
R1#configure terminal
Zadejte konfigurační příkazy, vždy jeden na řádek. Ukončete klávesou CNTL/Z.
R1(config)#ip access-list standard Filter
R1(config-std-nacl)#permit 192.168.1.3 0.0.0.0
R1(config-std-nacl)#deny 192.168.1.7 0.0.0.0 log
R1(config-std-nacl)#interface Fa0/0
R1(config-if)#ip access-group Filter in
R1(config-if)#end
R1#
Příklady konfigurace rozšířených seznamů přístupu
Rozšířený seznam řízení přístupu umožní zakázat nebo povolit provoz z konkrétních IP adres a portů.
Dává také možnost řídit typ protokolu, který může být přenášen, například ICMP, TCP, UDP atd. Rozsah rozšířených seznamů řízení přístupu je u číslovaných seznamů ACL od 100 do 199.
Příklad číslovaného rozšířeného seznamu ACL:
access-list 110 permit tcp 92.128.2.0 0.0.0.0.255 any eq 80
List ACL 110 povolí provoz, který přichází z libovolné adresy v síti 92.128.2.0 (zdrojová síť) směrem k libovolné cílové IP na portu 80.
Příkaz ‚any‘ je zde proto, aby byl povolen provoz směrem k libovolné cílové IP na portu 80. První příkaz sítě v příkazu access-list (tj. 92.128.2.0 0.0.0.255) se vztahuje ke zdroji provozu a druhý příkaz sítě (v našem příkladu klíčové slovo „any“) se vztahuje k cíli provozu.
Jiný příklad:
access-list 111 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Výše uvedená konfigurace povolí veškerý provoz IP ze zdrojové sítě 192.168.1.0/24 směrem k cílové síti 192.168.2.0/24.
Všimněte si také, že maska podsítě v konfiguraci ACL je vždy reprezentována inverzní maskou (tj. místo 255.255.255.0 použijeme 0.0.0.255).
Vytvoření číslovaných rozšířených seznamů přístupu
Nyní budeme konfigurovat rozšířený seznam přístupu nejprve v číslovaném a poté ve jmenném formátu. Přístupový seznam by měl Bobovi (z našeho síťového schématu výše) umožnit přístup k webovým serverům na internetu a zároveň zablokovat veškerý přístup k webu pro Smithe a také zaznamenat neúspěšné pokusy Smithe o otevření webové stránky.
Podívejme se, jak to můžeme udělat pomocí rozšířeného přístupového seznamu v číslovaném formátu.
R1>enable
R1#configure terminal
Zadejte konfigurační příkazy, jeden na řádek. Ukončete klávesou CNTL/Z.
R1(config)#access-list 100 permit tcp host 192.168.1.3 any eq www
R1(config)#access-list 100 deny tcp host 192.168.1.7 any eq www log
R1(config)#interface Fa0/0
R1(config-if)#ip access-group 100 in
R1(config-if)#end
R1#
Vytvoření pojmenovaných rozšířených přístupových seznamů
Nyní nakonfigurujeme stejný rozšířený přístupový seznam v pojmenovaném formátu.
R1>enable
R1#configure terminal
Zadejte konfigurační příkazy, vždy jeden na řádek. Ukončete klávesou CNTL/Z.
R1(config)#ip access-list extended Filter
R1(config-ext-nacl)#permit tcp 192.168.1.3 0.0.0.0 any eq www
R1(config-ext-nacl)#deny tcp 192.168.1.7 0.0.0.0 any eq www log
R1(config-ext-nacl)#interface Fa0/0
R1(config-if)#ip access-group Filter in
R1(config-if)#end
R1#
V tomto článku jsme se krátce zabývali přístupovými seznamy. Které přístupové seznamy v zařízení Cisco existují, můžete ověřit pomocí příkazu show access-lists.
Závěrečný test přístupových seznamů provedete tak, že skutečně vygenerujete provoz, který má přístupový seznam povolit nebo zakázat, a uvidíte výsledky.
Jak použít seznam ACL
Po nastavení seznamu ACL na místě je třeba určit, kterým směrem má působit na rozhraní, které bude použito (příchozí nebo odchozí).
Například „in“ znamená příchozí na rozhraní a „out“ znamená odchozí z rozhraní. ACL se pak aplikuje na konkrétní rozhraní pomocí příkazu „access-group“.
Přístupový seznam můžete identifikovat tak, že mu přidělíte název nebo číslo, jak bylo uvedeno výše. Zde je sada příkazů, které byste použili:
Router(config)#interface serial 0
Router(config-if)#ip access-group 111 out
Použití seznamů přístupu k zabezpečení přístupu Telnet ke směrovači
Linky Telnet na směrovači můžete zabezpečit také pomocí ACL. To vám umožní povolit přístup k přihlášení telnetem pouze určitým hostitelům nebo sítím. Zde je ukázka konfigurace, jak byste to provedli.
access-list 25 permit 192.168.2.0 0.0.0.255
line vty 0 4
access-class 25 in
Pomocí tohoto seznamu ACL povolíte přístup k přihlašování VTY pouze hostitelům v síti 192.168.2.0/24. V případě, že se vám to nepodaří, budete mít přístup k přihlašování VTY. Všechny pokusy z jiných sítí budou zablokovány.
Další příklad: Řekněme, že máme jednu konkrétní stanici pro správu (10.1.1.1), která by měla mít povolen přístup ke směrovači přes telnet. Všechny ostatní hostitelské stanice by měly být blokovány.
access-list 10 permit host 10.1.1.1
line vty 0 4
access-class 10 in