En Access Control List (ACL) er en liste over regler, der kontrollerer og filtrerer trafik baseret på kilde- og destinations-IP-adresser eller portnumre. Dette sker ved enten at tillade pakker eller blokere pakker fra en grænseflade på en router, switch, firewall osv.
Individuelle poster eller udsagn i en adgangsliste kaldes access control entries (ACE’er). Hver ACE-post definerer en trafikstrøm (kilde/destination), som enten vil blive tilladt eller blokeret.
Ud over trafikstyring og filtrering i et netværk kan ACL’er også bruges som en sikkerhedsforanstaltning til at oprette forbindelse til din router ved kun at tillade de nødvendige IP-adresser eller netværk til at få adgang til routeren via telnet (eller helst med SSH).
De har også flere andre anvendelsesmuligheder som f.eks. kontrol af administrationsadgang, filtrering af ruteannoncering, filtrering af debug-output, identifikation af trafik til kryptering i VPN-scenarier osv.
Accesslister er grundlæggende et værktøj til at matche interessante pakker, som derefter kan underkastes forskellige former for specielle operationer.
På Cisco-enheder har vi to hovedtyper af ACL’er. Disse er Standard Access Control Lists og Extended Access Control Lists.
- Standard Access Lists
Standard Access Lists er den grundlæggende form for adgangsliste på Cisco-routere, der kan bruges til at matche pakker efter kilde-IP-adressefeltet i pakkehovedet. Disse adgangslister er enklere at oprette og forstå, men mulighederne for at matche pakker er også begrænset til kun kildeadresse.
- Udvidede adgangslister
Hvis du ønsker at matche pakker på andet end kilde-IP-adresse, skal du bruge en udvidet adgangsliste: nummereret eller navngiven. Udvidede adgangslister kan filtrere på kilde- og destinations-IP-adresser eller en kombination af adresser og flere andre felter såsom TCP/UDP-porte osv.
Både standard- og udvidede adgangslister kan skrives i nummereret eller navngivet format, hvilket blot er forskellige måder at skrive adgangslister på.
Med hensyn til funktionalitet er nummererede og navngivne adgangslister ækvivalente. Det, du kan opnå med en nummereret adgangsliste, kan også opnås med en tilsvarende navngiven adgangsliste, og dette gælder både for standard- og udvidede ACL’er.
Nogle foretrækker det navngivne format, da det sandsynligvis er mere læsevenligt, men begge formater anvendes i vid udstrækning i praksis, og begge er vigtige for din Cisco-certificeringseksamen.
Se tabel 1 for at få kendskab til det talområde, der kan bruges til at oprette nummererede standard- og udvidede nummererede adgangslister.
Tabel 1 Nummerintervaller for adgangslister
| Access List Type | Nummerintervaller |
| IP Standard Access Lists | 1-99 |
| IP Standard Access Lists (udvidet rækkevidde) | 1300-1999 |
| IP Extended Access Lists | 100-199 |
| IP Extended Access Lists (udvidet rækkevidde) | 2000-2699 |
Vi vil tage disse adgangskontrollister i betragtning, hvordan de fungerer, og hvordan de skal konfigureres på Cisco-routere.
Se venligst nedenstående figur 1, som vi vil bruge til alle vores konfigurationseksempler.
Scenariet består af en enkelt router R1 med to grænseflader Fa0/0 og Fa0/1, der er forbundet til henholdsvis det interne netværk og internettet.
Adgangslisterne vil have til formål at kontrollere adgangen til internettet for brugere i det interne netværk. Disse adgangslister ville blive anvendt på grænseflade Fa0/0 i indgående retning.
Figur 1 Anvendelse af adgangsliste
Standardkonfiguration af adgangsliste Eksempler på konfiguration af adgangsliste
Med standardadgangskontrollisten kan du enten tillade eller afvise trafik fra en bestemt kilde-IP-adresse eller et bestemt IP-netværk.
Skabelse af nummererede standardadgangslister
Vi starter med at konfigurere en standardadgangsliste først i nummereret og derefter i navngivet format. Adgangslisten skal tillade Bob at få adgang til internettet, mens den blokerer al adgang for Smith og også logger Smiths mislykkede forsøg.
Lad os se, hvordan vi kan gøre dette ved hjælp af en standardadgangsliste i nummereret format.
R1>enable
R1#configure terminal
Indtast konfigurationskommandoer, en pr. linje. Afslut med CNTL/Z.
R1(config)#access-list 1 permit host 192.168.1.3
R1(config)#access-list 1 deny host 192.168.1.7 log
R1(config)#
I ovenstående konfigurationseksempel brugte vi nøgleordet host til at identificere de enkelte hosts, men det samme resultat kan også opnås ved at bruge den omvendte maske 0.0.0.0.0.
Lad os nu anvende denne adgangsliste på grænseflade Fa0/0 i den indgående retning.
R1(config)#interface Fa0/0
R1(config-if)#ip access-group 1 ?
in in indgående pakker
out udgående pakker
R1(config-if)#ip access-group 1 in
R1(config-if)#end
R1#
Navngivne adgangslister har et nummer fra 1 til 99. Når du sætter en adgangsliste på en router, skal du identificere adgangslisterne med et nummer, f.eks. adgangsliste 1 som vist ovenfor.
I alle adgangslister vil der være en implicit deny all i slutningen af ACL’en, selv om du ikke angiver den eksplicit. Så hvis du konfigurerede din adgangsliste på denne måde, er det her, hvad den ville gøre.
show access-list 1
Opdatet vil være:
access-list 1 permit host 192.168.1.3
access-list 1 deny host 192.168.1.3
access-list 1 deny host 192.168.1.7 log
access-list 1 deny any
Skabelse af navngivne standardadgangslister
Lad os nu oprette en adgangsliste i det navngivne format og anvende den på grænseflade Fa0/0 for at opnå den samme effekt. Her ville vi bruge den omvendte maske i stedet for nøgleordet host til at matche individuelle værter.
R1>enable
R1#configure terminal
Indtast konfigurationskommandoer, én pr. linje. Afslut med CNTL/Z.
R1(config)#ip access-list standard Filter
R1(config-std-nacl)#permit 192.168.1.3 0.0.0.0.0
R1(config-std-nacl)#deny 192.168.1.7 0.0.0.0.0 log
R1(config-std-nacl)#interface Fa0/0
R1(config-if)#ip access-group Filter in
R1(config-if)#end
R1#
Eksempler på konfiguration af udvidede adgangslister
En udvidet adgangskontrolliste giver dig mulighed for at afvise eller tillade trafik fra bestemte IP-adresser og porte.
Den giver dig også mulighed for at styre den type protokol, der kan overføres, f.eks. ICMP, TCP, UDP osv. Området for de udvidede adgangskontrollister er fra 100 til 199 for nummererede ACL’er.
Eksempel på en nummereret udvidet ACL:
access-list 110 permit tcp 92.128.2.2.0 0.0.0.0.255 any eq 80
ACL 110 tillader trafik, der kommer fra en hvilken som helst adresse på netværket 92.128.2.0 (kilde-netværket) mod en hvilken som helst destinations-IP på port 80.
Angivelsen “any” er der for at tillade trafik mod en hvilken som helst IP-destination på port 80. Den første netværksangivelse i access-list-kommandoen (dvs. 92.128.2.2.0 0.0.0.0.255) henviser til kilden til trafikken, og den anden netværksangivelse (nøgleordet “any” i vores eksempel) henviser til destinationen for trafikken.
Et andet eksempel:
access-list 111 permit ip 192.168.1.0 0.0.0.0.255 192.168.2.0 0.0.0.0.255
Overstående konfiguration vil tillade al IP-trafik fra kildanetværket 192.168.1.0/24 til destinationsnetværket 192.168.2.0/24.
Bemærk også, at undernetmasken i ACL-konfigurationen altid repræsenteres med en omvendt maske (dvs. i stedet for at bruge 255.255.255.255.0 bruger vi 0.0.0.0.255).
Skabelse af nummererede udvidede adgangslister
Vi vil nu konfigurere en udvidet adgangsliste først i nummereret og derefter i navngivet format. Adgangslisten skal give Bob (fra vores netværksdiagram ovenfor) adgang til webservere på internettet, mens den blokerer al webadgang for Smith og også logger Smiths mislykkede forsøg på at åbne et websted.
Lad os se, hvordan vi kan gøre dette ved hjælp af en udvidet adgangsliste i nummereret format.
R1>enable
R1#configure terminal
Indtast konfigurationskommandoer, en pr. linje. Afslut med CNTL/Z.
R1(config)#access-list 100 permit tcp host 192.168.1.3 any eq www
R1(config)#access-list 100 deny tcp host 192.168.1.3 any eq www
R1(config)#access-list 100 deny tcp host 192.168.1.7 any eq www log
R1(config)#interface Fa0/0
R1(config-if)#ip access-group 100 in
R1(config-if)#end
R1#
Skabelse af navngivne udvidede adgangslister
Nu skal vi konfigurere den samme udvidede adgangsliste i det navngivne format.
R1>enable
R1#configure terminal
Indtast konfigurationskommandoer, en pr. linje. Afslut med CNTL/Z.
R1(config)#ip access-list extended Filter
R1(config-ext-nacl)#permit tcp 192.168.1.3 0.0.0.0.0 any eq www
R1(config-ext-nacl)#deny tcp 192.168.1.7 0.0.0.0.0 any eq www log
R1(config-ext-nacl)#interface Fa0/0
R1(config-if)#ip access-group Filter in
R1(config-if)#end
R1#
Vi har kortfattet dækket adgangslister i denne artikel. Du kan verificere, hvilke adgangslister der findes på din Cisco-enhed ved hjælp af kommandoen show access-lists.
En sidste test af adgangslister udføres ved rent faktisk at generere trafik, som adgangslisten skal tillade eller afvise, og se resultaterne.
Sådan anvender du ACL’en
Når du har sat ACL’en på plads, skal du angive, hvilken retning du ønsker, at den skal fungere på den grænseflade, der skal anvendes (indgående eller udgående).
Til eksempel betyder “in” indgående til grænsefladen, og “out” betyder udgående fra grænsefladen. ACL’en anvendes derefter på en bestemt grænseflade ved hjælp af kommandoen “access-group”.
Du kan identificere en adgangsliste ved at give den et navn eller et nummer som beskrevet ovenfor. Her er et sæt kommandoer, du kan bruge:
Router(config)#interface serial 0
Router(config-if)#ip access-group 111 out
Anvendelse af adgangslister til at sikre telnetadgang til en router
Du kan også sikre dine telnetlinjer på en router via en ACL. Dette vil gøre det muligt for dig kun at tillade adgang til telnet-login for bestemte værter eller netværk. Her er en eksempelkonfiguration på, hvordan du kan gøre dette.
access-list 25 permit 192.168.2.0 0.0.0.255
line vty 0 4
access-class 25 in
Med denne ACL på plads vil du kun tillade værter på netværket 192.168.2.0/24 at få adgang til VTY-login. Alle forsøg fra andre netværk vil blive blokeret.
Et andet eksempel: Lad os sige, at vi har en bestemt managementstation (10.1.1.1.1), som skal have lov til at få adgang til routeren via telnet. Alle andre værter skal blokeres.
access-list 10 permit host 10.1.1.1.1
line vty 0 4
access-class 10 in