Eine Zugriffskontrollliste (ACL) ist eine Liste von Regeln, die den Datenverkehr auf der Grundlage von Quell- und Ziel-IP-Adressen oder Portnummern kontrollieren und filtern. Dies geschieht, indem Pakete entweder zugelassen oder von einer Schnittstelle eines Routers, Switches, einer Firewall usw. blockiert werden.
Einzelne Einträge oder Anweisungen in einer Zugriffsliste werden Zugriffskontrolleinträge (ACEs) genannt. Jeder ACE-Eintrag definiert einen Verkehrsfluss (Quelle/Ziel), der entweder zugelassen oder blockiert wird.
Zusätzlich zur Verkehrskontrolle und Filterung in einem Netzwerk können ACLs auch als Sicherheitsmaßnahme für die Verbindung zu Ihrem Router verwendet werden, indem nur die erforderlichen IP-Adressen oder Netzwerke für den Zugriff auf den Router über Telnet (oder vorzugsweise mit SSH) zugelassen werden.
Sie haben auch mehrere andere Verwendungszwecke wie Management-Zugriffskontrolle, Filterung von Routenankündigungen, Filterung von Debug-Ausgaben, Identifizierung von Datenverkehr für die Verschlüsselung in VPN-Szenarien usw.
Zugriffslisten sind im Grunde ein Werkzeug, um interessante Pakete zu finden, die dann verschiedenen Arten von speziellen Operationen unterzogen werden können.
Auf Cisco-Geräten gibt es zwei Haupttypen von ACLs. Diese sind Standard Access Control Lists und Extended Access Control Lists.
- Standard Access Lists
Standard Access Lists sind die Grundform von Access Lists auf Cisco-Routern, die verwendet werden können, um Pakete nach dem Quell-IP-Adressfeld im Paket-Header abzugleichen. Diese Zugriffslisten sind einfacher zu erstellen und zu verstehen, aber die Optionen zum Abgleichen von Paketen sind auch auf die Quelladresse beschränkt.
- Erweiterte Zugriffslisten
Wenn Sie Pakete nicht nur nach der Quell-IP-Adresse abgleichen wollen, benötigen Sie eine erweiterte Zugriffsliste: nummeriert oder benannt. Erweiterte Zugriffslisten können nach Quell- und Ziel-IP-Adressen oder nach einer Kombination von Adressen und verschiedenen anderen Feldern wie TCP/UDP-Ports usw. filtern.
Sowohl Standard- als auch erweiterte Zugriffslisten können im nummerierten oder benannten Format geschrieben werden, was lediglich unterschiedliche Möglichkeiten zum Schreiben von Zugriffslisten sind.
In Bezug auf die Funktionalität sind nummerierte und benannte Zugriffslisten gleichwertig. Was Sie mit einer nummerierten Zugriffsliste erreichen können, können Sie auch mit einer äquivalenten benannten Zugriffsliste erreichen, und das gilt sowohl für Standard- als auch für erweiterte ACLs.
Einige Leute bevorzugen das benannte Format, da es wahrscheinlich besser lesbar ist, aber beide Formate sind in der Praxis weit verbreitet und beide sind wichtig für Ihre Cisco-Zertifizierungsprüfung.
Beziehen Sie sich bitte auf Tabelle 1, um den Nummernbereich zu erfahren, der verwendet werden kann, um standardmäßige und erweiterte nummerierte Zugriffslisten zu erstellen.
Tabelle 1 Zugriffslistennummernbereiche
| Zugriffslistentyp | Nummernbereich |
| IP Standardzugriffslisten | 1-99 |
| IP Standardzugriffslisten (erweiterter Bereich) | 1300-1999 |
| IP Erweiterte Zugriffslisten | 100-199 |
| IP Erweiterte Zugriffslisten (erweiterter Bereich) | 2000-2699 |
Wir werden uns mit diesen Zugriffskontrolllisten beschäftigen, wie sie funktionieren und wie man sie auf Cisco-Routern konfiguriert.
Schauen Sie sich bitte die folgende Abbildung 1 an, die wir für alle unsere Konfigurationsbeispiele verwenden werden.
Das Szenario besteht aus einem einzelnen Router R1 mit zwei Schnittstellen Fa0/0 und Fa0/1, die mit dem internen Netzwerk bzw. dem Internet verbunden sind.
Die Zugriffslisten sollen den Zugriff auf das Internet durch Benutzer im internen Netzwerk kontrollieren. Diese Zugriffslisten würden auf die Schnittstelle Fa0/0 in eingehender Richtung angewendet.
Abbildung 1 Zugriffslistenanwendung
Standard-Zugriffslistenkonfigurationsbeispiele
Die Standard-Zugriffskontrollliste ermöglicht es Ihnen, den Datenverkehr von einer bestimmten IP-Quelladresse oder einem IP-Netzwerk entweder zuzulassen oder zu verweigern.
Erstellen von nummerierten Standardzugriffslisten
Wir beginnen mit der Konfiguration einer Standardzugriffsliste zunächst im nummerierten und dann im benannten Format. Die Zugriffsliste soll Bob den Zugriff auf das Internet erlauben, während sie für Smith jeden Zugriff sperrt und auch erfolglose Versuche von Smith protokolliert.
Lassen Sie uns sehen, wie wir dies mit einer Standard-Zugriffsliste im nummerierten Format erreichen können.
R1>enable
R1#configure terminal
Geben Sie Konfigurationsbefehle ein, einen pro Zeile. Beenden Sie mit CNTL/Z.
R1(config)#access-list 1 permit host 192.168.1.3
R1(config)#access-list 1 deny host 192.168.1.7 log
R1(config)#
Im obigen Konfigurationsbeispiel haben wir das Schlüsselwort host verwendet, um einzelne Hosts zu identifizieren, aber das gleiche Ergebnis kann auch mit der inversen Maske 0.0.0.0.
Lassen Sie uns nun diese Zugriffsliste auf die Schnittstelle Fa0/0 in der eingehenden Richtung anwenden.
R1(config)#interface Fa0/0
R1(config-if)#ip access-group 1 ?
in eingehende Pakete
out ausgehende Pakete
R1(config-if)#ip access-group 1 in
R1(config-if)#end
R1#
Benannte Zugangslisten haben eine Nummer von 1 bis 99. Wenn Sie eine Zugriffsliste auf einem Router einrichten, müssen Sie die Zugriffslisten mit einer Nummer identifizieren, z.B. Zugriffsliste 1 wie oben gezeigt.
In jeder Zugriffsliste gibt es ein implizites deny all am Ende der ACL, auch wenn Sie es nicht explizit angeben. Wenn Sie also Ihre Zugriffsliste so konfiguriert haben, würde sie folgendes tun:
show access-list 1
Die Ausgabe lautet:
access-list 1 permit host 192.168.1.3
access-list 1 deny host 192.168.1.7 log
access-list 1 deny any
Erstellen von benannten Standard-Zugriffslisten
Lassen Sie uns nun eine Zugriffsliste im benannten Format erstellen und sie auf die Schnittstelle Fa0/0 anwenden, um den gleichen Effekt zu erzielen. Hier würden wir die inverse Maske anstelle des Host-Schlüsselworts verwenden, um einzelne Hosts abzugleichen.
R1>enable
R1#configure terminal
Geben Sie Konfigurationsbefehle ein, einen pro Zeile. Enden Sie mit CNTL/Z.
R1(config)#ip access-list standard Filter
R1(config-std-nacl)#permit 192.168.1.3 0.0.0.0
R1(config-std-nacl)#deny 192.168.1.7 0.0.0.0 log
R1(config-std-nacl)#interface Fa0/0
R1(config-if)#ip access-group Filter in
R1(config-if)#end
R1#
Erweiterte Zugriffslisten Konfigurationsbeispiele
Eine erweiterte Zugriffskontrollliste ermöglicht es Ihnen, den Verkehr von bestimmten IP-Adressen und Ports zu verweigern oder zu erlauben.
Sie gibt Ihnen auch die Möglichkeit, die Art des Protokolls zu kontrollieren, das übertragen werden kann, wie ICMP, TCP, UDP und so weiter. Der Bereich der erweiterten Zugriffskontrolllisten reicht von 100 bis 199 für nummerierte ACLs.
Ein Beispiel für eine nummerierte erweiterte ACL:
access-list 110 permit tcp 92.128.2.0 0.0.0.255 any eq 80
Die ACL 110 erlaubt den Datenverkehr, der von einer beliebigen Adresse im Netzwerk 92.128.2.0 (Quellnetzwerk) kommt, zu einer beliebigen Ziel-IP an Port 80.
Die Anweisung „any“ dient dazu, den Datenverkehr zu einer beliebigen Ziel-IP an Port 80 zu erlauben. Die erste Netzwerkanweisung im Access-List-Befehl (d.h. 92.128.2.0 0.0.0.255) bezieht sich auf die Quelle des Datenverkehrs, und die zweite Netzwerkanweisung (das Schlüsselwort „any“ in unserem Beispiel) bezieht sich auf das Ziel des Datenverkehrs.
Ein anderes Beispiel:
access-list 111 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Die obige Konfiguration erlaubt den gesamten IP-Verkehr vom Quellnetzwerk 192.168.1.0/24 zum Zielnetzwerk 192.168.2.0/24.
Bitte beachten Sie auch, dass die Subnetzmaske in der ACL-Konfiguration immer mit einer inversen Maske dargestellt wird (d.h. statt 255.255.255.0 verwenden wir 0.0.0.255).
Erstellen von nummerierten erweiterten Zugriffslisten
Wir werden nun eine erweiterte Zugriffsliste zuerst im nummerierten und dann im benannten Format konfigurieren. Die Zugriffsliste soll Bob (aus unserem obigen Netzwerkdiagramm) den Zugriff auf Webserver im Internet ermöglichen, während der gesamte Webzugriff für Smith blockiert wird und auch erfolglose Versuche von Smith, eine Website zu öffnen, protokolliert werden.
Sehen wir uns an, wie wir dies mit einer erweiterten Zugriffsliste im nummerierten Format erreichen können.
R1>enable
R1#configure terminal
Geben Sie Konfigurationsbefehle ein, einen pro Zeile. Mit CNTL/Z beenden.
R1(config)#access-list 100 permit tcp host 192.168.1.3 any eq www
R1(config)#access-list 100 deny tcp host 192.168.1.7 any eq www log
R1(config)#interface Fa0/0
R1(config-if)#ip access-group 100 in
R1(config-if)#end
R1#
Erstellen von benannten erweiterten Zugriffslisten
Nun wollen wir die gleiche erweiterte Zugriffsliste im benannten Format konfigurieren.
R1>aktivieren
R1#configure terminal
Geben Sie Konfigurationsbefehle ein, einen pro Zeile. Mit CNTL/Z abschließen.
R1(config)#ip access-list extended Filter
R1(config-ext-nacl)#permit tcp 192.168.1.3 0.0.0.0 any eq www
R1(config-ext-nacl)#deny tcp 192.168.1.7 0.0.0.0 any eq www log
R1(config-ext-nacl)#interface Fa0/0
R1(config-if)#ip access-group Filter in
R1(config-if)#end
R1#
Wir haben in diesem Artikel kurz die Zugriffslisten behandelt. Sie können überprüfen, welche Zugriffslisten auf Ihrem Cisco-Gerät vorhanden sind, indem Sie den Befehl show access-lists verwenden.
Ein abschließender Test der Zugriffslisten wird durchgeführt, indem Sie den Verkehr, den die Zugriffsliste zulassen oder verweigern soll, tatsächlich erzeugen und die Ergebnisse sehen.
Anwendung der ACL
Nachdem Sie die ACL eingerichtet haben, müssen Sie angeben, in welche Richtung sie auf die Schnittstelle angewendet werden soll (eingehend oder ausgehend).
Zum Beispiel bedeutet „eingehend“, dass der Verkehr an der Schnittstelle eingeht und „ausgehend“, dass er von der Schnittstelle ausgeht. Die ACL wird dann mit dem Befehl „access-group“ auf eine bestimmte Schnittstelle angewendet.
Sie können eine Zugriffsliste identifizieren, indem Sie ihr einen Namen oder eine Nummer geben, wie oben beschrieben. Hier ist eine Reihe von Befehlen, die Sie verwenden würden:
Router(config)#interface serial 0
Router(config-if)#ip access-group 111 out
Verwendung von Zugriffslisten, um den Telnet-Zugang zu einem Router zu sichern
Sie können Ihre Telnet-Leitungen auf einem Router auch über ACL sichern. Auf diese Weise können Sie den Zugang zum Telnet-Login nur für bestimmte Hosts oder Netzwerke zulassen. Hier ein Beispiel für eine solche Konfiguration.
access-list 25 permit 192.168.2.0 0.0.0.255
line vty 0 4
access-class 25 in
Mit dieser ACL können Sie nur Hosts im Netz 192.168.2.0/24 den Zugang zum VTY-Login erlauben. Alle Versuche aus anderen Netzen würden blockiert.
Weiteres Beispiel: Nehmen wir an, es gibt eine bestimmte Verwaltungsstation (10.1.1.1), der der Zugriff auf den Router über Telnet erlaubt werden soll. Alle anderen Hosts sollen blockiert werden.
access-list 10 permit host 10.1.1.1
line vty 0 4
access-class 10 in