Access Control List (ACL) on luettelo säännöistä, jotka ohjaavat ja suodattavat liikennettä lähde- ja kohde-IP-osoitteiden tai porttinumeroiden perusteella. Tämä tapahtuu joko sallimalla paketteja tai estämällä paketteja reitittimen, kytkimen, palomuurin jne. rajapinnalta.
Käyttöluettelon yksittäisiä merkintöjä tai lausekkeita kutsutaan pääsynvalvontamerkinnöiksi (Access Control entries, ACE). Kukin ACE-merkintä määrittelee liikennevirran (lähde/kohde), joka joko sallitaan tai estetään.
Verkossa tapahtuvan liikenteen hallinnan ja suodatuksen lisäksi ACL-luetteloita voidaan käyttää myös reitittimeen muodostettavien yhteyksien turvatoimenpiteenä sallimalla vain tarvittavat IP-osoitteet tai -verkot reitittimeen pääsyä varten telnetin (tai mieluiten SSH:n) kautta.
Neillä on myös useita muita käyttötarkoituksia, kuten hallinnan pääsynvalvonta, reitti-ilmoitusten suodatus, debug-tulosteiden suodatus, liikenteen tunnistaminen VPN-skenaarioissa tapahtuvaa salausta varten jne.
Käyttöluettelot ovat pohjimmiltaan työkalu, jolla voidaan sovittaa yhteen mielenkiintoisia paketteja, joille voidaan sitten tehdä erilaisia erikoisoperaatioita.
Ciscon laitteissa on käytössä kahta pääasiallista ACL-luettelotyyppiä. Nämä ovat Standard Access Control Lists ja Extended Access Control Lists.
- Standard Access Lists
Standard Access Lists ovat Ciscon reitittimissä käytettävien pääsylistojen perusmuoto, jota voidaan käyttää pakettien täsmäyttämiseen paketin otsakkeen lähde-IP-osoitekentän perusteella. Nämä pääsylistat ovat yksinkertaisempia luoda ja ymmärtää, mutta pakettien täsmäytysvaihtoehdot rajoittuvat myös vain lähdeosoitteeseen.
- Laajennetut pääsylistat
Jos paketteja halutaan täsmäyttää muunkin kuin lähde-IP-osoitteen perusteella, tarvitaan laajennettu pääsylista: numeroitu tai nimetty. Laajennetut pääsylistat voivat suodattaa lähde- ja kohde-IP-osoitteita tai osoitteiden ja useiden muiden kenttien, kuten TCP/UDP-porttien jne. yhdistelmää.
Sekä tavalliset että laajennetut pääsylistat voidaan kirjoittaa numeroidussa tai nimetyssä muodossa, jotka ovat vain eri tapoja kirjoittaa pääsylistoja.
Toiminnallisuuden kannalta numeroidut ja nimetyt pääsylistat vastaavat toisiaan. Se, mitä voit saavuttaa numeroidulla pääsylistalla, voidaan saavuttaa myös vastaavalla nimetyllä pääsylistalla, ja tämä koskee sekä vakiomuotoisia että laajennettuja ACL-luetteloita.
Jotkut suosivat nimettyä muotoa, koska se on luultavasti helppolukuisempi, mutta molempia muotoja käytetään käytännössä laajalti, ja molemmat ovat tärkeitä Ciscon sertifiointitutkinnossasi.
Taulukosta 1 saat tietoa numeroiden vaihteluvälistä, joita voidaan käyttää vakiomuotoisten ja laajennettujen, numeroitujen pääsyluetteloiden luomiseen.
Taulukko 1 Pääsylistojen numeroalueet
| Pääsylistan tyyppi | Numeroalue |
| IP-standardinmukaiset pääsylistat | 1-99 |
| IP-standardinmukaiset pääsyluettelot (laajennettu alue) | 1300-1999 |
| IP Extended Access Lists | 100-199 |
| IP Extended Access Lists (expanded range) | 2000-2699 |
Huomioidaan näitä pääsynvalvontalistoja, miten ne toimivat ja miten ne määritetään Ciscon reitittimissä.
Katsokaa alla olevaa kuvaa 1, jota käytämme kaikissa konfigurointiesimerkeissämme.
Skenaario koostuu yhdestä reitittimestä R1, jossa on kaksi liitäntää Fa0/0 ja Fa0/1, jotka on kytketty sisäverkkoon ja Internetiin.
Pääsynvalvontaluetteloiden tarkoituksena olisi kontrolloida sisäverkon käyttäjien pääsyä Internetiin. Näitä pääsylistoja sovellettaisiin rajapintaan Fa0/0 saapuvaan suuntaan.
Kuva 1 Pääsylistojen soveltaminen
Käyttöluettelon vakiomuotoinen konfigurointi Esimerkkejä
Vakiomuotoisen pääsynvalvontaluettelon avulla voidaan joko sallia tai kieltää tietystä lähde-IP-osoitteesta tai tietystä IP-verkosta tuleva liikenne.
Numeroitujen vakiomuotoisten pääsynvalvontaluetteloiden luominen
Aloitamme konfiguroimalla vakiomuotoisen pääsynvalvontaluettelon ensin numeroituna ja sitten nimettynä. Pääsylistan pitäisi sallia Bobin pääsy Internetiin ja samalla estää kaikki Smithin pääsy myös kirjaamalla Smithin epäonnistuneet yritykset.
Katsotaan, miten voimme tehdä tämän käyttämällä numeroidussa muodossa olevaa vakioyhteyslistaa.
R1>enable
R1#configure terminal
Syötetään konfigurointikomennot, yksi per rivi. Lopeta CNTL/Z:llä.
R1(config)#access-list 1 permit host 192.168.1.3
R1(config)#access-list 1 deny host 192.168.1.7 log
R1(config)#
Yllä olevassa konfiguraatioesimerkissä käytimme host-avainsanaa yksittäisten isäntien yksilöimiseen, mutta samaan tulokseen päästään myös käyttämällä käänteistä maskia 0.0.0.0.0.
Käytetään nyt tätä pääsylistaa rajapintaan Fa0/0 saapuvaan suuntaan.
R1(config)#rajapinta Fa0/0
R1(config-if)#ip access-group 1 ?
in inbound packets
out outbound packets
R1(config-if)#ip access-group 1 in
R1(config-if)#end
R1#
Nimetyillä pääsylistoilla on numero 1:stä 99:ään. Kun laitat pääsylistan reitittimeen, sinun täytyy yksilöidä pääsylistat numerolla esim. pääsylista 1 kuten yllä on esitetty.
Jokaisessa pääsylistassa on implisiittinen deny all ACL:n lopussa, vaikka et määrittelisikään sitä eksplisiittisesti. Jos siis konfiguroit pääsyluettelon näin, se toimisi näin:
show access-list 1
Tuloste on:
access-list 1 permit host 192.168.1.3
access-list 1 deny host 192.168.1.7 log
access-list 1 deny any
Nimettyjen vakiopääsylistojen luominen
Luotaan nyt nimettyyn muotoon tehty pääsylista ja sovelletaan sitä rajapintaan Fa0/0, jotta saavutetaan sama vaikutus. Tässä käytämme käänteistä maskia host-avainsanan sijasta yksittäisten isäntien vastaamiseen.
R1>enable
R1#configure terminal
Syötetään konfigurointikomentoja, yksi per rivi. Lopeta komento CNTL/Z:llä.
R1(config)#ip access-list standard Filter
R1(config-std-nacl)#permit 192.168.1.3 0.0.0.0
R1(config-std-nacl)#deny 192.168.1.7 0.0.0.0.0 log
R1(config-std-nacl)#interface Fa0/0
R1(config-if)#ip access-group Filter in
R1(config-if)#end
R1#
Laajennettujen pääsylistojen konfigurointi Esimerkkejä
Laajennetun pääsynvalvontaluettelon avulla voit estää tai sallia liikenteen tietyistä IP-osoitteista ja porteista.
Se antaa myös mahdollisuuden hallita siirrettävän protokollan tyyppiä, kuten ICMP, TCP, UDP ja niin edelleen. Laajennettujen pääsynvalvontaluetteloiden vaihteluväli on 100:sta 199:ään numeroitujen ACL:ien osalta.
Esimerkki numeroidusta laajennetusta ACL:stä:
access-list 110 permit tcp 92.128.2.0 0.0.0.0.255 any eq 80
ACL 110 sallii liikenteen, joka tulee mistä tahansa osoitteesta 92.128.2.0-verkossa (lähdeverkossa) kohti mitä tahansa kohde-IP:tä portissa 80.
’any’-lauseke on siinä, jotta liikenne kohti mitä tahansa IP-kohdetta portissa 80 sallitaan. Access-list-komennon ensimmäinen verkkolause (eli 92.128.2.0 0.0.0.0.255) viittaa liikenteen lähteeseen ja toinen verkkolause (esimerkissämme avainsana ”any”) viittaa liikenteen kohteeseen.
Toinen esimerkki:
access-list 111 permit ip 192.168.1.0 0.0.0.0.255 192.168.2.0 0.0.0.0.255
Ylläoleva konfiguraatio sallii kaiken IP-liikenteen lähdeverkosta 192.168.1.0/24 kohti kohdeverkkoa 192.168.2.0/24.
Huomaa myös, että aliverkon peite ACL-konfiguraatiossa esitetään aina käänteisellä maskilla (eli sen sijaan, että käytämme 255.255.255.0, käytämme 0.0.0.255).
Numeroitujen laajennettujen käyttöoikeusluetteloiden luominen
Konfiguroidaan laajennettu käyttöoikeusluettelo seuraavaksi ensiksi numeroidussa ja sitten nimetyssä muodossa. Pääsylistan pitäisi sallia Bobille (yllä olevasta verkkokaaviostamme) pääsy Internetin Web-palvelimille, mutta samalla estää Smithiltä kaikki Web-yhteydet ja kirjaa myös Smithin epäonnistuneet yritykset avata verkkosivusto.
Katsotaanpa, miten tämä onnistuu käyttämällä numeroitua laajennettua pääsylistaa.
R1>enable
R1#configure terminal
Syötetään konfigurointikomennot, yksi per rivi. Lopeta komento CNTL/Z:llä.
R1(config)#access-list 100 permit tcp host 192.168.1.3 any eq www
R1(config)#access-list 100 deny tcp host 192.168.1.7 any eq www log
R1(config)#interface Fa0/0
R1(config-if)#ip access-group 100 in
R1(config-if)#end
R1#
R1#
Nimettyjen laajennettujen pääsylistojen luominen
Konfiguroidaan nyt sama laajennettu pääsylista nimettyyn muotoon.
R1>enable
R1#configure terminal
Syötetään konfigurointikomentoja, yksi per rivi. Lopeta komento CNTL/Z:llä.
R1(config)#ip access-list extended Filter
R1(config-ext-nacl)#permit tcp 192.168.1.3 0.0.0.0.0 any eq www
R1(config-ext-nacl)#deny tcp 192.168.1.7 0.0.0.0 any eq www log
R1(config-ext-nacl)#interface Fa0/0
R1(config-if)#ip access-group Filter in
R1(config-if)#end
R1#
Käsittelimme lyhyesti pääsylistoja tässä artikkelissa. Voit tarkistaa, mitkä pääsylistat ovat olemassa Ciscon laitteessasi komennolla show access-lists.
Viimeinen pääsylistatesti tehdään tuottamalla oikeasti liikennettä, jonka pääsylistan on tarkoitus sallia tai kieltää, ja katsomalla tuloksia.
Miten ACL:ää sovelletaan
Kun olet asettanut ACL:n paikoilleen, sinun on määritettävä, kumpaan suuntaan haluat sen toimivan rajapinnalla, jota sovelletaan (sisään- tai ulospäin).
Esimerkiksi ”in” tarkoittaa rajapinnalle saapuvaa ja ”out” rajapinnalta lähtevää. Tämän jälkeen ACL:ää sovelletaan tiettyyn rajapintaan ”access-group”-komennolla.
Käyttöluettelon voi tunnistaa antamalla sille nimen tai numeron, kuten edellä on käsitelty. Tässä on joukko komentoja, joita voisit käyttää:
Router(config)#interface serial 0
Router(config-if)#ip access-group 111 out
Käyttöluetteloiden käyttäminen Telnet-käytön turvaamiseen reitittimessä
Voit myös turvata reitittimen telnet-linjat ACL:n avulla. Näin voit sallia telnet-kirjautumisen vain tietyille isännille tai verkoille. Tässä on esimerkkikokoonpano siitä, miten voit tehdä tämän.
access-list 25 permit 192.168.2.0 0.0.0.0.255
line vty 0 4
access-class 25 in
Tämän ACL:n avulla sallit vain 192.168.2.0/24-verkon isännille pääsyn Telnet-kirjautumiseen. Kaikki yritykset muista verkoista estetään.
Toinen esimerkki: Oletetaan, että meillä on yksi tietty hallinta-asema (10.1.1.1), jonka pitäisi saada käyttää reititintä telnetin kautta. Kaikki muut asemat pitäisi estää.
access-list 10 permit host 10.1.1.1
line vty 0 4
access-class 10 in