Een Access Control List (ACL) is een lijst van regels die verkeer controleert en filtert op basis van bron- en bestemmings IP-adressen of poortnummers. Dit gebeurt door pakketten toe te staan of te blokkeren vanaf een interface op een router, switch, firewall enz.
Individuele ingangen of verklaringen in een toegangslijst worden toegangscontroleingangen (ACE’s) genoemd. Elke ACE-entry definieert een verkeersstroom (bron/bestemming) die wordt toegestaan of geblokkeerd.
Naast het regelen en filteren van verkeer in een netwerk, kunnen ACL’s ook worden gebruikt als beveiligingsmaatregel voor het maken van verbinding met uw router door alleen de benodigde IP-adressen of netwerken toe te staan voor toegang tot de router via telnet (of bij voorkeur met SSH).
Ze hebben ook verschillende andere toepassingen zoals management access control, route advertisement filtering, debug output filtering, traffic identification voor encryptie in VPN scenario’s etc.
Access lists zijn in principe een hulpmiddel om interessante pakketten te matchen die vervolgens kunnen worden onderworpen aan verschillende soorten speciale operaties.
Op Cisco apparaten hebben we twee hoofdtypen ACL’s. Dit zijn standaard toegangscontrolelijsten en uitgebreide toegangscontrolelijsten.
- Standaard toegangscontrolelijsten
Standaard toegangscontrolelijsten zijn de basisvorm van toegangscontrolelijsten op Cisco-routers die kunnen worden gebruikt om pakketten te matchen op basis van het bron-IP-adresveld in de header van het pakket. Deze toegangslijsten zijn eenvoudiger te maken en te begrijpen, maar de opties voor het matchen van pakketten zijn ook beperkt tot alleen het bronadres.
- Extended Access Lists
Als u pakketten wilt matchen op meer dan alleen het bron-IP-adres, hebt u een uitgebreide toegangslijst nodig: genummerd of met naam. Uitgebreide toegangslijsten kunnen filteren op bron- en doel-IP-adressen, of een combinatie van adressen en verschillende andere velden zoals TCP/UDP-poorten enz.
Zowel standaard als uitgebreide toegangslijsten kunnen worden geschreven in genummerd of genoemd formaat, wat gewoon verschillende manieren zijn om toegangslijsten te schrijven.
In termen van functionaliteit zijn genummerde en genoemde toegangslijsten gelijkwaardig. Wat u kunt bereiken met een genummerde toegangslijst kan ook worden bereikt met een equivalente benoemde toegangslijst, en dit geldt voor zowel standaard als uitgebreide ACL’s.
Sommigen geven de voorkeur aan het benoemde formaat omdat het waarschijnlijk leesbaarder is, maar beide formaten worden veel gebruikt in de praktijk en beide zijn belangrijk voor uw Cisco-certificeringsexamen.
Raadpleeg tabel 1 om het bereik van nummers te leren dat kan worden gebruikt om standaard en uitgebreide genummerde toegangslijsten te maken.
Tabel 1 Nummerbereiken van toegangslijsten
| Access List Type | Nummerbereik |
| IP-standaardtoegangslijsten | 1-99 |
| IP-standaardtoegangslijsten (uitgebreid bereik) | 1300-1999 |
| IP Extended Access Lists | 100-199 |
| IP Extended Access Lists (uitgebreid bereik) | 2000-2699 |
We zullen deze toegangscontrolelijsten bekijken, hoe ze werken en hoe ze op Cisco-routers moeten worden geconfigureerd.
Kijk eens naar onderstaande afbeelding 1 die we voor al onze configuratievoorbeelden zullen gebruiken.
Het scenario bestaat uit een enkele router R1 met twee interfaces Fa0/0 en Fa0/1 die zijn verbonden met respectievelijk het interne netwerk en het Internet.
De toegangslijsten zouden zijn bedoeld om de toegang tot het Internet door gebruikers in het interne netwerk te controleren. Deze toegangslijsten zouden worden toegepast op interface Fa0/0 in de inkomende richting.
Figuur 1 Toepassing van toegangslijsten
Standaard toegangslijstconfiguratievoorbeelden
De standaard toegangscontrolelijst staat u toe om verkeer van een specifiek bron-IP-adres of IP-netwerk toe te staan of te weigeren.
Creëren van genummerde standaard toegangslijsten
We zullen beginnen met het configureren van een standaard toegangslijst eerst in genummerd en dan in genoemd formaat. De toegangslijst moet Bob toegang tot het Internet geven terwijl alle toegang voor Smith wordt geblokkeerd en ook mislukte pogingen van Smith worden gelogd.
Laten we eens kijken hoe we dit kunnen doen met een standaard toegangslijst in genummerd formaat.
R1>enable
R1#configure terminal
Voer configuratiecommando’s in, een per regel. Eindig met CNTL/Z.
R1(config)#access-list 1 permit host 192.168.1.3
R1(config)#access-list 1 deny host 192.168.1.7 log
R1(config)#
In het bovenstaande configuratievoorbeeld gebruikten we het sleutelwoord host om individuele hosts te identificeren, maar hetzelfde resultaat kan ook worden bereikt door het omgekeerde masker 0 te gebruiken.0.0.0.
Laten we nu deze toegangslijst toepassen op interface Fa0/0 in de inkomende richting.
R1(config)#interface Fa0/0
R1(config-if)#ip access-group 1 ?
in inkomende pakketten
uit uitgaande pakketten
R1(config-if)#ip access-group 1 in
R1(config-if)#end
R1#
Naamloze toegangslijsten hebben een nummer van 1 tot 99. Wanneer je een toegangslijst op een router zet, moet je de toegangslijsten identificeren met een nummer, bijv. toegangslijst 1 zoals hierboven getoond.
In elke toegangslijst zal er een impliciete deny all aan het einde van de ACL staan, zelfs als je deze niet expliciet specificeert. Dus als u uw toegangslijst als volgt geconfigureerd heeft, dan is dit wat het zou doen.
show access-list 1
De uitvoer zal zijn:
access-list 1 permit host 192.168.1.3
access-list 1 deny host 192.168.1.7 log
access-list 1 deny any
Creëren van genaamde standaard toegangslijsten
Laten we nu een toegangslijst in het named formaat maken en die toepassen op interface Fa0/0, om hetzelfde effect te bereiken. Hier zouden we het inverse mask gebruiken in plaats van het host sleutelwoord om individuele hosts te matchen.
R1>enable
R1#configure terminal
Voer configuratie commando’s in, een per regel. Eindig met CNTL/Z.
R1(config)#ip access-list standard Filter
R1(config-std-nacl)#permit 192.168.1.3 0.0.0.0
R1(config-std-nacl)#deny 192.168.1.7 0.0.0.0 log
R1(config-std-nacl)#interface Fa0/0
R1(config-if)#ip access-group Filter in
R1(config-if)#end
R1#
Extended Access Lists Configuration Examples
Een extended access control list staat u toe om verkeer van specifieke IP-adressen en poorten te weigeren of toe te staan.
Het geeft u ook de mogelijkheid om het type protocol te controleren dat kan worden overgedragen, zoals ICMP, TCP, UDP enzovoort. Het bereik van de extended access control lists is van 100 tot 199 voor genummerde ACL’s.
Een voorbeeld van een genummerde extended ACL:
access-list 110 permit tcp 92.128.2.0 0.0.0.255 any eq 80
De ACL 110 zal verkeer toestaan dat afkomstig is van elk adres op het 92.128.2.0 netwerk (bron netwerk) naar elk bestemming IP op poort 80.
Het ‘any’ statement is er om verkeer toe te staan naar elke IP bestemming op poort 80. Het eerste netwerk statement in het access-list commando (i.e. 92.128.2.0 0.0.255) verwijst naar de bron van het verkeer, en het tweede netwerk statement (het keyword “any” in ons voorbeeld) verwijst naar de bestemming van het verkeer.
Een ander voorbeeld:
access-list 111 permit ip 192.168.1.0 0.0.255 192.168.2.0 0.0.0.255
De bovenstaande configuratie zal al het IP verkeer toestaan van bron netwerk 192.168.1.0/24 naar bestemmingsnetwerk 192.168.2.0/24.
Merk ook op dat het subnet mask in de ACL configuratie altijd wordt weergegeven met een omgekeerd masker (d.w.z. in plaats van 255.255.255.0 gebruiken we 0.0.0.255).
Aanmaken van genummerde Uitgebreide Toegangs Lijsten
We zullen nu een uitgebreide toegangs lijst configureren eerst in genummerd en dan in genoemd formaat. De toegangslijst moet Bob (uit ons netwerk diagram hierboven) toegang geven tot Web servers op het Internet terwijl het alle Web toegang voor Smith blokkeert en ook onsuccesvolle pogingen van Smith om een website te openen logt.
Laten we eens zien hoe we dit kunnen doen met behulp van een uitgebreide toegangslijst in genummerd formaat.
R1>enable
R1#configure terminal
Voer configuratie commando’s in, een per regel. Eindig met CNTL/Z.
R1(config)#access-list 100 permit tcp host 192.168.1.3 any eq www
R1(config)#access-list 100 deny tcp host 192.168.1.7 any eq www log
R1(config)#interface Fa0/0
R1(config-if)#ip access-group 100 in
R1(config-if)#end
R1#
Naamde uitgebreide toegangslijsten maken
Nu, laten we dezelfde uitgebreide toegangslijst in het named formaat configureren.
R1>enable
R1#configure terminal
Voeg configuratie commando’s in, een per regel. Eindig met CNTL/Z.
R1(config)#ip access-list extended Filter
R1(config-ext-nacl)#permit tcp 192.168.1.3 0.0.0.0 any eq www
R1(config-ext-nacl)#deny tcp 192.168.1.7 0.0.0.0 any eq www log
R1(config-ext-nacl)#interface Fa0/0
R1(config-if)#ip access-group Filter in
R1(config-if)#end
R1#
We hebben toegangslijsten kort behandeld in dit artikel. U kunt controleren welke toegangslijsten er op uw Cisco-apparaat bestaan met het commando show access-lists.
Een laatste test van de toegangslijsten wordt gedaan door daadwerkelijk verkeer te genereren dat de toegangslist zou moeten toestaan of weigeren en de resultaten te bekijken.
Hoe de ACL toe te passen
Nadat je de ACL hebt ingesteld, moet je specificeren in welke richting je wilt dat het werkt op de interface die zal worden toegepast (inkomend of uitgaand).
Bijv. “in” betekent inkomend naar de interface en “uit” betekent uitgaand van de interface. De ACL wordt dan toegepast op een specifieke interface met het “access-group” commando.
Je kunt een toegangslijst identificeren door het een naam of nummer te geven zoals hierboven besproken. Hier volgt een reeks commando’s die u zou gebruiken:
Router(config)#interface serial 0
Router(config-if)#ip access-group 111 out
Toegangslijsten gebruiken om Telnet-toegang tot een router te beveiligen
U kunt uw telnet-lijnen op een router ook beveiligen via een ACL. Dit stelt u in staat om toegang tot telnet login alleen voor bepaalde hosts of netwerken toe te staan. Hier is een voorbeeldconfiguratie van hoe u dit zou kunnen doen.
access-list 25 allow 192.168.2.0 0.0.255
line vty 0 4
access-class 25 in
Met deze ACL op zijn plaats staat u alleen hosts op het 192.168.2.0/24 netwerk toe om toegang te hebben tot de VTY login. Alle pogingen vanuit andere netwerken worden geblokkeerd.
Een ander voorbeeld: Laten we zeggen dat we één specifiek beheerstation hebben (10.1.1.1) dat via telnet toegang tot de router zou moeten krijgen. Alle andere hosts zouden geblokkeerd moeten worden.
access-list 10 permit host 10.1.1.1
line vty 0 4
access-class 10 in