CCNA2

Extra course
ACL
CCNA2
Ce este un Access List?
Listele de acces sunt un set de condiii
specificate de administrator pentru
gestionarea unor anumite tipuri de trafic
Pot fi folosite att pentru filtrarea traficului,
ct i n diverse alte procese ce au nevoie de
selecia traficului ce trece prin ruter

CCNA2
Ce ofer ACL-urile?
Mecanisme pentru controlul i monitorizarea
traficului
Identificarea pachetelor cu prioritate diferit
(QoS)
Identificarea pachetelor pentru criptarea
traficului
Controlul actualizrilor protocoalelor de
rutare


CCNA2
Dezavantaje?
Timp de laten mai mare
ncrcare suplimentar a echipamentului

Ruter dedicat Firewall dedicat
principala funcie: rutare
permit implementarea de
funcii de filtrare
nu ofer implicit criptare
folosete protocoale de nivel
3 i 4 pentru a lua decizii.

principala funcie: filtrare
poate ruta, dar suporta mult
mai putine faciliti
ofer criptare HW la rate
foarte mari
ia decizii pe baza
protocoalelor de nivel 3-7
server ssh integrat

CCNA2
Filtrarea traficului
folosind ACL-uri
CCNA2
Definiie ACL
O list de acces este un set de reguli
ACL-urile pot fi create pentru multiple protocoale de
layer 3, cum ar fi IP, IPX sau AppleTalk
Poate fi folosit pentru filtrarea traficului, permind
obinerea accesului sigur n i dintr-o reea
O regula are doua pri: o parte de testare i una de
aciune
Regulile sunt testate secvenial. Dac o regul se
potrivete se aplic aciunea specificat
Dac s-au epuizat toate regulile, pachetul este respins

CCNA2
Filtrarea traficului
Dac este aplicat pe o interfa, regulile din ACL vor filtra
traficul pe respectiva interfa
O interfa suport ACL-uri att pentru traficul ce este
primit pe interfat (inbound) ct i pentru traficul ce este
trimis pe interfa (outbound)
Pentru fiecare protocol rutat configurat pe o interfa, un
router suport cte o pereche de ACL-uri
1 ACL inbound
1 ACL outbound
Pentru un router ce are 2 interfee i 3 protocoale rutate
configurate (IP, IPX, AppleTalk), nr. maxim de ACL-uri ce
pot fi configurate:
2 (interfee) x 3 (protocoale rutate) x 2 (in i out)


CCNA2
Funcionarea ACL-urilor
Deciziile de forward-are se pot face pe baza:
adresa sursei (IP-ul sursei)
adresa destinatiei (IP-ul destinaiei)
protocol
numrul portului

Declaraiile care compun un ACL sunt rulate secvenial de la
prima declaraie pn la ultima

Dac o condiie din ACL este indeplinit pachetului afectat i
este permis sau refuzat accesul, n funcie de respectiva
declaraie, iar restul ACL-ului nu se mai verific

La sfaritul oricrui ACL se gsete o declaraie "deny any"
implicit

Aceasta declaraie "deny any" nu este vizibil, dar nu va permite
accesul nici unui pachet care nu a corespuns condiiilor din
celelalte declaraii ale ACL-ului

CCNA2
Funcionarea ACL-urilor
ACL pe
interfa?
Nu
Nu
Default
Deny
Nu
Primesc
un frame
pe interfaa
de intrare
Da
Rutez pachet spre
Interfaa de ieire
Da
Da
Match?
Permit?
Nu
Default
Deny
Da
Rencapsulat cu
header Layer 2 i
trimis pe interfaa
de ieire
Se
potrivete
adresa L2?
Nu
Da
Match?
Da
Da
ACL pe
interfa?
Permit?
Nu
Nu
CCNA2
Tipuri de liste de access
Liste de acces standard


Liste de acces extinse

R(config)#access-list 50 permit 172.16.0.0 0.0.255.255
R(config)#access-list 100 permit tcp 172.16.0.0 0.0.255.255
192.168.10.0 0.0.0.255 eq 23
CCNA2
Wildcard mask
Folosit pentru a identifica biii ce doresc s fie
verificai dintr-o adres IP
Un ir de 32 de bii
biii de 0 fac match
biii de 1 sunt ignorai


Se pot folosi 2 cuvinte cheie in ACL-uri:
any - nseamn adresa IP 0.0.0.0 i WM 255.255.255.255,
toate IP-urile vor face match
host testeaz egalitatea cu o adres de host, echivalent
cu WM 0.0.0.0

R(config)#access-list 10 permit 172.16.0.0 0.0.255.255
CCNA2
ACL-uri standard
ACL-urile standard pot fi folosite pentru a filtra pachete
doar n functie de surs.
Identificate printr-un numr ntre 1 si 99, sau, n versiunile
mai recente de IOS, ntre 1300 si 1999.
Reguli noi pot fi adugate numai la finalul ACL-ului.

R(config)#access-list 50 deny 172.16.1.1
R(config)#access-list 50 permit 172.16.0.0 0.0.255.255
Deny sau
Permit
Wildcard
Mask
fr WM specificat,
mask = 0.0.0.0
numr ntre 1 i 99,
sau ntre 1300 si1999
(n IOS-urile recente)
CCNA2
ACL-uri standard pentru conexiuni
la distan
Aplicarea ACL standard pe liniile VTY:

R(config)#line vty 0 4
R(config-line)#access-class access-list-number
{in [vrf-also]|out}

CCNA2
Editarea unui acces list
Pentru a edita un ACL trebuiesc fcui paii:
copiai ACL-ul ntr-un fiier text
tergei ACL-ul din fiierul de configurare al
router-ului folosind no i declaraia ACL-ului
facei modificrile necesare n fiierul text
copiai pe ruter ACL-ul modificat, n global
configuration mode


CCNA2
Named ACLs
Nu mai sunt folosite numere pentru a
identifica ACL-uri, ci nume.
Este posibil numerotarea regulilor ce sunt
adugate, pentru ca apoi s se poat face
modificri fr a terge complet lista.

CCNA2
Configurarea Named ACLs
Am uitat 2 reguli ce trebuiau
puse nainte!!!
Am gresit o regul!!!
Aplicarea pe interfat
Mirana(config)#ip access-list extended Bugs
Mirana(config-ext-nacl)#20 permit ip any anyc
Mirana(config-ext-nacl)#5 permit icmp host 10.0.0.0 any
Mirana(config-ext-nacl)#10 deny icmp any any
Mirana(config-ext-nacl)#no 5
Mirana(config-ext-nacl)#5 permit icmp host 10.0.0.1 any
Mirana(config)#interface fastEthernet 0/1
Mirana(config-if)#ip access-group Bugs
CCNA2
Comentarii despre ACL
Permit trafic ctre reeaua A i opresc trafic ctre
host B




Un comentariu este limitat la 100 de caractere

R(config)#access-list 50 remark permit traficul spre A
R(config)#access-list 50 permit 172.16.0.0 0.0.255.255
R(config)#access-list 50 remark opresc traficul spre B
R(config)#access-list 50 deny 192.168.10.15
CCNA2
Ali parametri ai listelor de acces
established filtreaz pachetele TCP care
folosesc o conexiune deja stabilit (au bitul ACK
setat). Se poate folosi doar pentru liste extinse.
log genereaz un mesaj ce cuprinde: nr. listei,
dac a fost acceptat/respins pachetul, sursa, nr.
de pachete. Mesajul este generat pentru primul
pachet care corespunde unei reguli, iar apoi la
intervale de 5 minute


R(config)#access-list 50 permit 172.16.0.0 0.0.255.255 log
CCNA2
Verificarea ACL-urilor
Aceste comenzi show verifica continutul si
pozitionarea ACL-urilor:


Comanda Descriere
show ip interface Informaii privind numrul de ACL-uri
de intare i ieire
show access-list Afieaz coninutul ACL-urilor
configurate pe router
show running-config Afieaz, printre altele, poziionarea i
coninutul ACL-urilor configurate
CCNA2
Rezumat
ACL-uri IPv4
Numbered ACL
Named ACL
Extended ACL