CCNA 2

Routing and Switching Essentials

edina 9
Access Control Lists

ACL = Access Control List / Liste de acces

- List ierarhizat de declaraii (statements / ACE = Access
Control Entry) de tip permit sau deny folosit pentru
identificarea i prelucrarea traficului;
- Se pot folosi la:
-

Filtrarea traficului => lista de acces se aplic pe o interfa

Filtrarea accesului pe echipament => se aplic pe liniile vty
Politici de QoS => prioritizarea traficului
Implementarea mecanismelor de NAT

192.168.1.0/24

Ex. Doar unele hosturi din reeaua 192.168.1.0/24 pot accesa

Internet-ul:
R(config)# access-list 1 permit 192.168.1.1 0.0.0.0
R(config)# access-list 1 permit 192.168.1.128 0.0.0.63
R(config)# access-list 1 deny any

Reguli generale
- Access Control Entries se parcurg de sus n jos (lineby-line);
- n momentul n care exist o potrivire (match) se
oprete interogarea ACL-ului i se aplic aciunea
indicat (permit sau deny)
- Orice list de acces are la sfrit un deny all implicit
(invizibil) / Traficul care nu este permis n mod explicit
este restricionat implicit
- Un ACL care nu conine niciun ACE cu permit va bloca tot
traficul

Clasificare

- Standard ACL filtreaz traficul doar dup IP surs

- Range: 1 -> 99, 1399 -> 2000
- Sintax simpl, utilizare minim a CPU

Ex.
R(config)# access-list 1 permit 192.168.1.1 0.0.0.0

- Extended ACL traficul poate fi filtrat dup: protocol

(din header-ul IP), IP surs / IP destinaie, port surs /
port destinaie, flag-uri TCP (syn, ack, syn-ack) etc.
- Range: 100 -> 199, 2000 -> 2699
- Sintax complex, CPU intensive

Ex.
R(config)# access-list 100 permit tcp host 192.168.1.1
any eq 80

Host = wildcard 0.0.0.0 (face match pe toi biii din adresa

IP => identific n mod unic un host)
Any = wildcard 255.255.255.255 (nu face match pe niciun
bit din adresa IP => orice adres va face match)

Sintaxa general
Standard ACL
Router(config)# access-list accesslist-number {deny | permit | remark}
source [ source-wildcard ] [ log ]

Extended ACL

Filtrarea traficului

- Sunt necesare 3 elemente:

- ACL definit
- Definirea interfeei pe care se va aplica ACL-ul
- Sensul traficului pe interfaa respectiv

Aplicarea ACL pe interfa

Router(config-if)# ip access-group { accesslist-number} { in | out }

Regula general / The Three Ps

One ACL per protocol, per direction, per interface

Modul de plasare al ACL

Standard ACLs: Pentru c nu este specificat adresa IP destinaie, se

plaseaz ct mai aproape de destinaia unde se dorete filtrarea
traficului

Cerine:
- S se permit accesul hosturilor A i B la serverul S1;
hostul C nu are voie s acceseze S1;
- Hosturile A i B nu au voie s acceseze S2 dar hostul C
are voie.

Modul de plasare al ACL

Extended ACLs: Pentru c permit filtrarea traficului dup mai multe

criterii, se recomand plasarea lor ct mai aproape de sursa
traficului care urmeaz a fi filtrat.

Named ACL
Standard:
R(conf)# ip access-list standard NUME
R(conf-std-nacl)# permit 192.168.1.0 0.0.0.255

Extended:
R(conf)# ip access-list extended NUME
R(config-ext-nacl)#permit udp 192.168.1.0
0.0.0.255 host 8.8.8.8 eq 53

Named ACL (cont.)

Router#show ip access-list
Extended IP access list TEST
10 permit udp 192.168.1.0 0.0.0.255 host 8.8.8.8 eq 53
20 deny ip any any

ACE sunt numerotate -> se pot terge / reordona

Filtrarea accesului pe echipament

(pachetele care au ca destinaie liniile vty telnet/ssh)
1. Definirea ACL
2. Aplicarea acesteia pe liniile vty se face cu comanda:
R(config)#line vty 0 4
R(config-line)#ip access-class <nr. sau nume> in