Sunteți pe pagina 1din 4

© 2014 - Crystal Mind Academy - www.crystalmind.

ro
CCNA2 – Routing and Switching Essentials

Access Control Lists

I. Generalitati

Routerele Cisco filtreaza traficul prin intermediul ACL-urilor.


ACL = Access Control List

ACL se folosesc pentru:

a) filtrarea traficului care trece prin router (accept/deny);


b) limitarea accesului la liniile virtuale (vty);
c) filtrarea traficului generat de protocoalele de routare (liste de distributie);
d) prioritizarea traficului pentru QoS. Incadrarea unui anumit pattern intr-o anumita clasa;
e) NAT & PAT;
f) VPN-uri;
g) traffic logging si debug;
h) modificarea atributelor si politicilor BGP (route maps);

Listele de acces reprezinta o serie de conditii care specifica daca unui packet i se permite sau nu sa
intre sau sa iasa pe o anumita interfata. In functie de conditiile care formeaza lista traficul este
forwardat sau nu de catre Router.

Atentie!
Se poate configura un ACL per protocol, per directie (IN sau OUT), per interfata!

ex: daca routerul are 2 interfete care ruteaza pachete IP, se pot configura 4 ACL-uri
daca routerul are 3 interfete si ruteaza IP si IPX se pot configura 12 ACL-uri.

Ordinea in care conditiile care formeaza lista sunt plasate este importanta. Routerul verifica fiecare
pachet cu fiecare conditie de sus in jos. In momentul in care o conditie este satisfacuta, ACCEPT sau
DENY se executa pentru acel pachet fara sa se mai verifice restul conditiilor din lista.

La sfarsitul fiecarei liste exista o conditie implicita de DENY. Deci daca nicio conditie nu este
satisfacuta, traficul este dropat. Conditia implicita este invizibila, nu apare explicit.

Fiecare lista de acces trebuie identificata unic printr-un nr. sau prin nume.

Dupa configurare, lista de access trebuie aplicata pe o interfata a routerului pe INBOUND sau
OUTBOUND astfel incat sa fie folosita de router pentru filtrarea traficului.

ACL-urile NU filtreaza traficul generat de router! Ex: protocoale de rutare!

Wildcard mask

Reprezinta o masca speciala care identifica biti din IP care vor fi verificati de conditia din ACL.
Bitii din IP corespunzatori bitilor de 0 din wildcard mask sunt considerati biti importanti, iar bitii din IP
corespunzatori bitilor de 1 din wildcard mask sunt considerati biti neimportanti care sunt ignorati.

ex: 25.2.9.1 0.0.255.255 = doar primii 16 biti din IP sunt verificati


host 192.167.2.1 = echivalent cu 192.167.2.1 0.0.0.0
any = echivalent cu ORICE_IP si 255.255.255.255 wildcard mask

© 2014 – Crystal Mind Academy


Informatiile continute in acest document reprezinta proprietate intelectuala a Academiei Crystal Mind.
Distribuirea sau reproducerea de orice fel este interzisa
© 2014 - Crystal Mind Academy - www.crystalmind.ro
CCNA2 – Routing and Switching Essentials

access-list 101 permit ip any = echivalent cu access-list 101 permit ip any any

II. ACL-uri standard / extended

Dupa criteriile de filtrare, ACL-urile pot fi:

– standard ACLs – identificare dupa nr. (1-99 / 1300-1999) sau dupa nume, sunt ACL-uri care
pot filtra pachete doar dupa IP-ul sursa din headerul IP.

– extended ACLs – identificate dupa nr. (100-199 / 2000-2699) pot filtra traficul dupa
adresele IP sursa sau destinatie din headerul IP sau dupa anumite campuri din
headerul de Layer4.

Atentie! Avand in vedere ca ACL-urile standard filtreaza doar dupa IP-ul sursa, se
recomanda ca acestea sa fie configurate cat mai aproape de destinatie!

ACL-urile extinse, care pot filtra traficul si dupa destinatie, se configureaza cat mai
aproape de sursa!

II.1 Standard ACLs

//configurare standard ACL dupa NR


(config)#access-list [1-99] [permit | deny | remark] [IP_SURSA | any | host] [wildcard] [log]

//asignare ACL pe interfata (pe o interfata se poate configura un singur ACL pentru o directie!)
(config-if)# ip access-group NR [in | out]

//asignare ACL pe VTY


(config-line)# access-class NR [in | out]

ACL-urile pot fi create cu nume sau NR. ACL-urile cu nume pot fi editate!
(Obs. In anumite IOS-uri, pot fi editate si ACL-urile identificate prin nr.)

//configurare ACL standard cu nume


(config)# ip access-list standard NUME (nu trebuie sa inceapa cu nr!)
(config-std-nacl)# permit [IP_SURSA | any | host] [wildcard]

//asignare named ACL pe interfata / vty


(config-if)# ip access-group NUME [in | out]

© 2014 – Crystal Mind Academy


Informatiile continute in acest document reprezinta proprietate intelectuala a Academiei Crystal Mind.
Distribuirea sau reproducerea de orice fel este interzisa
© 2014 - Crystal Mind Academy - www.crystalmind.ro
CCNA2 – Routing and Switching Essentials

(config-line)# access-class NUME [in | out]

Obs! Acl-urile extinse aplicate pe vty accepta pt. destinatie doar argumentul any!

La sfarsitul unei comenzi pt. ACL, se poate specifica argumentul log prin care routerul logheaza
catre consola, internal buffer sau syslog actiunea luata (permit/deny), IP-ul procesat (sursa sau
destinatie), tipul protocolului de L4 sau tipul mesajului ICMP;

log se foloseste pentru troubleshooting si ca si comanda debug poate influenta negativ modul de
functionare a echipamentului, intrucat fiecare pachet este packet switched.

Logurile sunt generate pentru primul match pe pachet si din 5 in 5 minute dupa aceea.

ACL-urile outbound nu afecteza pachetele generate de router! Ca exemplu, printr-un ACL outbound
nu se pot filtra mesajele generate de protocolul de rutare de pe un router.

//afisare ACL-uri
#show ip access-lists [NR | NUME]
#show access-lists

//stergere ACL-uri
(config)#no access-list NR
(config)#no ip access-list standard [NR | NUME]

//stergere counteri ACL-uri


#clear access-list counters

Atentie! Argumentul remark permite inserarea de informatii detaliate (max. 100 de caractere)
despre scopul unei anumite linii (ACE).

Liniile remark nu apar la #show access-lists ci doar la #sh run !

II.2 Extended ACLs

//configurare extended ACL dupa NR


(config)#access-list [100-199] [permit | deny] PROTOCOL [IP_SURSA | host | any]
[WILDCARD_SURSA] [OPERATOR OPERAND] [IP_DESTINATIE | host | any] [WILDCARD_DESTINATIE]
[OPERATOR OPERAND]

Orice ACL are la sfarsit o comanda implicita de deny all! Pentru ca ACL-ul sa fie valid,
este necesar sa existe cel putin o comanda de permit.

Operator / operand se refera la compararea/specificarea unui anumit port (UDP/TCP), tip


de mesaj (ICMP).

eq Match only packets on a given port number


gt Match only packets with a greater port number
host A single destination host
lt Match only packets with a lower port number
neq Match only packets not on a given port number
range Match only packets in the range of port numbers

© 2014 – Crystal Mind Academy


Informatiile continute in acest document reprezinta proprietate intelectuala a Academiei Crystal Mind.
Distribuirea sau reproducerea de orice fel este interzisa
© 2014 - Crystal Mind Academy - www.crystalmind.ro
CCNA2 – Routing and Switching Essentials

//configurare ACL extended cu nume


(config)# ip access-list extended NUME

(config-ext-nacl)# [permit | deny] PROTOCOL [IP_SURSA | host | any] [WILDCARD_SURSA]


[OPERATOR OPERAND] [IP_DESTINATIE | host | any] [WILDCARD_DESTINATIE] [OPERATOR OPERAND]
established

Exemple de protocoale:

R1(config-ext-nacl)#permit ?
<0-255> An IP protocol number
ahp Authentication Header Protocol
eigrp Cisco's EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco's GRE tunneling
icmp Internet Control Message Protocol
igmp Internet Gateway Message Protocol
ip Any Internet Protocol
ipinip IP in IP tunneling
nos KA9Q NOS compatible IP over IP tunneling
ospf OSPF routing protocol
pcp Payload Compression Protocol
pim Protocol Independent Multicast
tcp Transmission Control Protocol
udp User Datagram Protocol

Pentru a se permite printr-un firewall doar pachete legate de traficul generat din interior, se foloseste
intr-un ACL extins argumentul established care permite doar traficul TCP cu flagurile ACK sau RST,
fara ca acest firewall sa reprezinte un firewall statefull pentru ca nu tine cont de socket!!

(se permite traficul unrelated doar pe baza flag-urilor, nu si a socketului; combinatii permise:
SYN/ACK, ACK, ACK/RST)

De mentionat ca argumentul established este inutil pentru traficul ICMP sau UDP care nu contine
flag-uri ca traficul TCP.

Ex:

Nota:

- Atunci cand pe o interfata se aplica un ACL care nu exista, tot traficul va fi permis.

- Pe vty-uri pot fi aplicate atat ACL-uri cu NR cat si cu nume, atata timp cat ACL-ul specifica doar IP-
ul(urile) sursa care se pot conecta la router!

© 2014 – Crystal Mind Academy


Informatiile continute in acest document reprezinta proprietate intelectuala a Academiei Crystal Mind.
Distribuirea sau reproducerea de orice fel este interzisa