Documente Academic
Documente Profesional
Documente Cultură
Exemplu: doar unele hosturi din reteaua 192.168.1.0/24 pot avea acces la internet:
• Reguli generale
• Access Control Entries – se parcurg de sus in jos (linie cu linie)
• Cand exista o potrivire (match) cu un ACE se opreste parcurgerea ACE si se aplica actiunea
indicata de acel ACE
• Daca nu se potriveste nici un ACE, atunci se va potrivi ultimul ACE – de tip “deny all” –
TRAFICUL CARE NU E PERMIS EXPLICIT , VA FI RESTRICTIONAT IMPLICIT !
• Ultimul ACE - “deny all” - este invizibil .
• Intrebare: ce va face un ACL care nu contine nici un ACE cu permit ?
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de BIT Academy.
1
BIT Academy
Cisco Networking Academy
www.bitacad.net
Stefan Iulian ENACHE – Senior Instructor
2. CLASIFICARE
• STANDARD ACL
• Filtreaza traficul doar in functie de adresa IP sursa
• Poate fi numerotat de la 1 la 99 sau de la 1300 la 1999
• Are o sintaxa simpla
• Utilizeaza minim procesorul echipamentului
• EXTENDED ACL
• Filtreaza traficul in functie de criterii complexe:
• Tip protocol (din headerul IP)
• Adrese IP sursa si IP destinatie
• Port sursa si Port destinatie
• Flag-uri TCP (syn, ack, syn+ack)
• Poate fi numerotat de la 100 la 199 sau de la 2000 la 2699
• Are o sintaxa complexa
• Utilizeaza intensiv procesorul echipamentului
3. SINTAXA GENERALA
• STANDARD ACL
R(config)# access-list [nr] [actiune] [IP_sursa] [wildcard_sursa] [log]
• Semnificatii:
nr = numar de la 1 la 99 sau de la 1300 la 1999
actiune = permit / deny / remark
IP_sursa = adresa IP sursa a packetului care va fi analizat
wildcard_sursa = wildcard pentru IP sursa
log = se activeaza daca dorim sa avem un mesaj Syslog in consola/vty cand un packet face
match pe un ACE
• EXTENDED ACL
R(config)# access-list [nr] [actiune] [protocol] …
… [IP_sursa] [wildcard_sursa] [operator] [port_sursa] …
… [IP_dest] [wildcard_dest] [operator] [port_dest] …
… [lista_flags] [log]
Semnificatii:
nr = numar de la 100 la 199 sau de la 2000 la 2699
actiune = permit / deny / remark
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de BIT Academy.
2
BIT Academy
Cisco Networking Academy
www.bitacad.net
Stefan Iulian ENACHE – Senior Instructor
4. NAMED ACL
In locul numarului, un ACL poate primi un nume astfel sintaxa de accesare a modului specific de
configurare va fi:
Exemple:
STANDARD :
R(config)# ip access-list standard [NUME]
R(config-std-nacl)# permit 192.168.1.0 0.0.0.255
EXTENDED :
R(config) ip access-list extended [NUME]
R(config-ext-nacl)# permit udp 192.168.1.0 0.0.0.255 host 8.8.8.8 eq 53
Vizualizare:
Router# show ip access-list
Extended IP access list TEST
10 permit udp 192.168.1.0 0.0.0.255 host 8.8.8.8 eq53
20 deny ip any any
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de BIT Academy.
3
BIT Academy
Cisco Networking Academy
www.bitacad.net
Stefan Iulian ENACHE – Senior Instructor
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de BIT Academy.
4
BIT Academy
Cisco Networking Academy
www.bitacad.net
Stefan Iulian ENACHE – Senior Instructor
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de BIT Academy.
5
BIT Academy
Cisco Networking Academy
www.bitacad.net
Stefan Iulian ENACHE – Senior Instructor
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de BIT Academy.
6