Standard Access Listen
ACLs 1-99 sind standard ACLs und können nur IP verarbeiten
Die Liste wird sequenziell abgearbeitet.
Extended List befindet sich im Bereich 100-199 und kann Ports beeinflussen.
Erlaube das 10er Netz /24 bit
access-list 1 permit 192.168.10.0 0.0.0.255 access-list 1 permit 192.168.20.0 0.0.0.255 access-list 1 permit 192.168.20.0 0.0.0.255
Wenn man im configure Mode eine neue ACL
access-list 1 permit 192.168.40.0 0.0.0.255
einträgt, wird diese die existierenden ACLs überschreiben und ersetzen. Daher müsste man die Ergänzung so machen :
access-list 1 permit 192.168.10.0 0.0.0.255 access-list 1 permit 192.168.20.0 0.0.0.255 access-list 1 permit 192.168.20.0 0.0.0.255 access-list 1 permit 192.168.40.0 0.0.0.255
Alle identisschen ACLs (mit einer gleichen ACL Nummer) gehören zu einer ACL access-group.
Jetzt binden wir die ACL im Config Mode an ein Interface
interface ethernet0/0 ip access-group 1 out exit
out = vom Switch weg = egress
Wildcards
0.0.255.255 : Prüfe die ersten 16 Bit
1.1.1.1 0.0.0.0 : erlaube Host /32
Standard ACLs
sind so zu verstehen :
Die IP/ Netz in der ACL ist in der Regel immer als Paket Sounrce zu verstehen.
access-list 1 permit 1.2.3.4 0.0.0.0
Ausgehend vom Interface ins Kabel:
ip access-group 1 out
Wird so interpretiert : Erlaube alle Paket mit der Source 1.2.3.4 ausgehend (ins Kabel)
Eingehend vom Kabel ins Interface:
ip access-group 1 in
Wird so interpretiert : Erlaube alle Paket mit der Source 1.2.3.4 eingehend (ins Interface)
Extended ACLs
access-list 101 permit tcp 10.10.9.0 0.0.0.255 host 10.10.4.85 eq 443
Quelle ist : 10.10.9.0
Ziel ist : host 10.10.4.85 eq 443
Namen einer Extended ACL geben :
ip access-list extended test # die ACL hat dann keine Nummen sondern einen Namen
Typen :
IP : egal welcher IP Typ (TCP, UDP, ICMP ..)
TCP
UDP
ICMP
der „Stöpsel“ am Ende der Liste
access-list 101 deny ip any any
und jetzt anbinden :
Eingehend
(config) ip inter ethernet 0/0 ip access-group 101 in
Ausgehend
(config) ip inter ethernet 0/0 ip access-group 101 out
Ausgabe der „Treffer“
sh access-list
zeigt alles. Hinter jeder Zeile stehen Matches, die automatisch hochzählen.