Access-list estese
Access-list standard (ACL) è un insieme di regole definite per controllare il traffico di rete e ridurre l’attacco di rete. Le ACL vengono utilizzate per filtrare il traffico in base ad un insieme di regole definite per la rete in entrata o in uscita.
Elenco di accesso esteso
È uno dei tipi di access-list che viene utilizzato principalmente in quanto può distinguere il traffico IP, pertanto l’intero traffico sarà consentito o negato come nelle access-list standard. Queste sono le ACL che utilizzano sia l’indirizzo IP di origine che di destinazione e anche i numeri di porta per distinguere il traffico IP. In questo tipo di ACL, possiamo anche menzionare quale traffico IP dovrebbe essere consentito o negato. Le access-list estese utilizzano i range 100-199 e 2000-2699.
Caratteristiche
- L’elenco delle access-list estese viene generalmente applicato vicino alla fonte ma non sempre.
- Nell’elenco delle access-list estese, il filtro pacchetti avviene sulla base dell’indirizzo IP di origine, dell’indirizzo IP di destinazione, e dei numeri di porta.
- Nell’elenco delle access-list estese, determinati servizi saranno consentiti o negati.
- L’ACL estese viene creato da 100 a 199 e l’intervallo esteso da 2000 a 2699.
- Se viene utilizzato il numero con le access-list estese, ricordate che le regole non possono essere eliminate. Se una delle regole viene eliminata, verrà eliminato l’intero elenco di accesso.
- Se viene utilizzato un nome con le access-list estese, abbiamo la flessibilità di eliminare una regola dall’elenco di accesso.
Configurazione
Ecco una piccola topologia in cui ci sono 3 dipartimenti, vale a dire vendite, finanza e marketing. Reparto vendite con rete 172.16.10.40/24, Reparto finanziario con rete 172.16.50.0/24 e reparto marketing con rete 172.16.60.0/24. Ora, vogliamo negare la connessione FTP dal reparto vendite al dipartimento finanziario e negare telnet al dipartimento finanziario e sia dal reparto vendite che dal marketing.
Ora, prima configurando un elenco di accesso esteso numerato per negare la connessione FTP dal reparto vendite al reparto finanziario.
R1#config terminal R1(config)# access-list 110 deny tcp 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255 eq 21
Qui, per prima cosa creiamo un elenco di accesso numerato in cui utilizziamo 110 (utilizzato dall’intervallo delle access-list estese) e neghiamo la rete di vendita (172.16.40.0) per stabilire una connessione FTP alla rete finanziaria (172.16.50.0).
Nota: qui, poiché FTP utilizza TCP e il numero di porta 21. Pertanto, è necessario specificare la condizione di autorizzazione o negazione in base alla necessità . Inoltre, dopo eq abbiamo utilizzato il numero di porta per il protocollo del livello applicazione specificato.
Ora, dobbiamo negare la connessione telnet al dipartimento finanziario sia dal reparto vendite che dal marketing, il che significa che nessuno può connettersi con telnet al dipartimento finanziario.
R1(config)# access-list 110 deny tcp any 172.16.50.0 0.0.0.255 eq 23
Qui, abbiamo usato la parola chiave any che significa 0.0.0.0 0.0.0.0 cioè qualsiasi indirizzo IP da qualsiasi subnet mask. Poiché telnet utilizza quindi il numero di porta 23, dobbiamo specificare il numero di porta 23 dopo l’eq.
R1(config)# access-list 110 permit any
Ora, questa è la parte più importante. Come già sappiamo c’è un rifiuto implicito alla fine di ogni access-list, il che significa che se il traffico non corrisponde a nessuna delle regole delle access-list, il traffico verrà eliminato.
Specificando any la fonte avente qualsiasi indirizzo IP raggiungerà il dipartimento finanziario, ad eccezione del traffico che corrisponde alla regolea di cui sopra che abbiamo creato. Ora, dobbiamo applicare la ACL sull’interfaccia del router:
R1(config)#int fa0/1 R1(config-if)# ip access-group 110 out
Dobbiamo applicare la ACL estesa il più vicino possibile alla fonte, ma qui l’abbiamo applicato per bloccare la destinazione perché dobbiamo bloccare il traffico sia dal reparto vendite che dal marketing, quindi dobbiamo applicarla più pivicino alla destinazione, altrimenti dobbiamo fare una lista di accesso separata per fa0/0 e fa1/0 in entrata.
Esempio di elenco di accesso denominato
Ora, considerando la stessa topologia, creeremo un elenco di accesso esteso denominato.
R1(config)# ip access-list extended blockacl
Usando questo comando abbiamo creato un elenco di accesso chiamato blockacl.
R1(config-ext-nacl)deny tcp 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255 eq 21 R1(config-ext-nacl)#deny tcp any 172.16.50.0 0.0.0.255 eq 23 R1(config-ext -nacl)# any any
E poi la stessa configurazione che abbiamo fatto nella ACL con il numero
R1(config)#int fa0/1 R1(config-if)#ip access-group blockacl out
About Author
