cisco Access List \ AL

Access List

Применяются: Пакетная фильтрация; 
             NAT; 
             VPN; 
             QOS; 
             Разграничение доступа к оборудованию; 
             Policy Based Routing.

Стандартные: применяются чаще на исходящий трафик (сеть источника, наш трафик)
             
Расширенные: применяются чаще к входящему трафику
             ip адрес источника 
             порт источника
             протокол
             ip адресс получателя
             порт получателя 


Access List применяются в двух направлениях
1. На входящий трафик (трафик входит в роутер)
2. На исходящий трафик (трафик выход из роутера)
--------------------------------------------
Правила работают сверху вниз.
Терминирующие правила.
Верхние правило отработало на нижние уже не пойдет.
deny ip any any - не явное правило (если есть любое правило)
--------------------------------------------
действие тип_трафика откуда/хост куда/хост значение какой значение
permit/deny tcp/udp  host IP host IP eq
permit/deny tcp/udp  any any eq
--------------------------------------------
пример компы:
vlan5 192.168.5.2 server
vlan4 192.168.4.2 admin
vlan3 192.168.3.2-3 users
vlan3 192.168.3.100 admin user
vlan2 192.168.2.2 buh
пример наш роутер:
192.168.[2-5].1 внутренний адрес
210.210.0.2 внешний адрес
пример провайдер роутер:
210.210.0.1 внешний адрес (шлюз)
210.210.1.1 внешний адрес
210.210.1.2 внешний ресурс
--------------------------------------------
Стандартный Access list:
enable - входим в привилегированный режим
config t - входим в режим глобальной настройки
ip access-list standart FOR-NAT - даем имя FOR-NAT
permit 192.168.2.0 0.0.0.255 - разрешаем сеть (используется cisco Wildcard masc)
permit 192.168.3.0 0.0.0.255 - разрешаем сеть (используется cisco Wildcard masc)
permit 192.168.4.0 0.0.0.255 - разрешаем сеть (используется cisco Wildcard masc)
exit - вышли из настройки ip access-list standart FOR-NAT
ip nat inside source list FOR-NAT interface gigabitEthernet 0/0 overload  - применяем Access list FOR-NAT  включаем NAT. (PAT) 
exit - вышли из config t 
write mem - сохранили настройки
--------------------------------------------
Расширенный Access list:
enable - входим в привилегированный режим
configure terminal - входим в режим глобальной настройки

ip access-list extended FROM-OUTSIDE - создаем дист FROM-OUTSIDE
deny ip any 192.168.2.0 0.0.0.255 - запрещаем сеть (используется cisco Wildcard masc)
deny ip any 192.168.3.0 0.0.0.255 - запрещаем сеть (используется cisco Wildcard masc)
deny ip any 192.168.4.0 0.0.0.255 - запрещаем сеть (используется cisco Wildcard masc)
deny ip any 192.168.5.0 0.0.0.255 - запрещаем сеть (используется cisco Wildcard masc)
permit ip any host 210.210.0.2 - разрешаем трафик на внешний интерфейс
exit - вышли из настройки ip access-list extended FROM-OUTSIDE 

interface gigabitEthernet 0/0 - зашли в настройку
ip access-group FROM-OUTSIDE in - привязали правило к интерфейсу gigabitEthernet 0/0
exit - вышли из настройки interface gigabitEthernet 0/0 

exit - вышли из config t 
write mem - сохранили настройки
--------------------------------------------
Более верный расширенный Access list:
enable - входим в привилегированный режим
configure terminal - входим в режим глобальной настройки

no ip access-list extended FROM-OUTSIDE - удаляем Access list с именем FROM-OUTSIDE
ip access-list extended FROM-OUTSIDE - создаем Access list с именем FROM-OUTSIDE
deny tcp any host 210.210.0.2 eq telnet - запрещаем доступ к telnet
permit ip any host 210.210.0.2 - разрешаем трафик на внешний интерфейс
                                 остальной трафик в локальную сеть будет закрыт
                                 т.е на сети например 192.168.2.0 попасть будет нельзя
                                 не гласное правило "deny ip any any"
end - вышли из конфига
write mem - сохранили настройки
--------------------------------------------
Стандартный Access list применяем для безопасности сервера:
enable - входим в привилегированный режим
configure terminal - входим в режим глобальной настройки

ip access-list standard TO-SERVER - создаем стандартный Access list с именем  TO-SERVER
permit 192.168.2.0 0.0.0.255 - (cisco wild card mask) разрешили трафик для сети 192.168.2.0/24
exit - вышли из config t 

interface gigabitEthernet 0/1.5 - открыли настройку саб интерфейс gigabitEthernet 0/1.5
ip access-group TO-SERVER out - добавили группу TO-SERVER на выходе из интерфейса
end - вышли из конфига

write mem - сохранили настройки
--------------------------------------------
расширенный Access list применяем к пользователям:
enable - входим в привилегированный режим
configure terminal  - входим в режим глобальной настройки

ip access-list extended FROM-USERS - создаем расширенный Access list с именем FROM-USERS
permit  tcp 192.168.3.0 0.0.0.255 host 210.210.1.2 eq www - разрешаем для сети 192.168.3.0/24 ходить на сервер 210.210.1.2 на 80 порт
permit ip host 192.168.3.100 host 210.210.1.2 - разрешаем 192.168.3.100  любой трафик на 210.210.1.2
deny ip 192.168.3.0 0.0.0.255 host 210.210.1.2 - запрещаем весь трафик для 192.168.3.0/24 на  210.210.1.2
permit ip any any - разрешаем остальной трафик
exit - вышли из ip access-list extended FROM-USERS

interface gigabitEthernet 0/1.3 
ip access-group FROM-USERS in
end - вышли из конфига
write mem - сохранили настройки

--------------------------------------------
пример конфиг свитча:
hostname Switch
interface FastEthernet0/1
 switchport access vlan 2
interface FastEthernet0/2
 switchport access vlan 3
interface FastEthernet0/3
 switchport access vlan 3
interface FastEthernet0/4
 switchport access vlan 4
interface FastEthernet0/5
 switchport access vlan 5
interface FastEthernet0/6-23
 shutdown
interface FastEthernet0/24
 switchport trunk allowed vlan 2-5
 switchport mode trunk
--------------------------------------------
пример конфиг роутера:
hostname Router
enable password cisco
username admin privilege 15 password 0 cisco
interface GigabitEthernet0/0
 description outside
 ip address 210.210.0.2 255.255.255.252
 ip access-group FROM-OUTSIDE in
 ip nat outside
 duplex auto
 speed auto

interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto

interface GigabitEthernet0/1.2
 description buh
 encapsulation dot1Q 2
 ip address 192.168.2.1 255.255.255.0
 ip nat inside

interface GigabitEthernet0/1.3
 description users
 encapsulation dot1Q 3
 ip address 192.168.3.1 255.255.255.0
 ip access-group FROM-USERS in
 ip nat inside

interface GigabitEthernet0/1.4
 description admin
 encapsulation dot1Q 4
 ip address 192.168.4.1 255.255.255.0
 ip nat inside

interface GigabitEthernet0/1.5
 description srv
 encapsulation dot1Q 5
 ip address 192.168.5.1 255.255.255.0
 ip access-group TO-SERVER out

interface Vlan1
 no ip address
 shutdown

ip nat inside source list FOR-NAT interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 210.210.0.1 

ip access-list standard FOR-NAT
 permit 192.168.2.0 0.0.0.255
 permit 192.168.3.0 0.0.0.255
 permit 192.168.4.0 0.0.0.255

ip access-list extended FROM-OUTSIDE
 deny tcp any host 210.210.0.2 eq telnet
 permit ip any host 210.210.0.2

ip access-list standard TO-SERVER
 permit 192.168.2.0 0.0.0.255
 permit host 192.168.3.100

ip access-list extended FROM-USERS
 permit tcp 192.168.3.0 0.0.0.255 host 210.210.1.2 eq www
 permit ip host 192.168.3.100 host 210.210.1.2
 deny ip 192.168.3.0 0.0.0.255 host 210.210.1.2
 permit ip any any
--------------------------------------------
пример конфиг роутера злого провайдера:
hostname Router
interface FastEthernet0/0
 ip address 210.210.0.1 255.255.255.252
interface FastEthernet0/1
 ip address 210.210.1.1 255.255.255.0
ip route 192.168.0.0 255.255.0.0 210.210.0.2 
--------------------------------------------

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

Применяются: Пакетная фильтрация;

NAT;

VPN;

QOS;

Разграничение доступа к оборудованию;

Policy Based Routing.

Стандартные: применяются чаще на исходящий трафик (сеть источника, наш трафик)

Расширенные: применяются чаще к входящему трафику

ip адрес источника

порт источника

протокол

ip адресс получателя

порт получателя

Access List применяются в двух направлениях

1. На входящий трафик (трафик входит в роутер)

2. На исходящий трафик (трафик выход из роутера)

--------------------------------------------

Правила работают сверху вниз.

Терминирующие правила.

Верхние правило отработало на нижние уже не пойдет.

deny ip any any - не явное правило (если есть любое правило)

--------------------------------------------

действие тип_трафика откуда/хост куда/хост значение какой значение

permit/deny tcp/udp host IP host IP eq

permit/deny tcp/udp any any eq

--------------------------------------------

пример компы:

vlan5 192.168.5.2 server

vlan4 192.168.4.2 admin

vlan3 192.168.3.2-3 users

vlan3 192.168.3.100 admin user

vlan2 192.168.2.2 buh

пример наш роутер:

192.168.[2-5].1 внутренний адрес

210.210.0.2 внешний адрес

пример провайдер роутер:

210.210.0.1 внешний адрес (шлюз)

210.210.1.1 внешний адрес

210.210.1.2 внешний ресурс

--------------------------------------------

Стандартный Access list:

enable - входим в привилегированный режим

config t - входим в режим глобальной настройки

ip access-list standart FOR-NAT - даем имя FOR-NAT

permit 192.168.2.0 0.0.0.255 - разрешаем сеть (используется cisco Wildcard masc)

permit 192.168.3.0 0.0.0.255 - разрешаем сеть (используется cisco Wildcard masc)

permit 192.168.4.0 0.0.0.255 - разрешаем сеть (используется cisco Wildcard masc)

exit - вышли из настройки ip access-list standart FOR-NAT

ip nat inside source list FOR-NAT interface gigabitEthernet 0/0 overload - применяем Access list FOR-NAT включаем NAT. (PAT)

exit - вышли из config t

write mem - сохранили настройки

--------------------------------------------

Расширенный Access list:

enable - входим в привилегированный режим

configure terminal - входим в режим глобальной настройки

ip access-list extended FROM-OUTSIDE - создаем дист FROM-OUTSIDE

deny ip any 192.168.2.0 0.0.0.255 - запрещаем сеть (используется cisco Wildcard masc)

deny ip any 192.168.3.0 0.0.0.255 - запрещаем сеть (используется cisco Wildcard masc)

deny ip any 192.168.4.0 0.0.0.255 - запрещаем сеть (используется cisco Wildcard masc)

deny ip any 192.168.5.0 0.0.0.255 - запрещаем сеть (используется cisco Wildcard masc)

permit ip any host 210.210.0.2 - разрешаем трафик на внешний интерфейс

exit - вышли из настройки ip access-list extended FROM-OUTSIDE

interface gigabitEthernet 0/0 - зашли в настройку

ip access-group FROM-OUTSIDE in - привязали правило к интерфейсу gigabitEthernet 0/0

exit - вышли из настройки interface gigabitEthernet 0/0

exit - вышли из config t

write mem - сохранили настройки

--------------------------------------------

Более верный расширенный Access list:

enable - входим в привилегированный режим

configure terminal - входим в режим глобальной настройки

no ip access-list extended FROM-OUTSIDE - удаляем Access list с именем FROM-OUTSIDE

ip access-list extended FROM-OUTSIDE - создаем Access list с именем FROM-OUTSIDE

deny tcp any host 210.210.0.2 eq telnet - запрещаем доступ к telnet

permit ip any host 210.210.0.2 - разрешаем трафик на внешний интерфейс

остальной трафик в локальную сеть будет закрыт

т.е на сети например 192.168.2.0 попасть будет нельзя

не гласное правило "deny ip any any"

end - вышли из конфига

write mem - сохранили настройки

--------------------------------------------

Стандартный Access list применяем для безопасности сервера:

enable - входим в привилегированный режим

configure terminal - входим в режим глобальной настройки

ip access-list standard TO-SERVER - создаем стандартный Access list с именем TO-SERVER

permit 192.168.2.0 0.0.0.255 - (cisco wild card mask) разрешили трафик для сети 192.168.2.0/24

exit - вышли из config t

interface gigabitEthernet 0/1.5 - открыли настройку саб интерфейс gigabitEthernet 0/1.5

ip access-group TO-SERVER out - добавили группу TO-SERVER на выходе из интерфейса

end - вышли из конфига

write mem - сохранили настройки

--------------------------------------------

расширенный Access list применяем к пользователям:

enable - входим в привилегированный режим

configure terminal - входим в режим глобальной настройки

ip access-list extended FROM-USERS - создаем расширенный Access list с именем FROM-USERS

permit tcp 192.168.3.0 0.0.0.255 host 210.210.1.2 eq www - разрешаем для сети 192.168.3.0/24 ходить на сервер 210.210.1.2 на 80 порт

permit ip host 192.168.3.100 host 210.210.1.2 - разрешаем 192.168.3.100 любой трафик на 210.210.1.2

deny ip 192.168.3.0 0.0.0.255 host 210.210.1.2 - запрещаем весь трафик для 192.168.3.0/24 на 210.210.1.2

permit ip any any - разрешаем остальной трафик

exit - вышли из ip access-list extended FROM-USERS

interface gigabitEthernet 0/1.3

ip access-group FROM-USERS in

end - вышли из конфига

write mem - сохранили настройки

--------------------------------------------

пример конфиг свитча:

hostname Switch

interface FastEthernet0/1

switchport access vlan 2

interface FastEthernet0/2

switchport access vlan 3

interface FastEthernet0/3

switchport access vlan 3

interface FastEthernet0/4

switchport access vlan 4

interface FastEthernet0/5

switchport access vlan 5

interface FastEthernet0/6-23

shutdown

interface FastEthernet0/24

switchport trunk allowed vlan 2-5

switchport mode trunk

--------------------------------------------

пример конфиг роутера:

hostname Router

enable password cisco

username admin privilege 15 password 0 cisco

interface GigabitEthernet0/0

description outside

ip address 210.210.0.2 255.255.255.252

ip access-group FROM-OUTSIDE in

ip nat outside

duplex auto

speed auto

interface GigabitEthernet0/1

no ip address

duplex auto

speed auto

interface GigabitEthernet0/1.2

description buh

encapsulation dot1Q 2

ip address 192.168.2.1 255.255.255.0

ip nat inside

interface GigabitEthernet0/1.3

description users

encapsulation dot1Q 3

ip address 192.168.3.1 255.255.255.0

ip access-group FROM-USERS in

ip nat inside

interface GigabitEthernet0/1.4

description admin

encapsulation dot1Q 4

ip address 192.168.4.1 255.255.255.0

ip nat inside

interface GigabitEthernet0/1.5

description srv

encapsulation dot1Q 5

ip address 192.168.5.1 255.255.255.0

ip access-group TO-SERVER out

interface Vlan1

no ip address

shutdown

ip nat inside source list FOR-NAT interface GigabitEthernet0/0 overload

ip route 0.0.0.0 0.0.0.0 210.210.0.1

ip access-list standard FOR-NAT

permit 192.168.2.0 0.0.0.255

permit 192.168.3.0 0.0.0.255

permit 192.168.4.0 0.0.0.255

ip access-list extended FROM-OUTSIDE

deny tcp any host 210.210.0.2 eq telnet

permit ip any host 210.210.0.2

ip access-list standard TO-SERVER

permit 192.168.2.0 0.0.0.255

permit host 192.168.3.100

ip access-list extended FROM-USERS

permit tcp 192.168.3.0 0.0.0.255 host 210.210.1.2 eq www

permit ip host 192.168.3.100 host 210.210.1.2

deny ip 192.168.3.0 0.0.0.255 host 210.210.1.2

permit ip any any

--------------------------------------------

пример конфиг роутера злого провайдера:

hostname Router

interface FastEthernet0/0

ip address 210.210.0.1 255.255.255.252

interface FastEthernet0/1

ip address 210.210.1.1 255.255.255.0

ip route 192.168.0.0 255.255.0.0 210.210.0.2

--------------------------------------------