Рубрики
Cisco

cisco Access List \ AL

Access List

Применяются: Пакетная фильтрация; 
             NAT; 
             VPN; 
             QOS; 
             Разграничение доступа к оборудованию; 
             Policy Based Routing.

Стандартные: применяются чаще на исходящий трафик (сеть источника, наш трафик)
             
Расширенные: применяются чаще к входящему трафику
             ip адрес источника 
             порт источника
             протокол
             ip адресс получателя
             порт получателя 


Access List применяются в двух направлениях
1. На входящий трафик (трафик входит в роутер)
2. На исходящий трафик (трафик выход из роутера)
--------------------------------------------
Правила работают сверху вниз.
Терминирующие правила.
Верхние правило отработало на нижние уже не пойдет.
deny ip any any - не явное правило (если есть любое правило)
--------------------------------------------
действие тип_трафика откуда/хост куда/хост значение какой значение
permit/deny tcp/udp  host IP host IP eq
permit/deny tcp/udp  any any eq
--------------------------------------------
пример компы:
vlan5 192.168.5.2 server
vlan4 192.168.4.2 admin
vlan3 192.168.3.2-3 users
vlan3 192.168.3.100 admin user
vlan2 192.168.2.2 buh
пример наш роутер:
192.168.[2-5].1 внутренний адрес
210.210.0.2 внешний адрес
пример провайдер роутер:
210.210.0.1 внешний адрес (шлюз)
210.210.1.1 внешний адрес
210.210.1.2 внешний ресурс
--------------------------------------------
Стандартный Access list:
enable - входим в привилегированный режим
config t - входим в режим глобальной настройки
ip access-list standart FOR-NAT - даем имя FOR-NAT
permit 192.168.2.0 0.0.0.255 - разрешаем сеть (используется cisco Wildcard masc)
permit 192.168.3.0 0.0.0.255 - разрешаем сеть (используется cisco Wildcard masc)
permit 192.168.4.0 0.0.0.255 - разрешаем сеть (используется cisco Wildcard masc)
exit - вышли из настройки ip access-list standart FOR-NAT
ip nat inside source list FOR-NAT interface gigabitEthernet 0/0 overload  - применяем Access list FOR-NAT  включаем NAT. (PAT) 
exit - вышли из config t 
write mem - сохранили настройки
--------------------------------------------
Расширенный Access list:
enable - входим в привилегированный режим
configure terminal - входим в режим глобальной настройки

ip access-list extended FROM-OUTSIDE - создаем дист FROM-OUTSIDE
deny ip any 192.168.2.0 0.0.0.255 - запрещаем сеть (используется cisco Wildcard masc)
deny ip any 192.168.3.0 0.0.0.255 - запрещаем сеть (используется cisco Wildcard masc)
deny ip any 192.168.4.0 0.0.0.255 - запрещаем сеть (используется cisco Wildcard masc)
deny ip any 192.168.5.0 0.0.0.255 - запрещаем сеть (используется cisco Wildcard masc)
permit ip any host 210.210.0.2 - разрешаем трафик на внешний интерфейс
exit - вышли из настройки ip access-list extended FROM-OUTSIDE 

interface gigabitEthernet 0/0 - зашли в настройку
ip access-group FROM-OUTSIDE in - привязали правило к интерфейсу gigabitEthernet 0/0
exit - вышли из настройки interface gigabitEthernet 0/0 

exit - вышли из config t 
write mem - сохранили настройки
--------------------------------------------
Более верный расширенный Access list:
enable - входим в привилегированный режим
configure terminal - входим в режим глобальной настройки

no ip access-list extended FROM-OUTSIDE - удаляем Access list с именем FROM-OUTSIDE
ip access-list extended FROM-OUTSIDE - создаем Access list с именем FROM-OUTSIDE
deny tcp any host 210.210.0.2 eq telnet - запрещаем доступ к telnet
permit ip any host 210.210.0.2 - разрешаем трафик на внешний интерфейс
                                 остальной трафик в локальную сеть будет закрыт
                                 т.е на сети например 192.168.2.0 попасть будет нельзя
                                 не гласное правило "deny ip any any"
end - вышли из конфига
write mem - сохранили настройки
--------------------------------------------
Стандартный Access list применяем для безопасности сервера:
enable - входим в привилегированный режим
configure terminal - входим в режим глобальной настройки

ip access-list standard TO-SERVER - создаем стандартный Access list с именем  TO-SERVER
permit 192.168.2.0 0.0.0.255 - (cisco wild card mask) разрешили трафик для сети 192.168.2.0/24
exit - вышли из config t 

interface gigabitEthernet 0/1.5 - открыли настройку саб интерфейс gigabitEthernet 0/1.5
ip access-group TO-SERVER out - добавили группу TO-SERVER на выходе из интерфейса
end - вышли из конфига

write mem - сохранили настройки
--------------------------------------------
расширенный Access list применяем к пользователям:
enable - входим в привилегированный режим
configure terminal  - входим в режим глобальной настройки

ip access-list extended FROM-USERS - создаем расширенный Access list с именем FROM-USERS
permit  tcp 192.168.3.0 0.0.0.255 host 210.210.1.2 eq www - разрешаем для сети 192.168.3.0/24 ходить на сервер 210.210.1.2 на 80 порт
permit ip host 192.168.3.100 host 210.210.1.2 - разрешаем 192.168.3.100  любой трафик на 210.210.1.2
deny ip 192.168.3.0 0.0.0.255 host 210.210.1.2 - запрещаем весь трафик для 192.168.3.0/24 на  210.210.1.2
permit ip any any - разрешаем остальной трафик
exit - вышли из ip access-list extended FROM-USERS

interface gigabitEthernet 0/1.3 
ip access-group FROM-USERS in
end - вышли из конфига
write mem - сохранили настройки

--------------------------------------------
пример конфиг свитча:
hostname Switch
interface FastEthernet0/1
 switchport access vlan 2
interface FastEthernet0/2
 switchport access vlan 3
interface FastEthernet0/3
 switchport access vlan 3
interface FastEthernet0/4
 switchport access vlan 4
interface FastEthernet0/5
 switchport access vlan 5
interface FastEthernet0/6-23
 shutdown
interface FastEthernet0/24
 switchport trunk allowed vlan 2-5
 switchport mode trunk
--------------------------------------------
пример конфиг роутера:
hostname Router
enable password cisco
username admin privilege 15 password 0 cisco
interface GigabitEthernet0/0
 description outside
 ip address 210.210.0.2 255.255.255.252
 ip access-group FROM-OUTSIDE in
 ip nat outside
 duplex auto
 speed auto

interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto

interface GigabitEthernet0/1.2
 description buh
 encapsulation dot1Q 2
 ip address 192.168.2.1 255.255.255.0
 ip nat inside

interface GigabitEthernet0/1.3
 description users
 encapsulation dot1Q 3
 ip address 192.168.3.1 255.255.255.0
 ip access-group FROM-USERS in
 ip nat inside

interface GigabitEthernet0/1.4
 description admin
 encapsulation dot1Q 4
 ip address 192.168.4.1 255.255.255.0
 ip nat inside

interface GigabitEthernet0/1.5
 description srv
 encapsulation dot1Q 5
 ip address 192.168.5.1 255.255.255.0
 ip access-group TO-SERVER out

interface Vlan1
 no ip address
 shutdown

ip nat inside source list FOR-NAT interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 210.210.0.1 

ip access-list standard FOR-NAT
 permit 192.168.2.0 0.0.0.255
 permit 192.168.3.0 0.0.0.255
 permit 192.168.4.0 0.0.0.255

ip access-list extended FROM-OUTSIDE
 deny tcp any host 210.210.0.2 eq telnet
 permit ip any host 210.210.0.2

ip access-list standard TO-SERVER
 permit 192.168.2.0 0.0.0.255
 permit host 192.168.3.100

ip access-list extended FROM-USERS
 permit tcp 192.168.3.0 0.0.0.255 host 210.210.1.2 eq www
 permit ip host 192.168.3.100 host 210.210.1.2
 deny ip 192.168.3.0 0.0.0.255 host 210.210.1.2
 permit ip any any
--------------------------------------------
пример конфиг роутера злого провайдера:
hostname Router
interface FastEthernet0/0
 ip address 210.210.0.1 255.255.255.252
interface FastEthernet0/1
 ip address 210.210.1.1 255.255.255.0
ip route 192.168.0.0 255.255.0.0 210.210.0.2 
--------------------------------------------