1 © 2004 Cisco Systems, Inc. All rights reserved. CCNA 2 v3.1 Module 11 Access Control Lists (ACLs)

222 © 2004, Cisco Systems, Inc. All rights reserved. Objectives

333 © 2004, Cisco Systems, Inc. All rights reserved. What are ACLs? ACLs are lists of conditions used to test network traffic that tries to travel across a router interface. These lists tell the router what types of packets to accept or deny. ACL jsou seznamy podmínek, kterými se testují pakety, které se pokoušejí projít přes router. Říkají routeru, které pakety mají být povoleny a které zakázány.

444 © 2004, Cisco Systems, Inc. All rights reserved. ACL se umisťují na rozhraní a tam upravují buď provoz směrem dovnitř (in) nebo ven (out). What are ACLs?

555 © 2004, Cisco Systems, Inc. All rights reserved. How ACLs Work Zkouší se zda jednotlivé podmínky (= řádky) seznamu pasují na paket. Po první splněné podmínce se další řádky už nezkoumají a rozhodne se, zda paket propustit nebo zahodit. Na konci je neviditelné „zahodit všechno, co prošlo až sem“.

666 © 2004, Cisco Systems, Inc. All rights reserved. Protocols with ACLs Specified by Numbers

777 © 2004, Cisco Systems, Inc. All rights reserved. Creating ACLs To je seznam podmínek listu č.2. List bude přilepený na rozhraní e0 a bude tam regulovat provoz dovnitř.

888 © 2004, Cisco Systems, Inc. All rights reserved. Creating ACLs Řádky jsou v listu v tom pořadí, v jakém jsme je psali. Chceme-li pořadí změnit, musíme řádky vymazat („no access-list....“) a napsat je znovu.

999 © 2004, Cisco Systems, Inc. All rights reserved. The Function of a Wildcard Mask Z této tabulky moc chytrý nejsem. Jednoduché vysvětlení na dalším obrázku.

10 © 2004, Cisco Systems, Inc. All rights reserved. The Function of a Wildcard Mask access-list 2 deny Nuly v masce říkají, že hodnoty na příslušných místech musí být dodrženy přesně.

11 © 2004, Cisco Systems, Inc. All rights reserved. The Function of a Wildcard Mask access-list 2 deny Jedničky v masce říkají, že hodnoty na příslušných místech mohou být libovolné.

12 © 2004, Cisco Systems, Inc. All rights reserved. Verifying ACLs show commands verify the content and placement of ACLs on the router. show ip interface show access-lists Show running-config

13 © 2004, Cisco Systems, Inc. All rights reserved. Standard ACLs Číslo mají pod stovku Filtrují jen podle adresy odesílatele Používají masku Dávají se na interface, který je nejblíže k cíli

14 © 2004, Cisco Systems, Inc. All rights reserved. Extended ACLs Číslo mají nad stovku Filtrují podle adresy odesílatele i cíle Filtrují i podle protokolu Dávají se na začátek trasy

15 © 2004, Cisco Systems, Inc. All rights reserved. Named ACLs Místo čísla může být i jméno Musíme slovně určit druh (není číslo, ze kterého by se to dalo poznat) Na začátku je navíc „ip“

16 © 2004, Cisco Systems, Inc. All rights reserved. Named ACLs Změnil se prompt a v dalších řádcích už píšeme jen podmínky (nezačínají „access- list...“) Místo čísla jméno

17 © 2004, Cisco Systems, Inc. All rights reserved. Placing ACLs Standard ACLs should be placed close to the destination. Extended ACLs should be placed close to the source. Posíláme něco odtud sem

18 © 2004, Cisco Systems, Inc. All rights reserved. Placing ACLs Posíláme něco odtud sem Standardní se umí rozhodovat jen podle adresy zdroje. Aby byl účinný, musí být na konci trasy. Nevýhoda: paket, který nakonec zahodíme, zbytečně zatěžoval trasu.

19 © 2004, Cisco Systems, Inc. All rights reserved. Placing ACLs Posíláme něco odtud sem Extended bere v úvahu i adresu cíle. Proto už na začátku trasy můžeme posoudit, zda paket máme zahodit.

20 © 2004, Cisco Systems, Inc. All rights reserved. Firewalls A firewall is an architectural structure that exists between the user and the outside world to protect the internal network from intruders. Firewall: HW a / nebo SW pro ochranu vnitřní sítě nebo počítače před útokem z internetu.

21 © 2004, Cisco Systems, Inc. All rights reserved. Restricting Virtual Terminal Access Access list můžeme přilepit nejen na sériové nebo ethernet rozhraní, ale i na virtuální terminál. Tam rozhoduje, kdo se může připojit přes telnet.

22 © 2004, Cisco Systems, Inc. All rights reserved. Summary