Access Lists (ACLs) dienen der Identifikation von Kommunikationsströmen auf Layer 3- (IP-Adressen) und Layer 4-Ebene (Port-Adressen).
Hauptzweck ist das Filtern durch
– Identifizierung anhand der Quelladresse.
– Identifizierung anhand von Quell- und Zieladresse
– Identifizierung anhand von Layer 4 Protokoll, z. B. TCP, UDP etc.
– Identifizierung anhand von Adresse + Service (z. B. Portnummer bei TCP/UDP)
Extended IP Access List: allgemein
Router(config)# [no] access-list acl-number {permit | deny} protocol source-address [mask] [operator port] dest-address [mask] [operator port] [established] [log]
acl-number: 100-199 oder 2000 bis 2699, eindeutige Nummer der Access Liste
permit: Trifft die folgende Bedingung wird das Paket zur Weiterverarbeitung an den nächsten Prozess übergeben.
deny: Trifft die folgende Bedingung zu, wird das Paket verworfen.
protocol: Layer 3 bzw. 4 Protokoll, für das die Liste angelegt ist. Das Protokoll bestimmt die weitere Listenform.
source-address: Quelladresse IP Pakets
mask: Bitmaske
dest-address: Zieladresse des IP Pakets
mask: Bitmaske
operator-port: port Angabe für UDP- bzw. TCP-Filter
Operator:
lt „less than“: weniger, kleiner, <
gt „greater than“: mehr, größer, >
eq „equal to“: gleich, =
neq “not equal to”: ungleich, !=
established: optionale nur “inbound TCP” Listen; lässt bereits etablierte Kommunikation durch (ACK Bit im TCP Header ist gesetzt)
log: erzeugt logging Messages, wenn der Eintrag einen Match erzeugt
Extended IP Access List: IP
Router(config)# access-list acl-number {permit | deny} ip source-address [mask] dest-address [mask] [log]
source-address: Quelladresse des IP Pakets
mask: Bitmaske
dest-address: Zieladresse des IP Pakets
log: erzeugt logging Messages, wenn der Eintrag einen Match erzeugt
Beispiel:
Router(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255
-> Alle Pakete, die von 10.10.10.0/24 nach 10.10.20.0/24 laufen, werden verworfen