18.07.2017
KONULAR : Access Control List , Standart Access List , Extended Access List ,Named Access List, Uygulama
1.Access Control List
Farklı networkler arasında iletişimi sağlayan Router veya Layer 3 üzerine gelen ya da giden trafiklerin ip bazında veya port olarak filtreleme yapabilmemizi sağlayan kontrol mekanizmasıdır.
Nasıl Düzenlenir?
- ACL’ler kaynak ip’ye göre filtreleme yapabilmekle beraber gelişmiş listeleri kullanarak hedef ip, port numarası protokol bazında filtreleme işlemleri yapabilmektedir.
1.1.Standart Access List
Router üzerine gelen paketlerin kaynak ip adresine bakılarak engelleme işleminin yapılmasıdır. Burada izin veya engel işlemleri ip adresine göre yapılabilmektedir.
1.2.Extended Access List
Router üzerine gelen ip paketlerinin hem kaynak hem de hedef ip adresleri kontrol edilir. Burada kaynak ip adresi ile birlikte kullanılan protokol, hedef ip adresi ve hedef port numarası ile kısıtlama yapılabilir.
1.3.Named Access List
Named ACL’ lerStandartve Extended olarak oluşturulabilir. Konfigürasyon esnasında bazı farklılıklar göstermektedir. Access-list numarası yerine daha kolay akılda kalacak şekilde isimler belirlenerek listeler yaratılabilir.
Kodları
ADIM 1 – ACL UYGULAMASI:
R1’de SADECE PC1’e Telnet izni verilen ACL yazımı:
- R1(config)# access-list 1 permit host 172.16.1.7
R1(config)# line vty 0 15
R1(config-line)# password cisco123
R1(config-line)# access-class 1 in
ADIM 2 –ACL UYGULAMASI
172.16.1.0/24 ağının 30.0.0.0/8 ağına erişimini engelleyen Standart ACL yazımı:
Standart ACL’ler KAYNAK IP’sini göre paketleri filtrelerler. Bu sebeple hedefe yakın yazılır.
Kaynağa yakın yazılması durumunda 172.16.1.0/24 ağı 20.0.0.0 ve 40.0.0.0 networklerine de erişemez.
- R2(config)# access-list 2 deny 172.16.1.0 0.0.0.255
R2(config)# access-list 2 permit any
R2(config)#int fa 0/0
R2(config-if)# ip access-group 2 out
R2(config-if)# end
R2# write - ……
Extended ACL Yazımı:
R1(config)# ip access-list extended SUNUCU_ERISIMI
R1(config-ext-nacl)# permit tcp 172.16.1.0 0.0.0.255 host 20.0.0.2 eq 80
R1(config-ext-nacl)# permit tcp 172.16.1.0 0.0.0.255 host 20.0.0.2 eq 443
R1(config-ext-nacl)# permit tcp 172.16.1.0 0.0.0.255 host 20.0.0.2 eq 25
R1(config-ext-nacl)# permit icmp 172.16.1.0 0.0.0.255 host 20.0.0.2 echo
R1(config-ext-nacl)# permit tcp 30.0.0.0 0.255.255.255 host 20.0.0.2 eq 80
R1(config-ext-nacl)# permit icmp 30.0.0.0 0.255.255.255 host 20.0.0.2 echo
R1(config-ext-nacl)# exit
R1(config)# interface FastEthernet 0/1
R1(config-if)# ip access-group SUNUCU_ERISIMI out
R1(config-if)# end
R1# write