CCNA 2.9 — Списки контроля доступа

Создание ACL для протокола IPv6

В этой статье речь пойдёт о создании списков контроля доступа на маршрутизаторе cisco для протокола ipv6. Перед прочтением статьи рекомендуется ознакомиться с обзорной статьёй об ACL и отдельно со статьёй о создании расширенных ACL для IPv4.

Дело в том, что списки контроля доступа для IPv6 являются практически полной копией расширенных именованных список контроля доступа для IPv4 с той разницей, что в качестве адресов отправителя и получателя в них используются IPv6 адреса.

Reflexive ACL — настройка и пример работы зеркальных списков контроля доступа

Зеркальные (reflexive) ACL – это расширение технологии extended ACL, которое позволяет организовать пропуск трафика из интернета в локальную сеть только в ответ на предварительно сделанный запрос из локальной сети в интернет.

Рекомендуется начать знакомство с ACL c этой статьи, чтобы было понятно, о чём идёт речь.

Что делает established в ACL?

Ключевое слово established используется в расширенных ACL, для определения, принадлежит ли трафик к открытой TCP сессии. Маршрутизатор проверяет, соответствующий бит в заголовке TCP и принимает решение относительно того, относится ли трафик к уже установленному соединению.

Типичное использование established – организация доступа к интернету для сотрудников, чтобы извне нельзя было обращаться ко внутренней сети, но при этом ответы от веб серверов проходили вовнутрь нормально.

Создание расширенного ACL

Расширенный ACL позволяют фильтровать трафик по большому количеству критериев. В этой статье поговорим о настройке расширенного ACL. Рекомендую сначала почитать общую статью об ACL и статью о стандартном ACL, если вы этого ещё не сделали.

Итак, расширенный ACL может быть именованный и нумерованный. В любом случае, он позволяет фильтровать трафик по следующим параметрам:

Создание стандартного ACL

Стандартный ACL позволяют фильтровать трафик по одному признаку – адресу отправителя (в CCNA конкретно рассматривается только ip адрес отправителя). В этой статье поговорим о настройке стандартного ACL. Рекомендую сначала почитать общую статью об ACL, если вы этого ещё не сделали.

Итак, стандартный ACL может быть именованный и нумерованный.

Ограничение доступа к маршрутизатору по telnet или ssh с помощью ACL

Давайте разберёмся, как ограничить доступ к маршрутизатору. Для начала рекомендую прочитать статью об ACL, если вы этого ещё не сделали.

Итак, есть маршрутизатор, мы, как администраторы хотим иметь возможность удалённо к нему подключаться по ssh либо telnet, но не хотим, чтобы к нему удалённо подключались злоумышленники и брутфорсили наши пароли. Задача достаточно сложная, если пытаться решить её применением расширенных ACL на интерфейсы маршрутизатора.

Что такое ACL и как его настраивать

В этой статье речь пойдёт об списках аксес листах (списки листов доступа, ACL, NACL, access lists, access control list — все эти слова — синонимы, пусть вас не пугает их разнообразие). Далее в статье, для краткости я буду пользоваться термином ACL.

 Подписка на CCNA 2.9 — Списки контроля доступа