IPv4 kiterjesztett ACL-ek

Kiterjesztett IPv4 ACL-ek konfigurálása

A kiterjesztett hozzáférési listák beállításának lépései megegyeznek a normál ACL-ekével. A kiterjesztett ACL-t is először létre kell hozni, majd aktiválni kell egy interfészen. Azonban a parancsszintaxis és a paraméterek jóval bonyolultabbak a kiterjesztett ACL-ek által támogatott bővebb lehetőségek miatt.

MEGJEGYZÉS: A normál ACL-ek belső számozási algoritmusa nem vonatkozik a kiterjesztett ACL-ek utasításaira, azok konfigurálásuk sorrendjében jelennek meg és kerülnek feldolgozásra.

Az 1. ábra a kiterjesztett IPv4 ACL-ek általános parancsszintaxisát mutatja be. Vegyük észre, hogy a kiterjesztett ACL-ekhez nagyon sok kulcsszó és paraméter tartozik, de a konfigurálás során nem kötelező mindegyiket használni. Emlékezzünk rá, hogy a ? jól használható segítség a bonyolult parancsok beírásakor!

A 2. ábrán egy kiterjesztett ACL példa látható, amelyben a hálózati rendszergazda a G0/0 interfész LAN-jából induló külső forgalmat csak webböngészés céljára nyitja meg. Az ACL 103 csak azokat a csomagokat engedélyezi, amelyek 192.168.10.0 hálózatból bármely cél felé tartanak, kiegészítve azzal a megszorítással, hogy a forgalom csak a 80 (HTTP) vagy 443 (HTTPS) portszámokat használhatja.

A HTTP működése megköveteli a visszafelé irányuló forgalom engedélyezését a webszervertől a kapcsolatot kezdeményező kliens felé. A hálózati rendszergazda engedélyezni kívánja ezt a visszatérő HTTP-válaszforgalmat, de minden mást tiltani akar. Az ACL 104 blokkol minden bejövő csomagot, kivéve azokat, amelyeket belülről kezdeményeztek és már létrejött kapcsolathoz tartoznak. Az ACL 104 "permit" utasítása az established paraméter által engedélyezi ezt a bejövő forgalmat.

Az established paraméter csak azokat a csomagokat engedi visszatérni, amelyek válaszok egy 192.168.10.0/24 hálózatból indított kérésre. Egyezés akkor történik, ha a visszajövő TCP-szegmens tartalmaz ACK vagy RST (reset) bitet, amely mutatja, hogy a csomag egy már létező kapcsolathoz tartozik. Ha az established paraméter nélkül használjuk az utasítást, a kliens bár képes adatokat küldeni a webszervernek, de az onnan visszaérkező forgalom nem érkezik meg hozzá.