Cisco Router 2600 / 2800 und Access-lists

[kaya0911]

Hey Leute,

kennst sich hier jemand zufällig mit den Access-lists bei den Cisco-Routern aus?

Wir Azubis (2. Lehrjahr) haben die Aufgabe bekommen einem kompletten Netz den Zugriff auf einen bestimmten Computer zu verweigern

=> Netz 192.168.1.0 soll nicht auf 192.168.2.20 zugreifen dürfen.

Wir schlagen uns schon seit einem Tag mit der Syntax rum, kommen aber irgendwie nur zu dem Punkt, das wir es schaffen, das sich beide PCs nicht pingen können. Das 192.168.2.0er Netz soll aber alles erreichen können.

(Systemaufbau: Netz 192.168.1.0 an Switch angeschlossen => an Router (2600) => an Router(2800) => an switch <= am Switch ist dann der 192.168.2.20er angeschlossen. Routingprotokoll ist OSPF zur Zeit)

Wären euch dankbar für jede Art von Hilfestellung.

:new

Auf bald

k.

[Crash2001]

[...]Process ACLs

Traffic that comes into the router is compared to ACL entries based on the order that the entries occur in the router. New statements are added to the end of the list. The router continues to look until it has a match. If no matches are found when the router reaches the end of the list, the traffic is denied. For this reason, you should have the frequently hit entries at the top of the list. There is an implied deny for traffic that is not permitted. A single-entry ACL with only one deny entry has the effect of denying all traffic. You must have at least one permit statement in an ACL or all traffic is blocked. These two ACLs (101 and 102) have the same effect.

access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

access-list 102 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

access-list 102 deny ip any any

In this example, the last entry is sufficient. You do not need the first three entries because TCP includes Telnet, and IP includes TCP, User Datagram Protocol (UDP), and Internet Control Message Protocol (ICMP).

access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet

access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1

access-list 101 permit udp host 10.1.1.2 host 172.16.1.1

access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

[...]

siehe hier

Einfach mal bei Cisco Systems, Inc nachschauen - da gibts zig Beispiele und HowTos zu dem Thema.

[Crash2001]

Ach ja - am Ende jeder Access-List wird automatisch noch ein

access-list [Nr] deny any any

hinzugefügt. Somit ist alles, was nicht explizit erlaubt ist, automatisch verboten.

Die Access-List wird für jedes Paket von oben nach unten durchgegangen und der erste passende Eintrag wird genommen und das Paket entweder verworfen oder weitergeleitet. Daher sollte man die Access-list so aufbauen, dass die am häufigsten auftauchenden Regeln möglichst weit oben stehen.

[kaya0911]

Yay danke

Dürfte helfen!