Erstellen und Anwenden von ACLs

Erstellen von Standard ACLs

Standard ACLs werden erstellt, indem eine Liste von Regeln definiert wird, die basierend auf der Quell-IP-Adresse den Datenverkehr erlauben oder verweigern.
- Befehl zur Erstellung:
  - access-list [Nummer] [permit|deny] [Quell-IP-Adresse] [Wildcard-Maske]
Beispiel:
- access-list 10 permit 192.168.1.0 0.0.0.255
- Dieser Befehl erstellt eine Standard ACL mit der Nummer 10, die den gesamten Datenverkehr von der Quell-IP-Adresse 192.168.1.0/24 erlaubt.

Nachdem eine ACL erstellt wurde, muss sie auf eine Schnittstelle angewendet werden, um den Datenverkehr tatsächlich zu filtern.
- Befehl zur Anwendung:
  - interface [type] [number]
  - ip access-group [Nummer] [in|out]
Beispiel:
- interface GigabitEthernet0/1
- ip access-group 10 in
- Dieser Befehl wendet die ACL 10 auf den eingehenden Datenverkehr auf der GigabitEthernet0/1-Schnittstelle an.

Extended ACLs bieten detaillierte Filtermöglichkeiten basierend auf Quell- und Ziel-IP-Adressen, Protokollen und Portnummern.
- Befehl zur Erstellung:
  - access-list [Nummer] [permit|deny] [Protokoll] [Quell-IP-Adresse] [Wildcard-Maske] [Ziel-IP-Adresse] [Wildcard-Maske] [eq Portnummer]
Beispiel:
- access-list 100 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80
- Dieser Befehl erstellt eine Extended ACL mit der Nummer 100, die TCP-Datenverkehr von 192.168.1.0/24 zu 192.168.2.0/24 erlaubt, wenn der Zielport 80 (HTTP) ist.

Wie bei Standard ACLs muss auch eine Extended ACL auf eine Schnittstelle angewendet werden, um den Datenverkehr zu filtern.
- Befehl zur Anwendung:
  - interface [type] [number]
  - ip access-group [Nummer] [in|out]
Beispiel:
- interface GigabitEthernet0/2
- ip access-group 100 in
- Dieser Befehl wendet die Extended ACL 100 auf den eingehenden Datenverkehr auf der GigabitEthernet0/2-Schnittstelle an.

ACLs können auch verwendet werden, um den Remote-Zugriff auf einen Router oder Switch über vty-Linien (Telnet/SSH) zu kontrollieren.
- Befehl zur Erstellung:
  - access-list [Nummer] [permit|deny] [Quell-IP-Adresse] [Wildcard-Maske]
Beispiel:
- access-list 20 permit 192.168.1.10 0.0.0.0
- Dieser Befehl erstellt eine ACL mit der Nummer 20, die den Zugriff nur von der IP-Adresse 192.168.1.10 erlaubt.

Die erstellte ACL wird auf die vty-Linien angewendet, um den Remote-Zugriff zu filtern.
- Befehl zur Anwendung:
  - line vty 0 4
  - access-class [Nummer] in
Beispiel:
- line vty 0 4
- access-class 20 in
- Dieser Befehl wendet die ACL 20 auf die vty-Linien 0 bis 4 an, wodurch nur die in der ACL definierten IP-Adressen Zugriff erhalten.

Es ist wichtig, die Konfiguration und den Status der ACLs regelmäßig zu überprüfen, um sicherzustellen, dass sie korrekt angewendet werden.
- Befehl zur Überprüfung:
  - show access-lists
- Dieser Befehl zeigt alle konfigurierten ACLs und deren Regeln an.

Wenn eine ACL nicht mehr benötigt wird, kann sie entfernt werden.
- Befehl zum Entfernen:
  - no access-list [Nummer]
Beispiel:
- no access-list 10
- Dieser Befehl entfernt die ACL 10 aus der Konfiguration.

Das Erstellen und Anwenden von ACLs ist ein wesentlicher Bestandteil der Netzwerksicherheit. Standard-ACLs bieten eine einfache Möglichkeit, Datenverkehr basierend auf der Quell-IP-Adresse zu steuern, während Extended-ACLs eine detaillierte Kontrolle über den Datenverkehr basierend auf mehreren Kriterien ermöglichen. Durch das Anwenden von ACLs auf Netzwerkschnittstellen und vty-Linien können Administratoren den Zugriff auf Netzwerkressourcen effektiv kontrollieren und sichern.