Übung zu Access Control List

From NesevoWiki
Jump to navigationJump to search

Aufgabe

Gegeben ist folgendes Netzwerk

Übungsbeispiel ACL.JPG

  • Jedes Gerät aus dem Netzwerk 192.168.1.0/24 soll auf die beiden Computer in Netzwerk 192.168.3.0/24 zugreifen können.
  • Jedes Gerät aus dem Netzwerk 192.168.2.0/24 soll auf die beiden Computer in Netzwerk 192.168.3.0/24 zugreifen können außer Gerät 192.168.2.2.
  • Aus Netzwerk 192.168.5.0/24 soll nur Gerät 192.168.5.1 auf die beiden PCs in Netzwerk 192.168.3.0/24 zugreifen können.
  • Wandle die Standardzugriffsliste in eine erweiterte Zugriffsliste um.
  • Ergänze die erweiterte Zugriffsliste so, dass alle obigen Zugriffsrechte gelten aber der Zugriff auf PC1 generell verboten ist.





Lösung:

  • Jedes Gerät aus dem Netzwerk 192.168.1.0/24 soll auf die beiden PCs in Netzwerk 192.168.3.0/24 zugreifen können.

access-list 1 permit 192.168.1.0 0.0.0.255

  • Jedes Gerät aus dem Netzwerk 192.168.2.0/24 soll auf die beiden PCs in Netzwerk 192.168.3.0/24 zugreifen können außer Gerät 192.168.2.2.

access-list 1 deny 192.168.2.2 access-list 1 permit 192.168.2.0 0.0.0.255

  • Aus Netzwerk 192.168.5.0/24 soll nur Gerät 192.168.5.1 auf die beiden PCs in Netzwerk 192.168.3.0/24 zugreifen können.

access-list 1 permit 192.168.5.1 access-list 1 deny 192.168.5.0 0.0.0.255 -> Standartmäßig werden bei ACL immer alle IP-Adressen blockiert, darum ist diese Zeile überflüssig (Standartmäßig: access-list 1 deny 0.0.0.0 255.255.255.255)

Router(config)#int fa1/0

Router(config-if)#ip access-group 1 OUT

  • Wandle die Standardzugriffsliste in eine erweiterte Zugriffsliste um.

access-list 101 permit ip 192.168.1.0 0.0.0.255 0.0.0.0 255.255.255.255

access-list 101 permit ip host 192.168.5.1 0.0.0.0 255.255.255.255

access-list 101 deny ip 192.168.5.0 0.0.0.255 0.0.0.0 255.255.255.255

access-list 101 deny ip host 192.168.2.2 0.0.0.0 255.255.255.255

access-list 101 permit ip 192.168.2.0 0.0.0.255 0.0.0.0 255.255.255.255

Statt der dem Syntaxteil "0.0.0.0 255.255.255.255" kann auch any verwendet werden Um keine Unterscheidung zwischen den Protokollen zu machen kann "IP" verwendet werden. IP steht für "any Protocolls"

  • Ergänze die erweiterte Zugriffsliste so, dass alle obigen Zugriffsrechte gelten aber der Zugriff auf PC1 generell verboten ist.

access-list 101 deny any hosts 192.168.3.102

access-list 101 permit ip 192.168.1.0 0.0.0.255 any

access-list 101 permit ip host 192.168.5.1 any

access-list 101 deny ip 192.168.5.0 0.0.0.255 any

access-list 101 deny ip host 192.168.2.2 any

access-list 101 permit ip 192.168.2.2 0.0.0.255 any

Router(config)# int fa 1/0

Router(config-if)#ip access-group 101 out

Retrieved from "http://wiki.nesevo.com/index.php?title=Übung_zu_Access_Control_List&oldid=359"