Übung zu Access Control List
Aufgabe
Gegeben ist folgendes Netzwerk
- Jedes Gerät aus dem Netzwerk 192.168.1.0/24 soll auf die beiden Computer in Netzwerk 192.168.3.0/24 zugreifen können.
- Jedes Gerät aus dem Netzwerk 192.168.2.0/24 soll auf die beiden Computer in Netzwerk 192.168.3.0/24 zugreifen können außer Gerät 192.168.2.2.
- Aus Netzwerk 192.168.5.0/24 soll nur Gerät 192.168.5.1 auf die beiden PCs in Netzwerk 192.168.3.0/24 zugreifen können.
- Wandle die Standardzugriffsliste in eine erweiterte Zugriffsliste um.
- Ergänze die erweiterte Zugriffsliste so, dass alle obigen Zugriffsrechte gelten aber der Zugriff auf PC1 generell verboten ist.
Lösung:
- Jedes Gerät aus dem Netzwerk 192.168.1.0/24 soll auf die beiden PCs in Netzwerk 192.168.3.0/24 zugreifen können.
access-list 1 permit 192.168.1.0 0.0.0.255
- Jedes Gerät aus dem Netzwerk 192.168.2.0/24 soll auf die beiden PCs in Netzwerk 192.168.3.0/24 zugreifen können außer Gerät 192.168.2.2.
access-list 1 deny 192.168.2.2
access-list 1 permit 192.168.2.0 0.0.0.255
- Aus Netzwerk 192.168.5.0/24 soll nur Gerät 192.168.5.1 auf die beiden PCs in Netzwerk 192.168.3.0/24 zugreifen können.
access-list 1 permit 192.168.5.1
access-list 1 deny 192.168.5.0 0.0.0.255 -> Standartmäßig werden bei ACL immer
alle IP-Adressen blockiert, darum ist diese Zeile überflüssig (Standartmäßig:
access-list 1 deny 0.0.0.0 255.255.255.255)
Router(config)#int fa1/0
Router(config-if)#ip access-group 1 OUT
- Wandle die Standardzugriffsliste in eine erweiterte Zugriffsliste um.
access-list 101 permit ip 192.168.1.0 0.0.0.255 0.0.0.0 255.255.255.255
access-list 101 permit ip host 192.168.5.1 0.0.0.0 255.255.255.255
access-list 101 deny ip 192.168.5.0 0.0.0.255 0.0.0.0 255.255.255.255
access-list 101 deny ip host 192.168.2.2 0.0.0.0 255.255.255.255
access-list 101 permit ip 192.168.2.0 0.0.0.255 0.0.0.0 255.255.255.255
Statt der dem Syntaxteil "0.0.0.0 255.255.255.255" kann auch any verwendet werden
Um keine Unterscheidung zwischen den Protokollen zu machen kann "IP" verwendet werden. IP steht für "any Protocolls"
- Ergänze die erweiterte Zugriffsliste so, dass alle obigen Zugriffsrechte gelten aber der Zugriff auf PC1 generell verboten ist.
access-list 101 deny any hosts 192.168.3.102
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit ip host 192.168.5.1 any
access-list 101 deny ip 192.168.5.0 0.0.0.255 any
access-list 101 deny ip host 192.168.2.2 any
access-list 101 permit ip 192.168.2.2 0.0.0.255 any
Router(config)# int fa 1/0
Router(config-if)#ip access-group 101 out