CCNA Gün 28 - ACL (Access Control List) Part 2 - Networkous

Bu Yazıda Extended ACL ve Extended ACL Yapılandırması Hakkında Bilgi Edineceğiz.

Bu Yazıdan önce ACL Part 1 Yazısını okumanızı tavsiye ederim.

Extended ACL

• Extended Numbered ACL, 100-199 ve 2000-2699 Aralıklarındaki ACL Numaralarını Kullanır.

• Extended ACL, Trafiği Daha Fazla Parametreye göre Eşleştirebilir, Bu Nedenle Standard ACL'den Daha Net ve Daha Karmaşıktır.

• Parametreler:

• Layer 4 Protocol/Port
• Source/Destination Address
• ..

• Extended ACL, Mümkün olduğunca Kaynağa En Yakın Router'da Yapılandırılır. Hedefe Yakın Yerde Yapılandırmak Ağ Kaynaklarının Verimsiz Kullanılmasına Yol Açar.

• Extended Numbered ACL Yapılandırma Komutu: access list number {permit | deny} protocol src-ip [wilcard-mask] [eq | gt | lt | neq | range] dst-ip [wildcard-mask] [eq | gt | lt | neq | range] [ttl | dscp | ack | fin | syn]

• Extended Named ACL Yapılandırma Komutları:

• (config)# ip access-list extended {name | number}
• (config-ext-nacl)# [entry-number] {permit | deny} protocol src-ip [wilcard-mask] [eq | gt | lt | neq | range] dst-ip [wildcard-mask] [eq | gt | lt | neq | range] [ttl | dscp | ack | fin | syn]

Extended ACL Protokole Göre Eşleştirme

IP Protocol Number: 6 (TCP), 17 (UDP), 1 (ICMP), 89 (OSPF), 88 (EIGRP).

Örneğin Bir Portta OSPF, Ping gibi Mesajları Engellemek için Extended ACL Kullanabilirsiniz.

Bu Eğitimde TCP, UDP ve IP'ye odaklanacağız.

ip Seçeneğini Kullanırsanız Tüm IP Paketleri ile Eşleşir. Bu Seçeneği Protokolü Umursamadığımızda Kullanırız, Yalnızca Tüm Paketleri Reddetmek veya İzin Vermek İsteriz. Örneğin Bir ACL'nin Sonuna permit any İfadesi Koymak İstiyorsanız ip Seçeneğini Kullanırsınız.

Extended ACL Source/Destination IP Adresine Göre Eşleştirme

Extended ACL'de Source / Destination Adres bilgisini /32 Mask ile Yapılandırmak İstiyorsanız host Anahtar Kelimesini veya Wildcard Mask Belirtmeniz Gerekir. Bunlardan Herhangi Biri olmadan Sadece Adresi Yazamazsınız.

deny tcp any 10.0.0.0 0.0.0.255 -> Herhangi bir Source IP Adresine Sahip (any) ve Destination IP Adresi 10.0.0.0/24 Subnet'inde olan Tüm TCP Segment'lerini Reddeder.

Extended ACL Alıştırması (1)

Bu Alıştırmayı Kendiniz Yapmayı Deneyin.

Cevaplar (Sırası ile):

• permit ip any any

• deny udp 10.0.0.0 0.0.255.255 host 192.168.1.1

• deny icmp host 172.16.1.1 192.168.0.0 0.0.0.255

Extended ACL TCP/UDP Port Numaralarına Göre Eşleştirme

Eşleştirilecek Protokol olarak TCP veya UDP Belirlediğinizde İsteğe Bağlı olarak Source/Destination Port Numarası Belirtebilirsiniz. Belirtilmezse Tüm Port Numaraları Eşleştirilir.

Örnek Yapılandırma

Tavsiye: İsim Kullanmak Yerine Sayı Kullanın.

Bu ACL Girişinin Etkisi Nedir? Herhangi Bir Source IP Adresine Sahip (any) ve Destination IP Adresi 1.1.1.1/32 olan TCP Port 80'e Yönelik Tüm Paketleri Reddeder.

Ek Not: Destination IP Adresi ve/veya Destination Port Numaralarından Sonra Eşleştirmek için Kullanabileceğiniz Daha Birçok Seçenek Mevcuttur. Bazı Örnekler:

• ack: TCP ACK Flag ile Eşleştirebilirsiniz.

• fin: TCP FIN Flag ile Eşleştirebilirsiniz.

• syn: TCP SYN Flag ile Eşleştirebilirsiniz.

• ttl: Paketleri Belirli Bir TTL Değeri ile Eşleştirebilirsiniz (IPv4 Başlığı).

• dscp: Paketleri belirli bir DSCP değeri ile eşleştirebilirsiniz (IPv4 Başlığı).

Ek Not 2: Bir Paketin ACL Girişi ile Eşleşmesi için Şimdiye Kadar Söylediğimiz Tüm Parametreler ile Eşleşmesi gerekir. Parametrelerden Biri Hariç Tümü Eşleşse Bile Paket ACL'nin o Girişi ile Eşleşmeyecektir. Extended ACL, Eşleştirmek İstenilen Trafik Konusunda Çok Net olmamızı Sağlar.

Extended ACL Alıştırması (2)

Bu Alıştırmayı Kendiniz Yapmayı Deneyin.

Cevaplar (Sırası ile):

• permit tcp 10.0.0.0 0.0.255.255 host 2.2.2.2 eq 443

• deny udp any range 20000 30000 host 3.3.3.3

• permit tcp 172.16.1.0 0.0.0.255 gt 9999 host 4.4.4.4 neq 23

Örnek

Topoloji ve Gereksinimler

Gereksinimleri Karşılamak için Hangi Router ve Hangi Portlara ve Hangi Yönde ACL Uygulamalısınız? Kendiniz Yapmayı Deneyin.

Bir Önceki ACL'de 192.168.2.0/24 Ağı ile 10.0.2.0/24 Ağı Arasındaki Trafik Zaten Engellendiğinden Bu ACL'ye eklenmedi. show access lists Komutu ile Yapılandırmayı Doğrulayalım.

Bir Porta Hangi ACL'nin Uygulandığını Görüntülemek için show running-config veya show ip interface interface-id Komutunu Kullanabilirsiniz.

Quizs

Cevaplar (Sırası ile):

• 103
• b
• c
• 112
• c, e (Not: Son Komutta ACL Number 110 Yerine 150 olacak)

LAB - ANKI

LAB Çözümü

1.

R1
R1(config)#ip access-list extended BLOCK_PC1
R1(config-ext-nacl)#deny ip 172.16.2.0 0.0.0.255 host 172.16.1.1
R1(config-ext-nacl)#permit ip any any 
R1(config-ext-nacl)#remark BLOCK_PC1

R1(config)#int g0/1
R1(config-if)#ip access-group BLOCK_PC1 in

PC3: ping 172.16.1.1 -> İletişim Yok.
PC4: ping 172.16.1.1 -> İletişim Yok.
PC2: ping 172.16.1.1 -> İletişim Var.

2.

PC1

PC1: ping pc2 -> İletişim Var. PC1, DNS Server Aracılığı ile pc2'nin IP Adresini Öğrendi.

R1
R1(config)#ip access-list extended DENY_TO_SRV1_DNS
R1(config-ext-nacl)#deny udp 172.16.1.0 0.0.0.255 host 192.168.1.100 eq 53
R1(config-ext-nacl)#deny tcp 172.16.1.0 0.0.0.255 host 192.168.1.100 eq 53
R1(config-ext-nacl)#permit ip any any 

R1(config)#int g0/0
R1(config-if)#ip access-group DENY_TO_SRV1_DNS in

PC1: ping srv2 -> İletişim Yok. Çünkü PC1, DNS Server'a Erişemiyor.
PC1: ping 192.168.1.100 -> İletişim Var.

3.

PC3 Web Browser: cisco.com (IP Adresini DNS Server'dan Alıyor)

R1
R1(config)#ip access-list extended 100
R1(config-ext-nacl)#deny tcp 172.16.2.0 0.0.0.255 host 192.168.2.100 eq 80
R1(config-ext-nacl)#deny tcp 172.16.2.0 0.0.0.255 host 192.168.2.100 eq 443
R1(config-ext-nacl)#permit ip any any

R1(config)#int s0/0/0
R1(config-if)#ip access-group 100 out

PC3, PC4 Web Browser: cisco.com

R1 - show access-lists

Okuduğunuz için teşekkürler.