Packet Tracer: Access Control List

Tematem tego wpisu są listy dostępu, za pomocą których to możemy dowolnie filtrować ruch sieciowy przechodzący przez poszczególne routery. Istotnym jest fakt, że listy dostępu o ile mogą być definiowane globalnie (dla całego routera) to są używane lokalnie na interfejsach. Co więcej listy osobno przypisuje się dla pakietów przychodzących ("inbound") i wychodzących ("outbound") danego interfejsu. Samo zaś określenie "lista" wzięło się z możliwości łączenia wielu wpisów odnoszących się do kontroli dostępu w pojedynczy obiekt - właśnie listę. Wpisy te można w dowolnym momencie dodawać do już używanych list, co sprawia np. blokowanie nowych adresów IP bardzo łatwą i szybką czynnością.
Jak więc widać listy kontroli dostępu są potężnym narzędziem umożliwiającym szczegółową kontrolę ruchu. By jednak łatwiej zrozumieć działanie list dostępu posłużymy się prostym przykładem sieci (PT wersja 5.3):

Mała przykładowa "sieć"

To co na powyższym obrazku od razu rzuca się w oczy to strzałki opisane jako "IN" oraz "OUT". Strzałki te pokazują kierunek ruchu pakietów, a opisy mówią o opcji konfiguracji odpowiedzialnej za moment filtrowania (inbound/outbound).
W powyższym przykładzie zastosowano tylko kilka list, których zadaniem było wytworzenie przykładowych środowisk:

• PC0 może komunikować się z routerem i jednocześnie nie może z PC1
• ACL na interfejsie Fa0/0
  

  interface FastEthernet0/0
   ip address 192.168.1.1 255.255.255.0
   ip access-group 100 in
   duplex auto
   speed auto
  !

  access-list 100 deny ip host 192.168.1.2 host 192.168.2.2
  access-list 100 permit ip any any 

• ACL na interfejsie Fa1/0
  

  interface FastEthernet1/0
   ip address 192.168.2.1 255.255.255.0
   ip access-group 1 out
   duplex auto
   speed auto
  !

  access-list 1 deny host 192.168.1.2
  access-list 1 permit any

• PC1 może komunikować się z dowolną maszynę w sieci 192.168.1.0/24, ale nie może z routerem (na żadnym interfejsie)
  

  interface FastEthernet1/0
   ip address 192.168.2.1 255.255.255.0
   ip access-group 120 in
   duplex auto
   speed auto
  !

  access-list 120 deny ip 192.168.2.0 0.0.0.255 host 192.168.2.1
  access-list 120 deny ip 192.168.2.0 0.0.0.255 host 192.168.1.1

  access-list 120 permit ip any any 

Przykłady te nie są z pewnością niczym wyszukanym i przedstawiają jedynie podstawowe możliwości ACL oferowanych przez Packet Tracer. Dla porównania złożoności komend poniżej zamieszczone zostało całe drzewko możliwości komendy access-list (możliwe do pobrania po kliknięciu).

Packet Tracer CLI Info: ACL

Warto również wspomnieć, iż listy domyślnie blokują każdy pakiet, który nie jest dozwolony (stąd polecenia "permit ip any any"), toteż lista zdefiniowana następująco:

access-list 3 deny 192.168.0.0 0.0.255.255

w praktyce nie tylko zablokuje wszelki ruch z podsieci 192.168.0.0/16, ale również jakikolwiek ruch przechodzący przez interfejs z włączoną listą w ustalonym kierunku. Tak więc lista ta jest generalnie równoważna wpisowi:

access-list 3 deny any

Jeśli jednak dodamy wpis:

access-list 3 permit any

to lista zacznie blokować jedynie ruch pochodzący ze wskazanej podsieci.

Co ciekawe zachowanie to nie zawsze jest emulowane poprawnie w starszych wersjach Packet Tracera o czym należy pamiętać przy konfigurowaniu sieci w oparciu o wyniki z tegoż programu.