Access Control Lists | Cisco CCNA 200-301
Summary
TLDRDieses Video erklärt Access Control Lists (ACLs), die in Netzwerken verwendet werden, um Datenverkehr basierend auf Quell- und Zieladressen sowie Portnummern zu identifizieren und zu steuern. Es gibt drei Typen von ACLs: Standard-ACLs (1-99 oder 1300-1999), die nur die Quelladresse verwenden; erweiterte ACLs (100-199 oder 2000-2699), die auch Zieladresse, Protokoll und Portnummer berücksichtigen; und benannte ACLs, die Namen anstatt Nummern verwenden. Die Reihenfolge der Regeln ist entscheidend, da der Datenverkehr nur bis zur ersten übereinstimmenden Regel geprüft wird. Jeder Zugriff, der nicht explizit erlaubt ist, wird implizit verweigert.
Takeaways
- 🔐 **Zugriffskontrolllisten (ACLs)** sind regelbasierte Listen, die von Switches und Routern verwendet werden, um Datenverkehr zu identifizieren.
- 🚦 **ACLs** können Datenverkehr basierend auf Quell- und Zieladressen sowie Portnummern identifizieren und steuern.
- ✅ **Zweck von ACLs** ist es, Datenverkehr zu erlauben oder zu verweigern, aber sie haben auch andere Verwendungszwecke wie Netzwerkadressübersetzung und Dienstqualität.
- 📝 **ACLs** bestehen aus einer oder mehreren Regeln, die festlegen, ob Datenverkehr zugelassen oder verweigert werden soll.
- 🔢 **ACL-Regeln** sind in einer bestimmten Reihenfolge angeordnet, die vom Router oder Switch bei der Überprüfung beachtet wird.
- 🚫 **Implied Deny**: Wenn keine passende Regel gefunden wird, wird der Datenverkehr standardmäßig verweigert.
- 📊 **Drei Typen von ACLs**: Standard-ACLs (1-99 oder 1300-1999), erweiterte ACLs (100-199 oder 2000-2699) und benannte ACLs.
- 📍 **Standard-ACLs** verwenden nur die Quelladresse zum Identifizieren von Datenverkehr.
- 🌐 **Erweiterte ACLs** ermöglichen eine detailliertere Kontrolle durch die Verwendung von Quell- und Zieladressen, Protokoll und Portnummer.
- 📝 **Benannte ACLs** erlauben es, Standard- oder erweiterte Listen benannterweise zu konfigurieren, was die Verwaltung erleichtert.
- 🛠️ **Konfiguration von ACLs** erfordert eine sorgfältige Planung der Regelreihenfolge, um Datenverkehr korrekt zu steuern.
Q & A
Was ist eine Zugriffskontrolle (Access Control)?
-Eine Zugriffskontrolle, auch bekannt als Access Control List (ACL), ist eine regelbasierte Liste, die von Switches und Routern verwendet wird, um Datenverkehr zu identifizieren. Sie kann Datenverkehr basierend auf Quelladresse, Zieladresse und Portnummern identifizieren.
Was sind die häufigsten Verwendungszwecke von Zugriffskontrollen?
-Die häufigsten Verwendungszwecke von Zugriffskontrollen sind das Verweigern oder Erlauben von Datenverkehr. Sie können auch für die Konfiguration von Netzwerkadressübersetzung und Dienstqualität verwendet werden.
Wie funktioniert die Reihenfolge der Regeln in einer Zugriffskontrolleliste?
-Die Reihenfolge der Regeln in einer Zugriffskontrolleliste ist wichtig, da ein Router oder Switch beim Empfang von Datenverkehr die Liste von oben nach unten durchläuft und bei der ersten passenden Regel anhält. Es gibt keine Regel, wird der Datenverkehr automatisch verweigert, was als implizite Verweigerung bezeichnet wird.
Was ist eine Standard-Zugriffskontrolleliste?
-Eine Standard-Zugriffskontrolleliste verwendet eine Nummer zwischen 1 und 99 oder 1300 bis 1999, um den Datenverkehr nur anhand der Quelladresse zu identifizieren.
Was ist eine erweiterte Zugriffskontrolleliste?
-Eine erweiterte Zugriffskontrolleliste verwendet eine Nummer zwischen 100 und 199 oder 2000 bis 2699 und ermöglicht die Identifizierung von Datenverkehr basierend auf Quell- und Zieladresse, Protokoll und Portnummer.
Was ist eine benannte Zugriffskontrolleliste?
-Eine benannte Zugriffskontrolleliste ermöglicht es, Standard- oder erweiterte Zugriffskontrollen Namen statt Nummern zuzuweisen, um sie leichter zu identifizieren und zu verwalten.
Wie wird eine Zugriffskontrolleliste konfiguriert?
-Zur Konfiguration einer Zugriffskontrolleliste wird eine Nummer oder ein Name angegeben, gefolgt von der Aktion (z.B. Erlaubnis oder Verweigerung), der Quell-IP-Adresse, optional einem Wildcard-Mask und bei erweiterten Listen auch der Ziel-IP-Adresse, Protokoll, Portnummer und Operator.
Was ist ein Wildcard-Mask?
-Ein Wildcard-Mask ist ein Werkzeug, das verwendet wird, um die Bits einer IP-Adresse zu identifizieren, die übereinstimmen müssen, und die Bits, die nicht übereinstimmen müssen. Es funktioniert wie eine umgekehrte Subnetzmaske.
Wie wichtig ist die Reihenfolge der Regeln in einer Zugriffskontrolleliste?
-Die Reihenfolge der Regeln ist sehr wichtig, da der Router oder Switch bei der Überprüfung des Datenverkehrs immer von der ersten Regel bis zur letzten Regel durchläuft und bei der ersten passenden Regel anhält.
Was passiert, wenn keine passende Regel in der Zugriffskontrolleliste gefunden wird?
-Wenn keine passende Regel gefunden wird, wird der Datenverkehr standardmäßig verweigert, da es eine unsichtbare 'alles verweigern'-Regel am Ende jeder Zugriffskontrolleliste gibt.
Outlines
🔐 Grundlagen der Zugriffskontrolle
Dieser Abschnitt führt in das Thema der Zugriffskontrolle ein, insbesondere in Bezug auf Zugriffskontrolllisten (ACLs). ACLs sind regelbasierte Listen, die von Switches und Routern verwendet werden, um Datenverkehr zu identifizieren. Sie können Datenverkehr basierend auf Quell- und Zieladressen sowie Portnummern identifizieren. Der häufigste Einsatz von ACLs ist das Ablehnen oder Erlauben von Datenverkehr. Es wird auch ein einfaches Beispiel gezeigt, in dem eine ACL auf einem Router konfiguriert ist, um bestimmten Datenverkehr zuzulassen oder zu verweigern. Die Reihenfolge der Regeln in einer ACL ist wichtig, da sie vom Anfang bis zum Ende der Liste geprüft wird, und die erste passende Regel, die gefunden wird, angewendet wird. Es wird auch darauf hingewiesen, dass, wenn keine passende Regel gefunden wird, der Datenverkehr standardmäßig abgelehnt wird, was als implizite Ablehnung bezeichnet wird.
📋 Konfiguration und Verwendung von Zugriffskontrollen
In diesem Abschnitt werden die verschiedenen Typen von Zugriffskontrollen und ihre Konfiguration näher erläutert. Es gibt drei Typen von Zugriffskontrollen: Standard-, erweiterte und benannte Zugriffskontrollen. Standard-Zugriffskontrollen verwenden eine Nummer zwischen 1 und 99 oder 1300 bis 1999 und identifizieren Datenverkehr nur anhand der Quelladresse. Erweiterte Zugriffskontrollen verwenden Nummern zwischen 100 und 199 oder 2000 bis 2699 und ermöglichen eine detailliertere Kontrolle über Datenverkehr, indem sie nicht nur die Quell-, sondern auch die Zieladresse, das Protokoll und die Portnummer berücksichtigen. Benannte Zugriffskontrollen ermöglichen es, Standard- oder erweiterte Listen benannter anstatt nummeriert zu haben, was die Verwaltung erleichtert. Es wird auch erklärt, wie man eine Zugriffskontrolle konfiguriert, einschließlich der Verwendung von Wildcard-Masken und Operatoren, um Datenverkehr basierend auf verschiedenen Kriterien zu identifizieren und zu steuern.
🔍 Analyse und Interpretation von Zugriffskontrollen
Der letzte Abschnitt des Skripts widmet sich der Analyse und Interpretation von Zugriffskontrollen. Es werden Beispiele für erweiterte und Standard-Zugriffskontrollen gegeben, um zu zeigen, wie sie funktionieren und wie sie interpretiert werden sollten. Es wird erklärt, wie man die Regeln in einer Zugriffskontrolle liest, welche Datenverkehrsarten zugelassen oder abgelehnt werden, und wie die Reihenfolge der Regeln die Auswirkungen auf den Datenverkehr beeinflusst. Es wird auch ein Beispiel für eine benannte Zugriffskontrolle gegeben, die zeigt, wie benannte Zugriffskontrollen verwendet werden können, um die Verwaltung und Interpretation von Zugriffsregeln zu erleichtern.
Mindmap
Keywords
💡Access Control List (ACL)
💡Standard Access List
💡Extended Access List
💡Named Access List
💡Wildcard Mask
💡Implicit Deny
💡Port Numbers
💡Protocol
💡Order of Rules
💡Network Address Translation (NAT)
Highlights
Access control lists (ACLs) are rule-based lists used by switches and routers to identify traffic.
ACLs can identify traffic based on source address, destination address, and port numbers.
The primary use of an access list is to deny or permit traffic.
ACLs can also configure network address translation and quality of service.
An ACL is configured with rules that specify if traffic should be permitted or denied.
The order of rules in an ACL is crucial as the router stops at the first matching rule.
There is an implicit 'deny all' rule at the bottom of every access list.
Standard access lists use a number between 1 and 99 or 1300 to 1999 and filter based on the source address.
Extended access lists use a number between 100 and 199 or 2000 to 2699 and can filter based on source, destination, protocol, and port.
Named access lists allow for easier identification and management by using names instead of numbers.
Wildcard masks in standard ACLs work inversely to subnet masks to determine which IP address bits must match.
Extended ACLs include additional fields for protocol, source and destination IP addresses, and port numbers.
Operators in extended ACLs are used to match port numbers with options like 'gt', 'lt', 'neq', 'eq', and 'range'.
The 'any' keyword in ACLs can be used to specify any IP address.
Understanding the order of rules in ACLs is essential to avoid unintended traffic blocking or permitting.
The video is part of a full CCNA course, which can be found in the description for further learning.
Transcripts
hey what's up guys welcome to cert bros
in this video we're going to be talking
about access control
[Music]
lists
so what is an access control list
access control lists also known as acls
or simply access lists are rule-based
lists that are used
by switches and routers to identify
traffic
they can identify traffic based on the
source address destination address
and port numbers the most common use for
an access list is to deny or permit
traffic but there are other uses for
access lists such as configuring network
address translation
and quality of service let's take a look
at a quick example
this router has an acl configured the
acl
is configured with rules that tell it
which traffic is allowed to pass
and which traffic is not for example
we may want to allow all traffic
destined for this server
but at the same time we may want to
block all other traffic to any other
host
this is all possible with a very simple
access list
okay so now we have an idea about what
an access list does
let's see what one looks like
here is a simple access list it consists
of one or more lines
called rules which specify if traffic
should be permitted
or denied don't worry we'll look at what
each bit means
in just a moment the first thing you'll
probably notice is the number on the
left
this represents the order of each rule
the reason it goes up in tens
is to give you the flexibility to come
back at a later date
and add rules in between the existing
ones
why does that matter well the order of
the list is very
important when a router or switch
receives some traffic
it checks the access control list it
starts at the top of the list and it
works its way
down it keeps going until it finds a
matching rule
as soon as a matching rule is found it
stops looking and applies that rule
this means you have to be very careful
to put the rules
in the right place otherwise you could
deny traffic that you're trying to
permit
or permit traffic that you're trying to
deny we'll see this more as we go
another very important note here is that
if no matching rule is found
the traffic will automatically be denied
there is an invisible deny everything
rule at the bottom of every access list
this is known as the implicit deny
okay so now we know what an access list
does and what it looks like
now let's take a closer look
there are three types of access list the
first
is a standard access list now
when you configure an access list you
use a number to identify the type of
access list you want to configure
a standard access list uses any number
between 1
and 99 then cisco decided to expand this
to also include 1300 to 1999
this expansion meant we can configure a
lot more access lists
per device standard access lists
only use the source address to identify
traffic so this can be quite limiting
the second type of access list is called
an extended
access list extended access lists uses
any number between 100 and 199
and expanded numbers between 2000 to
2699
extended access lists allow us to
identify traffic not only on the source
address
but the destination address protocol and
port number as well
so we can have a lot more granular
control with extended access lists
the last type i want to mention is
called a named access list
a named access list allows standard or
extended lists to be given
names rather than numbers if you have
multiple access lists on a device
named lists make it easier to identify
what each list does
making them easier to manage we're going
to look at all three of these in a bit
more detail
first let's look at standard access
lists
this is a command to configure a single
standard access list entry
it can look a bit intimidating at first
so we're going to break it down
the first part specifies the access list
number remember
any number between 1 and 99 or 1
300 to 1 999 means this will be a
standard
access list the next part is the action
do we want to permit this traffic or do
we want to deny it
we then have our source ip address and
finally
something called a wildcard mask now the
wildcard mask will need some further
explaining
a wildcard mask works with an ip address
it's like an inverted subnet mask the
job of a wildcard mask is to identify
the bits of an ip address that needs to
match
and the bits that don't to do this you
need to compare the wildcard mask
with the ip address wherever you see a
zero
this means that corresponding bit must
match
wherever you see a 1 this means the bit
does not need to match
so in our example here we have the
address 192.168.10.0
and the wildcard mask of 0.00
this means it will match any traffic
with the source address between
192.168.10.0
to 192.168.10.255.
because the wildcard mask states that
the last eight bits don't need to match
so to summarize this rule it will permit
any traffic coming from the source
address
192.168.10.something
okay so that was nice and simple let's
now look at an extended access list
this is a command to configure a single
extended access list entry
as you can see there is a bit more to it
than the standard access list
don't worry though we're going to break
it down the first part specifies the
access list number
because we're now configuring an
extended access list we will use
something between
100 and 199 or 2000 to 2699
the next part is the action so this time
we will be denying this traffic
next we have a new section this matches
the traffic protocol
in this example we have tcp but this
could be
udp eigrp ospf etc
then we have the source ip address
followed by the source wildcard mask
then we have the destination ip address
and the destination wildcard mask
after that we have something called an
operator
an operator is used to match port
numbers
we have a few different operator options
gt
means greater than lt
means less than neq
means not equal to
and eq means equal to
range means included in the range you
specify
in this example we're going to use eq
which means
equals two and then we'll specify the
port number
we can do this using the port number
itself or we can use a keyword
for common ports here i typed ftp
meaning port 21. an important note here
when configuring an extended access list
the source ip
and port number always comes first
okay so to summarize this rule deny all
tcp traffic coming from
[Music]
192.168.10.something with a destination
ip address
of 192.168.20.50
and a destination port number of 21. the
last one we need to look at is a named
access list now luckily named access
lists are pretty similar
they're just configured slightly
differently
the first thing you need to do is type
ip access list
then you specify if you want to
configure a standard or an extended
access list then you just need to choose
a name
here i've chosen serpros for the name
then you enter the access list
configuration mode where you can add the
rules in the same way as before
so this access list will deny any tcp
traffic with a source ip address of
192.168.10.something
with a destination ip address of
192.168.20.50
and a destination port number of 21
which is
ftp after that it will permit any ip
traffic
with a source ip address of 192.168
and a destination ip address of
192.168.20.50.
can you see the importance of having the
correct order
if these two entries were the other way
around then ftp traffic would be
permitted
because the bottom rule would never be
checked
so that is how you configure the three
types of access list
but you also need to be able to read the
lists
let's take a look at a few examples and
try and figure out what they do
here's our first list we know it's an
extended list
because well because it says extended at
the top
but not only that it also has a number
of 101
which hopefully by now we know is an
extended access list number
below this we have our list rules the
first one states
deny all tcp traffic destined for
192.168.10.something
with a destination host address of
192.168.20.50
and the destination port number of 21.
now access lists that have a 32-bit
wildcard mask
or 0.0.0.0 meaning one ip
exactly will show a host address
you can even use the keyword host when
configuring it
the next rule is the same but this time
we are blocking telnet traffic
and the bottom one permits any ip
traffic from 192.168.10.something
with a destination host address of
192.168.20.50
nice and easy right well the next one is
even easier
this is a standard list of course it
says standard at the top
but it's also using a standard number
remember standard access lists only
filter based on the source ip address
so this list is permitting traffic from
host 192.168.10.10
15 and dot 20.
remember all access lists have an
implicit deny
at the bottom so everything else will be
denied
okay let's look at the last example
this is an extended access list but this
time it doesn't have a number
instead it has a name
the first rule permits tcp traffic
and there is a keyword here that we
haven't seen yet
we can use the any keyword to specify
any ip address so in this case any
source ip
and then we have the destination host
address of 192.168.20.50
and which port do you think www means
http port 80.
the second rule is the same but it's
permitting ftp traffic on port
21 hopefully this has given you a good
understanding of access lists
what they're used for and the different
types this video is part of the full
ccna course which can be found
in the description so please feel free
to go and check that out
if you like this video don't forget to
give it a thumbs up leave a comment
and subscribe the support from you guys
really helps this channel grow
other than that thank you for watching
you
5.0 / 5 (0 votes)