Vandaag ben ik met “access-lists” bezig, vlan routering en het opzetten van de nieuwe vlans in kwestie. Op Cisco switches gaat dit net een stukje anders. De diepere details laat ik even weg maar kort door de bocht zijn hier de feiten:

Standard en Extended ACLs. Ze zijn er beiden. De verschillen:

Een Standard ACL beperkt zich tot alleen “Source-IP” ranges. Je kan een source-IP range opgeven om verkeer wel/niet toe te staan.

Een Extended ACL gaat verder. Veel verder, je kan een source en destination-IP range opgeven en op laag 4 acteren doormiddel van tcp/udp poorten mee te geven.

Extra info: de optie “IP” kan dus ook worden vervangen door b.v. ICMP
Extra info: de optie “deny ip any any” word bij HP standaard ingevoerd. Deze is dus niet noodzakelijk.
Extra info: de optie “in” aan het eind van een access-list betekend hoe deze toegepast dient te worden. Dit is vanuit de switch gezien. In onderstaand voorbeeld houd het in dat verkeer inkomend (vanaf de switch gezien) op vlan 100, deze rule toegepast word.

Hieronder kort de feiten ten behoeve van het configureren:

#Aanmaken van een access list
conf t
ip access-list extended thinclient
permit udp any any eq bootps
permit udp any any eq bootpc
permit tcp 192.168.100.0/24 192.168.144.0/22 eq 3389
permit tcp 192.168.100.0/24 192.168.144.0/22 eq 80
permit udp 192.168.100.0/24 192.168.144.0/22 eq 53
permit tcp 192.168.100.0/24 192.168.144.0/22 eq 53
deny ip any any

#instellen access list voor inkomend verkeer uit het VLAN
conf t
vl 100 ip access-group thinclient in

#weggooien access list
conf t
no ip access-list extended thinclient

#weergeven access lists en waar deze toegepast zijn
show access-list

#weergeven inhoud van access-list
show access-list thinclient

#weergeven van de access-list config, t.b.v. kopieren en plakken:
show access-list config