Modul Kawalan Akses standard (ACL) - dummies

Pentadbir rangkaian mengubah suai Senarai Kawalan Akses standard (ACL) dengan menambah baris. Setiap entri baru yang anda tambahkan ke Senarai Kawalan Akses (ACL) muncul di bahagian bawah senarai.

Tidak seperti jadual penghalaan, yang mencari padanan terdekat dalam senarai ketika memproses entri ACL yang akan digunakan sebagai entri pertama yang hampir sama. Jika, misalnya, anda ingin mempunyai satu tuan rumah pada 192. 168. 8. 0/24 disekat pada ACL anda, maka akan ada perbezaan. Anda perlu menafikan untuk 192. 168. 8. 200 ke ACL anda:

Switch1> aktifkan Kata Laluan: Switch1 # configure terminal Masukkan perintah konfigurasi, satu per baris. Tamat dengan CNTL / Z. Switch1 (config) # access-list 50 denied 192. 168. 8. 200 0. 0. 0. 0 Switch1 (config) #end Switch1 # show access-list 50 Senarai akses IP Standard 50 menafikan 192. 168. 8. 200 permit 192. 168. 8. 0, bit wildcard 0. 0. 0. 255 permit 192. 168. 9. 0, bit wildcard 0. 0. 0. 255

Pemberitahuan notis telah ditambah ke bahagian atas senarai, sedangkan permit tambahan ditambah ke bahagian bawah senarai. Di samping itu, entri ini tidak termasuk bit wildcard. Tingkah laku pesanan adalah dengan reka bentuk, dengan kemasukan untuk satu tuan rumah menjadi lebih penting dan oleh itu ditapis ke bahagian atas senarai.

Pengurangan ACE untuk hos tunggal juga dijangka. Anda boleh menambah tuan rumah tunggal dengan cara ini, bukannya menulis semua nol dalam topeng wildcard.

Switch1 (config) # access-list 50 deny host 192. 168. 8. 200

Anda boleh membuat ACL baru yang akan menyangkal dua blok alamat Kelas C yang sama, tetapi membenarkan empat alamat pertama dalam 192. 168. 8. Julukan 0/24 (192. 168. 8. 0-192. 168. 8. 3). Inilah hasilnya jika anda membina ACL dalam perintah ini.

Switch1 # configure terminal Masukkan perintah konfigurasi, satu per baris. Tamat dengan CNTL / Z. Switch1 (config) # access-list 60 denied 192. 168. 8. 0 0. 0. 0. 255 Switch1 (config) # access-list 60 denied 192. 168. 9. 0 0. 0. 0. 255 Switch1 (config) # access-list 60 permit 192. 168. 8. 0 0. 0. 0. 3 Switch1 (config) #end Switch1 # menunjukkan akses-senarai 60 Senarai akses IP Standard 60 menafikan 192. 168. 8. 0, wildcard bit 0. 0. 255 menafikan 192. 168. 9. 0, bit wildcard 0. 0. 0. 255 permit 192. 168. 8. 0, bit wildcard 0. 0. 0 <3

Kerana entri ditambahkan ke ACL mengikut urutan yang anda taipkannya, permit berakhir di bahagian bawah senarai. Jika anda menguji ACL ini, alamat seperti 192. 168. 8. 2 akan diambil oleh ACE pertama dan tidak akan menerima permit daripada ACE ketiga. Bagaimana anda membaiki ini? Nah, anda mempunyai beberapa pilihan:

• Anda boleh mengeluarkan ACL dari mana ia sedang digunakan, padam ACL, buat yang baru dalam susunan yang betul, dan tambahkan kembali ke tempat ia digunakan.Proses panjang ini sebenarnya meninggalkan sistem terbuka dari masa yang anda keluarkan ACL dari tempat ia digunakan, sehingga ia ditambah kembali. Ini merupakan kaedah piawai untuk menguruskan ACL.

  Apabila bekerja dengan ACL dengan cara ini, anda akan menyalin semua langkah yang diperlukan ke dalam notepad. exe. Ini termasuk langkah-langkah untuk mengalih keluar ACL lama dan menambah ACL baru. Selepas keseluruhan proses dipentaskan di notepad. exe, gunakan perintah salinan untuk menyalin dan paste ke aplikasi pengurusan CLI anda, seperti dempul. exe.

• Jika peranti anda menyokongnya, anda boleh mengedit ACL dengan menggunakan arahan IP dalam kod berikut. Ini membolehkan anda meletakkan nombor baris ke dalam ACL anda, pilihan yang anda tidak ada semasa mengedit ACL dari mod Konfigurasi Global. Ini menggunakan mod Tatarajah ACL. Apabila meletakkan nombor baris anda, anda ingin meninggalkan jurang antara penyertaan dalam ACL. # 99 access-list standard 60 Router1 (config-ext-nacl) # 10 tolak 192. 168. 8. 0 0. 0. 0. 255 Router1 (config-ext-nacl) # 20 to reject 192. 168. 9. 0 0. 0. 0. 255 Router1 (config-ext-nacl) # 30 permit 192. 168. 8. 0 0. 0. 0. 3

Dengan pra-perancangan ini selesai, anda kemudian masukkan entri ACL baru di bahagian atas ACL dengan memilih nombor yang kurang daripada 10, sama seperti yang berikut:

Router1>

enable Password: Router1 # configure terminal Router1 (config) # ip access-list standard 60 Router1 (config-ext-nacl) # 5 permit 192. 168. 8. 0 0. 0. 0. 3 Router1 (config-ext-nacl) # end Router1 # tunjukkan senarai akses 60 Senarai akses IP Standard 60 5 permit 192. 168. 9. 0, bit wildcard 0. 0. 0. 3 10 menafikan 192. 168. 9. 0, bit wildcard 0. 0. 0 255 20 menafikan 192. 168. 9. 0, bit wildcard 0. 0. 0. 255 30 permit 192. 168. 8. 0, bit wildcard 0. 0. 0. 3 Ini membolehkan anda mengedit ACL dengan cepat (iaitu, tanpa mengeluarkannya dari antara muka di mana ia digunakan) tanpa mengeluarkan ACL dan recrea nampaknya, menjimatkan banyak masa dan tenaga, selagi ada jurang dalam penomboran di mana anda boleh menambah kemasukan baru anda. Bergantung kepada versi IOS dan peranti, anda mungkin mempunyai pilihan lain. Jika anda melihat Peralatan Keselamatan Adaptif (ASA), anda tidak perlu membuat pra-muka. Jadi, semak semula kod berikut, di mana ASA secara automatik nomborkan baris untuk anda:

ASAFirewall1>

membolehkan Kata Laluan: ASAFirewall1 # mengkonfigurasi terminal ASAFirewall1 (config) # akses-senarai 60 menafikan 192. 168. 8. 0 255. 255. 255. 0 ASAFirewall1 (config) # access-list 60 denied 192. 168. 9. 0 255. 255. 255. 0 ASAFirewall1 (config) # exit ASAFirewall1 # show access-list 60 akses senarai 60; 2 elemen akses senarai 60 baris 1 menafikan standard 192. 168. 8. 0 255. 255. 255. 0 (hitcnt = 0) 0x318d5521 akses senarai 60 baris 2 menafikan standard 192. 168. 9. 0 255. 255. 255 # 0 (hitcnt = 0) 0xba5e90e1 ASAFirewall1 # configure terminal ASAFirewall1 (config) # access-list 60 line 1 permit 192. 168. 9. 0 255. 255. 255. 248 ASAFirewall1 (config) # exit ASAFirewall1 # menunjukkan akses senarai 60 akses senarai 60; 3 elemen akses senarai 60 baris 1 permit standard 192. 168. 9. 0 255.255. 255. 248 (hitcnt = 0) 0x451bbe48 akses senarai 60 baris 2 menafikan standard 192. 168. 8. 0 255. 255. 255. 0 (hitcnt = 0) 0x318d5521 akses senarai 60 baris 3 menolak standard 192. 168 9. 0 255. 255. 255. 0 (hitcnt = 0) 0xba5e90e1 Dengan menggunakan ASA, anda masih boleh menambah baris secara lalai atau entri ACL nombor secara manual. Jika anda mahu menggunakan baris yang sama sekali lagi, ASA akan mengubah semula keseluruhan senarai anda jika perlu. Inilah yang terbaik dari kedua-dua dunia.