Erstellen von Standard-Access Control Lists (ACLs)
Access Control Lists werden verwendet, die Netzwerksicherheit zu verwalten und können in einer Vielzahl von Möglichkeiten geschaffen werden. Standard-ACLs
, die haben weniger Möglichkeiten zur Klassifizierung von Daten und den Verkehrsfluss als erweiterte ACLs steuern.Standard-ACLs sind leichter und einfacher als erweiterte ACLs zu verwenden. Doch in ihrer Einfachheit, verlieren Sie einige Funktionen, wie zum Beispiel des Zugangs basierend auf Transmission Control Protocol (TCP) oder User Datagram Protocol (UDP) Ports. Standard-ACLs sind nummeriert von 1 bis 99 und 1300 bis 1999 (erweiterte Reichweite). Sie nur den Zugriff erlauben oder zu verweigern, basierend auf den Quell-IP-Adressen.
Wildcard-Masken
Wenn Sie eine Standard-ACL oder eine erweiterte ACL zu erstellen, verwenden Sie eine Wildcard-Maske, die Geräte oder Adressen zu identifizieren, die von der ACL betroffen sein werden.
In einer Subnetzmaske weist das Bitmuster aus Nullen mit denen auf der linken Seite die Anzahl und die Nullen auf der rechten Seite getrennt sind diejenigen. Dieses Szenario ist mehr mit dem Netzwerk, das Gerät eingeschaltet ist und weniger mit den tatsächlichen Hosts im Netzwerk.
Daher liegt der Schwerpunkt auf der Anzahl wo diejenigen sind, nicht dort, wo die Nullen befinden. Das gleiche gilt für die Wildcard-Maske, in der Sie mit dem Zugriff von Hosts zu einer Ressource handelt. Da Sie nun mit den Gastgebern betroffen sind, ist der Fokus Reversed daher werden die Bits umgekehrt. In der Wildcard-Maske, sind Sie weniger mit den Netzen und mehr mit den Hosts im Netzwerk.
Daher hat die Wildcard-Maske noch Nullen und Einsen getrennt, aber jetzt diejenigen sind, auf der rechten Seite und die Nullen sind auf der linken Seite.
Mit dieser sagte, für ein Klasse-C-Netz-Block, wie 192.168.5.0/24, wo Sie an der Subnetzmaske 255.255.255.0 suchen, für eine Wildcard-Maske würde man bei 0.0.0.255 suchen (was immer noch auf das Wesentliche konzentrieren würde die Netzwerkadresse und die in diesem Netzwerk Block gefunden Hosts).
Die folgende Tabelle zeigt eine Aufschlüsselung der vergleichbaren Subnetzmasken und Wildcard-Masken. Obwohl Sie CIDR-Notation zu vereinfachen Subnetmasken Schreiben (mit 255.0.0.0 / 8 zu werden), ist diese Schreibweise gelten nicht für Wildcard-Masken.
| CIDR Notation | Subnet Mask | Wildcard-Maske |
|---|---|---|
| / 8 | 255.0.0.0 | 0.255.255.255 |
| / 9 | 255.128.0.0 | 0.127.255.255 |
| / 10 | 255.192.0.0 | 0.63.255.255 |
| / 11 | 255.224.0.0 | 0.31.255.255 |
| / 12 | 255.240.0.0 | 0.15.255.255 |
| / 13 | 255.248.0.0 | 0.7.255.255 |
| / 14 | 255.252.0.0 | 0.3.255.255 |
| /15 | 255.254.0.0 | 0.1.255.255 |
| / 16 | 255.255.0.0 | 0.0.255.255 |
| / 17 | 255.255.128.0 | 0.0.127.255 |
| / 18 | 255.255.192.0 | 0.0.63.255 |
| / 19 | 255.255.224.0 | 0.0.31.255 |
| / 20 | 255.255.240.0 | 0.0.15.255 |
| / 21 | 255.255.248.0 | 0.0.7.255 |
| / 22 | 255.255.252.0 | 0.0.3.255 |
| / 23 | 255.255.254.0 | 0.0.1.255 |
| / 24 | 255.255.255.0 | 0.0.0.255 |
| / 25 | 255.255.255.128 | 0.0.0.127 |
| / 26 | 255.255.255.192 | 0.0.0.63 |
| / 27 | 255.255.255.224 | 0.0.0.31 |
| / 28 | 255.255.255.240 | 0.0.0.15 |
| / 29 | 255.255.255.248 | 0.0.0.7 |
| / 30 | 255.255.255.252 | 0.0.0.3 |
| / 31 | 255.255.255.254 | 0.0.0.1 |
| / 32 | 255.255.255.255 | 0.0.0.0 |
Zugriffssteuerungseinträge
Die Zugriffskontrollliste besteht aus einer Reihe von Einträgen gemacht. Jede ACL ist nummeriert, und alle Einträge in der gleichen Liste sind gleich nummeriert. Standardmäßig Wenn Sie Einträge in der Liste hinzufügen, werden die neuen Einträge am unteren Ende. Die einzige Ausnahme ist die implizite Eintrag am Ende jeder Liste, die ein alles leugnen. Jeder Access Control Entry (ACE) hat die folgende Struktur in Ihrer Konfiguration:
access-list
Wenn Sie einen einzelnen Eintrag ACL ermöglicht alle Hosts auf dem Netz der Klasse C von 192.168.8.0 zu erstellen, dann die komplette ACL wäre:
10 Zugangliste 10 Genehmigung 192.168.8.0 0.0.0.255access-Liste verweigern jede
In der vorherigen ACL würde jedoch die letzte Zeile erscheinen nicht tatsächlich in der ACL. Wenn Sie verwendet die Show Befehl diese ACL zu sehen Sie tatsächlich sehen würde:
Switch1> enablePassword: Switch1 # configure terminalEnter Konfigurationsbefehle, eine pro Zeile. Ende mit CNTL / Z.Switch1 (config) # access-list 50 Genehmigung 192.168.8.0 0.0.0.255Switch1 (config) # Endschalter1 # show access-list 50Standard IP-Zugriffsliste 50permit 192.168.8.0, Wildcard-Bits 0.0.0.255
Was passiert also, wenn Sie einen anderen Eintrag in die Liste hinzufügen? Sie würden den gleichen Befehl verwenden. Der folgende Code zeigt, wie der 192.168.9.0/24 Block ACL mit einer Genehmigung hinzuzufügen:
switch1>aktivierenPasswort: Switch1 # configure terminalEnter Konfigurationsbefehle, eine pro Zeile. Ende mit CNTL / Z.Switch1 (config) # access-list 50 Genehmigung 192.168.9.0 0.0.0.255Switch1 (config) #EndeSwitch1 # show access-list 50Standard IP-Zugriffsliste 50permit 192.168.8.0, Wildcard-Bits 0.0.0.255permit 192.168.9.0, Bits Wildcard 0.0.