Standard-Access Control List (ACL) Modifikation
Netzwerkadministratoren ändern, um eine Standard-Access Control List (ACL) von Zeilen hinzufügen. Jeder neue Eintrag, den Sie der Access Control List (ACL) hinzufügen, erscheint am unteren Ende der Liste.
Im Gegensatz zu der Routing-Tabelle, die für die nächste Übereinstimmung in der Liste aussieht, wenn ein ACL-Eintrag verarbeitet werden, die als erste passende Eintrag verwendet wird. Wenn, zum Beispiel, wollen Sie sich auf die auf Ihrem ACL blockiert 192.168.8.0/24 einem Host zu haben, dann wäre es ein Unterschied sein. Sie müssen hinzufügen verweigern für 192.168.8.200 auf Ihre ACL:
Switch1> enablePassword: Switch1 # configure terminalEnter Konfigurationsbefehle, eine pro Zeile. Ende mit CNTL / Z.Switch1 (config) # access-list 50 192.168.8.200 0.0.0.0Switch1 (config) # Endschalter1 # zeigen access-list 50Standard IP-Zugriffsliste 50deny 192.168.8.200permit 192.168.8.0 verweigern, Wildcard-Bits 0.0. 0.255permit 192.168.9.0, Wildcard-Bits 0.0.0.255
Beachten verweigern an die Spitze der Liste hinzugefügt, während die zusätzliche Erlaubnis zum Ende der Liste hinzugefügt wurde. Darüber hinaus wird dieser Eintrag nicht die Wildcard-Bits enthalten. Das Bestellverhalten ist durch Design, mit einem Eintrag für einen einzelnen Host wichtiger zu sein und damit an die Spitze der Liste gefiltert.
Die Reduktion der ACE für die einzelnen Host wird auch erwartet. Sie könnten der einzelnen Host auf diese Weise hinzufügen, anstatt alle in der Wildcard-Maske die Nullen auszuschreiben.
Switch1 (config) # access-list 50 Host 192.168.8.200 verweigern
Sie können eine neue ACL zu machen, die die gleichen zwei Klasse-C-Adressblöcke leugnen, aber die ersten vier Adressen im 192.168.8.0/24 Bereich (192.168.8.0-192.168.8.3) ermöglichen. Hier ist das Ergebnis, wenn Sie die ACL in dieser Reihenfolge zu bauen.
Switch1 # configure terminalEnter Konfigurationsbefehle, eine pro Zeile. Ende mit CNTL / Z.Switch1 (config) # access-list 60 leugnen 192.168.8.0 0.0.0.255Switch1 (config) # access-list 60 leugnen 192.168.9.0 0.0.0.255Switch1 (config) # access-list 60 Genehmigung 192.168. 8.0 0.0.0.3Switch1 (config) # Endschalter1 # access-list 60Standard IP-Zugriffsliste 60deny 192.168.8.0, Wildcard-Bits 0.0.0.255deny 192.168.9.0 zeigen, Wildcard-Bits 0.0.0.255permit 192.168.8.0, Wildcard-Bits 0.0.0.3
Da die Einträge in der ACL in der Reihenfolge hinzugefügt werden, dass Sie geben ihnen endet die Genehmigung am unteren Ende der Liste nach oben. Wenn Sie diese ACL zu testen, würde eine Adresse wie 192.168.8.2 von der ersten ACE abgeholt werden und würde nicht die Genehmigung der dritten ACE erhalten. Wie behebe Sie das? Nun, Sie haben ein paar Möglichkeiten:
Sie können die ACL aus entfernen, wo es verwendet wird, um die ACL zu löschen, eine neue in der richtigen Reihenfolge zu erstellen, und fügen Sie es zurück, wo es gebraucht wird. Dieser langwierige Prozess verlässt das System tatsächlich offen von der Zeit, die Sie die ACL zu entfernen, von wo es verwendet wird, bis sie wieder hinzugefügt. Dies hat die Standard-Methode zur Verwaltung von ACLs gewesen.
Wenn mit ACLs auf diese Weise arbeiten, würden Sie alle Schritte kopieren erforderlich in notepad.exe. Dazu gehören auch die Schritte, um die alte ACL zu entfernen und die neue ACL hinzuzufügen. Nachdem der gesamte Prozess wird inszeniert in notepad.exe, verwenden Sie die Kopieren Befehl zum Kopieren und Einfügen in die CLI-Management-Anwendung, wie zum Beispiel putty.exe.
Wenn Ihr Gerät diese Funktion unterstützt, können Sie die ACL unter Verwendung des IP-Befehl im folgenden Code zu bearbeiten. Auf diese Weise können Sie die Zeilennummern in die ACL zu setzen, eine Option, die Sie nicht haben, wenn die ACL von globalen Konfigurationsmodus bearbeiten. Dies macht den Einsatz von ACL Konfigurationsmodus. Wenn Ihre Zeilennummern setzen, wollen Sie eine Lücke zwischen den Einträgen in der ACL zu verlassen.
Router1 (config) #ip access-list Standard 60Router1 (config-ext-nacl) # 10 leugnen 192.168.8.0 0.0.0.255Router1 (config-ext-nacl) # 20 leugnen 192.168.9.0 0.0.0.255Router1 (config-EXT- nacl) # 30 Genehmigung 192.168.8.0 0.0.0.3
Mit dieser Vorplanung fertig sind, können Sie dann eine neue ACL-Eintrag an der Spitze der ACL hinzufügen, indem Sie eine Nummer wählen, die weniger als 10 ist, ähnlich wie die folgende ist:
Router1>aktivierenPasswort: Router1 # konfigurieren terminalRouter1 (config) # ip access-list Standard 60Router1 (config-ext-nacl) # 5 Genehmigung 192.168.8.0 0.0.0.3Router1 (config-ext-nacl) #EndeRouter1 # show access-list 60Standard IP-Zugriffsliste 605 Erlaubnis 192.168.9.0, Wildcard-Bits 0.0.0.310 192.168.9.0 verweigern, Wildcard-Bits 0.0.0.25520 192.168.9.0 verweigern, Wildcard-Bits 0.0.0.25530 erlauben 192.168.8.0, Bits Wildcard 0.0. 0.3This können Sie die ACL-on the fly zu bearbeiten (das heißt, ohne es von den Schnittstellen zu entfernen, wo es verwendet wird), ohne die ACL zu entfernen und neu zu erstellen, können Sie eine Menge Zeit und Mühe spart, solange gibt es eine Lücke in der Nummerierung, wo Sie Ihren neuen Eintrag hinzufügen können.
In Abhängigkeit von der IOS-Version und Gerät, können Sie andere Optionen haben. Wenn Sie an der Adaptive Security Appliance (ASA) suchen, müssen Sie nicht vorplanen. So überprüfen Sie den folgenden Code, in dem die ASA automatisch Nummern die Zeilen für Sie:
ASAFirewall1>aktivierenPasswort: ASAFirewall1 # konfigurieren terminalASAFirewall1 (config) # access-list 60 leugnen 192.168.8.0 255.255.255.0ASAFirewall1 (config) # access-list 60 leugnen 192.168.9.0 255.255.255.0ASAFirewall1 (config) # AusgangASAFirewall1 # show access-list 60access-Liste 60- 2 elementsaccess-Liste 60 Zeile 1 Standard 192.168.8.0 255.255.255.0 verweigern (hitcnt = 0) 0x318d5521access-Liste 60 Zeile 2 Standard 192.168.9.0 255.255.255.0 verweigern (hitcnt = 0) 0xba5e90e1ASAFirewall1 # konfigurieren terminalASAFirewall1 (config) # access-list 60 Zeile 1 Genehmigung 192.168.9.0 255.255.255.248ASAFirewall1 (config) # AusgangASAFirewall1 # show access-list 60access-Liste 60- 3 elementsaccess-Liste 60 Zeile 1 Standardgenehmigung 192.168.9.0 255.255.255.248 (hitcnt = 0) 0x451bbe48access-Liste 60 Zeile 2 Standard 192.168.8.0 255.255.255.0 verweigern (hitcnt = 0) 0x318d5521access-Liste 60 Zeile 3 Standard 192.168.9.0 255.255.255.0 verweigern (hitcnt = 0) 0xba5e90e1
Durch die ASA verwenden, können Sie immer noch Linien on the fly hinzufügen oder die Nummer manuell ACL-Einträge. Wenn Sie die gleiche Zeile wieder verwenden möchten, wird die ASA Ihre gesamte Liste neu zu nummerieren, wenn sie ihn braucht. Das ist wirklich das Beste aus beiden Welten.