Lista de control de acceso estándar (acl) modificación

Los administradores de red modificar una lista estándar de control de acceso (ACL) mediante la adición de líneas. Cada nueva entrada se agrega a la lista de control de acceso (ACL) aparece en la parte inferior de la lista.

A diferencia de la tabla de enrutamiento, que busca la coincidencia más cercana en la lista al procesar una entrada de ACL que será utilizado como la primera entrada coincidente. Si, por ejemplo, usted quiere tener un host en la 192.168.8.0/24 bloqueado en su ACL, entonces no habría una diferencia. Es necesario añadir negar de 192.168.8.200 a su ACL:

# Configure comandos de configuración terminalEnter switch1, uno por línea: Switch1> enablePassword. Terminar con CNTL / Z.Switch1 (config) # access-list 50 niegan 192.168.8.200 0.0.0.0Switch1 (config) # endSwitch1 # show access-list 50Standard IP lista de acceso 50deny 192.168.8.200permit 192.168.8.0, comodín Bits 0.0. 0.255permit 192.168.9.0, comodín Bits 0.0.0.255

aviso negar se añadió a la parte superior de la lista, mientras que el permiso adicional se añadió a la parte inferior de la lista. Además, esta categoría no incluye los bits de comodín. El comportamiento de pedido es por diseño, con cualquier entrada para un único host es más importante, por lo que se filtró a la cima de la lista.

También se espera que la reducción de la ACE para el único host. Se podría añadir el único host de esta manera, en lugar de escribir todos los ceros en la máscara wildcard.

Switch1 (config) # access-list 50 negar 192.168.8.200 anfitrión

Usted puede hacer una nueva ACL que negar los mismos dos bloques de direcciones de clase C, pero permitir que los primeros cuatro direcciones en el rango 192.168.8.0/24 (192.168.8.0-192.168.8.3). Aquí está el resultado si se construye la ACL en este orden.

Comandos de configuración terminalEnter switch1 # configure, uno por línea. Terminar con CNTL / Z.Switch1 (config) # access-list 60 niegan 192.168.8.0 0.0.0.255Switch1 (config) # access-list 60 negar 192.168.9.0 0.0.0.255Switch1 (config) # access-list 60 permiso de 192.168. 8.0 0.0.0.3Switch1 (config) # endSwitch1 # show access-list lista de acceso IP 192.168.8.0 60deny 60Standard, comodín 192.168.9.0 pedacitos 0.0.0.255deny, los bits comodín 0.0.0.255permit 192.168.8.0, los bits wildcard 0.0.0.3

Debido a que las entradas se añaden a la ACL en el orden en que los escribe, el permiso termina en la parte inferior de la lista. Si usted prueba esta ACL, una dirección como 192.168.8.2 sería recogido por el primer ACE y no recibir el permiso de la tercera ACE. ¿Cómo arreglas esto? Bueno, usted tiene algunas opciones:

  • Puede eliminar la ACL de donde se está utilizando, eliminar la ACL, cree uno nuevo en el orden correcto, y añadirlo de nuevo a donde se está utilizando. Este largo proceso realmente deja el sistema abierto desde el momento de retirar la ACL de donde se está utilizando, hasta que se vuelve a añadir. Este ha sido el método estándar de la gestión de las ACL.

    Cuando se trabaja con las ACL de esta manera, usted tendría copiar todos los pasos necesarios en notepad.exe. Esto incluye los pasos para quitar el viejo ACL y añadir la nueva ACL. Después de todo el proceso se pone en escena en notepad.exe, utilizar el copia comando para copiar y pegar en la aplicación de administración de CLI, como putty.exe.

  • Si su dispositivo es compatible con él, usted puede editar la ACL con el comando IP en el siguiente código. Esto le permite poner los números de línea en su ACL, una opción que no tiene al editar la ACL desde el modo de configuración global. Esto hace que el uso del modo de configuración de ACL. Al poner sus números de línea en, desea dejar un espacio entre las entradas de la ACL.

Router1 (config) #ip lista de acceso estándar 60Router1 (config-ext-NaCl) # 10 niegan 192.168.8.0 0.0.0.255Router1 (config-ext-NaCl) # 20 niegan 192.168.9.0 0.0.0.255Router1 (config-EXT- NaCl) # 30 permiso 192.168.8.0 0.0.0.3

Con esta planificación previa hecho, puede agregar una nueva entrada de ACL en la parte superior de la ACL por la elección de un número que está a menos de 10, similar a la siguiente:

Router1>habilitarContraseña: Router1 # configure terminalRouter1 (config) # ip access-list estándar 60Router1 (config-ext-NaCl) # 5 permiso 192.168.8.0 0.0.0.3Router1 (config-ext-NaCl) #finRouter1 # show access-list 60Standard IP 192.168.9.0 lista de acceso 605 permisos, comodín Bits 0.0.0.310 niegan 192.168.9.0, los bits comodín 0.0.0.25520 niegan 192.168.9.0, los bits comodín 0.0.0.25530 permiso 192.168.8.0, comodín Bits 0.0. 0.3This le permite editar la ACL en la marcha (es decir, sin sacarlo de las interfaces donde se utiliza) sin la eliminación de la ACL y volver a crearlo, que le ahorra un montón de tiempo y esfuerzo, siempre que hay una brecha en la numeración donde se puede añadir la nueva entrada.

Dependiendo de la versión de iOS y el dispositivo, puede que tenga otras opciones. Si nos fijamos en el Security Appliance Adaptativo (ASA), que no tiene que preplan. Así que revise el siguiente código, en el que el ASA numera automáticamente las líneas para usted:

ASAFirewall1>habilitarContraseña: ASAFirewall1 # configure terminalASAFirewall1 (config) # access-list 60 niegan 192.168.8.0 255.255.255.0ASAFirewall1 (config) # access-list 60 niegan 192.168.9.0 255.255.255.0ASAFirewall1 (config) # SalidaASAFirewall1 # show access-list 60access lista 60- 2 elementsaccess lista de 60 la línea 1 estándar negar 255.255.255.0 192.168.8.0 (hitcnt = 0) 0x318d5521access lista estándar de 60 la línea 2 niegan 255.255.255.0 192.168.9.0 (hitcnt = 0) 0xba5e90e1ASAFirewall1 # configure terminalASAFirewall1 (config) # access-list 60 la línea 1 del permiso 192.168.9.0 255.255.255.248ASAFirewall1 (config) # SalidaASAFirewall1 # show access-list 60access lista 60- 3 elementsaccess lista de 60 la línea 1 del permiso estándar 192.168.9.0 255.255.255.248 (hitcnt = 0) 0x451bbe48access lista de 60 la línea 2 estándar negar 255.255.255.0 192.168.8.0 (hitcnt = 0) 0x318d5521access lista de 60 línea estándar 3 negar 255.255.255.0 192.168.9.0 (hitcnt = 0) 0xba5e90e1

Mediante el uso de la ASA, todavía puede añadir líneas sobre la marcha o el número manualmente entradas de ACL. Si desea utilizar la misma línea de nuevo, el ASA renumerar su lista entera si es necesario. Esto es realmente lo mejor de ambos mundos.




» » » » Lista de control de acceso estándar (acl) modificación