Criação de listas de controle de acesso padrão (ACLs)

Access Control Lists são usados ​​para gerenciar a segurança da rede e podem ser criados em uma variedade de maneiras. ACLs padrão

, que têm menos opções para a classificação de dados e controlar o fluxo de tráfego do que ACLs estendidas.

ACLs padrão são mais fáceis e mais simples de usar do que ACLs estendidas. No entanto, na sua simplicidade, você perder algumas funcionalidades, como o gerenciamento de acesso baseado em portas User Datagram Protocol (UDP) Transmission Control Protocol (TCP) ou. ACLs padrão são numerados de 1-99 e 1300-1999 (expandido gama). Eles só permitir ou negar o acesso com base nos endereços IP de origem.

máscaras curinga

Quando você cria uma ACL padrão ou uma ACL estendida, você usa uma máscara curinga para identificar os dispositivos ou endereços que serão afetados pela ACL.

Em uma máscara de sub-o padrão de bits tem os separados de zeros com os sobre a esquerda do número e os zeros à direita. Este cenário está mais preocupado com a rede que os dispositivos estão ligados e menos preocupado com os anfitriões reais sobre essa rede.

Portanto, o foco sobre o número é onde os queridos estão, não onde os zeros estão localizados. O mesmo acontece com a máscara curinga, onde você está lidando com o acesso dos hosts para um recurso. Porque agora você está preocupado com os anfitriões, o foco é reversed- portanto, os bits são invertidos. Na máscara curinga, você está menos preocupado com as redes e mais preocupados com os anfitriões na rede.

Portanto, a máscara curinga ainda tem zeros e uns separados, mas agora os estão à direita e os zeros estão à esquerda.

Com isso dito, para um bloco de rede de classe C, como 192.168.5.0/24, onde você está olhando para a máscara de sub-rede 255.255.255.0, por um curinga máscara que você estaria olhando 0.0.0.255 (que ainda iria incidir sobre o endereço de rede e os anfitriões foram encontrados em que o bloco de rede).

A tabela abaixo apresenta a repartição das máscaras de sub-comparáveis ​​e máscaras curinga. Embora você usar a notação CIDR para simplificar a escrita máscaras sub-rede (com 255.0.0.0 se tornando / 8), esta notação não se aplica a máscaras curinga.

Máscaras curinga pelo bit
CIDR NotationMáscara de sub-redeMáscara Wildcard
/ 8255.0.0.00.255.255.255
/ 9255.128.0.00.127.255.255
/ 10255.192.0.00.63.255.255
/ 11255.224.0.00.31.255.255
/ 12255.240.0.00.15.255.255
/ 13255.248.0.00.7.255.255
/ 14255.252.0.00.3.255.255
/ 15255.254.0.00.1.255.255
/ 16255.255.0.00.0.255.255
/ 17255.255.128.00.0.127.255
/ 18255.255.192.00.0.63.255
/ 19255.255.224.00.0.31.255
/ 20255.255.240.00.0.15.255
/ 21255.255.248.00.0.7.255
/ 22255.255.252.00.0.3.255
/ 23255.255.254.00.0.1.255
/ 24255.255.255.00.0.0.255
/ 25255.255.255.1280.0.0.127
/ 26255.255.255.1920.0.0.63
/ 27255.255.255.2240.0.0.31
/ 28255.255.255.2400.0.0.15
/ 29255.255.255.2480.0.0.7
/ 30255.255.255.2520.0.0.3
/ 31255.255.255.2540.0.0.1
/ 32255.255.255.2550.0.0.0

Entradas de Controle de Acesso

A lista de controle de acesso é feito por uma série de entradas. Cada ACL é numerado, e todas as entradas na mesma lista são igualmente contados. Por padrão, quando você adiciona entradas à lista, as novas entradas aparecem na parte inferior. A única exceção é a entrada implícita na parte inferior de cada lista, que é um negar tudo. Cada entrada de controle de acesso (ACE) tem a seguinte estrutura em sua configuração:

access-list  

Se você criar uma única ACL entrada permitir todos os hosts da rede de classe C de 192.168.8.0, em seguida, o ACL completa seria:

access-list 10 autorização 192.168.8.0 0.0.0.255access-list 10 negam qualquer

No ACL anterior, no entanto, a última linha não seria realmente aparecem no ACL. Se você usou o exposição comando para visualizar este ACL você realmente ver:

comandos de configuração terminalEnter Switch1 # configurar, um por linha: Switch1> enablePassword. Terminar com / Z.Switch1 (config) access-list CNTL # 50 autorização 192.168.8.0 0.0.0.255Switch1 (config) # endSwitch1 # show access-list lista de acesso 50Standard IP 192.168.8.0 50permit, wildcard Bits 0.0.0.255

Então o que acontece se você quiser adicionar outra entrada à sua lista? Você usaria o mesmo comando. O código a seguir mostra como adicionar o bloco 192.168.9.0/24 para ACL com uma autorização:

Switch1>habilitarPassword: # configure comandos de configuração terminalEnter Switch1, um por linha. Terminar com CNTL / Z.Switch1 (config) # access-list 50 autorização 192.168.9.0 0.0.0.255Switch1 (config) #fimSwitch1 access-list # show 50Standard IP 192.168.8.0 50permit lista de acesso, pedaços curinga 0.0.0.255permit 192.168.9.0, wildcard bits de 0.0.

menu