Padrão Access Control List (ACL) Modificação
Os administradores de rede modificar uma Lista de Controle de Acesso padrão (ACL), adicionando linhas. Cada nova entrada que você adicionar à lista de controle de acesso (ACL) aparece na parte inferior da lista.
Ao contrário de tabela de roteamento, que olha para o valor mais próximo na lista quando o processamento de uma entrada ACL que será usado como a primeira entrada correspondente. Se, por exemplo, você quer ter uma máquina na 192.168.8.0/24 bloqueada na sua ACL, então não haveria uma diferença. Você precisa adicionar negar para 192.168.8.200 para o seu ACL:
comandos de configuração terminalEnter Switch1 # configurar, um por linha: Switch1> enablePassword. Terminar com CNTL / Z.Switch1 (config) # access-list 50 negar 192.168.8.200 0.0.0.0Switch1 (config) # endSwitch1 # show access-list 50Standard IP lista de acesso 50deny 192.168.8.200permit 192.168.8.0, wildcard bits de 0.0. 0.255permit 192.168.9.0, wildcard Bits 0.0.0.255
Aviso prévio negar foi adicionado ao topo da lista, enquanto que a autorização adicional foi adicionado ao fundo da lista. Além disso, esta rubrica não inclui os bits de curinga. O comportamento de ordenação é por design, com qualquer entrada para um único host sendo mais importante e, portanto, filtrada para o topo da lista.
Também se espera que a redução da ACE para o único hospedeiro. Você pode adicionar o único host desta forma, em vez de escrever para fora todos os zeros na máscara curinga.
Switch1 (config) # access-list 50 negar 192.168.8.200 acolhimento
Você pode fazer um novo ACL que irá negar os mesmos dois blocos de endereços Classe C, mas permitir que os primeiros quatro endereços no 192.168.8.0/24 gama (192.168.8.0-192.168.8.3). Aqui está o resultado se você construir a ACL nesta ordem.
comandos de configuração terminalEnter Switch1 # configurar, um por linha. Terminar com CNTL / Z.Switch1 (config) # access-list 60 negar 192.168.8.0 0.0.0.255Switch1 (config) # access-list 60 negar 192.168.9.0 0.0.0.255Switch1 (config) # access-list 60 licença de 192.168. 8,0 0.0.0.3Switch1 (config) # endSwitch1 # show access-list 60Standard IP 192.168.8.0 60deny lista de acesso, wildcard 192.168.9.0 pedaços 0.0.0.255deny, pedaços curinga 0.0.0.255permit 192.168.8.0, wildcard Bits 0.0.0.3
Porque as entradas são adicionadas à ACL na ordem em que você os digita, a licença termina na parte inferior da lista. Se você testar este ACL, um endereço como 192.168.8.2 seria apanhada pela primeira ACE e não iria receber a licença a partir do terceiro ACE. Como você corrigir isso? Bem, você tem algumas opções:
Você pode remover o ACL de onde ele está sendo usado, elimine o ACL, criar um novo na ordem correta, e adicioná-lo de volta para onde ele está sendo usado. Este processo demorado realmente deixa o sistema aberto a partir do momento que você remover o ACL de onde ele está sendo usado, até que seja adicionado de volta. Este tem sido o método padrão de gestão de ACL.
Ao trabalhar com ACLs dessa maneira, você deve copiar todos os passos necessários para notepad.exe. Isso inclui os passos para remover o antigo ACL e adicionar o novo ACL. Depois de todo o processo é encenado em notepad.exe, use o cópia comando para copiar e colar em seu aplicativo de gerenciamento CLI, como putty.exe.
Se o dispositivo suporta, você pode editar o ACL usando o comando IP no código a seguir. Isso permite que você coloque os números de linha em sua ACL, uma opção que você não tem ao editar a ACL do modo de configuração global. Isso faz com que o uso do modo de configuração ACL. Ao colocar os seus números de linha, você quer deixar uma lacuna entre as entradas na ACL.
Router1 (config) # ip lista de acesso 60Router1 padrão (config-ext-NaCl) # 10 negar 192.168.8.0 0.0.0.255Router1 (config-ext-NaCl) # 20 negar 192.168.9.0 0.0.0.255Router1 (config-EXT NaCl) # 30 de autorização 192.168.8.0 0.0.0.3
Com este pré-planejamento feito, você pode então adicionar uma nova entrada ACL no topo da ACL, escolhendo um número que é inferior a 10, semelhante ao seguinte:
Router1>habilitarPassword: Router1 # configurar terminalRouter1 (config)-lista de acesso # ip 60Router1 (config-ext-NaCl) # 5 autorização 192.168.8.0 0.0.0.3Router1 (config-ext-NaCl) # padrãofimRouter1 access-list # show 60Standard IP lista de acesso 605 autorização 192.168.9.0, wildcard Bits 0.0.0.310 negar 192.168.9.0, pedaços curinga 0.0.0.25520 negar 192.168.9.0, pedaços curinga 0.0.0.25530 autorização 192.168.8.0, wildcard bits de 0.0. 0.3This permite editar a ACL na mosca (isto é, sem removê-lo a partir das interfaces onde é usado) sem remover o ACL e recriando-lo, poupando-lhe um monte de tempo e esforço, desde que há uma lacuna na numeração onde você pode adicionar sua nova entrada.
Dependendo da versão do IOS e do dispositivo, você pode ter outras opções. Se você olhar para o Security Appliance Adaptive (ASA), você não tem que planejar antecipadamente. Portanto, rever o código a seguir, onde o ASA numera automaticamente as linhas para você:
ASAFirewall1>habilitarPassword: ASAFirewall1 # configurar terminalASAFirewall1 (config) # access-list 60 negar 192.168.8.0 255.255.255.0ASAFirewall1 (config) # access-list 60 negar 192.168.9.0 255.255.255.0ASAFirewall1 (config) # SaídaASAFirewall1 # show access-list 60access-list 60- 2 elementsaccess-list 60 linha 1 padrão negar 192.168.8.0 255.255.255.0 (hitcnt = 0)-list 0x318d5521access 60 linha padrão 2 negar 192.168.9.0 255.255.255.0 (hitcnt = 0) 0xba5e90e1ASAFirewall1 # configurar terminalASAFirewall1 (config) # access-list 60 linha 1 permit 192.168.9.0 255.255.255.248ASAFirewall1 (config) # SaídaASAFirewall1 60access-list # show access-list 60- 3 elementsaccess-list 60 linha 1 licença padrão 192.168.9.0 255.255.255.248 (hitcnt = 0) 0x451bbe48access-list 60 linha 2 norma negar 192.168.8.0 255.255.255.0 (hitcnt = 0) 0x318d5521access-list 60 linha padrão 3 negar 192.168.9.0 255.255.255.0 (hitcnt = 0) 0xba5e90e1
Ao utilizar o ASA, você ainda pode adicionar linhas na mosca ou o número manualmente entradas de ACL. Se você quiser usar a mesma linha novamente, o ASA irá renumerar a lista inteira se ele precisa. Este é realmente o melhor dos dois mundos.