Βίντεο: Ντοκυμαντέρ: Η Βασική Αιτία 2019 2024
Οι διαχειριστές δικτύου τροποποιούν μια τυπική λίστα ελέγχου πρόσβασης (ACL) προσθέτοντας γραμμές. Κάθε νέα καταχώρηση που προσθέτετε στη λίστα ελέγχου πρόσβασης (ACL) εμφανίζεται στο κάτω μέρος της λίστας.
Σε αντίθεση με τον πίνακα δρομολόγησης, ο οποίος αναζητά την πλησιέστερη αντιστοίχιση στη λίστα κατά την επεξεργασία μιας καταχώρησης ACL που θα χρησιμοποιηθεί ως πρώτη καταχώρηση αντιστοίχισης. Εάν, για παράδειγμα, θέλετε να έχετε έναν κεντρικό υπολογιστή στο 192. 168. 8. 0/24 να μπλοκάρει τον ACL σας, τότε θα υπήρχε μια διαφορά. Πρέπει να προσθέσετε άρνηση για το 192. 168. 8. 200 στο ACL σας:
Switch1> ενεργοποίηση κωδικού πρόσβασης: Switch1 # terminal terminal Εισάγετε εντολές διαμόρφωσης, μία ανά γραμμή. Τερματισμός με CNTL / Z. Διακόπτης1 (config) # πρόσβαση-λίστα 50 άρνηση 192. 168. 8. 200 0. 0. 0. 0 Switch1 (config) #end Διακόπτης1 # εμφάνιση λίστας πρόσβασης 50 Πρότυπη λίστα πρόσβασης IP 50 άρνηση 192. 168. 8. 200 επιτρέπουν 192. 168. 8. 0, bits μπαλαντέρ 0. 0. 0. 255 επιτρέπουν 192. 168. 9. 0, bits μπαλαντέρ 0. 0. 0. 255
Η άρνηση ειδοποίησης προστέθηκε στην κορυφή της λίστας, ενώ η πρόσθετη άδεια προστέθηκε στο κάτω μέρος της λίστας. Επιπλέον, αυτή η καταχώρηση δεν περιλαμβάνει τα bits μπαλαντέρ. Η συμπεριφορά παραγγελίας είναι σχεδιαστική, με κάθε καταχώρηση για έναν μόνο κεντρικό υπολογιστή να είναι πιο σημαντική και ως εκ τούτου φιλτράρεται στην κορυφή της λίστας.
Αναμένεται επίσης η μείωση του ACE για τον μόνο κεντρικό υπολογιστή. Μπορείτε να προσθέσετε τον μοναδικό κεντρικό υπολογιστή με αυτό τον τρόπο, αντί να γράψετε όλα τα μηδενικά στην μάσκα μπαλαντέρ.
Μπορείτε να δημιουργήσετε ένα νέο ACL που θα απορρίψει τα ίδια δύο μπλοκ διεύθυνσης κατηγορίας C, αλλά επιτρέπουν τις τέσσερις πρώτες διευθύνσεις στο 192 168. 8. Εύρος 0/24 (192. 168. 8. 0-192, 168. 8. 3). Εδώ είναι το αποτέλεσμα αν δημιουργήσετε το ACL με αυτή τη σειρά.
Επειδή οι καταχωρήσεις προστίθενται στο ACL με τη σειρά που τα πληκτρολογείτε, η άδεια λήγει στο κάτω μέρος της λίστας. Εάν δοκιμάσετε αυτό το ACL, μια διεύθυνση όπως 192. 168. 8. 2 θα παραληφθεί από το πρώτο ACE και δεν θα λάβει την άδεια από το τρίτο ACE. Πώς διορθώνετε αυτό; Λοιπόν, έχετε μερικές επιλογές:
Μπορείτε να καταργήσετε το ACL από το σημείο όπου χρησιμοποιείται, να διαγράψετε τον ACL, να δημιουργήσετε ένα νέο με τη σωστή σειρά και να το προσθέσετε ξανά στο σημείο όπου χρησιμοποιείται.Αυτή η μακρά διαδικασία αφήνει το σύστημα ανοιχτό από τη στιγμή που αφαιρείτε το ACL από το σημείο όπου χρησιμοποιείται, μέχρι να προστεθεί ξανά. Αυτή ήταν η τυπική μέθοδος διαχείρισης των ACL.
-
Όταν εργάζεστε με ACLs με αυτόν τον τρόπο, θα αντιγράφετε όλα τα βήματα που απαιτούνται στο σημειωματάριο. exe. Αυτό περιλαμβάνει τα βήματα για την κατάργηση του παλιού ACL και την προσθήκη του νέου ACL. Αφού ολοκληρωθεί η διαδικασία στο σημειωματάριο. exe, χρησιμοποιήστε την εντολή αντιγραφής για να αντιγράψετε και να επικολλήσετε την εφαρμογή διαχείρισης CLI, όπως το στόκο. exe.
Αν η συσκευή σας το υποστηρίζει, μπορείτε να επεξεργαστείτε τον ACL χρησιμοποιώντας την εντολή IP στον ακόλουθο κώδικα. Αυτό σας επιτρέπει να βάλετε αριθμούς γραμμών στον ACL σας, μια επιλογή που δεν έχετε όταν επεξεργάζεστε τον ACL από τη λειτουργία Global Configuration. Αυτό κάνει χρήση της λειτουργίας Configuration ACL. Όταν βάζετε τους αριθμούς γραμμών σας, θέλετε να αφήσετε ένα κενό μεταξύ των καταχωρήσεων στο ACL.
-
Ο δρομολογητής1 (config) #ip πρότυπο λίστα πρόσβασης 60 Router1 (config-ext-nacl) # 10 αρνείται 192. 168. 8. 0 0. 0. 0. 255 Διαγραφή Router1 (config-ext-nacl) 192. 168. 9. 0 0. 0. 0. 255 Ο δρομολογητής1 (config-ext-nacl) # 30 επιτρέπει 192. 168. 8. 0 0. 0. 0. 3
Με αυτόν τον προ-προγραμματισμό γίνει μπορεί να προσθέσει μια νέα εγγραφή ACL στην κορυφή του ACL επιλέγοντας έναν αριθμό μικρότερο από 10, παρόμοιο με τον ακόλουθο:
Router1>
enable Κωδικός πρόσβασης: Router1 # configure terminal Router1 (config) # Router1 (config-ext-nacl) # 5 επιτρέπει 192. 168. 8. 0 0. 0. 0. 3 Router1 (config-ext-nacl) # end Router1 # εμφάνιση λίστας πρόσβασης 60 Πρότυπη λίστα πρόσβασης IP 60 5 άδεια 192. 168. 9. 0, μπιτόνια μπαλαντέρ 0. 0. 0. 3 10 αρνούνται 192. 168. 9. 0, bits μπαλαντέρ 0. 0. 0. 255 20 deny 192. 168. 9. 0, bits μπαλαντέρ 0. 0. 0. 255 30 επιτρέπουν 192. 168. 8. 0, bits μπαλαντέρ 0. 0. 0. 3 Αυτό σας επιτρέπει να επεξεργαστείτε το ACL εν πτήσει (δηλαδή, χωρίς να το αφαιρείτε από τις διεπαφές όπου χρησιμοποιείται) χωρίς να αφαιρείται το ACL και να γίνεται επανάληψη να σας εξοικονομήσει πολύ χρόνο και προσπάθεια, αρκεί υπάρχει ένα κενό στην αρίθμηση, όπου μπορείτε να προσθέσετε τη νέα εγγραφή σας. Ανάλογα με την έκδοση και τη συσκευή του IOS, ενδέχεται να έχετε και άλλες επιλογές. Αν κοιτάξετε το Adaptive Security Appliance (ASA), δεν χρειάζεται να προ-προγραμματίσετε. Επομένως αναθεωρήστε τον ακόλουθο κώδικα, όπου το ASA ορίζει αυτόματα τις γραμμές για εσάς:
ASAFirewall1>
ενεργοποίηση Κωδικός πρόσβασης: ASAFirewall1 # διαμόρφωση τερματικού ASAFirewall1 (config) # πρόσβαση-λίστα 60 άρνηση 192. 168. 8. 0 255. 255. 255. 0 ASAFirewall1 (config) # εξόδου ASAFirewall1 # εμφάνιση της λίστας πρόσβασης 60 πρόσβαση-κατάλογος 60? 2 στοιχεία πρόσβασης-λίστα 60 πρότυπο απόρριψης γραμμής 1 192. 168. 8. 0 255. 255. 255. 0 (hitcnt = 0) 0x318d5521 πρόσβαση-κατάλογος 60 γραμμών 2 standard deny 192. 168. 9. 0 255. 255. 255 0 (hitcnt = 0) 0xba5e90e1 ASAFirewall1 # διαμόρφωση τερματικού ASAFirewall1 (config) # πρόσβαση-λίστα 60 άδεια 1 γραμμής 192. 168. 9. 0 255. 255. 255. 248 ASAFirewall1 (config) # ASAFirewall1 # εμφάνιση λίστας πρόσβασης 60 λίστα πρόσβασης 60? 3 στοιχεία πρόσβαση-λίστα 60 γραμμή 1 πρότυπο άδεια 192. 168. 9. 0 255.255. 255. 248 (hitcnt = 0) 0x451bbe48 λίστα προσπέλασης 60 τυπική απόρριψη γραμμής 192. 168. 8. 0 255. 255. 255. 0 (hitcnt = 0) 0x318d5521 πρόσβαση-κατάλογος 60 γραμμών 3 standard deny 192. 168 9. 0 255. 255. 255. 0 (hitcnt = 0) 0xba5e90e1 Με τη χρήση του ASA, μπορείτε να προσθέσετε ακόμα γραμμές με το χέρι ή μη αυτόματες καταχωρήσεις ACL. Αν θέλετε να χρησιμοποιήσετε ξανά την ίδια γραμμή, το ASA θα επαναριθμήσει ολόκληρη τη λίστα σας αν χρειαστεί. Αυτό είναι πραγματικά το καλύτερο και των δύο κόσμων.
