Inhoudsopgave:
Toegangscontrolelijsten worden gebruikt om de netwerkbeveiliging te beheren en kunnen op verschillende manieren worden gemaakt. Standaard ACL's , met minder opties voor het classificeren van gegevens en het regelen van de verkeersstroom dan uitgebreide ACL's.
Standaard ACL's zijn eenvoudiger en eenvoudiger te gebruiken dan uitgebreide ACL's. In hun eenvoud verliest u echter enige functionaliteit, zoals het beheren van toegang op basis van Transmission Control Protocol (TCP) of UDP-poorten (User Datagram Protocol). Standaard ACL's zijn genummerd van 1-99 en van 1300-1999 (uitgebreid bereik). Ze staan alleen toe of weigeren toegang op basis van de bron-IP-adressen.
Wildcardmaskers
Wanneer u een standaard ACL of een uitgebreide ACL maakt, gebruikt u een jokermasker om de apparaten of adressen te identificeren die worden beïnvloed door de ACL.
In een subnetmasker heeft het bitpatroon de nullen gescheiden van nullen met degenen aan de linkerkant van het nummer en de nullen aan de rechterkant. In dit scenario gaat het meer om het netwerk dat apparaten zijn ingeschakeld en is er minder aandacht voor de daadwerkelijke hosts op dat netwerk.
Daarom is de focus op het nummer waar die zijn, niet waar de nullen zich bevinden. Hetzelfde geldt voor het jokermasker, waar u te maken hebt met de toegang van hosts tot een resource. Omdat u zich nu bezighoudt met de gastheren, is de focus omgekeerd; daarom zijn de bits omgekeerd. In het jokertekenmasker bent u minder bezorgd om de netwerken en meer om de hosts op dat netwerk.
Daarom heeft het jokermasker nog steeds nullen en enen gescheiden, maar nu staan de nullen aan de rechterkant en de nullen aan de linkerkant.
Met dat gezegd, voor een Klasse C-netwerkblok, zoals 192. 168. 5. 0/24, waar u naar het subnetmasker van 255 kijkt. 255. 255. 0, voor een wildcardmasker zou u zijn kijkend naar 0. 0. 0. 255 (wat nog steeds zou focussen op het netwerkadres en de hosts gevonden in dat netwerkblok).
De onderstaande tabel toont een overzicht van vergelijkbare subnet-maskers en wildcard-maskers. Hoewel u de CIDR-notatie gebruikt om het schrijven van subnetmaskers te vereenvoudigen (met 255. 0. 0. 0 wordt / 8), is deze notatie niet van toepassing op jokermaskers.
CIDR-notatie | Subnetmasker | Jokerteken |
---|---|---|
/ 8 | 255. 0. 0. 0 | 0. 255. 255. 255 |
/ 9 | 255. 128. 0. 0 | 0. 127. 255. 255 |
/ 10 | 255. 192. 0. 0 | 0. 63. 255. 255 |
/ 11 | 255. 224. 0. 0 | 0. 31. 255. 255 |
/ 12 | 255. 240. 0. 0 | 0. 15. 255. 255 |
/ 13 | 255. 248. 0. 0 | 0. 7. 255.255 |
/ 14 | 255. 252. 0. 0 | 0. 3. 255. 255 |
/ 15 | 255. 254. 0. 0 | 0. 1. 255. 255 |
/ 16 | 255. 255. 0. 0 | 0. 0. 255. 255 |
/ 17 | 255. 255. 128. 0 | 0. 0. 127. 255 |
/ 18 | 255. 255. 192. 0 | 0. 0. 63. 255 |
/ 19 | 255. 255. 224. 0 | 0. 0. 31. 255 |
/ 20 | 255. 255. 240. 0 | 0. 0. 15. 255 |
/ 21 | 255. 255. 248. 0 | 0. 0. 7. 255 |
/ 22 | 255. 255. 252. 0 | 0. 0. 3. 255 |
/ 23 | 255. 255. 254. 0 | 0. 0. 1. 255 |
/ 24 | 255. 255. 255. 0 | 0. 0. 0. 255 |
/ 25 | 255. 255. 255. 128 | 0. 0. 0. 127 |
/ 26 | 255. 255. 255. 192 | 0. 0. 0. 63 |
/ 27 | 255. 255. 255. 224 | 0. 0. 0. 31 |
/ 28 | 255. 255. 255. 240 | 0. 0. 0. 15 |
/ 29 | 255. 255. 255. 248 | 0. 0. 0. 7 |
/ 30 | 255. 255. 255. 252 | 0. 0. 0. 3 |
/ 31 | 255. 255. 255. 254 | 0. 0. 0. 1 |
/ 32 | 255. 255. 255. 255 | 0. 0. 0. 0 |
Toegangsbeheervermeldingen
De toegangscontrolelijst bestaat uit een reeks vermeldingen. Elke ACL is genummerd en alle items in dezelfde lijst zijn gelijk genummerd. Wanneer u items aan de lijst toevoegt, verschijnen de nieuwe items standaard onderaan. De enige uitzondering is de impliciete invoer onderaan elke lijst, die alles ontkennend is. Elke toegangsbeheeritem (ACE) heeft de volgende structuur in uw configuratie:
toegangslijst
Als u een ACL voor één vermelding maakt die alle hosts op het Class C-netwerk van 192. 168. 8. 0 toestaat, dan volledige ACL zou zijn:
toegangslijst 10 vergunning 192. 168. 8. 0 0. 0. 0. 255 toegangslijst 10 weigert elke
In de vorige ACL zou de laatste regel echter niet verschijnen in de ACL. Als u de opdracht show hebt gebruikt om deze ACL te bekijken, ziet u het volgende:
Switch1> enable Password: Switch1 # terminal configureren Configuratieopdrachten invoeren, één per regel. Einde met CNTL / Z. Switch1 (config) # toegangslijst 50 vergunning 192. 168. 8. 0 0. 0. 0. Switch1 (config) #end Switch1 # tonen toegangslijst 50 Standaard IP-toegangslijst 50 vergunning 192. 168. 8. 0, wildcard bits 0. 0. 0. 255
Wat gebeurt er als u nog een item aan uw lijst wilt toevoegen? Je zou hetzelfde commando gebruiken. De volgende code laat zien hoe het 192. 168. 9. 0/24 blok toe te voegen aan ACL met een vergunning:
Switch1> enable Password: Switch1 # terminal configureren Configuratieopdrachten invoeren, één per regel. Einde met CNTL / Z. Switch1 (config) # toegangslijst 50 vergunning 192. 168. 9. 0 0. 0. 0. Switch1 (config) # einde Switch1 # tonen toegangslijst 50 Standaard IP-toegangslijst 50 vergunning 192 168. 8. 0, wildcard bits 0. 0. 0. 255 permit 192. 168. 9. 0, wildcard bits 0. 0.