Video: STANDAARD - Just Try Love Again (Official Video) 2024
Netwerkbeheerders wijzigen een standaard Access Control List (ACL) door regels toe te voegen. Elk nieuw item dat u toevoegt aan de toegangscontrolelijst (ACL) verschijnt onderaan de lijst.
In tegenstelling tot de routeringstabel, die zoekt naar de dichtstbijzijnde overeenkomst in de lijst bij het verwerken van een ACL-invoer die zal worden gebruikt als het eerste overeenkomende item. Als u bijvoorbeeld een host wilt hebben op de 192. 168. 8. 0/24 geblokkeerd op uw ACL, dan zou er een verschil zijn. U moet ontkenning toevoegen voor 192. 168. 8. 200 aan uw ACL:
Switch1> enable Password: Switch1 # configure terminal Voer configuratieopdrachten in, één per regel. Einde met CNTL / Z. Switch1 (config) # toegangslijst 50 weigeren 192. 168. 8. 200 0. 0. 0. 0 Switch1 (config) #end Switch1 # tonen toegangslijst 50 Standaard IP-toegangslijst 50 weigeren 192. 168. 8. 200 vergunning 192. 168. 8. 0, wildcard bits 0. 0. 0. 255 vergunning 192. 168. 9. 0, wildcard bits 0. 0. 0. 255
Kennisgeving weigering is toegevoegd aan de top van de lijst, terwijl de extra vergunning aan de onderkant van de lijst werd toegevoegd. Bovendien bevat dit item geen jokertekens. Het bestelgedrag is van opzet, waarbij elke invoer voor een enkele host belangrijker is en daarom naar de top van de lijst wordt gefilterd.
De vermindering van de ACE voor de enkele host wordt ook verwacht. U zou op deze manier de enkele host kunnen toevoegen, in plaats van alle nullen in het jokermasker op te schrijven.
Switch1 (config) # access-lijst 50 weigeren host 192. 168. 8. 200
U kunt een nieuwe ACL maken die dezelfde twee Class C-adresblokken weigert, maar de eerste vier adressen in de 192 toestaan 168. 8. 0/24 bereik (192. 168. 8. 0-192, 168. 8. 3). Dit is het resultaat als u de ACL in deze volgorde samenstelt.
Switch1 # terminal configureren Configuratieopdrachten invoeren, één per regel. Einde met CNTL / Z. Switch1 (config) # toegangslijst 60 weigeren 192. 168. 8. 0 0. 0. 0. Switch1 (config) # toegangslijst 60 weigeren 192. 168. 9. 0 0. 0. 0. 255 Switch1 (config) # toegangslijst 60 vergunning 192. 168. 8. 0 0. 0. 0. 3 Switch1 (config) #end Switch1 # tonen toegangslijst 60 Standaard IP toegangslijst 60 deny 192. 168. 8. 0, wildcard bits 0. 0. 0. 255 weigeren 192. 168. 9. 0, jokertekens 0. 0. 0. 255 vergunning 192. 168. 8. 0, jokertekens 0. 0. 0. 3
Omdat de ingangen worden toegevoegd aan de ACL in de volgorde waarin u ze typt, de vergunning eindigt onderaan de lijst. Als u deze ACL test, zou een adres zoals 192. 168. 8. 2 worden opgepikt door de eerste ACE en zou de licentie niet ontvangen van de derde ACE. Hoe repareer je dit? Welnu, u hebt een paar keuzes:
-
U kunt de ACL verwijderen van waar deze wordt gebruikt, de ACL verwijderen, een nieuwe in de juiste volgorde maken en deze opnieuw toevoegen aan de plaats waar deze wordt gebruikt.Dit langdurige proces laat het systeem eigenlijk open vanaf het moment dat u de ACL verwijdert van waar het wordt gebruikt, totdat het weer wordt toegevoegd. Dit is de standaardmethode voor het beheer van ACL's.
Wanneer u op deze manier met ACL's werkt, kopieert u alle vereiste stappen in Kladblok. exe. Dit omvat de stappen om de oude ACL te verwijderen en de nieuwe ACL toe te voegen. Nadat het hele proces is geënsceneerd in Kladblok. exe, gebruik de kopieeropdracht om te kopiëren en in uw CLI-beheertoepassing, zoals stopverf, te plakken. exe.
-
Als uw apparaat dit ondersteunt, kunt u de ACL bewerken met behulp van de IP-opdracht in de volgende code. Hiermee kunt u regelnummers invoegen in uw ACL, een optie die u niet heeft bij het bewerken van de ACL vanuit de modus Algemene configuratie. Dit maakt gebruik van de ACL-configuratiemodus. Wanneer u uw regelnummers invoert, wilt u een opening maken tussen de vermeldingen in de ACL.
Router1 (config) #ip toegangslijst standaard 60 Router1 (config-ext-nacl) # 10 weigeren 192. 168. 8. 0 0. 0. 0. 255 Router1 (config-ext-nacl) # 20 ontkennen 192. 168. 9. 0 0. 0. 0. 255 Router1 (config-ext-nacl) # 30 vergunning 192. 168. 8. 0 0. 0. 0. 3
Met deze pre-planning voltooid, kunt u kan vervolgens een nieuw ACL-item boven aan de ACL toevoegen door een getal te kiezen dat kleiner is dan 10, vergelijkbaar met het volgende:
Router1> enable Wachtwoord: Router1 # configureer terminal Router1 (config) # ip toegang-lijst standaard 60 Router1 (config-ext-nacl) # 5 vergunning 192. 168. 8. 0 0. 0. 0. 3 Router1 (config-ext-nacl) # einde Router1 # show access-lijst 60 Standaard IP-toegangslijst 60 5 vergunning 192. 168. 9. 0, wildcard bits 0. 0. 0. 3 10 weigeren 192. 168. 9. 0, wildcard bits 0. 0. 0. 255 20 weigeren 192. 168. 9. 0, wildcard bits 0. 0. 0. 255 30 vergunning 192. 168. 8. 0, wildcard bits 0. 0. 0. 3 Hiermee kunt u de ACL on the fly bewerken (dat wil zeggen, zonder het te verwijderen van de interfaces waar het wordt gebruikt) zonder de ACL en recrea te verwijderen Dit bespaart u veel tijd en moeite, zolang er maar een gat in de nummering zit waar u uw nieuwe invoer kunt toevoegen.
Afhankelijk van de IOS-versie en het apparaat hebt u mogelijk andere opties. Als u naar de Adaptive Security Appliance (ASA) kijkt, hoeft u niet preplan te zijn. Dus bekijk de volgende code, waar de ASA automatisch de regels voor u registreert:
ASAFirewall1> enable Wachtwoord: ASAFirewall1 # configureer terminal ASAFirewall1 (config) # toegangslijst 60 weigeren 192. 168. 8. 0 255. 255. 255. 0 ASAFirewall1 (config) # toegangslijst 60 weigeren 192. 168. 9. 0 255. 255. 255. 0 ASAFirewall1 (config) # exit ASAFirewall1 # tonen toegangslijst 60 toegangslijst 60; 2 elementen toegangslijst 60 regel 1 standaard afwijzen 192. 168. 8. 0 255. 255. 255. 0 (hitcnt = 0) 0x318d5521 toegangslijst 60 regel 2 standaard afwijzen 192. 168. 9. 0 255. 255. 255. 0 (hitcnt = 0) 0xba5e90e1 ASAFirewall1 # terminal configureren ASAFirewall1 (config) # toegangslijst 60 regel 1 vergunning 192. 168. 9. 0 255. 255. 255. 248 ASAFirewall1 (config) # exit ASAFirewall1 # toont toegangslijst 60 toegangslijst 60; 3 elementen toegangslijst 60 regel 1 standaard vergunning 192. 168. 9. 0 255.255. 255. 248 (hitcnt = 0) 0x451bbe48 toegangslijst 60 regel 2 standaard afwijzen 192. 168. 8. 0 255. 255. 255. 0 (hitcnt = 0) 0x318d5521 toegangslijst 60 regel 3 standaard afwijzen 192. 168 9. 0 255. 255. 255. 0 (hitcnt = 0) 0xba5e90e1
Door de ASA te gebruiken, kunt u nog steeds direct regels toevoegen of handmatig ACL-vermeldingen invoeren. Als u dezelfde regel opnieuw wilt gebruiken, zal de ASA uw volledige lijst hernummeren als dat nodig is. Dit is echt het beste van beide werelden.