Netværksadministratorer ændrer en standard adgangskontrol liste (ACL) ved at tilføje linjer. Hver ny post, du tilføjer til adgangskontrollisten (ACL), vises nederst på listen.
I modsætning til rutingtabellen, der ser efter det nærmeste match i listen, når der behandles en ACL-post, der vil blive anvendt som den første matchende post. Hvis du for eksempel vil have en vært på 192. 168. 8. 0/24 blokeret på din ACL, så ville der være en forskel. Du skal tilføje deny for 192. 168. 8. 200 til din ACL:
Switch1> aktiver adgangskode: Switch1 # configure terminal Indtast konfigurationskommandoer, en pr. Linje. Slut med CNTL / Z. Switch1 (config) # adgangsliste 50 nægt 192. 168. 8. 200 0. 0. 0. 0 Switch1 (config) #end Switch1 # vis adgangsliste 50 Standard IP adgangsliste 50 nægte 192. 168. 8. 200 tillade 192. 168. 8. 0, wildcard bits 0. 0. 0. 255 tillade 192. 168. 9. 0, wildcard bits 0. 0. 0. 255
Meddelelse nægtes blev tilføjet til toppen af listen, mens tillægstilladelsen blev tilføjet nederst på listen. Derudover inkluderer denne post ikke wildcard bits. Ordreadfærden er ved design, hvor enhver indgang for en enkelt vært er vigtigere og derfor filtreres øverst på listen.
Reduktionen af ACE for den enkelte vært forventes også. Du kan tilføje den enkelte vært på denne måde, i stedet for at skrive alle nuller i wildcard masken.
Switch1 (config) # access-list 50 nægte vært 192. 168. 8. 200
Du kan oprette en ny ACL, der nægter de samme to klasse C-adresseblokke, men tillader de første fire adresser i 192. 168. 8. 0/24 interval (192. 168. 8. 0-192. 168. 8. 3). Her er resultatet, hvis du bygger ACL i denne rækkefølge.
Switch1 # configure terminal Indtast konfigurationskommandoer, en pr. Linje. Slut med CNTL / Z. Switch1 (config) # access-list 60 deny 192. 168. 8. 0 0. 0. 0. 255 Switch1 (config) # access-list 60 deny 192. 168. 9. 0 0. 0. 0. 255 Switch1 (config) # adgangsliste 60 tillader 192. 168. 8. 0 0. 0. 0. 3 Switch1 (config) #end Switch1 # vis adgangsliste 60 Standard IP-adgangsliste 60 nægt 192. 168. 8. 0, jokertegn bit 0. 0. 0. 255 nægte 192. 168. 9. 0, wildcard bits 0. 0. 0. 0. 0. Tillad 192. 168. 8. 0, wildcard bits 0. 0. 0. 3
Fordi posterne tilføjes til ACL i den rækkefølge, du skriver dem, tillader tilladelsen nederst på listen. Hvis du tester denne ACL, vil en adresse som 192. 168. 8. 2 blive afhentet af den første ACE og ikke ville få tilladelsen fra den tredje ACE. Hvordan løser du dette? Du har et par valgmuligheder:
-
Du kan fjerne ACL'en, hvor den bliver brugt, slet ACL, opret en ny i den rigtige rækkefølge og tilføj den tilbage til, hvor den bruges.Denne lange proces forlader faktisk systemet åbent fra det tidspunkt, hvor du fjerner ACL'en, hvor den bruges, indtil den tilføjes tilbage. Dette har været standardmetoden til styring af ACL'er.
Når du arbejder med ACL'er på denne måde, vil du kopiere alle de nødvendige trin i notesblok. exe. Dette omfatter trinnene for at fjerne den gamle ACL og tilføje den nye ACL. Efter hele processen er iscenesat i notepad. exe, brug kopieringskommandoen til at kopiere og indsætte i dit CLI-administrationsprogram, såsom kittet. exe.
-
Hvis din enhed understøtter det, kan du redigere ACL'en ved hjælp af IP-kommandoen i den følgende kode. Dette giver dig mulighed for at sætte linjenumre i din ACL, en mulighed, som du ikke har, når du redigerer ACL'en fra Global Configuration-tilstand. Dette gør brug af ACL-konfigurationsfunktion. Når du lægger dine linjenumre ind, vil du give et mellemrum mellem posterne i ACL.
Router1 (config) #ip adgangsliste standard 60 Router1 (config-ext-nacl) # 10 nægte 192. 168. 8. 0 0. 0. 0. 255 Router1 (config-ext-nacl) # 20 benægt 192. 168. 9. 0 0. 0. 0. 255 Router1 (config-ext-nacl) # 30 tillader 192. 168. 8. 0 0. 0. 0. 3
Med denne forudplanlægning er du færdig kan derefter tilføje en ny ACL-post øverst i ACL ved at vælge et nummer, der er mindre end 10, svarende til følgende:
Router1> aktiver Adgangskode: Router1 # configure terminal Router1 (config) # ip adgangsliste standard 60 Router1 (config-ext-nacl) # 5 tillade 192. 168. 8. 0 0. 0. 0. 3 Router1 (config-ext-nacl) # ende Router1 # vis adgangsliste 60 Standard IP adgangsliste 60 5 Tillad 192. 168. 9. 0, Wildcard bits 0. 0. 3 3 Deny 192. 168. 9. 0, Wildcard bits 0. 0. 0. 255 20 Deny 192. 168. 9. 0, wildcard bits 0. 0. 0. 255 30 tillade 192. 168. 8. 0, wildcard bits 0. 0. 0. 3 Dette giver dig mulighed for at redigere ACL i flyve (det vil sige, uden at fjerne det fra de grænseflader, hvor det bruges) uden at fjerne ACL og genskabe ting det, sparer dig meget tid og kræfter, så længe der er et hul i nummereringen, hvor du kan tilføje din nye post.
Afhængigt af IOS-versionen og enheden kan du have andre muligheder. Hvis du kigger på Adaptive Security Appliance (ASA), behøver du ikke at planlægge. Så gennemgå følgende kode, hvor ASA automatisk nummererer linjerne for dig:
ASAFirewall1> aktiver Adgangskode: ASAFirewall1 # konfigurer terminal ASAFirewall1 (config) # adgangsliste 60 nægt 192. 168. 8. 0 255. 255. 255. 0 ASAFirewall1 (config) # Afslut ASAFirewall1 # Vis adgangsliste 60 adgangsliste 60; 2 elementer adgangsliste 60 linje 1 standard nægte 192. 168. 8. 0 255. 255. 255. 0 (hitcnt = 0) 0x318d5521 adgangsliste 60 linje 2 standard nægte 192. 168. 9. 0 255. 255. 255. 0 (hitcnt = 0) 0xba5e90e1 ASAFirewall1 # konfigurere terminal ASAFirewall1 (config) # adgangsliste 60 linje 1 tillade 192. 168. 9. 0 255. 255. 255. 248 ASAFirewall1 (config) # exit ASAFirewall1 # vis adgangsliste 60 adgangsliste 60; 3 elementer adgangsliste 60 linje 1 standard tilladelse 192. 168. 9. 0 255.255. 255. 248 (hitcnt = 0) 0x451bbe48 adgangsliste 60 linje 2 standard nægte 192. 168. 8. 0 255. 255. 255. 0 (hitcnt = 0) 0x318d5521 adgangsliste 60 linje 3 standard nægte 192. 168. 9. 0 255. 255. 255. 0 (hitcnt = 0) 0xba5e90e1
Ved at bruge ASA kan du stadig tilføje linjer på farten eller manuelt nummer ACL-poster. Hvis du vil bruge samme linje igen, vil ASA omnummerere hele din liste, hvis den skal. Dette er virkelig det bedste fra begge verdener.
