Lista de controle de acesso padrão (acl) modificação
Os administradores de rede modificar uma Lista de Controle de Acesso padrão (ACL), adicionando linhas. Cada nova entrada que você adicionar à lista de controle de acesso (ACL) aparece na parte inferior da lista.
Conteúdo
Ao contrário de tabela de roteamento, que olha para o valor mais próximo na lista ao processar uma entrada ACL que será usado como a primeira entrada correspondente. Se, por exemplo, você quer ter um host na 192.168.8.0/24 bloqueada na sua ACL, então não haveria uma diferença. Você precisa adicionar negar para 192.168.8.200 para o seu ACL:
comandos de configuração terminalEnter Switch1 # configurar, um por linha: enablePassword; Switch1gt. Terminar com CNTL / Z.Switch1 (config) # access-list 50 negar 192.168.8.200 0.0.0.0Switch1 (config) # endSwitch1 # mostrar access-list 50Standard IP lista de acesso 50deny 192.168.8.200permit 192.168.8.0, wildcard bits de 0.0. 0.255permit 192.168.9.0, os bits universal 0.0.0.255
Aviso prévio negar foi adicionado ao topo da lista, enquanto que a autorização adicional foi adicionado ao fundo da lista. Além disso, esta rubrica não inclui os bits de curinga. O comportamento ordenação é por design, com qualquer entrada para um único host sendo mais importante e, portanto, filtrada para o topo da lista.
Também se espera a redução da ACE para o único hospedeiro. Você pode adicionar o único anfitrião desta forma, em vez de escrever para fora todos os zeros na máscara curinga.
Switch1 (config) # access-list 50 negar 192.168.8.200 anfitrião
Você pode fazer um novo ACL que irá negar os mesmos dois blocos de endereços Classe C, mas permitir que os primeiros quatro endereços no 192.168.8.0/24 gama (192.168.8.0-192.168.8.3). Aqui está o resultado se você construir a ACL nesta ordem.
comandos de configuração terminalEnter Switch1 # configurar, um por linha. Terminar com CNTL / Z.Switch1 (config) # access-list 60 negar 192.168.8.0 0.0.0.255Switch1 (config) # access-list 60 negar 192.168.9.0 0.0.0.255Switch1 (config) # access-list 60 licença de 192.168. 8,0 0.0.0.3Switch1 (config) # endSwitch1 # mostrar access-list 60Standard IP 192.168.8.0 60deny lista de acesso, wildcard 192.168.9.0 pedaços 0.0.0.255deny, pedaços curinga 0.0.0.255permit 192.168.8.0, wildcard Bits 0.0.0.3
Video: LabCisco: Configuração de Listas de Controle de Acesso
Porque as entradas são adicionadas à ACL na ordem em que você os digita, a licença termina na parte inferior da lista. Se você testar este ACL, um endereço como 192.168.8.2 seria apanhada pela primeira ACE e não iria receber a autorização a partir do terceiro ACE. Como você corrigir isso? Bem, você tem algumas opções:
Você pode remover o ACL de onde ele está sendo usado, exclua o ACL, criar um novo na ordem correta, e adicioná-lo de volta para onde ele está sendo usado. Este longo processo realmente deixa o sistema aberto a partir do momento que você remover o ACL de onde ele está sendo usado, até que seja adicionado de volta. Este tem sido o método padrão de gerenciamento de ACLs.
Ao trabalhar com ACLs dessa maneira, você deve copiar todos os passos necessários para notepad.exe. Isto inclui as etapas para remover o antigo ACL e adicionar o novo ACL. Depois de todo o processo é encenado no notepad.exe, use o cópia de comando para copiar e colar em seu aplicativo de gerenciamento de CLI, como putty.exe.
Se o dispositivo suporta, você pode editar o ACL usando o comando IP no código a seguir. Isso permite que você colocar números de linha em sua ACL, uma opção que você não tem ao editar a ACL do modo de configuração global. Isso faz uso do modo de configuração ACL. Ao colocar os seus números de linha, você quer deixar uma lacuna entre as entradas na ACL.
Video: Software Controle de Acesso CITROX
Router1 (config) # ip lista de acesso 60Router1 padrão (config-ext-NaCl) # 10 negar 192.168.8.0 0.0.0.255Router1 (config-ext-NaCl) # 20 negar 192.168.9.0 0.0.0.255Router1 (config-EXT NaCl) # 30 de autorização 192.168.8.0 0.0.0.3
Com este pré-planejamento feito, você pode então adicionar uma nova entrada ACL no topo da ACL, escolhendo um número que é inferior a 10, semelhante ao seguinte:
Video: Controle de Acesso AGL
Router1gt;habilitarPassword: Router1 # configurar terminalRouter1 (config)-lista de acesso # ip 60Router1 (config-ext-NaCl) # 5 autorização 192.168.8.0 0.0.0.3Router1 (config-ext-NaCl) # padrãofimRouter1 access-list # show 60Standard IP lista de acesso 605 autorização 192.168.9.0, wildcard Bits 0.0.0.310 negar 192.168.9.0, pedaços curinga 0.0.0.25520 negar 192.168.9.0, pedaços curinga 0.0.0.25530 autorização 192.168.8.0, wildcard bits de 0.0. 0.3This permite editar a ACL na mosca (isto é, sem removê-lo a partir das interfaces onde é usado) sem remover a ACL e recriá-lo, poupando-lhe um monte de tempo e esforço, desde que há uma lacuna na numeração onde você pode adicionar a nova entrada.
Dependendo da versão do IOS e dispositivo, você pode ter outras opções. Se você olhar para o Security Appliance Adaptive (ASA), você não tem que planejar antecipadamente. Portanto, rever o código a seguir, onde o ASA números automaticamente as linhas para você:
Video: Servidor proxy parte 4 - Final - configuração instalação do squid para Windows todas as versões
ASAFirewall1gt;habilitarPassword: ASAFirewall1 # configurar terminalASAFirewall1 (config) # access-list 60 negar 192.168.8.0 255.255.255.0ASAFirewall1 (config) # access-list 60 negar 192.168.9.0 255.255.255.0ASAFirewall1 (config) # SaídaASAFirewall1 # mostrar a lista de acesso 60access-lista 60- 2 elementsaccess-lista 60 1 linha de padrão negar 192.168.8.0 255.255.255.0 (hitcnt = 0) 60-lista 0x318d5521access linha padrão 2 negar 192.168.9.0 255.255.255.0 (hitcnt = 0) 0xba5e90e1ASAFirewall1 # configurar terminalASAFirewall1 (config) # access-list 60 linha 1 permit 192.168.9.0 255.255.255.248ASAFirewall1 (config) # SaídaASAFirewall1 60access-lista # mostrar a lista de acesso 60- 3 elementsaccess-lista 60 1 linha de autorização padrão 192.168.9.0 255.255.255.248 (hitcnt = 0) 0x451bbe48access-lista 60 linha 2 padrão negar 192.168.8.0 255.255.255.0 (hitcnt = 0) 0x318d5521access-lista 60 linha de padrão 3 negar 192.168.9.0 255.255.255.0 (hitcnt = 0) 0xba5e90e1
Ao utilizar o ASA, você ainda pode adicionar linhas na mosca ou número manualmente entradas de ACL. Se você quiser usar a mesma linha novamente, o ASA irá renumerar a lista inteira se ele precisa. Este é realmente o melhor dos dois mundos.