Video: Proceso elección y colocación ACL (listas de control de acceso) 2024
Los administradores de red modifican una Lista de control de acceso (ACL) estándar agregando líneas. Cada nueva entrada que agregue a la Lista de control de acceso (ACL) aparece en la parte inferior de la lista.
A diferencia de la tabla de enrutamiento, que busca la coincidencia más cercana en la lista cuando se procesa una entrada de ACL que se utilizará como la primera entrada coincidente. Si, por ejemplo, desea tener un host en el 192. 168. 8. 0/24 bloqueado en su ACL, entonces habría una diferencia. Necesita agregar deny para 192. 168. 8. 200 para su ACL:
Switch1> enable Password: Switch1 # configure terminal Ingrese los comandos de configuración, uno por línea. Termine con CNTL / Z. Switch1 (config) # access-list 50 deny 192. 168. 8. 200 0. 0. 0. 0 Switch1 (config) #end Switch1 # show access-list 50 Lista de acceso IP estándar 50 deny 192. 168. 8. 200 permitir 192. 168. 8. 0, comodín bits 0. 0. 0. 255 permitir 192. 168. 9. 0, comodín bits 0. 0. 0. 255
Aviso negar se agregó a la parte superior de la lista, mientras que el permiso adicional se añadió al final de la lista. Además, esta entrada no incluye los bits del comodín. El comportamiento de ordenamiento es por diseño, con cualquier entrada para un único host que sea más importante y, por lo tanto, filtrada al principio de la lista.
También se espera la reducción de la ACE para el único host. Puede agregar el host individual de esta manera, en lugar de escribir todos los ceros en la máscara comodín.
Switch1 (config) # access-list 50 deny host 192. 168. 8. 200
Puede crear una nueva ACL que denegará los mismos dos bloques de direcciones de Clase C, pero permitirá las primeras cuatro direcciones en el 192 168. 8. Rango 0/24 (192. 168. 8. 0-192. 168. 8. 3). Este es el resultado si construye la ACL en este orden.
Switch1 # configure terminal Ingrese los comandos de configuración, uno por línea. Termine con CNTL / Z. Switch1 (config) # access-list 60 deny 192. 168. 8. 0 0. 0. 0. 255 Switch1 (config) # access-list 60 deny 192. 168. 9. 0 0. 0. 0. 255 Switch1 (config) # access-list 60 permit 192. 168. 8. 0 0. 0. 0. 3 Switch1 (config) #end Switch1 # show access-list 60 Lista de acceso a IP estándar 60 deny 192. 168. 8. 0, comodín bits 0. 0. 0. 255 denegar 192. 168. 9. 0, comodines bits 0. 0. 0. 255 permitir 192. 168. 8. 0, comodín bits 0. 0. 0. 3
Porque las entradas se agregan a la lista de control de acceso en el orden en que los escribe, el permiso termina en la parte inferior de la lista. Si prueba esta ACL, una dirección como 192. 168. 8. 2 sería recogida por la primera ACE y no recibiría el permiso de la tercera ACE. ¿Cómo arreglas esto? Bueno, tiene algunas opciones:
-
Puede eliminar la ACL de donde se está utilizando, eliminar la ACL, crear una nueva en el orden correcto y volver a agregarla a donde se está utilizando.Este proceso prolongado realmente deja el sistema abierto desde el momento en que elimina la ACL del lugar donde se está utilizando, hasta que se vuelve a agregar. Este ha sido el método estándar para administrar ACL.
Al trabajar con ACL de esta manera, debe copiar todos los pasos necesarios en el bloc de notas. exe. Esto incluye los pasos para eliminar la ACL anterior y agregar la nueva ACL. Después de todo el proceso se escenifica en el bloc de notas. exe, use el comando copiar para copiar y pegar en su aplicación de administración CLI, como masilla. exe.
-
Si su dispositivo lo admite, puede editar la ACL utilizando el comando IP en el siguiente código. Esto le permite poner números de línea en su ACL, una opción que no tiene cuando edita la ACL desde el modo de Configuración Global. Esto hace uso del modo de configuración de ACL. Al ingresar los números de línea, desea dejar un espacio entre las entradas en la ACL.
Router1 (config) #ip access-list standard 60 Router1 (config-ext-nacl) # 10 deny 192. 168. 8. 0 0. 0. 0. 255 Router1 (config-ext-nacl) # 20 deny 192. 168. 9. 0 0. 0. 0. 255 Router1 (config-ext-nacl) # 30 permitir 192. 168. 8. 0 0. 0. 0. 3
Con esta planificación previa hecha, usted puede agregar una nueva entrada de ACL en la parte superior de la ACL eligiendo un número que sea menor que 10, similar al siguiente:
Router1> enable Password: Router1 # configure terminal Router1 (config) # ip access-list standard 60 Router1 (config-ext-nacl) # 5 permitido 192. 168. 8. 0 0. 0. 0. 3 Router1 (config-ext-nacl) # end Router1 # show access-list 60 Lista de acceso IP estándar 60 5 permiso 192. 168. 9. 0, comodines bits 0. 0. 0. 3 10 denegar 192. 168. 9. 0, comodín bits 0. 0. 0. 255 20 denegar 192. 168. 9. 0, comodín bits 0. 0. 0. 255 30 permiso 192. 168. 8. 0, comodín bits 0. 0. 0. 3 Esto le permite editar la ACL sobre la marcha (es decir, sin quitarlo de las interfaces donde se usa) sin quitar la ACL y recrea y le ahorrará mucho tiempo y esfuerzo, siempre que haya un espacio en la numeración donde puede agregar su nueva entrada.
Dependiendo de la versión y el dispositivo de IOS, es posible que tenga otras opciones. Si observa el Adaptive Security Appliance (ASA), no tiene que preplanificar. Por lo tanto, revise el siguiente código, donde ASA numera automáticamente las líneas para usted:
ASAFirewall1> habilite Contraseña: ASAFirewall1 # configure el terminal ASAFirewall1 (config) # access-list 60 deny 192. 168. 8. 0 255. 255. 255. 0 ASAFirewall1 (config) # access-list 60 deny 192. 168. 9. 0 255. 255. 255. 0 ASAFirewall1 (config) # exit ASAFirewall1 # show access-list 60 access-list 60; 2 elementos access-list 60 línea 1 estándar deny 192. 168. 8. 0 255. 255. 255. 0 (hitcnt = 0) 0x318d5521 access-list 60 línea 2 estándar deny 192. 168. 9. 0 255. 255. 255 0 (hitcnt = 0) 0xba5e90e1 ASAFirewall1 # configure el terminal ASAFirewall1 (config) # access-list 60 línea 1 permiso 192. 168. 9. 0 255. 255. 255. 248 ASAFirewall1 (config) # exit ASAFirewall1 # show access-list 60 access-list 60; 3 elementos access-list 60 line 1 standard permission 192. 168. 9. 0 255.255. 255. 248 (hitcnt = 0) 0x451bbe48 access-list 60 line 2 standard deny 192. 168. 8. 0 255. 255. 255. 0 (hitcnt = 0) 0x318d5521 access-list 60 line 3 standard deny 192. 168.9 0 255. 255. 255. 0 (hitcnt = 0) 0xba5e90e1
Al usar el ASA, puede agregar líneas al vuelo o anotar manualmente las entradas de ACL. Si desea usar la misma línea nuevamente, ASA volverá a numerar su lista completa si es necesario. Esto es realmente lo mejor de ambos mundos.
