Norme liste de contrôle d'accès (ACL) de modification

category Ordinateurs et logiciels / Administration et réseautage professionnel / Cisco Networking

Les administrateurs réseau modifier une liste de contrôle d'accès standard (ACL) en ajoutant des lignes. Chaque nouvelle entrée que vous ajoutez à la liste de contrôle d'accès (ACL) apparaît au bas de la liste.

Contrairement à la table de routage, qui ressemble pour le match le plus proche dans la liste lors du traitement d'une entrée d'ACL qui sera utilisé comme première entrée correspondante. Si, par exemple, vous voulez avoir un hôte sur le 192.168.8.0/24 bloqué sur votre ACL, alors il y aurait une différence. Vous devez ajouter nier pour 192.168.8.200 à votre ACL:

Switch1> enablePassword: Switch1 # configure les commandes de configuration de terminalEnter, un par ligne. Terminez avec CNTL / Z.Switch1 (config) # access-list 50 nient 192.168.8.200 0.0.0.0Switch1 (config) # endSwitch1 # show access-list 50Standard IP liste d'accès 50deny 192.168.8.200permit 192.168.8.0, joker Bits 0.0. 0.255permit 192.168.9.0, joker Bits 0.0.0.255

Avis nier a été ajouté au sommet de la liste, alors que le permis supplémentaire a été ajouté au bas de la liste. En outre, cet article ne comprend pas les bits de génériques. Le comportement de la commande est de par leur conception, avec une entrée pour un seul hôte étant plus importante et donc filtré au haut de la liste.

La réduction de l'ACE pour l'hôte unique est également prévu. Vous pouvez ajouter un seul hôte de cette façon, au lieu d'écrire tous les zéros dans le masque générique.

Switch1 (config) # access-list 50 nier hôte 192.168.8.200



Vous pouvez faire une nouvelle ACL qui niera les deux mêmes blocs d'adresses de classe C, mais de permettre aux quatre premières adresses de la plage 192.168.8.0/24 (192.168.8.0-192.168.8.3). Voici le résultat si vous construisez l'ACL dans cet ordre.

# Configure les commandes de configuration de terminalEnter Switch1, un par ligne. Terminez avec CNTL / Z.Switch1 (config) # access-list 60 nient 192.168.8.0 0.0.0.255Switch1 (config) # access-list 60 nier 192.168.9.0 0.0.0.255Switch1 (config) # access-list 60 permis de 192.168. 8,0 0.0.0.3Switch1 (config) # # montrer endSwitch1 liste d'accès IP 60Standard liste d'accès 60deny 192.168.8.0, générique de bits 0.0.0.255deny 192.168.9.0, les bits génériques 0.0.0.255permit 192.168.8.0, joker Bits 0.0.0.3

Parce que les entrées sont ajoutées à la liste ACL dans l'ordre que vous les tapez, le permis se termine au bas de la liste. Si vous testez cette ACL, une adresse du type 192.168.8.2 serait capté par la première ACE et ne recevrait pas le permis de la troisième ACE. Comment fixez-vous cela? Eh bien, vous avez un peu de choix:

  • Vous pouvez supprimer l'ACL de l'endroit où il est utilisé, supprimer l'ACL, en créer un nouveau dans le bon ordre, et l'ajouter à l'endroit où il est utilisé. Ce long processus quitte effectivement le système ouvert à partir du moment où vous retirez l'ACL de l'endroit où il est utilisé, jusqu'à ce qu'il soit rajouté. Cela a été la méthode standard de gestion des ACL.

    Lorsque vous travaillez avec ACL de cette façon, vous souhaitez copier toutes les étapes nécessaires en notepad.exe. Cela comprend les mesures pour supprimer les anciens ACL et ajouter la nouvelle ACL. Après tout le processus est mis en scène dans notepad.exe, Utilisez le copie commande pour copier et coller dans votre application de gestion de la CLI, comme putty.exe.

  • Si votre appareil le supporte, vous pouvez modifier l'ACL en utilisant la commande IP dans le code suivant. Cela vous permet de mettre des numéros de ligne dans votre ACL, une option que vous ne disposez pas lors de l'édition de l'ACL à partir du mode de configuration globale. Cela rend l'utilisation du mode de configuration ACL. Lors de la remise de vos numéros de ligne, vous voulez laisser un espace entre les entrées de l'ACL.

Router1 (config) # ip access-list 60Router1 standard (config-ext-NaCl) # 10 nient 192.168.8.0 0.0.0.255Router1 (config-ext-NaCl) # 20 nient 192.168.9.0 0.0.0.255Router1 (config-EXT NaCl) # 30 permis 192.168.8.0 0.0.0.3

Avec ce pré-planification fait, vous pouvez alors ajouter une nouvelle entrée d'ACL au sommet de l'ACL en choisissant un nombre qui est inférieur à 10, similaire à la suivante:

Router1>activerMot de passe: Router1 # configure terminalRouter1 (config) # ip access-liste standard 60Router1 (config-ext-NaCl) # 5 permis 192.168.8.0 0.0.0.3Router1 (config-ext-NaCl) #finRouter1 # show access-list 60Standard IP de la liste d'accès 605 permis 192.168.9.0, joker Bits 0.0.0.310 nient 192.168.9.0, les bits génériques 0.0.0.25520 nient 192.168.9.0, les bits génériques 0.0.0.25530 permis 192.168.8.0, joker Bits 0.0. 0.3This vous permet de modifier l'ACL à la volée (qui est, sans le retirer à partir des interfaces où il est utilisé) sans enlever l'ACL et le recréer, vous permet d'économiser beaucoup de temps et d'efforts, aussi longtemps que il ya un fossé dans la numérotation où vous pouvez ajouter votre nouvelle entrée.

Selon la version de l'IOS et le dispositif, vous pouvez avoir d'autres options. Si vous regardez l'Adaptive Security Appliance (ASA), vous ne devez pas planifier à l'avance. Donc examiner le code suivant, où l'ASA numérote automatiquement les lignes pour vous:

ASAFirewall1>activerMot de passe: ASAFirewall1 # configure terminalASAFirewall1 (config) # access-list 60 nient 192.168.8.0 255.255.255.0ASAFirewall1 (config) # access-list 60 nient 192.168.9.0 255.255.255.0ASAFirewall1 (config) # SortieASAFirewall1 # show access-list 60access liste 60- 2 elementsaccess-liste de 60 ligne 1 norme nier 192.168.8.0 255.255.255.0 (hitcnt = 0) 0x318d5521access-liste de 60 ligne standard 2 nier 192.168.9.0 255.255.255.0 (hitcnt = 0) 0xba5e90e1ASAFirewall1 # configure terminalASAFirewall1 (config) # access-list 60 ligne 1 permis 192.168.9.0 255.255.255.248ASAFirewall1 (config) # SortieASAFirewall1 # show access-list 60access liste 60- 3 elementsaccess-liste de 60 ligne 1 permis norme 192.168.9.0 255.255.255.248 (hitcnt = 0) 0x451bbe48access-liste de 60 ligne standard 2 nier 192.168.8.0 255.255.255.0 (hitcnt = 0) 0x318d5521access-liste de 60 ligne standard 3 nier 192.168.9.0 255.255.255.0 (hitcnt = 0) 0xba5e90e1

En utilisant l'ASA, vous pouvez toujours ajouter des lignes à la volée ou le numéro manuellement les entrées ACL. Si vous voulez utiliser la même ligne à nouveau, l'ASA renumérotera votre liste entière si elle doit. Ceci est vraiment le meilleur des deux mondes.

Articles Similaires

A propos Auteur
Cisco Networking: réglage du mot de passe enable Cisco Networking: réglage du mot de passe enable

Le mot de passe enable est utilisé lorsque vous vous déplacez de mode d'exécution de l'utilisateur en mode d'exécution privilégié sur un périphérique Cisco. Cette condition vous donne la sécurité sur votre commutateur parce que le mode…

Cisco Networking: en utilisant telnet Cisco Networking: en utilisant telnet

Si vous avez besoin de gérer à distance votre commutateur Cisco, vous serez en mesure de choisir entre Telnet et Secure Shell (SSH). Il ya des dangers à l'aide de Telnet, il envoie des données sur le réseau en texte brut, ce qui rend Telnet…

Création standards listes de contrôle d'accès (ACL) Création standards listes de contrôle d'accès (ACL)

Listes de contrôle d'accès sont utilisés pour gérer la sécurité du réseau et peuvent être créés dans une variété de façons. ACL standard, qui ont moins d'options pour la classification des données et le contrôle des flux de trafic que…

Activation et désactivation de protocole de découverte de CDP (Cisco) Activation et désactivation de protocole de découverte de CDP (Cisco)

Pour une variété de raisons Cisco Discovery Protocol (CDP) peut avoir besoin d'être activé ou désactivé sur les parties de votre réseau. CDP, lorsque entièrement activé, vous permet essentiellement d'identifier les périphériques Cisco sur…

Extended listes de contrôle d'accès (ACL) Extended listes de contrôle d'accès (ACL)

Access Control Lists (ACL) étendues vous permettent pour autoriser ou refuser le trafic provenant d'adresses IP spécifiques à une adresse IP de destination et un port spécifiques. Il vous permet également de spécifier différents types de…

Adresse IP helper utilisation Adresse IP helper utilisation

Vous pouvez mettre en place un Adresse IP Helper de transmettre Host Configuration Protocol DHCP (Dynamic) émissions à leur destination appropriée. De cette façon, vous pouvez mettre en place un seul serveur DHCP comme un point où vous pouvez…

Configuration de routage multicast Configuration de routage multicast

L'activation des fonctionnalités de routage multicast de base sur votre réseau ne nécessite pas beaucoup de travail et peut être mis en œuvre assez rapidement. Certains configuration se fait en mode de configuration globale et certains…

Réseau routeur activation Réseau routeur activation

Il peut sembler étrange, mais lorsque vous activez premier routeur de votre réseau et de configurer les adresses IP pour ses interfaces, le routeur ne sera pas réellement données de route. D'abord, vous devez «dire» le routeur, il…

Retrait d'une macro smartport Retrait d'une macro smartport

Retrait d'une macro SMARTPORT partir d'une interface de réseau Cisco est un peu plus compliqué que de l'appliquer en premier lieu. Néanmoins, vous pouvez facilement enlever la macro à partir du commutateur. Par exemple, pour enlever votre…

SSH (Secure Shell) la gestion de compte d'utilisateur SSH (Secure Shell) la gestion de compte d'utilisateur

Secure Shell (SSH) des comptes d'utilisateurs sont nécessaires pour ouvrir une session. Ces comptes peuvent être stockées dans une base de données locale sur le commutateur ou sur un serveur d'accès central nommé Système Terminal Access…

Mise en place d'expirations de périphériques de Cisco Mise en place d'expirations de périphériques de Cisco

Sans la mise en place des paramètres de délai pour Cisco périphérique mode privilégié, vos sessions rester ouverte indéfiniment. Ceci est particulièrement dangereux du port de la console. Sans paramètres de temporisation activés, si…

Travailler avec les utilisateurs de routeurs Travailler avec les utilisateurs de routeurs

Les comptes d'utilisateurs sont tenus sur un routeur pour vous connecter. Ces comptes peuvent être stockées dans une base de données locale sur le routeur ou sur un serveur d'accès central nommé Système Terminal Access Controller…

Interrupteur commandes de base à retenir pour l'examen de certification CCENT Interrupteur commandes de base à retenir pour l'examen de certification CCENT

Cette section décrit certaines des commandes populaires que vous utilisez sur un commutateur Cisco pour l'examen de certification CCENT. La plupart des commandes de routeurs de base, telles que la définition des mots de passe et les bannières,…

Configuration des services de réseau pour l'examen de certification CCENT Configuration des services de réseau pour l'examen de certification CCENT

Cette section examine commandes populaires utilisés lors de la configuration d'un périphérique Cisco pour la résolution de nom, les services DHCP et NAT. Vous aurez besoin de connaître ces derniers pour l'examen de certification CCENT.Les…

» » » » Norme liste de contrôle d'accès (ACL) de modification