Inhaltsverzeichnis:
Video: LERNVIDEOS ERSTELLEN – Was Du für den leichten Einstieg wissen musst 2024
Zugriffssteuerungslisten werden zum Verwalten der Netzwerksicherheit verwendet und können auf verschiedene Arten erstellt werden. Standard-ACLs , , die weniger Optionen zur Klassifizierung von Daten und zur Kontrolle des Datenflusses haben als erweiterte ACLs.
Standard-ACLs sind einfacher und einfacher zu verwenden als erweiterte ACLs. In ihrer Einfachheit verlieren Sie jedoch einige Funktionen, z. B. die Verwaltung des Zugriffs auf der Basis von TCP- (Transmission Control Protocol) oder UDP-Ports (User Datagram Protocol). Standard-ACLs sind von 1-99 und von 1300-1999 (erweiterter Bereich) nummeriert. Sie erlauben oder verweigern den Zugriff nur auf der Basis der Quell-IP-Adressen.
Platzhaltermasken
Wenn Sie eine Standard-ACL oder eine erweiterte ACL erstellen, verwenden Sie eine Platzhaltermaske, um die Geräte oder Adressen zu identifizieren, die von der ACL betroffen sind.
In einer Subnetzmaske hat das Bitmuster Einsen, die von Nullen getrennt sind, mit denen auf der linken Seite der Zahl und den Nullen auf der rechten Seite. In diesem Szenario geht es mehr um das Netzwerk, in dem sich die Geräte befinden, und weniger um die tatsächlichen Hosts in diesem Netzwerk.
Daher liegt der Fokus auf der Nummer dort, wo sich die Zahlen befinden, nicht dort, wo sich die Nullen befinden. Das Gleiche gilt für die Wildcard-Maske, bei der es sich um den Zugriff von Hosts auf eine Ressource handelt. Da Sie sich jetzt mit den Wirten beschäftigen, ist der Fokus umgekehrt; daher werden die Bits umgekehrt. In der Platzhaltermaske sind Sie weniger an den Netzwerken interessiert als an den Hosts in diesem Netzwerk.
Daher sind in der Platzhaltermaske immer noch Nullen und Einsen getrennt, aber jetzt sind die Einsen auf der rechten Seite und die Nullen auf der linken Seite.
Damit ist für einen Klasse-C-Netzwerkblock wie 192. 168. 5. 0/24, wo Sie die Subnetzmaske von 255. 255. 255. 0 betrachten, für eine Wildcard-Maske Blick auf 0. 0. 0. 255 (die immer noch auf die Netzwerkadresse und die Hosts in diesem Netzwerkblock konzentrieren würde).
Die folgende Tabelle zeigt eine Aufschlüsselung vergleichbarer Subnetzmasken und Platzhaltermasken. Obwohl Sie die CIDR-Notation verwenden, um das Schreiben von Subnetzmasken zu vereinfachen (mit 255. 0. 0. 0 wird / 8), gilt diese Schreibweise nicht für Platzhaltermasken.
| CIDR-Notation | Subnetzmaske | Platzhaltermaske |
|---|---|---|
| / 8 | 255. 0. 0. 0 | 0. 255. 255. 255 |
| / 9 | 255. 128. 0 0 | 0. 127. 255. 255 |
| / 10 | 255. 192. 0. 0 | 0. 63. 255. 255 |
| / 11 | 255. 224. 0. 0 | 0. 31. 255. 255 |
| / 12 | 255. 240. 0. 0 | 0. 15. 255. 255 |
| / 13 | 255. 248. 0. 0 | 0. 7. 255.255 |
| / 14 | 255. 252. 0. 0 | 0. 3. 255. 255 |
| / 15 | 255. 254. 0. 0 | 0. 1. 255. 255 |
| / 16 | 255. 255. 0. 0 | 0. 0. 255. 255 |
| / 17 | 255. 255. 128. 0 | 0. 0. 127. 255 |
| / 18 | 255. 255. 192. 0 | 0. 0. 63. 255 |
| / 19 | 255. 255. 224. 0 | 0. 0. 31. 255 |
| / 20 | 255. 255. 240. 0 | 0. 0. 15. 255 |
| / 21 | 255. 255. 248. 0 | 0. 0. 7. 255 |
| / 22 | 255. 255. 252. 0 | 0. 0. 3. 255 |
| / 23 | 255. 255. 254. 0 | 0. 0. 1. 255 |
| / 24 | 255. 255. 255. 0 | 0. 0. 0. 255 |
| / 25 | 255. 255. 255. 128 | 0. 0. 0. 127 |
| / 26 | 255. 255. 255. 192 | 0. 0. 0. 63 999/27 999 255. 255. 255. 224 |
| 0. 0. 0. 31 999/289999 255. 255. 255. 240 | 0. 0. 0. 15 999/29 999 255. 255. 255. 248 | 0. 0. 0. 7 |
| / 30 255. 255. 255. 252 | 0. 0. 0. 3 999/319999 255. 255. 255. 254 | 0. 0. 0. 1 |
| / 32 | 255. 255. 255. 255 | 0. 0. 0. 0 |
| Zugriffssteuerungseinträge | Die Zugriffskontrollliste besteht aus einer Reihe von Einträgen. Jede ACL ist nummeriert und alle Einträge in derselben Liste sind gleich nummeriert. Wenn Sie Einträge zur Liste hinzufügen, werden die neuen Einträge standardmäßig am unteren Rand angezeigt. Die einzige Ausnahme ist der implizite Eintrag am Ende jeder Liste, der alle ablehnen soll. Jeder Zugriffskontrolleintrag (ACE) hat in Ihrer Konfiguration folgende Struktur: | Zugriffsliste |
| Wenn Sie eine ACL mit einem einzigen Eintrag erstellen, die allen Hosts im Netzwerk der Klasse C 192. 168. 8. 0 erlaubt, Vollständige ACL wäre: | Zugriffsliste 10 zulassen 192. 168. 8. 0 0. 0. 0. 255 Zugriffsliste 10 verweigert alle | In der vorherigen ACL würde jedoch die letzte Zeile nicht wirklich angezeigt in der ACL. Wenn Sie den Befehl show verwendet haben, um diese ACL anzuzeigen, würden Sie tatsächlich Folgendes sehen: |
| Switch1> enable Password: Switch1 # Terminal konfigurieren Geben Sie Konfigurationsbefehle ein, einen pro Zeile. Beenden Sie mit CNTL / Z. Switch1 (config) # access-list 50 erlaube 192. 168. 8. 0 0. 0. 0. 255 Switch1 (config) #end Switch1 # Zugriffsliste anzeigen 50 Standard IP access list 50 erlaube 192. 168. 8. 0, Wildcard-Bits 0. 0. 0. 255 | Was passiert also, wenn Sie einen weiteren Eintrag zu Ihrer Liste hinzufügen möchten? Sie würden den gleichen Befehl verwenden. Der folgende Code zeigt, wie der 192. 168. 9. 0/24 Block mit einer Genehmigung in die ACL eingefügt wird: | Switch1> |
enable
Passwort: Switch1 # Terminal konfigurieren Geben Sie Konfigurationsbefehle ein, einen pro Zeile. Beenden Sie mit CNTL / Z. Switch1 (config) # access-list 50 erlaube 192. 168. 9. 0 0. 0. 0. 255 Switch1 (config) #
end
Switch1 # zeige Zugriffsliste 50 Standard IP access list 50 erlaube 192 168. 8. 0, Platzhalterbits 0. 0. 0. 255 zulassen 192. 168. 9. 0, Platzhalterbits 0. 0.
