Création standards listes de contrôle d'accès (ACL)

Listes de contrôle d'accès sont utilisés pour gérer la sécurité du réseau et peuvent être créés dans une variété de façons. ACL standard, qui ont moins d'options pour la classification des données et le contrôle des flux de trafic que les LCA étendues.

ACL standard sont plus facile et plus simple à utiliser que les LCA étendues. Cependant, dans leur simplicité, vous perdez certaines fonctionnalités, comme la gestion de l'accès basé sur Transmission Control Protocol (TCP) ou UDP (User Datagram Protocol) ports. ACL standard sont numérotés de 1 à 99 et de 1300 à 1999 (gamme élargie). Ils ne permettent ou refuser l'accès basé sur les adresses IP source.

Les masques génériques

Lorsque vous créez une ACL standard ou une LCA étendue, vous utilisez un masque générique pour identifier les dispositifs ou les adresses qui seront touchés par l'ACL.

Dans un masque de sous réseau, la configuration binaire a ceux séparés de zéros avec celles sur la gauche du nombre et les zéros sur la droite. Ce scénario est plus préoccupés par le réseau que les appareils sont allumés et moins préoccupés par les hôtes réels sur ce réseau.

Par conséquent, l'accent sur le nombre est où les uns sont, pas là où sont situés les zéros. La même chose est vraie du masque générique, où vous faites affaire avec l'accès des hôtes à une ressource. Parce que vous êtes maintenant concernés par les hôtes, l'accent est mis reversed- donc, les bits sont inversés. Dans le masque générique, vous êtes moins préoccupés par les réseaux en plus préoccupés par les hôtes sur ce réseau.

Par conséquent, le masque générique a encore zéros et de uns séparés, mais maintenant ceux sont sur la droite et les zéros sont sur la gauche.

Cela dit, pour un bloc de réseau de classe C, comme 192.168.5.0/24, où vous cherchez à le masque de sous-réseau 255.255.255.0, pour un joker masque que vous seriez en regardant 0.0.0.255 (ce qui serait encore se concentrer sur l'adresse de réseau et les hôtes présents sur ce bloc de réseau).

Le tableau ci-dessous montre la répartition des masques de sous comparables et masques génériques. Bien que vous utilisez la notation CIDR pour simplifier l'écriture des masques de sous-réseau (avec 255.0.0.0 devenir / 8), cette notation ne vise pas les masques génériques.

Les masques génériques par le bit
Notation CIDRMasque de sous-Masque joker
/ 8255.0.0.00.255.255.255
/ 9255.128.0.00.127.255.255
/10255.192.0.00.63.255.255
/ 11255.224.0.00.31.255.255
/ 12255.240.0.00.15.255.255
/ 13255.248.0.00.7.255.255
/ 14255.252.0.00.3.255.255
/ 15255.254.0.00.1.255.255
/ 16255.255.0.00.0.255.255
/ 17255.255.128.00.0.127.255
/ 18255.255.192.00.0.63.255
/ 19255.255.224.00.0.31.255
/ 20255.255.240.00.0.15.255
/ 21255.255.248.00.0.7.255
/ 22255.255.252.00.0.3.255
/ 23255.255.254.00.0.1.255
/ 24255.255.255.00.0.0.255
/ 25255.255.255.1280.0.0.127
/ 26255.255.255.1920.0.0.63
/ 27255.255.255.2240.0.0.31
/ 28255.255.255.2400.0.0.15
/ 29255.255.255.2480.0.0.7
/ 30255.255.255.2520.0.0.3
/ 31255.255.255.2540.0.0.1
/ 32255.255.255.2550.0.0.0

Access Control Entries

L'Access Control List est composé d'une série d'entrées. Chaque ACL est numéroté, et toutes les entrées de la même liste sont également comptés. Par défaut, lorsque vous ajoutez des entrées à la liste, les nouvelles entrées apparaissent en bas. La seule exception est l'entrée implicite au bas de chaque liste, qui est un Deny All. Chaque entrée de contrôle d'accès (ACE) a la structure suivante dans votre configuration:

access-list    

Si vous créez une seule ACL d'entrée permettant à tous les hôtes sur le réseau de classe C de 192.168.8.0, puis l'ACL complète serait:

access-list 10 permis 192.168.8.0 0.0.0.255access liste 10 nie toute

Dans la précédente ACL, cependant, la dernière ligne ne semble pas réellement dans l'ACL. Si vous avez utilisé le montrer commande pour voir ce ACL vous réellement voir:

Switch1> enablePassword: Switch1 # configure les commandes de configuration de terminalEnter, un par ligne. Terminez avec CNTL / Z.Switch1 (config) # access-list 50 permis 192.168.8.0 0.0.0.255Switch1 (config) # endSwitch1 # show access-list liste d'accès IP 50Standard 50permit 192.168.8.0, joker Bits 0.0.0.255

Donc ce qui arrive si vous voulez ajouter une autre entrée à votre liste? Vous souhaitez utiliser la même commande. Le code suivant montre comment ajouter le bloc 192.168.9.0/24 à ACL avec un permis:

Switch1>activerMot de passe: Switch1 # configure les commandes de configuration de terminalEnter, un par ligne. Terminez avec CNTL / Z.Switch1 (config) # access-list 50 permis 192.168.9.0 0.0.0.255Switch1 (config) #finSwitch1 # show access-list 50Standard IP liste d'accès 50permit 192.168.8.0, les bits génériques 0.0.0.255permit 192.168.9.0, joker Bits 0.0.

» » » » Création standards listes de contrôle d'accès (ACL)