ビデオ: MaaS360 Open Mic: MaaS360 User and Group Management, 19 June 2018 2024
ネットワーク管理者は、行を追加して標準のアクセス制御リスト(ACL)を変更します。アクセス制御リスト(ACL)に追加する新しいエントリは、リストの一番下に表示されます。
ルーティングテーブルとは異なり、最初に一致するエントリとして使用されるACLエントリを処理するときに、リスト内で最も近いものを検索します。たとえば、ACLに192.268. 8. 0/24の1つのホストをブロックしたい場合は、違いがあります。あなたのACLに192,162、8,200の拒否を追加する必要があります:
<! - 1 - >Switch1> enableパスワード:Switch1#configure terminalコンフィギュレーションコマンドを1行に1つ入力します。 CNTL / Zで終了します。 Switch1(config)#access-list 50 deny 192.168.0.8 200 0. 0. 0 Switch1(config)#end Switch1#show access-list 50標準IPアクセスリスト50 deny 192.168. 8. 200許可192.168.8.0、ワイルドカードビット0. 0. 255許可192.168.9.0、ワイルドカードビット0. 0. 255
通知拒否がリストの先頭に追加され、追加の許可はリストの最後に追加されました。さらに、このエントリにはワイルドカードビットは含まれません。順序の振る舞いは設計上のものであり、単一ホストのエントリが重要であるため、リストの先頭にフィルタリングされます。
<! - 2 - >単一ホストに対するACEの減少も期待されます。ワイルドカードマスクにすべてのゼロを書き込むのではなく、このように単一のホストを追加することができます。
Switch1(config)#access-list 50 deny host 192. 168. 8. 200
同じ2つのクラスCアドレスブロックを拒否し、192の最初の4つのアドレスを許可する新しいACLを作成できます168. 8. 0/24範囲(192. 168. 8. 0~192。168. 8. 3)。この順序でACLを作成すると、結果は次のようになります。
<! - 3 - >Switch1#configure terminalコンフィギュレーションコマンドを1行に1つずつ入力します。 CNTL / Zで終了します。 Switch1(config)#access-list 60 deny 192. 168. 9. 0 0. 0. 255スイッチ1(config)#access-list 60 deny 192。 (config)#end switch1#show access-list 60標準IPアクセスリスト60 deny 192. 168. 8. 0、wildcard(config)#access-list 60 permit 192. 168. 8. 0 0. 0. 3ビット0 0. 0. 255拒否192 192.0 9.ワイルドカードビット0. 0. 255 255許可192 168.8.0ワイルドカードビット0. 0. 3 9 999入力した順番でACLに追加されると、許可はリストの最後に表示されます。このACLをテストすると、192. 168. 8. 2のようなアドレスが最初のACEによって取得され、3番目のACEからの許可が受信されません。どのようにこれを修正しますか?
ACLは使用されている場所から削除し、ACLを削除し、正しい順序で新しいACLを作成し、使用されている場所に戻します。この長いプロセスは実際には、ACLを使用している場所から削除してから、追加されるまでシステムを開いたままにします。これはACLの標準的な管理方法でした。
-
このようにACLを操作する場合は、必要なすべての手順をメモ帳にコピーします。 EXE。これには、古いACLを削除して新しいACLを追加する手順が含まれます。プロセス全体がメモ帳でステージングされた後。 exeの場合は、copyコマンドを使用して、CLI管理アプリケーション(パテなど)にコピー&ペーストします。 EXE。
デバイスがサポートしている場合は、次のコードのIPコマンドを使用してACLを編集できます。これにより、ACLに行番号を入れることができます。このオプションは、グローバル設定モードからACLを編集するときには使用できません。これにより、ACL設定モードが使用されます。行番号を入力するときに、ACLのエントリ間にギャップを残したいとします。 (config-ext-nacl)#10 deny 192.168.0.0.0 0. 0. 255 Router1(config-ext-nacl)#20 denyこの事前計画が完了すると、あなたは、
-
Router1>
enable
パスワード:Router1#configure terminal Router1(config)次のように、10未満の番号を選択して、ACLの上部に新しいACLエントリを追加できます。 (config-ext-nacl)#999ルータ1(config-ext-nacl) show access-list 60標準IPアクセスリスト60 5許可192.168.9.0、ワイルドカードビット0. 0. 3 10拒否192.168.9.0、ワイルドカードビット0. 0. 255 255拒否ワイルドカードビット0. 0. 255 255許可192.168.8.0、ワイルドカードビット0. 0. 3これにより、オンザフライでACLを編集することができます(つまり、それが使用されているインターフェイスから削除することなく)、ACLとrecreaを削除せずに新しいエントリを追加できる番号の隙間がある限り、多くの時間と労力を節約できます。
IOSのバージョンとデバイスによっては、他にもオプションがあります。 Adaptive Security Appliance(ASA;適応型セキュリティアプライアンス)を見ると、事前に計画する必要はありません。 ASAFirewall1> 有効 パスワード:ASAFirewall1#端末を設定するASAFirewall1(config)#access-list 60 deny 192. 168. 8.次のコードを確認してください。 0 255. 255. 255. 0 ASAFirewall1(config)#access-list 60 deny 192. 168. 9. 0 255. 255. 255. 0 ASAFirewall1(config)# exit
ASAFirewall1#show access-list 60アクセスリスト60; 2要素アクセスリスト60ライン1標準拒否192 168. 8 0 255 255 255. 0(hitcnt = 0)0x318d5521アクセスリスト60ライン2標準拒否192 168. 9. 0 255 255 255 (設定)#
exit #access-list 60 line 1 permit 192. 9. 0 255. 255. 255. 248 ASAFirewall1(config) ASAFirewall1#show access-list 60アクセスリスト60; 3要素アクセスリスト60行1標準許可192. 168. 9. 0 255。255. 255. 248(hitcnt = 0)0x451bbe48アクセスリスト60ライン2標準拒否192 168. 8 0 255. 255. 255. 0(hitcnt = 0)0x318d5521アクセスリスト60行3標準拒否192 9. 0 255. 255. 255. 0(hitcnt = 0)0xba5e90e1 ASAを使用することで、オンザフライでラインを追加したり、手動でACLエントリに番号を付けることができます。もう一度同じ行を使用する場合は、必要に応じてASAがリスト全体の番号を付け直します。これは本当に両方の世界の最高です。
