Voor degenen onder u die bekend zijn met toegangscontrole lijsten, weet u waarschijnlijk dat er veel verschillende soorten toegangscontrole lijsten zijn. We hebben toegangscontrole lijsten voor IP versie 4, voor IP versie 6, voor IPX, voor DECnet, voor AppleTalk en de lijst gaat maar door en door en door. Waar bent u verantwoordelijk voor? Wij zijn verantwoordelijk voor IP versie 4 op dit punt, en daar ligt onze focus, IP versie 4. En we kunnen IP versie 4 toegangscontrole lijsten opsplitsen in twee verschillende types, standaard en uitgebreid. Wat is het verschil hier?
- Standaard ACL
- Controleert ACL bron adres
- Preventies of weigert hele protocol suite
- Uitgebreide ACL
- Controleert bron- en bestemmingsadres
- Generaal toestaan of weigeren van specifieke protocollen en toepassingen
- Bron- en bestemmings TCP- en UDP-poorten
- Protocoltype (IP, ICMP, UDP, TCP of protocolnummer)
Wel, het is naar welke parameters ze zoeken en ik wil dat je standaard leest, waar zoekt deze standaard hier naar? Wat controleert het? Ik wil dat je dat leest. En ik ga een manier laten zien om het te onthouden. Dus u ziet dat de standaard niet kijkt naar de bestemming, wat praktisch gezien, niet erg nuttig is. Het ontbreken van de mogelijkheid om naar een bestemming te kijken is nogal beperkend, je wilt meestal kijken naar waar het vandaan komt en waar het naartoe gaat. Maar een standaard toegangslijst heeft iets gemeen met een bronadres, nietwaar? Het is de letter S, het is een goede manier om te onthouden dat standaard toegangslijsten alleen kijken naar bron.
Extended access control lists, of extended ACLs, aan de andere kant, ze zijn veel krachtiger, ze kunnen kijken naar bron en bestemming, ze kunnen kijken naar transportlaag protocollen zoals TCP en User Data Protocol, of UDP. Ze kunnen kijken naar applicatielaag protocollen over TCP en UDP, zoals HTTP, FTP, Trivial File Transport Protocol, of TFTP, DNS, secure sockets layer, en secure shell. Dat klinkt als veel, dus hoe onthouden we dat uitgebreide toegangslijsten voor zoveel meer kunnen dan standaard toegangscontrolelijsten? Wel, toen we het hadden over onze standaard toegangscontrolelijsten, wezen we erop dat ze alleen het bronadres controleren. Standaard begint met S, bron begint ook met S.
Dus ik herinner het me als standaard, alleen bron, S en S, terwijl met uitgebreid, we al het andere hebben. Dus de E helpt ons alles te onthouden. Nu zijn er bepaalde dingen die we niet kunnen matchen. We kunnen niet overeenkomen met sequentie nummers, acknowledgment nummers, we kunnen niet overeenkomen met veel van de vlaggen in TCP bijvoorbeeld, we kunnen overeenkomen met een van hen en bit verzenden. Maar het is veel meer omvattend en dus zitten we dichter bij alles. Onthoud, als we deze invoeren, hebben we twee sets van syntax, we hebben de oude syntax en we hebben de nieuwe syntax. En we gaan u blootstellen aan beide.
De oude syntaxis is genummerd, de nieuwe syntaxis is genoemd, en de genummerde syntaxis, het is een beetje lastig. Numerieke namen komen we niet zo vaak tegen. In de genummerde standaard toegangslijst, hebben we één tot en met 99. Er is een uitgebreid bereik waar we weg van blijven, er is geen reden meer om dat te gebruiken. De 1300 tot en met 1999, die gebruiken we niet, oké, blijf er vanaf. Maar één tot en met 99 is standaard, 100 tot en met 199 is uitgebreid en de manier om deze reeks te onthouden is dat ze altijd eindigen op 99’s, elke reeks eindigt op 99 iets. En wanneer we uitbreiden naar een drie-cijferige waarde, wanneer we van twee cijfers naar drie cijfers springen, breiden we uit en daarom krijgen we de uitgebreide IP-toegangslijst reeks.
| IPv4 ACL Type | Number Range / Identifier |
|---|---|
| Numbered Standard | 1-99, 1300-1999 |
| Numbered Extended | 100-199, 2000-2699 |
| Naam (Standaard en Uitgebreid) | Naam |
Maar dat is de syntax waar we eerlijk gezegd meer verantwoordelijk voor zijn, maar die we nu al het grootste deel van een decennium hebben, named access control lists. In feite, het is al meer dan een decennium op dit moment. Wat is het voordeel van een benoemde toegangscontrole lijst? Wel, een benoemde toegangscontrolelijst, ten eerste, laat ons toe om een beschrijvende naam te geven. Dus in plaats van onze toegangscontrolelijst 79 te noemen, kunnen we een beschrijvende naam geven en die naam kan ons helpen om te begrijpen wat de toegangscontrolelijst moet bereiken. Maar waar we echt van profiteren door benoemde toegangscontrole lijsten te gebruiken, is de mogelijkheid om ze te bewerken, regels toe te voegen en te verwijderen binnen die ACL.
Zie je, met genummerde toegangscontrole lijsten, als je een regel moet toevoegen, als je naar de commando regel interface gaat en je wilt een regel toevoegen, dan wordt daar naar gekeken vóór een regel die je daar al hebt staan. Je kan er gewoon niet in gaan en het er gewoon instoppen, er is geen manier om dat te doen met de syntax om het te creëren. Dus je bent beperkt in je bewerkingsmogelijkheden, wat moet je doen? Wis alles en maak het opnieuw. Dus Notepad komt van pas. Goed, maar met de naam toegangscontrole lijst, hebben we de mogelijkheid om in de naam toegangscontrole lijst syntax te gaan, toevoegen, verplaatsen, verwijderen, veranderen van die regels in de toegangscontrole lijst, zoals wij dat willen.
Dus veel krachtiger, de naam toegangscontrole lijst syntax. Maar begrijp ons niet verkeerd hier. De genummerde toegangscontrole lijst identificatie, zoals 1, 2, 3, 4 of 100 of 150, dat is nog steeds de naam van de toegangscontrole lijst. En je zult het later zien, gebruik de benoemde toegangscontrole lijst syntax om een genummerde toegangscontrole lijst te bewerken. Het is best cool en we geven je de mogelijkheid om je genummerde toegangscontrole lijst aan te passen en je fouten te herstellen zonder dat je het hele ding moet weggooien en verwijderen. Dus een echt geweldige syntax en je zult het leren en je zult er van houden en we zullen het allemaal zien, alle syntax terwijl we samen door deze cursus gaan.
Standaard genummerde ACL’s
Standaard toegangslijst, waar letten ze op? Ik vraag je, waar zoeken ze naar? Ze kijken naar de bron parameter en hier kunnen we dat zien. Dus ze gaan zich geen zorgen maken over de layer 2 frame header, ze gaan kijken naar de packet header, ze gaan kijken naar het source veld in de packet header en matchen uitsluitend op basis van dat. Ze gaan dus niet dieper in op de transportlaag. En geen van deze gaat in de data, oké. Je zou wat geavanceerde firewall functies moeten gebruiken om te filteren op basis van data.
Hier is waar we op hebben gewacht, de syntax, en het is niet overdreven ingewikkeld, let daar op. Het is niet overdreven ingewikkeld. Eerst en vooral, configureren we genummerde toegangscontrole lijsten in globale configuratie modus. We typen access-list in en dan specificeren we het nummer van de toegangslijst. Dus dit zijn standaard IPv4 toegangscontrole lijsten, wat zijn de nummerreeksen? 1 tot 99 en 1300 tot 1999. Als we een nummer specificeren uit deze mogelijke waarden, weet onze router automatisch dat we een standaard IPv4 toegangscontrolelijst aan het maken zijn en hij zal je de juiste syntax geven om te gebruiken.
Hij zal je geen parameters laten invoeren die niet acceptabel zijn voor de standaard IP versie 4 toegangscontrolelijst. Dus als je het verkeerde nummer invoert, als je 101 invoert, waar je probeert een standaard IP versie 4 toegangscontrolelijst te maken, zal het je de syntax voor een uitgebreide toegangscontrolelijst geven, toch? Dus wees voorzichtig met je nummering, kies de juiste nummers en dan specificeer je wat je wilt dat er met dit verkeer gebeurt. Wil je het toestaan? Wil je het weigeren? Je kunt ook een opmerking plaatsen, wat is een opmerking? Het is gewoon een beschrijving. Dus je kunt deze toegangscontrole lijst beschrijven, zodat als je later de toegangscontrole lijst bekijkt, je weet waar het voor dient.
R1(config)#R1(config)#access-list 1 ?deny Pakketten opgeven om te weigerenpermit Pakketten opgeven om door te sturenremark Toegangslijst entry commentaarR1(config)#access-list 1 permit ?Hostnaam of A.B.C.D Adres om te matchenany Elke bronhosthost Een enkel hostadresR1(config)#access-list 1 permit 172.16.0.0 ?/nn of A.B.C.D Wildcard bitslog Log matches tegen deze entry<cr>R1(config)#access-list 1 permit 172.16.0.0 0.0.255.255 ?log Log matches tegen deze entry<cr>R1(config)#access-list 1 permit 172.16.0.0.0.255.255R1(config)#
Dan hebben we onze bron, wat is de bron? Weet je nog, toen we eerder keken naar adressen en wildcard mask combinaties… Nou, de bron is het bronadres, dat startpunt dat we willen gebruiken voor die reeks vergelijking. Dus als we naar ons voorbeeld kijken, hebben we 172.16.0.0 als adres, de bron en dan het masker. Wat is het masker? Wees voorzichtig hier, het is niet, ik herhaal, het is niet het subnet mask. Het is het wildcard masker. Dit is waar we het wildcard mask invoeren. Dus in ons voorbeeld 0.0.255.255, dus wat is het bereik van adressen dat deze toegangscontrole lijst, die we net gemaakt hebben, gaat controleren? 172.16.0.0 tot 172.16.255.255.
Dus je ziet hoe belangrijk dat wildcard mask is, en begrijpen wat het doet, het zal je helpen om ze te maken en te lezen. Het zegt hier dat er een standaard wildcard mask is, neem dat met een korreltje zout, je besturingssysteem zal over het algemeen de syntax niet meer accepteren als je een entry in je toegangscontrole lijst zet die geen wildcard mask heeft. Oké, dus dat is oud gedrag en niet representatief voor iets dat recent is. Als we een entry invoegen zoals we zien in globale configuratiemode met access-list, dan is dat slechts één entry. Hou in gedachten, als we nog een entry willen toevoegen, dan hebben we nog steeds access-list 1 en dan bouwen we de volgende permissie of weigering reeks. access-list 1 opnieuw, access-list 1 opnieuw, als we een grotere en grotere toegangscontrole lijst willen bouwen. Wat is de minimumgrootte van een toegangscontrolelijst?
Een minimumgrootte zou één toestemmingsverklaring zijn. Ja, ik denk dat er niet maar één “deny” verklaring kan zijn, dat zou nutteloos zijn, tenzij je aan het loggen bent, maar dat zou niets doorlaten. En het maximum is wat je kunt verzinnen en waar je het uithoudingsvermogen voor hebt. Eens je je toegangscontrole lijst in globale configuratie modus geperfectioneerd hebt, zoals we hier zien, kan je ze valideren. Maar om toegangslijsten te tonen, commando en dat zou in feite alle toegangslijsten tonen, IPv4, IPv6, Mac adres toegangslijst, IPX, AppleTalk, maar meestal hebben we alleen IPv4 en tegenwoordig misschien wat IPv6.
R1#show access-listsStandaard IP access list 110 permit 172.16.0.0, wildcard bits 0.0.255.255
En we zien die ene entry. Wacht eens even, wacht eens even, we hebben 172.16 toegestaan met dat wildcard masker, wat is die 10 daar? Wat is die 10 die net tot leven kwam in onze toegangslijst? De 10 is een automatisch sequentie nummer dat wordt toegevoegd aan de toegangslijst. Het zal standaard 10 zijn. Als we een andere entry zouden maken… dus we typen in access-list 1 permit 192.168.1.0 0.0.255, dan zou die automatisch een sequentienummer krijgen. En het zou 20 zijn, de volgende in de lijst en de volgende zal 30 zijn en 40 en 50, het is hoe we ze bijhouden, het volgnummer, de volgorde waarin we ze hebben gemaakt.
En dit is belangrijk, herinner je hoe we zeiden, als we de toegangscontrolelijst willen bewerken, willen we misschien hier en daar een entry toevoegen, maar we kunnen dat alleen doen met benoemde syntaxis, we zijn niet in staat om dat hier te doen met deze standaard nummering syntaxis, maar die volgordenummers zullen de bepalende factor zijn van waar onze entry komt te staan. Als we toevoegen of verplaatsen of verwijderen of veranderen en we zullen dat later zien, we zullen dat later pas zien als we in de benoemde toegangscontrole lijst syntax gaan van hoe deze volgnummers kunnen worden gebruikt en gemanipuleerd in ons voordeel.
Het verwijderen van een toegangslijst is heel gemakkelijk, onthoud dat krachtige no commando, typ in no access-list en dan het nummer van de toegangslijst die je wilt verwijderen. Wees voorzichtig, wees voorzichtig. Laten we zeggen dat je no access-list 1 permit 172.16.0.0 0.0.255.255 hebt ingetypt. Dus je wilt een standaard toegangslijst entry verwijderen die je eerder hebt gemaakt. Je typt no in en je specificeert het hele commando dat je eerder intypte, zal dat enkel die ene entry verwijderen? Ik zal dat herhalen, zal dat alleen die ene entry verwijderen? Op het eerste gezicht, ja, dat is op het eerste gezicht, maar als je dat probeert en je hebt het getest? Nee, dat is niet wat er zal gebeuren. Het zal niet alleen dat ene item verwijderen, wat zal het doen? Het zal het hele ding verwijderen, dus sommigen van jullie hebben hier mee te maken gehad. Het is echt bizar gedrag in het IOS.
R1#config t
Voer configuratie commando’s in, één per regel. Eindig met CNTL/Z.
R1(config)#no access-list 1
R1(config)#end
R1#sh access-lists
R1#
Normaal gezien, wanneer we een specifiek commando invoeren en we zetten het erin als een no, dan verwijdert het gewoon dat ene commando. Hier moeten we heel voorzichtig zijn met de syntax, maakt niet uit wat, je zegt geen toegangslijst, geef het een nummer. Het kan me niet schelen wat er daarna gebeurt, het zal de hele toegangslijst verpletteren en menige slechte dag is veroorzaakt door dit gedrag.
