ACLs - termen, begrippen en CLI
ACL staat voor Access Controll List
Een ACL bestaat uit minstens EEn ACE, een Access Controll Entry. Deze wordt vaak ook ACL Statement genoemd.
REGELS en BENAMINGEN
- een standaard ACL filtert alleen op source IP
- een extended ACL kan filteren op source IP, destination IP,
TCP en UDP, source en destination port numbers - een ACL bekijkt regel per regel of er een
MATCH
is.- de eerste
MATCH
wordt gevolgd. - als er 3 regels achter mekaar staan en de eerste regel is een
MATCH
, dan worden regels 2 en 3 niet meer bekeken. - zijn er geen matches, dan volgt de
implicit deny
die onzichtbaar staat aan het eind van elke ACL; elke pakket zonderMATCH
wordt altijd geweigerd door dezeimplicit deny
.
- de eerste
- een inbound ACL filtert op incoming packets, en doet dit voor het routen.
- een outbound ACL filtert na het routen, als de pakketten de router via een interface verlaten.
- een numbered ACL wordt geidentificeerd aan de hand van een nummer
- een named ACL wordt geidentificeerd aan de hand van een naam.
Je kiest een nummer of een naam -- niet beiden. - plaats standard ACLs zo kort mogelijk bij de bestemming van het pakket
- plaats extended ACLs zo kort mogelijk bij de bron van het pakket
- een ACL bevat een ip-adres en een wildcard. Een wildcard is een omgekeerde netmask (zie OSPF http://netwerk800.be/routing/ospf/basic-dynamic-routing-ospf punt 3)
192.168.10.0 wildcard 0.0.1.255
betekent alle adressen in de range
192.168.10.0 tot 192.168.11.255
10.0.0.0 wildcard 0.31.255.255
betekent alle adressen in de range
10.0.0.0 tot 10.31.255.255
- als je als wildcard
host
gebruikt betekent dit0.0.0.0
(match ALL bits -> slechts 1 adres) - als je als wildcard
any
gebruikt, betekent dit255.255.255.255
(match NO bits -> ALLE adressen)
- implicit DENY: alles wat niet wordt toegelaten in een ACL
(gelezen van boven naar onder) wordt ge-denied