netwerk800 | ACLs begrippen

ACLs - termen, begrippen en CLI

ACL staat voor Access Controll List

Een ACL bestaat uit minstens EEn ACE, een Access Controll Entry. Deze wordt vaak ook ACL Statement genoemd.

REGELS en BENAMINGEN

een standaard ACL filtert alleen op source IP
een extended ACL kan filteren op source IP, destination IP,
TCP en UDP, source en destination port numbers
een ACL bekijkt regel per regel of er een MATCH is.
- de eerste MATCH wordt gevolgd.
- als er 3 regels achter mekaar staan en de eerste regel is een MATCH , dan worden regels 2 en 3 niet meer bekeken.
- zijn er geen matches, dan volgt de implicit deny die onzichtbaar staat aan het eind van elke ACL; elke pakket zonder MATCH wordt altijd geweigerd door deze implicit deny .
een inbound ACL filtert op incoming packets, en doet dit voor het routen.
een outbound ACL filtert na het routen, als de pakketten de router via een interface verlaten.
een numbered ACL wordt geidentificeerd aan de hand van een nummer
een named ACL wordt geidentificeerd aan de hand van een naam.
Je kiest een nummer of een naam -- niet beiden.
plaats standard ACLs zo kort mogelijk bij de bestemming van het pakket
plaats extended ACLs zo kort mogelijk bij de bron van het pakket
een ACL bevat een ip-adres en een wildcard. Een wildcard is een omgekeerde netmask (zie OSPF http://netwerk800.be/routing/ospf/basic-dynamic-routing-ospf punt 3)
- 192.168.10.0 wildcard 0.0.1.255
  betekent alle adressen in de range
  192.168.10.0 tot 192.168.11.255
- 10.0.0.0 wildcard 0.31.255.255
  betekent alle adressen in de range
  10.0.0.0 tot 10.31.255.255
- als je als wildcard host gebruikt betekent dit 0.0.0.0
  (match ALL bits -> slechts 1 adres)
- als je als wildcard any gebruikt, betekent dit 255.255.255.255
  (match NO bits -> ALLE adressen)
implicit DENY: alles wat niet wordt toegelaten in een ACL
(gelezen van boven naar onder) wordt ge-denied