home       basis       routing       switching       advanced       security       overig       testen      

ACLs - termen, begrippen en CLI

 
ACL staat voor Access Controll List
 
Een ACL bestaat uit minstens EEn ACE, een Access Controll Entry. Deze wordt vaak ook ACL Statement genoemd.
 
dit is een voorbeeld van een ACE: access-list 25 permit 192.168.100.5
 
en dit is een voorbeeld van een ACL (met de ACE van hierboven erin):

access-list 25 permit 192.168.100.5
access-list 25 deny any

 

REGELS en BENAMINGEN

  • een standaard ACL filtert alleen op source IP
  • een extended ACL kan filteren op source IP, destination IP,
    TCP en UDP, source en destination port numbers
  • een ACL bekijkt regel per regel of er een MATCH is.
     
    • de eerste MATCH wordt gevolgd.
    • als er 3 regels achter mekaar staan en de eerste regel is een MATCH ,
      dan worden regels 2 en 3 niet meer bekeken.
    • zijn er geen matches, dan volgt een ongeschreven implicit deny onzichtbaar aan het eind van elke ACL; elke pakket zonder MATCH wordt altijd GEWEIGERD door deze implicit deny .
       
  • een inbound ACL filtert op incoming packets op een interface, en doet dit voor het routen.
  • een outbound ACL filtert na het routen, als de pakketten de router via een interface verlaten.
  • een numbered ACL wordt geidentificeerd aan de hand van een nummer
  • een named ACL wordt geidentificeerd aan de hand van een naam.
     (je kiest een nummer of een naam -- niet beide)
  • plaats standard ACLs zo kort mogelijk bij de bestemming van het pakket
  • plaats extended ACLs zo kort mogelijk bij de bron van het pakket
  • een ACL bevat een ip-adres en een wildcard. Een wildcard is een omgekeerde netmask (zie OSPF http://netwerk800.be/routing/ospf/basic-dynamic-routing-ospf punt 3)
     
    • 192.168.10.0 wildcard 0.0.1.255
      betekent alle adressen in de range
      192.168.10.0 tot 192.168.11.255
       
    • 10.0.0.0 wildcard 0.31.255.255
      betekent alle adressen in de range
      10.0.0.0 tot 10.31.255.255
       
    • als je als wildcard host gebruikt betekent dit 0.0.0.0
      (match ALL bits -> slechts 1 adres)
    • als je als wildcard any gebruikt, betekent dit 255.255.255.255
      (match NO bits -> ALLE adressen)
       
  • implicit DENY: alles wat niet wordt toegelaten in een ACL
    (gelezen van boven naar onder) wordt ge-denied