Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

Cisco CCENT/CCNA R&S – ICND1 100-105 v3.0 Teil 4 – Infrastructure Services

ACL-Probleme lösen

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Der Fokus in diesem Video liegt beim Troubleshooting von ACL-Problemen. Lernen Sie, wie Sie schrittweise eventuelle Fehlfunktionen erkennen und beheben.
04:37

Transkript

So toll wie Access Control List auch sind, gibt es immer wieder Probleme bei der Konfiguration von Access Control List, weil die Reihenfolge der Access Control Entries nicht richtig umgesetzt wurde. Eine falsche Reihenfolge der Access Control Entries kann den Netzwerkverkehr beeinträchtigen. Die erste Access Control Entry- Übereinstimmung unterbricht die weitere Verarbeitung der restlichen ACEs. Schauen wir uns ein Beispiel an. Zuerst access-list 1 deny und dann ist ein Ausschluss eines spezifischen Systems dargestellt, 172.16.2.100 mit einer Wildcard-Mask von 0.0.0.0. Das bedeutet ein spezifisches System. Dann access-list 1 permit any, also die restliche Kommunikation wird erlaubt. Und am Schluss noch ein access-list 1 deny any. Sie sellen sich vielleicht die Frage: Warum konfiguriert man hier ein deny any? Es ist ja immer am Schluss einer Access Control List das Statement deny any. Dieser Eintrag wird vielfach gemacht, damit, wenn dieser Eintrag, also access-list 1 deny any getroffen wird, wenn eine Übereinstimmung stattfindet, wird ein Eintrag in das Logsystem erstellt. Ohne deny any in der Access List würde kein Eintrag erstellt werden, weil das Statement implicit deny any erzeugt keinen Log-Eintrag. Wir sehen also hier, die Liste wird von oben nach unten abgearbeitet. Findet in der ersten Linie eine Übereinstimmung statt, werden die restlichen Entries nicht mehr verarbeitet. Ein Beispiel, das zeigen soll, wie Probleme entstehen können bei der Reihenfolge von Access Control Entries. Ziel ist das Blockieren des Subnets 192.168.1.32/28 und alles andere erlauben. Beispielsweise könnte eine Konfiguration in etwa so aussehen. Aber das ist falsch. Der erste Eintrag erlaubt alles, somit wird die Verarbeitung der ACEs nicht mehr weitergeführt, weil es steht permit any, das sagt es aus, alles erlauben, somit werden die restlichen ACEs nicht mehr verarbeitet. Ein weiteres Beispiel: Immer noch das gleiche Ziel. Die Konfiguration könnte so aussehen. Was ist nun das Problem? Der erste Eintrag erlaubt, dass das Subnetz 192.168.1.0 /24 erlaubt wird. Darin ist aber auch unser Beispielsubnetz enthalten. Somit ist auch das nicht die richtige Konfiguration. Wir haben immer noch das gleiche Ziel und eine folgende Konfiguration: access-list 1 deny und dann 192.168.1.32 mit einer Wildcard-Maske von .0.0.0.15. Das ist ebenfalls falsch. Diese Konfiguration blockiert alles, jede ACL hat am Schluss ein implicit deny any, somit wird sämtlicher Datenverkehr blockiert; also nicht nur das eigentliche Ziel-Subnetz, sondern auch alles andere, und das wollen wir ja nicht. Die nächste Konfiguration: Immer noch das gleiche Ziel. acces-list 1 deny und dann unser Subnetz, acces-list 1 permit any und dann access-list 1 deny any. Richtig, genau so sollte es sein. Zuerst wird das Ziel-Subnetz blockiert und mit dem zweiten ACE, access-list 1 permit any, erlauben wir allen anderen Netzwerkdatenverkehr. Vielleicht haben Sie mit diesen Beispielen die Idee erhalten, warum man sich sehr genau überlegen muss, wie eine Access List aufgebaut wird, damit der eigentliche Datenverkehr, den man zum Beispiel erlauben möchte, auch durchgelassen wird und dass der restliche Datenverkehr blockiert wird. Wichtig: Die Access Control Entries müssen in der richtigen Reihenfolge konfiguriert werden.

Cisco CCENT/CCNA R&S – ICND1 100-105 v3.0 Teil 4 – Infrastructure Services

Bereiten Sie sich mit diesem und vier weiteren Trainings auf die Cisco-Zertifizierungsprüfung 100-105 v3.0 vor und erlernen Sie umfassende Kenntnisse zur Einrichtung und Administration von Netzwerken.

1 Std. 42 min (16 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!