Entwicklung des LAN-Bereichs
|
Grundfunktion einer Transparent-Bridge
|
Der Layer-2-Switch
|
Layer-3-Routing
|
Spanning-Tree-Erweiterungen -- Cisco
|
Spanning-Tree-Erweiterungen – IEEE
|
Spanning-Tree-Optionen
|
Switch-Security
|
Verwaltung mit HTTP
|
Drahtlose Kommunikation
|
VLSM und Route-Summarization
|
Grundlagen und Konfiguration von RIP
|
Aufbau und Anwendung von Access-Control-Listen
|
Adressübersetzung durch NAT und PAT
|
Virtuelle Private Netze (Virtual Private Networks)
|
Kryptographie und IPSec VPNs
|
Grundlagen von IPv6
|
Simple Network Management Protocol (SNMP)
|
separation line

1.13.6. Grundsätzliche Bestimmungen

Präsentation
  • Access-Control-Listen bestehen aus mehreren Statements
  • Die Statements erlauben oder verbieten Adressen oder auch Protokolle
  • Die Statements werden sequentiell abgearbeitet
  • Wenn in einem Statement ein Match stattfindet, werden weitere Statements nicht mehr berücksichtigt
  • Ein impliziter Deny any ist am Ende einer Access-Control-Liste vorhanden
  • Eine Access-Control-Liste muss mindestens ein Permit-Statement haben
  • Statements, die sehr häufig matchen, sollten am Anfang der Liste stehen

Wie in der Abbildung beschrieben, besteht eine ACL aus mehreren Statements. Hierbei handelt es sich um die eingehend genannten, selbstdefinierten Regeln, denen Datenpakete unterworfen werden. Durch diese Vorgaben können, je nachdem ob eine Standard- oder Extended-ACL eingesetzt wird, bestimmte Adressen oder auch Protokolle erlaubt (permit) oder verboten (deny) werden. Wichtig zu wissen ist, dass die Statements immer sequentiell abgearbeitet werden. Wird die ACL mit einem anderen Prozess querverbunden und ein zu überprüfendes Datenpaket mit einem Statement »matched«, wird sofort die angegebene Aktion (permit oder deny) durchgeführt, ohne die weiteren Statements zu berücksichtigen. Weiterhin haben alle ACLs die besondere Eigenschaft, dass es zusätzlich zum letzten explizit konfigurierten Statement ein weiteres implizites Statement gibt, das ein »deny any« beinhaltet. Dieses »deny any« bedeutet, dass alles, was nicht explizit erlaubt wurde, implizit verboten wird. Somit kann man festlegen, dass eine ACL mindestens ein Permit-Statement haben muss, da sonst alles verboten würde.

Zum Erstellen von ACLs gibt es, abhängig von dem Ziel, das man erreichen möchte, viele Methoden. Es können beispielsweise alle notwendigen Permit-Statements zuerst definiert werden und alles andere wird ohnehin implizit verboten. Es besteht auch die Möglichkeit, alle notwendigen Deny-Statements zuerst anzugeben und ein explizites »permit any«-Statement wird als letzter Eintrag festgelegt. Das »permit any« bedeutet, dass alles, was nicht explizit verboten wurde, explizit erlaubt wird. Aufgrund dieses letzten Eintrags kommt der implizite »deny any« nie zum Tragen. Andere Methoden sind auch zulässig und werden in der Praxis sehr oft angewendet. So können zum Beispiel Permit- oder Deny-Statements auch gemischt werden.

Die Abarbeitung der ACL kann, abhängig von der eingesetzten Hardware, sehr lastintensiv sein. Daher ist die Reihenfolge der Statements zu beachten. Da die ACL sequentiell abgearbeitet wird, sollten zum Einsparen von CPU-Zyklen die Statements, die am häufigsten zutreffen werden, immer am Anfang festgelegt sein.

top
separation line