Vandag sal ons begin leer oor ACL-toegangsbeheerlys, hierdie onderwerp sal 2 videolesse neem. Ons sal kyk na die konfigurasie van 'n standaard ACL, en in die volgende video-tutoriaal sal ek praat oor die uitgebreide lys.
In hierdie les sal ons 3 onderwerpe dek. Die eerste is wat 'n ACL is, die tweede is wat die verskil is tussen 'n standaard en 'n uitgebreide toegangslys, en aan die einde van die les, as 'n laboratorium, sal ons kyk na die opstel van 'n standaard ACL en die oplossing van moontlike probleme.
So, wat is 'n ACL? As jy die kursus vanaf die heel eerste videoles bestudeer het, dan onthou jy hoe ons kommunikasie tussen verskeie netwerktoestelle georganiseer het.
Ons het ook statiese roetering oor verskeie protokolle bestudeer om vaardighede op te doen in die organisering van kommunikasie tussen toestelle en netwerke. Ons het nou die leerstadium bereik waar ons bekommerd moet wees oor die versekering van verkeersbeheer, dit wil sê om te verhoed dat “slegte ouens” of ongemagtigde gebruikers die netwerk binnedring. Dit kan byvoorbeeld mense van die VERKOOP-verkoopafdeling aangaan, wat in hierdie diagram uitgebeeld word. Hier wys ons ook die finansiële afdeling REKENINGE, die bestuursafdeling BESTUUR en die bedienerkamer SERVER ROOM.
So, die verkoopsafdeling het dalk honderd werknemers, en ons wil nie hê dat een van hulle die bedienerkamer oor die netwerk kan bereik nie. 'n Uitsondering word gemaak vir die verkoopsbestuurder wat op 'n Laptop2-rekenaar werk - hy kan toegang tot die bedienerkamer hê. 'n Nuwe werknemer wat op Laptop3 werk, behoort nie sulke toegang te hê nie, dit wil sê as verkeer vanaf sy rekenaar router R2 bereik, moet dit laat vaar word.
Die rol van 'n ACL is om verkeer volgens die gespesifiseerde filterparameters te filter. Dit sluit die bron-IP-adres, bestemmings-IP-adres, protokol, aantal poorte en ander parameters in, waardeur u die verkeer kan identifiseer en 'n paar aksies daarmee kan neem.
Dus, ACL is 'n laag 3-filtermeganisme van die OSI-model. Dit beteken dat hierdie meganisme in routers gebruik word. Die hoofkriterium vir filtering is die identifikasie van die datastroom. Byvoorbeeld, as ons die ou met die Laptop3-rekenaar wil blokkeer om toegang tot die bediener te kry, moet ons eerstens sy verkeer identifiseer. Hierdie verkeer beweeg in die rigting van Laptop-Switch2-R2-R1-Switch1-Server1 deur die ooreenstemmende koppelvlakke van netwerktoestelle, terwyl die G0/0-koppelvlakke van routers niks daarmee te doen het nie.
Om verkeer te identifiseer, moet ons die pad daarvan identifiseer. Nadat ons dit gedoen het, kan ons besluit waar presies ons die filter moet installeer. Moenie bekommerd wees oor die filters self nie, ons sal dit in die volgende les bespreek, vir nou moet ons die beginsel verstaan van watter koppelvlak die filter toegepas moet word.
As jy na 'n router kyk, kan jy sien dat elke keer as verkeer beweeg, daar 'n koppelvlak is waar die datavloei inkom, en 'n koppelvlak waardeur hierdie vloei uitkom.
Daar is eintlik 3 koppelvlakke: die invoer koppelvlak, die uitset koppelvlak en die router se eie koppelvlak. Onthou net dat filtering slegs op die inset- of uitsetkoppelvlak toegepas kan word.
Die beginsel van ACL-werking is soortgelyk aan 'n pas na 'n geleentheid wat slegs bygewoon kan word deur die gaste wie se naam op die lys van genooide persone is. 'n ACL is 'n lys van kwalifikasieparameters wat gebruik word om verkeer te identifiseer. Byvoorbeeld, hierdie lys dui aan dat alle verkeer vanaf die IP-adres 192.168.1.10 toegelaat word, en dat verkeer vanaf alle ander adresse geweier word. Soos ek gesê het, kan hierdie lys toegepas word op beide die invoer- en afvoerkoppelvlak.
Daar is 2 tipes ACL's: standaard en uitgebreide. 'n Standaard ACL het 'n identifiseerder van 1 tot 99 of van 1300 tot 1999. Dit is bloot lysname wat geen voordele bo mekaar inhou namate die nommering toeneem nie. Benewens die nommer, kan jy jou eie naam aan die ACL toewys. Uitgebreide ACL's is genommer 100 tot 199 of 2000 tot 2699 en kan ook 'n naam hê.
In 'n standaard ACL is die klassifikasie gebaseer op die bron IP-adres van die verkeer. Daarom, wanneer u so 'n lys gebruik, kan u nie verkeer beperk wat na enige bron gerig word nie, u kan slegs verkeer blokkeer wat van 'n toestel afkomstig is.
'n Uitgebreide ACL klassifiseer verkeer volgens bron-IP-adres, bestemmings-IP-adres, protokol wat gebruik word en poortnommer. Byvoorbeeld, jy kan slegs FTP-verkeer blokkeer, of slegs HTTP-verkeer. Vandag sal ons na die standaard ACL kyk, en ons sal die volgende videoles aan uitgebreide lyste wy.
Soos ek gesê het, 'n ACL is 'n lys van voorwaardes. Nadat jy hierdie lys op die roeteerder se inkomende of uitgaande koppelvlak toegepas het, kontroleer die roeteerder die verkeer teen hierdie lys, en as dit voldoen aan die voorwaardes wat in die lys uiteengesit word, besluit dit of hy hierdie verkeer moet toelaat of weier. Mense vind dit dikwels moeilik om die inset- en uitsetkoppelvlakke van 'n router te bepaal, hoewel daar niks ingewikkeld hier is nie. Wanneer ons praat oor 'n inkomende koppelvlak, beteken dit dat slegs inkomende verkeer op hierdie poort beheer sal word, en die router sal nie beperkings op uitgaande verkeer toepas nie. Net so, as ons van 'n uitgangskoppelvlak praat, beteken dit dat alle reëls slegs van toepassing is op uitgaande verkeer, terwyl inkomende verkeer op hierdie hawe sonder beperkings aanvaar sal word. Byvoorbeeld, as die roeteerder 2 poorte het: f0/0 en f0/1, sal die ACL slegs toegepas word op verkeer wat die f0/0-koppelvlak binnegaan, of slegs op verkeer wat van die f0/1-koppelvlak afkomstig is. Verkeer wat koppelvlak f0/1 binnegaan of verlaat, sal nie deur die lys geraak word nie.
Moet dus nie verwar word deur die inkomende of uitgaande rigting van die koppelvlak nie, dit hang af van die rigting van die spesifieke verkeer. Dus, nadat die router die verkeer nagegaan het om by die ACL-toestande te pas, kan dit slegs twee besluite neem: laat die verkeer toe of verwerp dit. Byvoorbeeld, jy kan verkeer wat vir 180.160.1.30 bestem is, toelaat en verkeer wat vir 192.168.1.10 bestem is, verwerp. Elke lys kan veelvuldige voorwaardes bevat, maar elkeen van hierdie voorwaardes moet toelaat of ontken.
Kom ons sê ons het 'n lys:
verbied _______
Laat _________ toe
Laat _________ toe
Verbied _________.
Eerstens sal die router die verkeer nagaan om te sien of dit by die eerste toestand pas; as dit nie ooreenstem nie, sal dit die tweede toestand nagaan. As die verkeer by die derde toestand pas, sal die router ophou kontroleer en dit nie met die res van die lystoestande vergelyk nie. Dit sal die "laat toe"-aksie uitvoer en voortgaan om die volgende gedeelte van die verkeer na te gaan.
In die geval dat jy nie 'n reël vir enige pakkie gestel het nie en die verkeer gaan deur al die lyne van die lys sonder om enige van die voorwaardes te tref, word dit vernietig, want elke ACL-lys eindig by verstek met die deny any command - dit wil sê weggooi enige pakkie, wat nie onder enige van die reëls val nie. Hierdie voorwaarde tree in werking as daar ten minste een reël in die lys is, anders het dit geen effek nie. Maar as die eerste reël die inskrywing ontken 192.168.1.30 bevat en die lys bevat nie meer enige voorwaardes nie, dan moet daar aan die einde 'n bevelpermit wees, dit wil sê, enige verkeer toelaat behalwe dit wat deur die reël verbied word. U moet dit in ag neem om foute te vermy wanneer u die ACL opstel.
Ek wil hê jy moet die basiese reël van die skep van 'n ASL-lys onthou: plaas standaard ASL so na as moontlik aan die bestemming, dit wil sê aan die ontvanger van die verkeer, en plaas uitgebreide ASL so na as moontlik aan die bron, dit wil sê, aan die sender van die verkeer. Dit is Cisco-aanbevelings, maar in die praktyk is daar situasies waar dit meer sin maak om 'n standaard ACL naby die verkeersbron te plaas. Maar as jy 'n vraag oor ACL-plasingsreëls tydens die eksamen teëkom, volg Cisco se aanbevelings en antwoord ondubbelsinnig: standaard is nader aan die bestemming, verleng is nader aan die bron.
Kom ons kyk nou na die sintaksis van 'n standaard ACL. Daar is twee tipes opdragsintaksis in die globale konfigurasiemodus van die router: klassieke sintaksis en moderne sintaksis.
Die klassieke opdragtipe is toegangslys <ACL-nommer> <weier/toelaat> <kriteria>. As jy <ACL-nommer> van 1 tot 99 stel, sal die toestel outomaties verstaan dat dit 'n standaard ACL is, en as dit van 100 tot 199 is, dan is dit 'n uitgebreide een. Aangesien ons in vandag se les na 'n standaardlys kyk, kan ons enige getal van 1 tot 99 gebruik. Dan dui ons die aksie aan wat toegepas moet word as die parameters ooreenstem met die volgende kriterium - laat verkeer toe of weier. Ons sal die kriterium later oorweeg, aangesien dit ook in moderne sintaksis gebruik word.
Die moderne opdragtipe word ook in die Rx(config) globale konfigurasiemodus gebruik en lyk soos volg: ip access-list standard <ACL number/name>. Hier kan jy óf 'n nommer van 1 tot 99 óf die naam van die ACL-lys gebruik, byvoorbeeld ACL_Networking. Hierdie opdrag plaas die stelsel onmiddellik in Rx standaardmodus subopdragmodus (config-std-nacl), waar jy <deny/enable> <kriteria> moet invoer. Die moderne tipe spanne het meer voordele in vergelyking met die klassieke een.
In 'n klassieke lys, as jy toegangslys 10 weier ______ tik, tik dan die volgende opdrag van dieselfde soort vir 'n ander maatstaf, en jy eindig met 100 sulke opdragte, dan sal jy enige van die opdragte wat ingevoer is te verander moet verwyder die hele toegangslyslys 10 met die opdrag geen toegangslys 10. Dit sal al 100 opdragte uitvee omdat daar geen manier is om enige individuele opdrag in hierdie lys te wysig nie.
In moderne sintaksis word die opdrag in twee reëls verdeel, waarvan die eerste die lysnommer bevat. Gestel as jy 'n lys toegang-lys standaard 10 weier ________, toegang-lys standaard 20 weier ________ ensovoorts het, dan het jy die geleentheid om tussenlyste met ander kriteria tussen hulle in te voeg, byvoorbeeld toegang-lys standaard 15 weier ________ .
Alternatiewelik kan jy eenvoudig die toegangslys standaard 20 reëls uitvee en dit oortik met verskillende parameters tussen die toegangslys standaard 10 en toegangslys standaard 30 reëls. Daar is dus verskeie maniere om moderne ACL sintaksis te wysig.
Jy moet baie versigtig wees wanneer jy ACL's skep. Soos u weet, word lyste van bo na onder gelees. As jy 'n lyn aan die bokant plaas wat verkeer van 'n spesifieke gasheer toelaat, dan kan jy hieronder 'n lyn plaas wat verkeer verbied vanaf die hele netwerk waarvan hierdie gasheer deel is, en beide toestande sal nagegaan word - verkeer na 'n spesifieke gasheer sal deur toegelaat word, en verkeer vanaf alle ander gashere wat hierdie netwerk sal geblokkeer word. Plaas dus altyd spesifieke inskrywings boaan die lys en algemenes onderaan.
Dus, nadat jy 'n klassieke of moderne ACL geskep het, moet jy dit toepas. Om dit te doen, moet jy gaan na die instellings van 'n spesifieke koppelvlak, byvoorbeeld, f0/0 met behulp van die opdrag koppelvlak <tipe en gleuf>, gaan na die koppelvlak subopdrag af en voer die opdrag ip toegang-groep <ACL nommer/ naam> . Let asseblief op die verskil: wanneer 'n lys saamgestel word, word 'n toegangslys gebruik, en wanneer dit toegepas word, word 'n toegangsgroep gebruik. Jy moet bepaal op watter koppelvlak hierdie lys toegepas sal word - die inkomende koppelvlak of die uitgaande koppelvlak. As die lys 'n naam het, byvoorbeeld Netwerk, word dieselfde naam herhaal in die opdrag om die lys op hierdie koppelvlak toe te pas.
Kom ons neem nou 'n spesifieke probleem en probeer om dit op te los deur die voorbeeld van ons netwerkdiagram deur Packet Tracer te gebruik. So, ons het 4 netwerke: verkoopsafdeling, rekeningkundige afdeling, bestuur en bedienerkamer.
Taak nr. 1: alle verkeer wat vanaf die verkoops- en finansiële afdelings na die bestuursafdeling en bedienerkamer gerig word, moet geblokkeer word. Die blokkeerplek is koppelvlak S0/1/0 van router R2. Eerstens moet ons 'n lys skep wat die volgende inskrywings bevat:
Kom ons noem die lys "Management and Server Security ACL", afgekort as ACL Secure_Ma_And_Se. Dit word gevolg deur die verbieding van verkeer vanaf die finansiële afdeling netwerk 192.168.1.128/26, die verbieding van verkeer vanaf die verkoopsafdeling netwerk 192.168.1.0/25, en die toelaat van enige ander verkeer. Aan die einde van die lys word aangedui dat dit gebruik word vir die uitgaande koppelvlak S0/1/0 van router R2. As ons nie 'n Permit Any-inskrywing aan die einde van die lys het nie, sal alle ander verkeer geblokkeer word omdat die verstek ACL altyd gestel is op 'n Weier Enige-inskrywing aan die einde van die lys.
Kan ek hierdie ACL toepas op koppelvlak G0/0? Natuurlik kan ek, maar in hierdie geval sal slegs verkeer van die rekeningkundige afdeling geblokkeer word, en verkeer van die verkoopsafdeling sal op geen manier beperk word nie. Op dieselfde manier kan u 'n ACL op die G0/1-koppelvlak toepas, maar in hierdie geval sal die verkeer van die finansiële departement nie geblokkeer word nie. Natuurlik kan ons twee afsonderlike bloklyste vir hierdie koppelvlakke skep, maar dit is baie meer doeltreffend om dit in een lys te kombineer en dit toe te pas op die uitsetkoppelvlak van roeteerder R2 of die invoerkoppelvlak S0/1/0 van roeteerder R1.
Alhoewel Cisco-reëls bepaal dat 'n standaard ACL so na as moontlik aan die bestemming geplaas moet word, sal ek dit nader aan die bron van die verkeer plaas omdat ek alle uitgaande verkeer wil blokkeer, en dit maak meer sin om dit nader aan die bron sodat hierdie verkeer nie die netwerk tussen twee routers mors nie.
Ek het vergeet om jou van die kriteria te vertel, so kom ons gaan vinnig terug. Jy kan enige as 'n maatstaf spesifiseer - in hierdie geval sal enige verkeer vanaf enige toestel en enige netwerk geweier of toegelaat word. U kan ook 'n gasheer met sy identifiseerder spesifiseer - in hierdie geval sal die inskrywing die IP-adres van 'n spesifieke toestel wees. Ten slotte kan jy 'n hele netwerk spesifiseer, byvoorbeeld 192.168.1.10/24. In hierdie geval sal /24 die teenwoordigheid van 'n subnetmasker van 255.255.255.0 beteken, maar dit is onmoontlik om die IP-adres van die subnetmasker in die ACL te spesifiseer. Vir hierdie geval het ACL 'n konsep genaamd Wildcart Mask, of "omgekeerde masker". Daarom moet u die IP-adres en terugkeermasker spesifiseer. Die omgekeerde masker lyk soos volg: jy moet die direkte subnetmasker van die algemene subnetmasker aftrek, dit wil sê, die getal wat ooreenstem met die oktetwaarde in die voorwaartse masker word van 255 afgetrek.
Daarom moet jy die parameter 192.168.1.10 0.0.0.255 as die maatstaf in die ACL gebruik.
Hoe dit werk? As daar 'n 0 in die terugkeermasker-oktet is, word die maatstaf beskou om by die ooreenstemmende oktet van die subnet-IP-adres te pas. As daar 'n nommer in die rugmasker-oktet is, word die passing nie nagegaan nie. Dus, vir 'n netwerk van 192.168.1.0 en 'n terugkeermasker van 0.0.0.255, sal alle verkeer vanaf adresse waarvan die eerste drie oktette gelyk is aan 192.168.1., ongeag die waarde van die vierde oktet, geblokkeer of toegelaat word, afhangende van die gespesifiseerde aksie.
Dit is maklik om 'n omgekeerde masker te gebruik, en ons sal terugkom na die Wildcart Mask in die volgende video sodat ek kan verduidelik hoe om daarmee te werk.
28:50 min
Dankie dat jy by ons gebly het. Hou jy van ons artikels? Wil jy meer interessante inhoud sien? Ondersteun ons deur 'n bestelling te plaas of by vriende aan te beveel, 30% afslag vir Habr-gebruikers op 'n unieke analoog van intreevlakbedieners, wat deur ons vir jou uitgevind is: (beskikbaar met RAID1 en RAID10, tot 24 kerne en tot 40 GB DDR4).
Dell R730xd 2 keer goedkoper? Net hier in Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - vanaf $99! Lees van
Bron: will.com