Сёння мы пачнем вывучэнне спісу кіравання доступам ACL, гэтая тэма зойме 2 відэаўрокі. Мы разгледзім канфігурацыю стандартнага спісу ACL, а на наступным відэаўроку я раскажу пра пашыраны спіс.
На гэтым уроку мы разгледзім 3 тэмы. Першая што такое ACL, другая у чым складаецца розніца паміж стандартным і пашыраным спісам доступу, а ў канцы ўрока ў якасці лабараторнай працы мы разгледзім наладу стандартнага ACL і рашэнне магчымых праблем.
Такім чынам, што такое ACL? Калі вы вывучалі курс з самага першага відэаўрока, то памятаеце, як мы арганізоўвалі сувязь паміж рознымі сеткавымі прыладамі.
Мы таксама вывучылі статычную маршрутызацыю па розных пратаколах з мэтай набыцця навыкаў арганізацыі сувязі паміж прыладамі і сеткамі. Цяпер мы дасягнулі этапу навучання, на якім варта заклапаціцца забеспячэннем кантролю трафіку, гэта значыць перашкодзіць "дрэнным хлопцам" або неаўтарызаваных карыстальнікам пракрасціся ў сетку. Напрыклад, гэта можа дакранацца людзей з аддзела продажаў SALES, які намаляваны на дадзенай схеме. Тут у нас паказаны таксама фінансавы аддзел ACCOUNTS, аддзел упраўлення MANAGEMENT і серверная SERVER ROOM.
Дык вось, у аддзеле продажаў можа працаваць сотня супрацоўнікаў, і мы не жадаем, каб хтосьці з іх змог бы дабрацца да сервернай па сетцы. Выключэнне зроблена для мэнэджэра аддзела продажаў, які працуе за кампутарам Laptop2 - ён можа мець доступ да сервернай. Новы супрацоўнік, які працуе за кампутарам Laptop3, не павінен мець такога доступу, гэта значыць калі трафік з яго кампутара дасягне роўтара R2, ён павінен быць адкінуты.
Роля ACL складаецца ў тым, каб фільтраваць трафік паводле зададзеных параметраў фільтрацыі. Яны ўключаюць у сябе IP-адрас крыніцы, IP-адрас прызначэння, пратакол, колькасць партоў і іншыя параметры, дзякуючы якім можна ідэнтыфікаваць трафік і здзейсніць з ім нейкія дзеянні.
Такім чынам, ACL уяўляе сабой механізм фільтрацыі 3-га ўзроўню мадэлі OSI. Гэта азначае, што дадзены механізм ужываецца ў роўтэрах. Асноўным крытэрам для фільтрацыі з'яўляецца ідэнтыфікацыя патоку даных. Напрыклад, калі мы жадаем заблакаваць хлопцу з кампутарам Laptop3 доступ да сервера, першым чынам мы павінны ідэнтыфікаваць яго трафік. Гэты трафік перамяшчаецца ў напрамку Laptop-Switch2-R2-R1-Switch1-Server1 праз адпаведныя інтэрфейсы сеткавых прылад, пры гэтым інтэрфейсы G0/0 роўтэраў не маюць да яго ніякага дачынення.
Каб ідэнтыфікаваць трафік, мы мусім ідэнтыфікаваць яго шлях. Зрабіўшы гэта, мы зможам вырашыць, дзе менавіта трэба ўсталяваць фільтр. Можаце не турбавацца аб саміх фільтрах, мы абмяркуем іх на наступным уроку, пакуль што нам трэба зразумець прынцып, да якога інтэрфейсу варта ўжыць фільтр.
Калі разгледзець роўтар, можна ўбачыць, што кожны раз пры руху трафіку ёсць інтэрфейс, куды паступае паток даных, і інтэрфейс, праз які гэты паток зыходзіць.
Фактычна існуюць 3 інтэрфейсы: уваходны інтэрфейс, выходны інтэрфейс і ўласны інтэрфейс роўтара. Проста запомніце, што фільтраванне можа быць ужытая толькі да ўваходнага ці да выходнага інтэрфейсу.
Прынцып працы ACL нагадвае пропуск на мерапрыемства, якое могуць наведаць толькі тыя госці, чыё імя ёсць у спісе запрошаных асоб. ACL уяўляе сабой спіс кваліфікацыйных параметраў, якія служаць для ідэнтыфікацыі трафіку. Напрыклад, гэты спіс паказвае на тое, што з IP-адрасу 192.168.1.10 дазволены любы трафік, а трафік з усіх астатніх адрасоў забаронены. Як я ўжо сказаў, гэты спіс можа быць ужыты як для ўваходнага, так і для выходнага інтэрфейсу.
Існуе 2 віды спісаў ACL: стандартныя і пашыраныя. Стандартны ACL мае ідэнтыфікатар ад 1 да 99 або ад 1300 да 1999. Гэта проста назвы спісаў, якія не маюць ніякіх пераваг сябар перад сябрам па меры ўзрастання нумарацыі. Акрамя нумара, спісу ACL можна прысвоіць уласнае імя. Пашыраныя спісы ACL маюць нумарацыю ад 100 да 199 ці ад 2000 да 2699 і таксама могуць мець назву.
У стандартным ACL класіфікацыя заснавана на IP-адрасе крыніцы трафіку. Таму пры выкарыстанні такога спісу вы не можаце абмежаваць трафік, накіраваны да якой-небудзь крыніцы, можна толькі заблакаваць трафік, які зыходзіць з нейкай прылады.
Пашыраны ACL класіфікуе трафік па IP-адрасе крыніцы, IP-адрасу прызначэння, па ўжывальным пратаколе і па нумары порта. Напрыклад, вы можаце заблакаваць толькі FTP-трафік, ці толькі HTTP-трафік. Сёння мы разгледзім стандартны ACL, а пашыраным спісам прысвяцім наступны відэаўрок.
Як я ўжо сказаў, ACL уяўляе сабой спіс умоў. Пасля таго, як вы ўжылі гэты спіс да ўваходнага або выходнага інтэрфейсу роўтара, роўтэр звярае трафік з гэтым спісам, і калі ён адпавядае выкладзеным у спісе ўмовам, прымае рашэнне, дазволіць ці забараніць дадзены трафік. Часта людзі абцяжарваюцца ў вызначэнні ўваходнага і выходнага інтэрфейсаў роўтара, хоць тут няма нічога складанага. Калі мы гаворым аб уваходным інтэрфейсе, гэта азначае, што на дадзеным порце будзе кантралявацца толькі ўваходзіць трафік, а ў адносінах да выходнага трафіку роўтэр не будзе прымяняць абмежаванняў. Аналагічна, калі гаворка ідзе аб выходным інтэрфейсе, гэта азначае, што ўсе правілы будуць прымяняцца толькі да выходнага трафіку, пры гэтым уваходны трафік на дадзеным порце будзе прымацца без абмежаванняў. Напрыклад, калі роутер мае 2 порта: f0/0 і f0/1, то спіс ACL будзе прымяняцца толькі для трафіку, які ўваходзіць у інтэрфейс f0/0, або толькі для трафіку, які зыходзіць з інтэрфейсу f0/1. На трафік, які ўваходзіць у інтэрфейс f0/1 або выходны з порта f0/0, дзеянне спісу распаўсюджвацца не будзе.
Таму няхай вас не бянтэжыць уваходнае або выходнае напрамак інтэрфейсу, яно залежыць ад кірунку руху канкрэтнага трафіку. Такім чынам, пасля таго, як роўтэр праверыў трафік на супадзенне ўмовам ACL, ён можа прыняць толькі два варыянты рашэнняў: прапусціць трафік ці адхіліць яго. Напрыклад, вы можаце дазволіць трафік, накіраваны на адрас 180.160.1.30 і адхіліць трафік, прызначаны для адраса 192.168.1.10. Кожны спіс можа змяшчаць мноства ўмоў, але кожная з гэтых умоў павінна дазваляць або забараняць.
Выкажам здагадку, маецца спіс:
Забараніць _______
Дазволіць ________
Дазволіць ________
Забараніць _________.
Спачатку роўтэр праверыць трафік на супадзенне з першай умовай, калі яно не супадае - з другой умовай. Калі трафік супадае з трэцяй умовай, роўтэр спыніць праверку і не будзе параўноўваць яго з астатнімі ўмовамі спісу. Ён выканае дзеянне "дазволіць" і пяройдзе да праверкі наступнай порцыі трафіку.
На той выпадак, калі вы не ўсталявалі правіла для якога-небудзь пакета і трафік прайшоў усе радкі спісу, не патрапіўшы ні пад адну з умоў, ён знішчаецца, таму што кожны спіс ACL па змаўчанні заканчваецца камандай deny any - гэта значыць адкінуць любы пакет, не які патрапіў ні пад адно з правіл. Гэта ўмова ўступае ў сілу, калі ў спісе ёсць хаця б адно правіла, у адваротным выпадку яно не дзейнічае. Але калі ў першым радку будзе запіс deny 192.168.1.30 і спіс больш не будзе змяшчаць ніякіх умоў, то ў канцы павінна быць каманда permit any, гэта значыць дазволіць любы трафік, акрамя забароненага правілам. Вы павінны ўлічыць гэтую акалічнасць, каб не дапушчаць памылак пры наладзе спісу ACL.
Я жадаю, каб вы запомнілі асноўнае правіла фармавання спісу ASL: стандартны ASL размяшчайце як мага бліжэй да прызначэння, гэта значыць да атрымальніка трафіку, а пашыраны ASL – максімальна блізка да крыніцы, гэта значыць да адпраўніка трафіку. Такія рэкамендацыі Cisco, аднак на практыку сустракаюцца сітуацыі, калі разумней размяшчаць стандартны ACL зблізку крыніцы трафіку. Але калі вам на іспыце трапіцца пытанне аб правілах размяшчэння ACL, прытрымлівайцеся рэкамендацый Cisco і адказвайце адназначна: стандартны - бліжэй да прызначэння, пашыраны - бліжэй да крыніцы.
Цяпер давайце разгледзім сінтаксіс стандартнага ACL. Існуюць два тыпу сінтаксісу каманд у рэжыме глабальнай канфігурацыі роўтара: класічны сінтаксіс і сучасны сінтаксіс.
Класічны тып каманды гэта access-list <нумар ACL> <забараніць/ дазволіць> <крытэрый>. Калі вы задасце <нумар ACL> ад 1 да 99, прылада аўтаматычна зразумее, што гэта стандартны AСL, а калі ад 100 да 199 - то пашыраны. Паколькі на сённяшнім уроку мы разглядаем стандартны спіс, то можам выкарыстоўваць любы лік ад 1 да 99. Затым паказваецца дзеянне, якое трэба прымяніць пры супадзенні параметраў з пазначаным далей крытэрам - дазволіць або забараніць трафік. Крытэрый мы разгледзім пазней, бо ён выкарыстоўваецца і ў сучасным сінтаксісе.
Сучасны тып каманды таксама выкарыстоўваецца ў рэжыме глабальнай канфігурацыі Rx(config) і выглядае так: ip access-list standard <нумар/імя ACL>. Тут можна выкарыстоўваць як нумар ад 1 да 99, так і назоў ACL-спісу, напрыклад, ACL_Networking. Гэтая каманда неадкладна перакладае сістэму ў рэжым падкаманд стандартнага рэжыму Rx(config-std-nacl), дзе ўжо неабходна ўвесці <забараніць/ дазволіць> <крытэрый>. Сучасны тып каманд мае больш пераваг у параўнанні з класічным.
У класічным спісе, калі вы набіраеце access-list 10 deny ______, затым набіраеце наступную каманду такога ж роду для іншага крытэра і ў выніку ў вас утворыцца 100 такіх каманд, то для змены якой-небудзь з уведзеных каманд вам спатрэбіцца выдаліць увесь спіс access- list 10 камандай no access-list 10. Пры гэтым будуць выдалены ўсе 100 каманд, таму што не існуе спосабу адрэдагаваць якую-небудзь асобную каманду дадзенага спісу.
У сучасным сінтаксісе каманда падзелена на два радкі, першы з якіх змяшчае нумар спісу. Выкажам здагадку, калі ў вас маецца спіс access-list standard 10 deny ________, access-list standard 20 deny ________ і гэтак далей, то ў вас існуе магчымасць уставіць паміж імі прамежкавыя спісы з іншымі крытэрамі, напрыклад, access-list standard 15 deny ________.
Акрамя таго, вы можаце проста выдаліць радкі access-list standard 20 і набраць іх нанова з іншымі параметрамі паміж радкамі access-list standard 10 і access-list standard 30. Такім чынам, існуюць розныя спосабы рэдагавання сучаснага сінтаксісу ACL.
Вам трэба вельмі старанна падыходзіць да складання ACL-спісаў. Як вядома, спісы чытаюцца зверху ўніз. Калі вы размясціце зверху радок з дазволам трафіку нейкага канкрэтнага хаста, то ніжэй зможаце размясціць радок з забаронай трафіку цэлай сеткі, у якую ўваходзіць гэты хост, пры гэтым будуць правярацца абедзве ўмовы - трафік да канкрэтнага хаста будзе прапускацца, а трафік усіх астатніх хастоў гэтай сеткі блакавацца. Таму заўсёды размяшчайце канкрэтызаваныя запісы ўверсе спісу, а агульныя - унізе.
Такім чынам, пасля таго, як вы стварылі класічны ці сучасны ACL, вы павінны яго прымяніць. Для гэтага трэба зайсці ў налады канкрэтнага інтэрфейсу, напрыклад, f0/0 з дапамогай каманды interface <тып і слот>, перайсці да рэжыму падкаманд інтэрфейсу і ўвесці каманду ip access-group <нумар/імя ACL> . Звярніце ўвагу на розніцу: пры складанні спісу выкарыстоўваецца access-list, а пры яго ўжыванні - access-group. Вы павінны вызначыць, да якога інтэрфейсу будзе ўжыты дадзены спіс - да інтэрфейсу ўваходнага або да інтэрфейсу выходнага трафіку. Калі спіс мае імя, напрыклад, Networking, гэтае ж імя паўтараецца ў камандзе прымянення спісу на дадзеным інтэрфейсе.
Цяпер давайце возьмем пэўную задачу і паспрабуем яе вырашыць на прыкладзе схемы нашай сеткі з выкарыстаннем Packet Tracer. Такім чынам, у нас ёсць 4 сеткі: аддзела продажаў, бухгалтэрыі, менеджменту і сервернай.
Задача №1: увесь трафік, які накіроўваецца з аддзела продажаў і фінансавага аддзела ў аддзел менеджменту і серверную, павінен блакавацца. Месцам блакавання з'яўляецца інтэрфейс S0/1/0 роўтара R2. Спачатку мы павінны скласці спіс, у якім будуць змяшчацца такія запісы:
Назавем спіс "ACL бяспекі менеджменту і сервернай", скарочана ACL Secure_Ma_And_Se. Далей варта забарона трафіку сеткі фінансавага аддзела 192.168.1.128/26, забарона трафіку сеткі аддзела продажаў 192.168.1.0/25 і дазвол любога іншага трафіку. У канцы спісу паказана, што ён ужываецца для выходнага інтэрфейсу S0/1/0 роўтара R2. Калі ў нас не будзе запісу Permit Any у канцы спісу, то ўвесь астатні трафік будзе заблакаваны, таму што па змаўчанні ў канцы спісу ACL заўсёды усталёўваецца запіс Deny Any.
Ці магу я прымяніць дадзены ACL да інтэрфейсу G0/0? Вядома, магу, але ў гэтым выпадку заблакуецца толькі трафік з бухгалтэрыі, а трафік аддзела продажаў нічым не будзе абмежаваны. Дакладна таксама можна прымяніць ACL да інтэрфейсу G0/1, але ў гэтым выпадку не будзе блакавацца трафік фінансавага аддзела. Вядома, мы можам скласці для гэтых інтэрфейсаў два асобных спісу блакавання, але нашмат больш эфектыўна злучыць іх у адзін спіс і прымяніць яго для выходнага інтэрфейсу роўтара R2 або ўваходнага інтэрфейсу S0/1/0 роўтара R1.
Хоць паводле правіл Cisco, стандартны спіс ACL павінен размяшчацца як мага бліжэй да прызначэння, я ўсё ж размяшчу яго бліжэй да крыніцы трафіку, таму што жадаю заблакаваць увесь выходны трафік, а гэта мэтазгодней зрабіць бліжэй да крыніцы, каб гэты трафік дарма не займаў сетку паміж двума роўтэрамі.
Я забыўся расказаць вам аб крытэрах, так што давайце хутка вернемся назад. У якасці крытэра вы можаце паказаць any – у гэтым выпадку любы трафік любой прылады і любой сеткі будзе забаронены ці дазволены. Можна таксама паказаць хост з яго ідэнтыфікатарам - у гэтым выпадку запіс будзе ўяўляць сабой IP-адрас канкрэтнай прылады. Нарэшце, можна пазначыць цэлую сетку, напрыклад, 192.168.1.10/24. Пры гэтым /24 будзе азначаць наяўнасць маскі падсеткі 255.255.255.0, аднак у ACL немагчыма паказаць IP-адрас маскі падсеткі. Для гэтага выпадку ў ACL маецца канцэпт пад назовам Wildcart Mask, або зваротная маска . Таму вы павінны пазначыць IP-адрас і адваротную маску. Зваротная маска выглядае наступным чынам: вы павінны адабраць з агульнай маскі падсеткі прамую маску падсеткі, гэта значыць ад 255 адымаецца лік, якое адпавядае значэнню актэта ў прамой масцы.
Такім чынам, у якасці крытэра ў спісе ACL вы павінны выкарыстоўваць параметр 192.168.1.10 0.0.0.255.
Як гэта працуе? Калі ў актэце зваротнай маскі размешчаны 0, лічыцца, што крытэр супадае з які адпавядае актэтам IP-адрасы падсеткі. Калі ў актэце зваротнай маскі маецца нейкі лік, супадзенне не правяраецца. Такім чынам, для сеткі 192.168.1.0 і зваротнай маскі 0.0.0.255, увесь трафік з адрасоў, тры першыя актэта якіх роўныя 192.168.1., незалежна ад значэння чацвёртага актэта, будзе блакавацца ці дазваляцца ў залежнасці ад зададзенага дзеяння.
Выкарыстанне зваротнай маскі не ўяўляе складанасцяў, і мы яшчэ вернемся да Wildcart Mask у наступным відэа, каб я змог растлумачыць, як з ёй працаваць.
28:50 мін
Дзякуй, што застаяцеся з намі. Вам падабаюцца нашыя артыкулы? Жадаеце бачыць больш цікавых матэрыялаў? Падтрымайце нас аформіўшы замову або парэкамендаваўшы знаёмым, 30% зніжка для карыстальнікаў Хабра на ўнікальны аналаг entry-level сервераў, які быў прыдуманы намі для Вас: (даступныя варыянты з RAID1 і RAID10, да 24 ядраў і да 40GB DDR4).
Dell R730xd у 2 разы танней? Толькі ў нас у Нідэрландах! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – ад $99! Чытайце аб тым
Крыніца: habr.com