Обучение на Cisco 200-125 CCNA v3.0. Ден 27. Въведение в ACL. Част 1

Днес ще започнем да изучаваме списъка за контрол на достъпа до ACL, тази тема ще отнеме 2 видео урока. Ще разгледаме конфигурацията на стандартен ACL, а в следващия видео урок ще говоря за разширения списък.

В този урок ще разгледаме 3 теми. Първият е какво представлява ACL, вторият е каква е разликата между стандартен и разширен списък за достъп и в края на урока, като лабораторна работа, ще разгледаме настройването на стандартен ACL и решаването на възможни проблеми.
И така, какво е ACL? Ако сте изучавали курса от първия видео урок, тогава си спомняте как организирахме комуникацията между различни мрежови устройства.

Изучихме и статично маршрутизиране през различни протоколи, за да придобием умения за организиране на комуникации между устройства и мрежи. Сега сме достигнали етапа на обучение, когато трябва да сме загрижени за осигуряването на контрол на трафика, тоест предотвратяване на „лоши момчета“ или неоторизирани потребители от проникване в мрежата. Например, това може да се отнася за хора от отдела за продажби на SALES, който е изобразен на тази диаграма. Тук също така показваме финансовия отдел СМЕТКИ, отдела за управление УПРАВЛЕНИЕ и сървърната стая СЪРВЪРНА СТАЯ.
Така че отделът за продажби може да има сто служители и ние не искаме никой от тях да може да достигне до сървърната стая по мрежата. Изключение се прави за мениджър продажби, който работи на компютър Laptop2 - той може да има достъп до сървърното помещение. Нов служител, работещ на Laptop3, не трябва да има такъв достъп, тоест ако трафикът от компютъра му достигне до рутер R2, той трябва да отпадне.

Ролята на ACL е да филтрира трафика според зададените параметри за филтриране. Те включват IP адрес на източника, IP адрес на местоназначение, протокол, брой портове и други параметри, благодарение на които можете да идентифицирате трафика и да предприемете някои действия с него.

И така, ACL е механизъм за филтриране на ниво 3 на OSI модела. Това означава, че този механизъм се използва в рутери. Основният критерий за филтриране е идентификацията на потока от данни. Например, ако искаме да блокираме човека с компютъра Laptop3 от достъп до сървъра, първо трябва да идентифицираме неговия трафик. Този трафик се движи в посока Laptop-Switch2-R2-R1-Switch1-Server1 през съответните интерфейси на мрежовите устройства, докато G0/0 интерфейсите на рутерите нямат нищо общо с това.

За да идентифицираме трафика, трябва да идентифицираме неговия път. След като направим това, можем да решим къде точно трябва да инсталираме филтъра. Не се притеснявайте за самите филтри, ще ги обсъдим в следващия урок, засега трябва да разберем принципа на кой интерфейс трябва да се приложи филтърът.

Ако погледнете рутер, можете да видите, че всеки път, когато трафикът се движи, има интерфейс, където влиза потокът от данни, и интерфейс, през който този поток излиза.

Всъщност има 3 интерфейса: входен интерфейс, изходен интерфейс и собствен интерфейс на рутера. Само не забравяйте, че филтрирането може да се приложи само към входния или изходния интерфейс.

Принципът на работа на ACL е подобен на пропуск за събитие, на което могат да присъстват само онези гости, чието име е в списъка с поканени лица. ACL е списък от квалификационни параметри, които се използват за идентифициране на трафика. Например този списък показва, че целият трафик е разрешен от IP адрес 192.168.1.10, а трафикът от всички други адреси е отказан. Както казах, този списък може да се приложи както към входния, така и към изходния интерфейс.

Има 2 вида ACL: стандартни и разширени. Стандартният ACL има идентификатор от 1 до 99 или от 1300 до 1999. Това са просто списъчни имена, които нямат никакви предимства едно пред друго, тъй като номерацията се увеличава. В допълнение към номера можете да зададете свое собствено име към ACL. Разширените ACL са номерирани от 100 до 199 или от 2000 до 2699 и може също да имат име.

В стандартен ACL класификацията се основава на IP адреса на източника на трафика. Следователно, когато използвате такъв списък, не можете да ограничите трафика, насочен към който и да е източник, можете да блокирате само трафик, идващ от устройство.

Разширеният ACL класифицира трафика по IP адрес на източник, IP адрес на местоназначение, използван протокол и номер на порт. Например, можете да блокирате само FTP трафик или само HTTP трафик. Днес ще разгледаме стандартния ACL и ще посветим следващия видео урок на разширени списъци.

Както казах, ACL е списък от условия. След като приложите този списък към входящия или изходящия интерфейс на рутера, рутерът проверява трафика спрямо този списък и ако отговаря на условията, посочени в списъка, той решава дали да разреши или откаже този трафик. На хората често им е трудно да определят входните и изходните интерфейси на рутера, въпреки че тук няма нищо сложно. Когато говорим за входящ интерфейс, това означава, че на този порт ще се контролира само входящият трафик и рутерът няма да прилага ограничения за изходящия трафик. По същия начин, ако говорим за изходящ интерфейс, това означава, че всички правила ще се прилагат само за изходящия трафик, докато входящият трафик на този порт ще се приема без ограничения. Например, ако рутерът има 2 порта: f0/0 и f0/1, тогава ACL ще се прилага само към трафик, влизащ в интерфейса f0/0, или само към трафик, произхождащ от интерфейса f0/1. Трафикът, влизащ или излизащ от интерфейс f0/1, няма да бъде засегнат от списъка.

Затова не се бъркайте от входящата или изходящата посока на интерфейса, зависи от посоката на конкретния трафик. Така че, след като рутерът е проверил трафика за съответствие с условията на ACL, той може да вземе само две решения: да разреши трафика или да го отхвърли. Например можете да разрешите трафик, предназначен за 180.160.1.30, и да отхвърлите трафик, предназначен за 192.168.1.10. Всеки списък може да съдържа множество условия, но всяко от тези условия трябва да разрешава или отказва.

Да кажем, че имаме списък:

Забранете _______
Позволява ________
Позволява ________
Забранете _________.

Първо, рутерът ще провери трафика, за да види дали отговаря на първото условие; ако не съвпада, ще провери второто условие. Ако трафикът отговаря на третото условие, рутерът ще спре проверката и няма да го сравни с останалите условия от списъка. Той ще извърши действието „разрешаване“ и ще премине към проверка на следващата част от трафика.

В случай, че не сте задали правило за нито един пакет и трафикът преминава през всички редове на списъка, без да отговаря на някое от условията, той се унищожава, тъй като всеки ACL списък по подразбиране завършва с командата deny any - тоест discard всеки пакет, който не попада под нито едно от правилата. Това условие влиза в сила, ако в списъка има поне едно правило, в противен случай то няма ефект. Но ако първият ред съдържа отказ за въвеждане 192.168.1.30 и списъкът вече не съдържа никакви условия, тогава в края трябва да има команда permit any, тоест разрешаване на всякакъв трафик, освен този, забранен от правилото. Трябва да вземете това предвид, за да избегнете грешки при конфигуриране на ACL.

Искам да запомните основното правило за създаване на ASL списък: поставете стандартния ASL възможно най-близо до дестинацията, тоест до получателя на трафика, и поставете разширения ASL възможно най-близо до източника, т.е. към подателя на трафика. Това са препоръки на Cisco, но на практика има ситуации, в които е по-разумно да поставите стандартен ACL близо до източника на трафик. Но ако срещнете въпрос относно правилата за поставяне на ACL по време на изпита, следвайте препоръките на Cisco и отговорете недвусмислено: стандартният е по-близо до дестинацията, разширеният е по-близо до източника.

Сега нека да разгледаме синтаксиса на стандартния ACL. Има два типа команден синтаксис в режима на глобална конфигурация на рутера: класически синтаксис и модерен синтаксис.

Класическият тип команда е access-list <ACL номер> <deny/allow> <criteria>. Ако зададете <ACL номер> от 1 до 99, устройството автоматично ще разбере, че това е стандартен ACL, а ако е от 100 до 199, тогава е разширен. Тъй като в днешния урок разглеждаме стандартен списък, можем да използваме произволно число от 1 до 99. След това посочваме действието, което трябва да се приложи, ако параметрите отговарят на следния критерий - разрешаване или отказ на трафик. Ще разгледаме критерия по-късно, тъй като той се използва и в съвременния синтаксис.

Модерният тип команда също се използва в режима на глобална конфигурация Rx(config) и изглежда така: ip access-list standard <ACL номер/име>. Тук можете да използвате или число от 1 до 99, или името на ACL списъка, например ACL_Networking. Тази команда незабавно поставя системата в режим на подкоманда стандартен режим Rx (config-std-nacl), където трябва да въведете <deny/enable> <criteria>. Модерният тип екипи има повече предимства пред класическия.

В класически списък, ако въведете access-list 10 deny ______, след това въведете следващата команда от същия вид за друг критерий и накрая получите 100 такива команди, тогава, за да промените някоя от въведените команди, ще трябва да изтриете целия списък с достъп 10 с командата no access-list 10. Това ще изтрие всичките 100 команди, защото няма начин да редактирате всяка отделна команда в този списък.

В съвременния синтаксис командата е разделена на два реда, първият от които съдържа номера на списъка. Да предположим, че ако имате списък за достъп-списък стандарт 10 отказ ________, списък за достъп стандарт 20 отказ ________ и т.н., тогава имате възможност да вмъкнете междинни списъци с други критерии между тях, например списък за достъп стандарт 15 отказ ________ .

Като алтернатива можете просто да изтриете стандартните редове за списък за достъп 20 и да ги въведете отново с различни параметри между редовете за стандарт за списък за достъп 10 и стандартни редове за списък за достъп 30. По този начин има различни начини за редактиране на съвременния ACL синтаксис.

Трябва да сте много внимателни, когато създавате ACL. Както знаете, списъците се четат отгоре надолу. Ако поставите ред в горната част, който позволява трафик от определен хост, тогава по-долу можете да поставите ред, който забранява трафик от цялата мрежа, от която е част този хост, и двете условия ще бъдат проверени - трафикът към конкретен хост ще бъде разрешено и трафикът от всички други хостове в тази мрежа ще бъде блокиран. Затова винаги поставяйте конкретни записи в горната част на списъка, а общите в долната.

Така че, след като сте създали класически или модерен ACL, трябва да го приложите. За да направите това, трябва да отидете в настройките на конкретен интерфейс, например f0/0, като използвате командния интерфейс <тип и слот>, отидете в режима на подкоманда на интерфейса и въведете командата ip access-group <ACL номер/ име> . Моля, обърнете внимание на разликата: когато съставяте списък, се използва списък за достъп, а когато го прилагате, се използва група за достъп. Трябва да определите към кой интерфейс ще се приложи този списък - към входящия интерфейс или към изходящия интерфейс. Ако списъкът има име, например Networking, същото име се повтаря в командата за прилагане на списъка към този интерфейс.

Сега нека вземем конкретен проблем и се опитаме да го разрешим, като използваме примера на нашата мрежова диаграма с помощта на Packet Tracer. И така, имаме 4 мрежи: отдел продажби, счетоводен отдел, управление и сървърна зала.

Задача № 1: целият трафик, насочен от отделите по продажбите и финансите към отдела за управление и сървърното помещение, трябва да бъде блокиран. Местоположението на блокиране е интерфейс S0/1/0 на рутер R2. Първо трябва да създадем списък, съдържащ следните записи:

Нека наречем списъка „ACL за управление и сигурност на сървъра“, съкратено като ACL Secure_Ma_And_Se. Това е последвано от забрана на трафик от мрежата на финансовия отдел 192.168.1.128/26, забрана на трафик от мрежата на отдел продажби 192.168.1.0/25 и разрешаване на всякакъв друг трафик. В края на списъка е посочено, че се използва за изходящия интерфейс S0/1/0 на рутер R2. Ако нямаме Разрешаване на всеки запис в края на списъка, тогава целият друг трафик ще бъде блокиран, тъй като ACL по подразбиране винаги е зададен на Отказ на всеки запис в края на списъка.

Мога ли да приложа този ACL към интерфейс G0/0? Разбира се, че мога, но в този случай ще бъде блокиран само трафикът от счетоводния отдел, а трафикът от търговския отдел няма да бъде ограничен по никакъв начин. По същия начин можете да приложите ACL към интерфейса G0/1, но в този случай трафикът на финансовия отдел няма да бъде блокиран. Разбира се, можем да създадем два отделни блокови списъка за тези интерфейси, но е много по-ефективно да ги комбинираме в един списък и да го приложим към изходния интерфейс на рутер R2 или входния интерфейс S0/1/0 на рутер R1.

Въпреки че правилата на Cisco гласят, че стандартният ACL трябва да бъде поставен възможно най-близо до дестинацията, аз ще го поставя по-близо до източника на трафика, защото искам да блокирам целия изходящ трафик и е по-разумно да направя това по-близо до източник, така че този трафик да не губи мрежата между два рутера.

Забравих да ви кажа за критериите, така че да се върнем бързо. Можете да посочите всеки като критерий - в този случай всеки трафик от всяко устройство и всяка мрежа ще бъде отказан или разрешен. Можете също да посочите хост с неговия идентификатор - в този случай записът ще бъде IP адресът на конкретно устройство. И накрая, можете да посочите цяла мрежа, например 192.168.1.10/24. В този случай /24 ще означава наличието на подмрежова маска 255.255.255.0, но е невъзможно да се посочи IP адресът на подмрежовата маска в ACL. За този случай ACL има концепция, наречена Wildcart Mask или „обратна маска“. Следователно трябва да посочите IP адреса и маската за връщане. Обратната маска изглежда така: трябва да извадите директната подмрежова маска от общата подмрежова маска, тоест числото, съответстващо на стойността на октета в предната маска, се изважда от 255.

Следователно трябва да използвате параметъра 192.168.1.10 0.0.0.255 като критерий в ACL.

Как работи? Ако има 0 в октета на маската за връщане, се счита, че критерият съответства на съответния октет на IP адреса на подмрежата. Ако има число в октета на обратната маска, съвпадението не се проверява. По този начин, за мрежа от 192.168.1.0 и маска за връщане от 0.0.0.255, целият трафик от адреси, чиито първи три октета са равни на 192.168.1., независимо от стойността на четвъртия октет, ще бъде блокиран или разрешен в зависимост от посоченото действие.

Използването на обратна маска е лесно и ще се върнем към маската Wildcart в следващото видео, за да мога да обясня как се работи с нея.

28:50 мин

Благодарим ви, че останахте с нас. Харесвате ли нашите статии? Искате ли да видите още интересно съдържание? Подкрепете ни, като направите поръчка или препоръчате на приятели, 30% отстъпка за потребителите на Habr за уникален аналог на сървъри от начално ниво, който беше измислен от нас за вас: Цялата истина за VPS (KVM) E5-2650 v4 (6 ядра) 10GB DDR4 240GB SSD 1Gbps от $20 или как да споделите сървър? (предлага се с RAID1 и RAID10, до 24 ядра и до 40GB DDR4).

Dell R730xd 2 пъти по-евтин? Само тук 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV от $199 в Холандия! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - от $99! Прочети за Как да изградим инфраструктура Corp. клас с използване на сървъри Dell R730xd E5-2650 v4 на стойност 9000 евро за стотинка?

Източник: www.habr.com