Danas ćemo početi da učimo o listi kontrole pristupa ACL-u, ova tema će trajati 2 video lekcije. Pogledat ćemo konfiguraciju standardnog ACL-a, au sljedećem video tutorijalu govorit ću o proširenoj listi.
U ovoj lekciji ćemo obraditi 3 teme. Prvo je šta je ACL, drugo je razlika između standardne i proširene pristupne liste, a na kraju lekcije, kao laboratorija, razmotrićemo postavljanje standardnog ACL-a i rešavanje mogućih problema.
Dakle, šta je ACL? Ako ste učili kurs od prve video lekcije, onda se sjećate kako smo organizirali komunikaciju između različitih mrežnih uređaja.
Proučavali smo i statičko rutiranje preko različitih protokola kako bismo stekli vještine u organizaciji komunikacija između uređaja i mreža. Sada smo došli do faze učenja u kojoj bi trebalo da se brinemo o tome da osiguramo kontrolu saobraćaja, odnosno da sprečimo „loše momke“ ili neovlašćene korisnike da se infiltriraju u mrežu. Na primjer, ovo se može odnositi na ljude iz odjela prodaje prodaje, što je prikazano na ovom dijagramu. Ovdje također prikazujemo finansijsku službu RAČUNI, odjel za upravljanje MENADŽMENT i serversku sobu SERVER SOBU.
Dakle, odjel prodaje može imati stotinu zaposlenih, a mi ne želimo da bilo koji od njih može doći do serverske sobe preko mreže. Izuzetak je napravljen za menadžera prodaje koji radi na Laptop2 računaru - on može imati pristup serverskoj sobi. Novi zaposlenik koji radi na Laptop3 ne bi trebao imati takav pristup, odnosno ako saobraćaj sa njegovog računara dođe do rutera R2, treba ga odustati.
Uloga ACL-a je da filtrira promet prema specificiranim parametrima filtriranja. Oni uključuju izvornu IP adresu, odredišnu IP adresu, protokol, broj portova i druge parametre, zahvaljujući kojima možete identificirati promet i poduzeti neke radnje s njim.
Dakle, ACL je mehanizam filtriranja sloja 3 OSI modela. To znači da se ovaj mehanizam koristi u ruterima. Glavni kriterij za filtriranje je identifikacija toka podataka. Na primjer, ako želimo blokirati tipa sa Laptop3 računarom da pristupi serveru, prije svega moramo identificirati njegov promet. Ovaj saobraćaj se kreće u pravcu Laptop-Switch2-R2-R1-Switch1-Server1 preko odgovarajućih interfejsa mrežnih uređaja, dok G0/0 interfejsi rutera nemaju nikakve veze sa tim.
Da bismo identifikovali saobraćaj, moramo identifikovati njegovu putanju. Nakon što smo to uradili, možemo odlučiti gdje tačno trebamo instalirati filter. Ne brinite o samim filterima, o njima ćemo govoriti u sljedećoj lekciji, za sada moramo razumjeti princip na koji interfejs filter treba primijeniti.
Ako pogledate ruter, možete vidjeti da svaki put kada se promet kreće, postoji sučelje u koje ulazi tok podataka i interfejs kroz koji ovaj tok izlazi.
Zapravo postoje 3 interfejsa: ulazni interfejs, izlazni interfejs i sopstveni interfejs rutera. Samo zapamtite da se filtriranje može primijeniti samo na ulazni ili izlazni interfejs.
Princip rada ACL-a sličan je propusnici na događaj kojem mogu prisustvovati samo oni gosti čije se ime nalazi na listi pozvanih osoba. ACL je lista kvalifikacionih parametara koji se koriste za identifikaciju saobraćaja. Na primjer, ova lista pokazuje da je sav promet dozvoljen sa IP adrese 192.168.1.10, a promet sa svih ostalih adresa je odbijen. Kao što sam rekao, ova lista se može primijeniti i na ulazni i izlazni interfejs.
Postoje 2 tipa ACL-ova: standardni i prošireni. Standardni ACL ima identifikator od 1 do 99 ili od 1300 do 1999. Ovo su jednostavno lista imena koja nemaju nikakve prednosti jedna u odnosu na drugu kako se numeracija povećava. Osim broja, ACL-u možete dodijeliti svoje ime. Prošireni ACL-ovi su numerisani od 100 do 199 ili od 2000 do 2699 i mogu imati i ime.
U standardnom ACL-u, klasifikacija se zasniva na izvornoj IP adresi saobraćaja. Stoga, kada koristite takvu listu, ne možete ograničiti promet usmjeren na bilo koji izvor, možete blokirati samo promet koji potiče sa uređaja.
Prošireni ACL klasifikuje promet prema izvornoj IP adresi, odredišnoj IP adresi, korištenom protokolu i broju porta. Na primjer, možete blokirati samo FTP promet ili samo HTTP promet. Danas ćemo pogledati standardni ACL, a sljedeću video lekciju posvetit ćemo proširenim listama.
Kao što sam rekao, ACL je lista uslova. Nakon što primijenite ovu listu na dolazni ili odlazni interfejs rutera, ruter provjerava promet u odnosu na ovu listu, i ako ispunjava uslove navedene na listi, odlučuje da li će dozvoliti ili odbiti ovaj promet. Ljudima je često teško odrediti ulazna i izlazna sučelja rutera, iako ovdje nema ništa komplicirano. Kada govorimo o dolaznom interfejsu, to znači da će se na ovom portu kontrolirati samo dolazni promet, a ruter neće primjenjivati ograničenja na odlazni promet. Slično, ako govorimo o izlaznom interfejsu, to znači da će se sva pravila primjenjivati samo na odlazni promet, dok će dolazni promet na ovom portu biti prihvaćen bez ograničenja. Na primjer, ako ruter ima 2 porta: f0/0 i f0/1, tada će ACL biti primijenjen samo na promet koji ulazi u f0/0 sučelje, ili samo na promet koji potiče iz f0/1 interfejsa. Lista neće uticati na ulazak ili izlazak saobraćaja iz interfejsa f0/1.
Stoga nemojte da vas zbuni dolazni ili odlazni smjer interfejsa, to zavisi od smjera specifičnog prometa. Dakle, nakon što ruter provjeri da li promet odgovara ACL uvjetima, može donijeti samo dvije odluke: dozvoliti promet ili ga odbiti. Na primjer, možete dozvoliti promet namijenjen 180.160.1.30 i odbiti promet namijenjen 192.168.1.10. Svaka lista može sadržavati više uslova, ali svaki od ovih uslova mora dozvoliti ili odbiti.
Recimo da imamo listu:
Zabraniti _______
Dopustiti ________
Dopustiti ________
Zabraniti _________.
Prvo, ruter će provjeriti promet da vidi da li odgovara prvom uvjetu; ako se ne podudara, provjerit će drugi uvjet. Ako promet odgovara trećem uvjetu, ruter će prestati provjeravati i neće ga upoređivati sa ostatkom uslova na listi. Izvršit će akciju „dozvoliti“ i preći na provjeru sljedećeg dijela prometa.
U slučaju da niste postavili pravilo ni za jedan paket i promet prolazi kroz sve redove liste bez ispunjenja bilo kojeg od uslova, on se uništava, jer se svaka ACL lista po defaultu završava naredbom deny any - odnosno odbaci bilo koji paket, koji ne potpada pod nijedno od pravila. Ovaj uslov stupa na snagu ako postoji barem jedno pravilo na listi, inače nema efekta. Ali ako prvi red sadrži zabranu unosa 192.168.1.30 i lista više ne sadrži nikakve uslove, onda bi na kraju trebala biti naredba dopustiti bilo koji, odnosno dozvoliti bilo koji promet osim onog zabranjenog pravilom. Ovo morate uzeti u obzir kako biste izbjegli greške prilikom konfiguriranja ACL-a.
Želim da zapamtite osnovno pravilo kreiranja ASL liste: standardni ASL postavite što bliže odredištu, odnosno primaocu saobraćaja, a prošireni ASL postavite što bliže izvoru, tj. pošiljaocu saobraćaja. Ovo su preporuke kompanije Cisco, ali u praksi postoje situacije u kojima je logičnije postaviti standardni ACL blizu izvora saobraćaja. Ali ako naiđete na pitanje o pravilima postavljanja ACL-a tokom ispita, slijedite Ciscove preporuke i odgovorite nedvosmisleno: standard je bliže odredištu, prošireni je bliže izvoru.
Pogledajmo sada sintaksu standardnog ACL-a. Postoje dvije vrste sintakse naredbi u načinu globalne konfiguracije rutera: klasična sintaksa i moderna sintaksa.
Klasični tip komande je lista pristupa <ACL broj> <odbij/dozvoli> <kriterijum>. Ako postavite <ACL broj> od 1 do 99, uređaj će automatski shvatiti da je ovo standardni ACL, a ako je od 100 do 199, onda je prošireni. Pošto u današnjoj lekciji gledamo standardnu listu, možemo koristiti bilo koji broj od 1 do 99. Zatim naznačimo radnju koju treba primijeniti ako parametri odgovaraju sljedećem kriteriju - dozvoli ili zabrani promet. Kriterijum ćemo razmotriti kasnije, pošto se koristi i u modernoj sintaksi.
Moderni tip komande se takođe koristi u režimu globalne konfiguracije Rx(config) i izgleda ovako: ip pristupna lista standard <ACL broj/ime>. Ovdje možete koristiti ili broj od 1 do 99 ili ime ACL liste, na primjer, ACL_Networking. Ova komanda odmah stavlja sistem u način podkomande standardnog načina Rx (config-std-nacl), gdje morate unijeti <deny/enable> <kriterijumi>. Moderni tip timova ima više prednosti u odnosu na klasični.
U klasičnoj listi, ako upišete access-list 10 deny ______, zatim otkucate sljedeću naredbu iste vrste za drugi kriterij i na kraju dobijete 100 takvih naredbi, a zatim da promijenite bilo koju od unesenih naredbi, morat ćete obrišite cijelu pristupnu listu 10 sa naredbom no access-list 10. Ovo će izbrisati svih 100 komandi jer ne postoji način da se uredi bilo koja pojedinačna naredba na ovoj listi.
U modernoj sintaksi, naredba je podijeljena u dva reda, od kojih prvi sadrži broj liste. Pretpostavimo da ako imate listu pristupne liste standard 10 deny ________, pristupne liste standard 20 deny ________ i tako dalje, onda imate priliku da umetnete međuliste sa drugim kriterijumima između njih, na primer, pristupna lista standard 15 deny ________ .
Alternativno, možete jednostavno obrisati standardne linije pristupne liste 20 i ponovo ih otkucati sa različitim parametrima između standardnih redova pristupne liste 10 i standardnih redova liste pristupa 30. Dakle, postoje različiti načini za uređivanje moderne ACL sintakse.
Morate biti veoma oprezni kada kreirate ACL-ove. Kao što znate, liste se čitaju od vrha do dna. Ako na vrh postavite liniju koja dozvoljava promet sa određenog hosta, onda ispod možete postaviti liniju koja zabranjuje promet sa cijele mreže čiji je ovaj host dio, a oba uvjeta će biti provjerena - promet do određenog hosta će se biti dozvoljen prolaz, a saobraćaj sa svih ostalih hostova ove mreže će biti blokiran. Stoga uvijek stavljajte određene unose na vrh liste, a opšte na dno.
Dakle, nakon što ste kreirali klasični ili moderni ACL, morate ga primijeniti. Da biste to uradili, potrebno je da odete na podešavanja određenog interfejsa, na primer, f0/0 koristeći komandni interfejs <tip i slot>, idite u režim podkomande interfejsa i unesete naredbu ip pristupna grupa <ACL broj/ ime> . Imajte na umu razliku: pri sastavljanju liste koristi se pristupna lista, a pri njenoj primeni koristi se pristupna grupa. Morate odrediti na koji interfejs će se ova lista primijeniti - na dolazni ili odlazni interfejs. Ako lista ima ime, na primjer, Umrežavanje, isto ime se ponavlja u naredbi za primenu liste na ovom interfejsu.
Sada uzmimo konkretan problem i pokušamo ga riješiti koristeći primjer našeg mrežnog dijagrama koristeći Packet Tracer. Dakle, imamo 4 mreže: odjel prodaje, odjel računovodstva, menadžment i server soba.
Zadatak br. 1: sav promet usmjeren od odjela prodaje i financija prema odjelu upravljanja i serverskoj sobi mora biti blokiran. Lokacija blokiranja je interfejs S0/1/0 rutera R2. Prvo moramo kreirati listu koja sadrži sljedeće unose:
Nazovimo listu "Management and Server Security ACL", skraćeno ACL Secure_Ma_And_Se. Nakon toga slijedi zabrana saobraćaja iz mreže odjela finansija 192.168.1.128/26, zabrana prometa iz mreže odjela prodaje 192.168.1.0/25 i dopuštanje bilo kojeg drugog prometa. Na kraju liste je naznačeno da se koristi za odlazni interfejs S0/1/0 rutera R2. Ako nemamo Dozvoli bilo koji unos na kraju liste, onda će sav ostali saobraćaj biti blokiran jer je podrazumevani ACL uvek postavljen na Deny Any unos na kraju liste.
Mogu li primijeniti ovaj ACL na sučelje G0/0? Naravno da mogu, ali u ovom slučaju će biti blokiran samo promet iz računovodstva, a promet iz odjela prodaje neće biti ni na koji način ograničen. Na isti način možete primijeniti ACL na G0/1 sučelje, ali u tom slučaju promet odjela financija neće biti blokiran. Naravno, možemo kreirati dvije odvojene liste blokova za ova sučelja, ali je mnogo efikasnije spojiti ih u jednu listu i primijeniti je na izlazni interfejs rutera R2 ili ulazni interfejs S0/1/0 rutera R1.
Iako Cisco pravila navode da standardni ACL treba da bude postavljen što bliže odredištu, ja ću ga postaviti bliže izvoru saobraćaja jer želim da blokiram sav odlazni saobraćaj, a logičnije je da to uradim bliže izvor tako da ovaj promet ne troši mrežu između dva rutera.
Zaboravio sam da vam kažem o kriterijumima, pa da se brzo vratimo. Možete navesti bilo koji kao kriterij - u ovom slučaju će svaki promet s bilo kojeg uređaja i bilo koje mreže biti odbijen ili dozvoljen. Također možete odrediti host s njegovim identifikatorom - u ovom slučaju, unos će biti IP adresa određenog uređaja. Konačno, možete odrediti cijelu mrežu, na primjer, 192.168.1.10/24. U ovom slučaju, /24 će značiti prisustvo podmrežne maske 255.255.255.0, ali je nemoguće navesti IP adresu maske podmreže u ACL-u. Za ovaj slučaj, ACL ima koncept koji se zove Wildcart Mask, ili “obrnuta maska”. Stoga morate navesti IP adresu i povratnu masku. Reverzna maska izgleda ovako: morate oduzeti direktnu masku podmreže od opće podmrežne maske, to jest, broj koji odgovara vrijednosti okteta u naprijed maski oduzima se od 255.
Stoga biste trebali koristiti parametar 192.168.1.10 0.0.0.255 kao kriterij u ACL-u.
Kako radi? Ako postoji 0 u oktetu povratne maske, smatra se da se kriterij podudara s odgovarajućim oktetom IP adrese podmreže. Ako postoji broj u oktetu maske, podudaranje se ne provjerava. Dakle, za mrežu od 192.168.1.0 i povratnu masku od 0.0.0.255, sav promet sa adresa čija su prva tri okteta jednaka 192.168.1., bez obzira na vrijednost četvrtog okteta, će biti blokiran ili dozvoljen u zavisnosti od navedenu radnju.
Korištenje obrnute maske je jednostavno, a vratit ćemo se na Wildcart masku u sljedećem videu kako bih mogao objasniti kako raditi s njom.
28:50 min
Hvala vam što ste ostali s nama. Da li vam se sviđaju naši članci? Želite li vidjeti još zanimljivijeg sadržaja? Podržite nas naručivanjem ili preporukom prijateljima, 30% popusta za korisnike Habra na jedinstveni analog početnih servera, koji smo mi osmislili za vas: (dostupno sa RAID1 i RAID10, do 24 jezgra i do 40GB DDR4).
Dell R730xd 2 puta jeftiniji? Samo ovdje u Holandiji! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - od 99 USD! Pročitajte o
izvor: www.habr.com