Avui començarem a aprendre sobre la llista de control d'accés ACL, aquest tema tindrà 2 lliçons de vídeo. Veurem la configuració d'una ACL estàndard i en el següent vídeo tutorial parlaré de la llista ampliada.
En aquesta lliçó tractarem 3 temes. La primera és què és una ACL, la segona és quina diferència hi ha entre una llista d'accés estàndard i una ampliada, i al final de la lliçó, com a laboratori, veurem com configurar una ACL estàndard i resoldre possibles problemes.
Aleshores, què és un ACL? Si vau estudiar el curs des de la primera lliçó de vídeo, aleshores recordeu com vam organitzar la comunicació entre diversos dispositius de xarxa.
També hem estudiat l'encaminament estàtic a través de diversos protocols per obtenir habilitats per organitzar les comunicacions entre dispositius i xarxes. Ara hem arribat a l'etapa d'aprenentatge en què ens hauria de preocupar per garantir el control del trànsit, és a dir, evitar que els “dolents” o usuaris no autoritzats s'infiltrin a la xarxa. Per exemple, això pot afectar a persones del departament de vendes de VENDES, que es mostra en aquest diagrama. Aquí també mostrem el departament financer COMPTES, el departament de gestió GESTIÓ i la sala de servidors SALA DE SERVIDOR.
Per tant, el departament de vendes pot tenir un centenar d'empleats i no volem que cap d'ells pugui arribar a la sala de servidors a través de la xarxa. Es fa una excepció per al gerent de vendes que treballa en un ordinador Laptop2: pot tenir accés a la sala de servidors. Un nou empleat que treballa a Laptop3 no hauria de tenir aquest accés, és a dir, si el trànsit del seu ordinador arriba a l'encaminador R2, s'hauria d'abandonar.
La funció d'una ACL és filtrar el trànsit segons els paràmetres de filtratge especificats. Inclouen l'adreça IP d'origen, l'adreça IP de destinació, el protocol, el nombre de ports i altres paràmetres, gràcies als quals podeu identificar el trànsit i fer algunes accions amb ell.
Per tant, ACL és un mecanisme de filtrat de capa 3 del model OSI. Això vol dir que aquest mecanisme s'utilitza als encaminadors. El criteri principal per al filtratge és la identificació del flux de dades. Per exemple, si volem bloquejar l'accés al servidor del tipus de l'ordinador Laptop3, primer hem d'identificar el seu trànsit. Aquest trànsit es mou en direcció a Laptop-Switch2-R2-R1-Switch1-Server1 a través de les interfícies corresponents dels dispositius de xarxa, mentre que les interfícies G0/0 dels encaminadors no hi tenen res a veure.
Per identificar el trànsit, hem d'identificar el seu recorregut. Un cop fet això, podem decidir exactament on hem d'instal·lar el filtre. No us preocupeu pels propis filtres, els parlarem a la lliçó següent, ara per ara hem d'entendre el principi de quina interfície s'ha d'aplicar el filtre.
Si mireu un encaminador, podeu veure que cada vegada que el trànsit es mou, hi ha una interfície on entra el flux de dades i una interfície per la qual surt aquest flux.
En realitat, hi ha 3 interfícies: la interfície d'entrada, la interfície de sortida i la interfície pròpia del router. Només recordeu que el filtratge només es pot aplicar a la interfície d'entrada o sortida.
El principi de funcionament de l'ACL és similar a un passi a un esdeveniment al qual només poden assistir aquells convidats el nom dels quals figura a la llista de persones convidades. Una ACL és una llista de paràmetres de qualificació que s'utilitzen per identificar el trànsit. Per exemple, aquesta llista indica que es permet tot el trànsit des de l'adreça IP 192.168.1.10 i que es denega el trànsit de la resta d'adreces. Com he dit, aquesta llista es pot aplicar tant a la interfície d'entrada com a la de sortida.
Hi ha 2 tipus d'ACL: estàndard i ampliat. Una ACL estàndard té un identificador de l'1 al 99 o del 1300 al 1999. Es tracta simplement de noms de llista que no tenen cap avantatge entre ells a mesura que augmenta la numeració. A més del número, podeu assignar el vostre propi nom a l'ACL. Les ACL ampliades estan numerades del 100 al 199 o del 2000 al 2699 i també poden tenir un nom.
En una ACL estàndard, la classificació es basa en l'adreça IP d'origen del trànsit. Per tant, quan utilitzeu aquesta llista, no podeu restringir el trànsit dirigit a cap font, només podeu bloquejar el trànsit provinent d'un dispositiu.
Una ACL ampliada classifica el trànsit per adreça IP d'origen, adreça IP de destinació, protocol utilitzat i número de port. Per exemple, només podeu bloquejar el trànsit FTP o només el trànsit HTTP. Avui veurem l'ACL estàndard i dedicarem la següent lliçó de vídeo a les llistes ampliades.
Com he dit, una ACL és una llista de condicions. Després d'aplicar aquesta llista a la interfície d'entrada o de sortida de l'encaminador, l'encaminador comprova el trànsit amb aquesta llista i, si compleix les condicions establertes a la llista, decideix si permet o denega aquest trànsit. La gent sovint té dificultats per determinar les interfícies d'entrada i sortida d'un encaminador, tot i que aquí no hi ha res complicat. Quan parlem d'una interfície d'entrada, això vol dir que només es controlarà el trànsit d'entrada en aquest port i l'encaminador no aplicarà restriccions al trànsit de sortida. De la mateixa manera, si estem parlant d'una interfície de sortida, això vol dir que totes les regles s'aplicaran només al trànsit de sortida, mentre que el trànsit d'entrada en aquest port s'acceptarà sense restriccions. Per exemple, si l'encaminador té 2 ports: f0/0 i f0/1, l'ACL només s'aplicarà al trànsit que entra a la interfície f0/0, o només al trànsit originat des de la interfície f0/1. El trànsit que entra o surt de la interfície f0/1 no es veurà afectat per la llista.
Per tant, no us confongueu amb la direcció d'entrada o sortida de la interfície, depèn de la direcció del trànsit específic. Per tant, després que l'encaminador hagi comprovat que el trànsit coincideix amb les condicions de l'ACL, només pot prendre dues decisions: permetre el trànsit o rebutjar-lo. Per exemple, podeu permetre el trànsit destinat a 180.160.1.30 i rebutjar el trànsit destinat a 192.168.1.10. Cada llista pot contenir diverses condicions, però cadascuna d'aquestes condicions ha de permetre o denegar.
Suposem que tenim una llista:
Prohibit _______
Permet ________
Permet ________
Prohibit _________.
Primer, l'encaminador comprovarà el trànsit per veure si coincideix amb la primera condició; si no coincideix, comprovarà la segona condició. Si el trànsit coincideix amb la tercera condició, l'encaminador deixarà de comprovar i no el compararà amb la resta de condicions de la llista. Realitzarà l'acció "permetre" i passarà a comprovar la següent part del trànsit.
En cas que no hàgiu establert una regla per a cap paquet i el trànsit passa per totes les línies de la llista sense complir cap de les condicions, es destrueix, perquè cada llista ACL per defecte acaba amb l'ordre deny any, és a dir, descartar. qualsevol paquet, que no caigui sota cap de les regles. Aquesta condició s'aplica si hi ha almenys una regla a la llista, en cas contrari no té efecte. Però si la primera línia conté l'entrada deny 192.168.1.30 i la llista ja no conté cap condició, al final hi hauria d'haver una comanda per permetre qualsevol, és a dir, permetre qualsevol trànsit excepte el prohibit per la regla. Cal tenir-ho en compte per evitar errors a l'hora de configurar l'ACL.
Vull que recordeu la regla bàsica per crear una llista d'ASL: col·loqueu l'ASL estàndard el més a prop possible de la destinació, és a dir, del destinatari del trànsit, i col·loqueu l'ASL estès el més a prop possible de la font, és a dir, al remitent del trànsit. Aquestes són recomanacions de Cisco, però a la pràctica hi ha situacions en què té més sentit col·locar una ACL estàndard a prop de la font de trànsit. Però si us trobeu amb una pregunta sobre les regles de col·locació d'ACL durant l'examen, seguiu les recomanacions de Cisco i responeu sense ambigüitats: l'estàndard està més a prop de la destinació, l'estès està més a prop de la font.
Ara mirem la sintaxi d'una ACL estàndard. Hi ha dos tipus de sintaxi d'ordres en el mode de configuració global de l'encaminador: sintaxi clàssica i sintaxi moderna.
El tipus d'ordre clàssic és access-list <número ACL> <deny/allow> <criteri>. Si configureu <Número d'ACL> de l'1 al 99, el dispositiu entendrà automàticament que es tracta d'un ACL estàndard i, si és del 100 al 199, serà un estès. Com que a la lliçó d'avui estem mirant una llista estàndard, podem utilitzar qualsevol nombre de l'1 al 99. Aleshores indiquem l'acció que cal aplicar si els paràmetres compleixen el criteri següent: permetre o denegar trànsit. Considerarem el criteri més endavant, ja que també s'utilitza en la sintaxi moderna.
El tipus d'ordre modern també s'utilitza en el mode de configuració global Rx(config) i té aquest aspecte: ip access-list standard <ACL number/name>. Aquí podeu utilitzar un número de l'1 al 99 o el nom de la llista ACL, per exemple, ACL_Networking. Aquesta ordre posa immediatament el sistema al mode de subordre del mode estàndard Rx (config-std-nacl), on heu d'introduir <deny/enable> <criteri>. Els equips moderns tenen més avantatges que els clàssics.
En una llista clàssica, si escriviu access-list 10 deny ______, escriviu la següent ordre del mateix tipus per a un altre criteri i acabeu amb 100 d'aquestes ordres, per canviar qualsevol de les ordres introduïdes, haureu de suprimiu tota la llista de la llista d'accés 10 amb l'ordre no access-list 10. Això suprimirà les 100 ordres perquè no hi ha manera d'editar cap ordre individual en aquesta llista.
En la sintaxi moderna, l'ordre es divideix en dues línies, la primera de les quals conté el número de llista. Suposem que si teniu una llista d'accés estàndard 10 denegació ________, una llista d'accés estàndard 20 denegació ________ i així successivament, aleshores teniu l'oportunitat d'inserir llistes intermèdies amb altres criteris entre elles, per exemple, la llista d'accés estàndard 15 denegació ________ .
Alternativament, podeu simplement suprimir les línies estàndard de la llista d'accés 20 i tornar-les a escriure amb diferents paràmetres entre les línies estàndard de la llista d'accés 10 i les línies estàndard de la llista d'accés 30. Per tant, hi ha diverses maneres d'editar la sintaxi ACL moderna.
Heu de tenir molta cura quan creeu ACL. Com sabeu, les llistes es llegeixen de dalt a baix. Si col·loqueu una línia a la part superior que permet el trànsit d'un amfitrió específic, a continuació podeu col·locar una línia que prohibeix el trànsit de tota la xarxa de la qual forma part aquest amfitrió i es comprovaran ambdues condicions: el trànsit a un amfitrió específic es permetrà el pas i el trànsit de tots els altres amfitrions d'aquesta xarxa es bloquejarà. Per tant, col·loqueu sempre les entrades específiques a la part superior de la llista i les generals a la part inferior.
Per tant, després d'haver creat una ACL clàssica o moderna, l'has d'aplicar. Per fer-ho, heu d'anar a la configuració d'una interfície específica, per exemple, f0/0 mitjançant la interfície d'ordres <tipus i ranura>, aneu al mode de subordre de la interfície i introduïu l'ordre ip access-group <número ACL/ nom> . Si us plau, tingueu en compte la diferència: en compilar una llista, s'utilitza una llista d'accés, i quan l'aplica, s'utilitza un grup d'accés. Heu de determinar a quina interfície s'aplicarà aquesta llista: la interfície d'entrada o la interfície de sortida. Si la llista té un nom, per exemple, Xarxa, el mateix nom es repeteix a l'ordre per aplicar la llista en aquesta interfície.
Ara prenem un problema específic i intentem resoldre'l utilitzant l'exemple del nostre diagrama de xarxa amb Packet Tracer. Així doncs, tenim 4 xarxes: departament comercial, departament de comptabilitat, gestió i sala de servidors.
Tasca núm. 1: s'ha de bloquejar tot el trànsit dirigit des dels departaments de vendes i financers al departament de gestió i a la sala de servidors. La ubicació de bloqueig és la interfície S0/1/0 de l'encaminador R2. Primer hem de crear una llista que contingui les entrades següents:
Anomenem la llista "ACL de gestió i seguretat del servidor", abreujada com a ACL Secure_Ma_And_Se. A continuació, es prohibeix el trànsit de la xarxa del departament financer 192.168.1.128/26, es prohibeix el trànsit de la xarxa del departament de vendes 192.168.1.0/25 i es permet qualsevol altre trànsit. Al final de la llista s'indica que s'utilitza per a la interfície de sortida S0/1/0 del router R2. Si no tenim una entrada Permet qualsevol al final de la llista, tot el trànsit restarà bloquejat perquè l'ACL per defecte sempre s'estableix en una entrada Denega qualsevol al final de la llista.
Puc aplicar aquesta ACL a la interfície G0/0? Per descomptat, puc, però en aquest cas només es bloquejarà el trànsit del departament de comptabilitat i el trànsit del departament de vendes no es limitarà de cap manera. De la mateixa manera, podeu aplicar una ACL a la interfície G0/1, però en aquest cas el trànsit del departament financer no es bloquejarà. Per descomptat, podem crear dues llistes de blocs separades per a aquestes interfícies, però és molt més eficient combinar-les en una llista i aplicar-la a la interfície de sortida de l'encaminador R2 o a la interfície d'entrada S0/1/0 de l'encaminador R1.
Tot i que les regles de Cisco estableixen que una ACL estàndard s'ha de col·locar el més a prop possible de la destinació, la col·locaré més a prop de la font del trànsit perquè vull bloquejar tot el trànsit de sortida, i té més sentit fer-ho més a prop de la font perquè aquest trànsit no malgasti la xarxa entre dos encaminadors.
M'he oblidat d'explicar-vos els criteris, així que tornem ràpidament. Podeu especificar-ne qualsevol com a criteri; en aquest cas, es denegarà o permetrà qualsevol trànsit de qualsevol dispositiu i qualsevol xarxa. També podeu especificar un host amb el seu identificador; en aquest cas, l'entrada serà l'adreça IP d'un dispositiu específic. Finalment, podeu especificar una xarxa sencera, per exemple, 192.168.1.10/24. En aquest cas, /24 significarà la presència d'una màscara de subxarxa de 255.255.255.0, però és impossible especificar l'adreça IP de la màscara de subxarxa a l'ACL. Per a aquest cas, ACL té un concepte anomenat Wildcart Mask, o "màscara inversa". Per tant, heu d'especificar l'adreça IP i la màscara de retorn. La màscara inversa té aquest aspecte: heu de restar la màscara de subxarxa directa de la màscara de subxarxa general, és a dir, el nombre corresponent al valor de l'octet de la màscara directa es resta de 255.
Per tant, hauríeu d'utilitzar el paràmetre 192.168.1.10 0.0.0.255 com a criteri a l'ACL.
Com funciona? Si hi ha un 0 a l'octet de màscara de retorn, es considera que el criteri coincideix amb l'octet corresponent de l'adreça IP de la subxarxa. Si hi ha un número a l'octet de màscara posterior, la coincidència no es verifica. Així, per a una xarxa de 192.168.1.0 i una màscara de retorn de 0.0.0.255, tot el trànsit des d'adreces els tres primers octets de les quals siguin iguals a 192.168.1., independentment del valor del quart octet, es bloquejarà o es permetrà en funció de l'acció especificada.
Utilitzar una màscara inversa és fàcil, i tornarem a la màscara de Wildcart al següent vídeo perquè pugui explicar com treballar-hi.
28:50 min
Gràcies per quedar-te amb nosaltres. T'agraden els nostres articles? Vols veure més contingut interessant? Doneu-nos suport fent una comanda o recomanant als amics, 30% de descompte per als usuaris d'Habr en un únic anàleg de servidors d'entrada, que hem inventat per a tu: (disponible amb RAID1 i RAID10, fins a 24 nuclis i fins a 40 GB DDR4).
Dell R730xd 2 vegades més barat? Només aquí als Països Baixos! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbps 100 TB - a partir de 99 $! Llegeix sobre
Font: www.habr.com