Oghje avemu principiatu à amparà nantu à a lista di cuntrollu di l'accessu ACL, stu tema duverà 2 video lezioni. Fighjemu a cunfigurazione di un ACL standard, è in u prossimu video tutoriale parleraraghju di a lista allargata.
In questa lezione copreremu 3 temi. U primu hè ciò chì hè un ACL, u sicondu hè ciò chì hè a diffarenza trà un standard è una lista d'accessu allargata, è à a fine di a lezziò, cum'è un labburatoriu, guardemu à stabilisce un ACL standard è risolve i prublemi pussibuli.
Allora chì hè un ACL? Se avete studiatu u cursu da a prima lezione video, allora vi ricordate di cumu avemu urganizatu a cumunicazione trà i diversi dispositi di rete.
Avemu ancu studiatu u routing staticu nantu à diversi protokolli per acquistà cumpetenze in l'urganizazione di cumunicazioni trà i dispositi è e rete. Avemu avà ghjuntu à u stadiu di l'apprendimentu induve duvemu esse preoccupatu di assicurà u cuntrollu di u trafficu, vale à dì, impediscenu à i "cattivi" o à l'utilizatori micca autorizati di infiltrassi in a reta. Per esempiu, questu pò cuncernà e persone di u dipartimentu di vendita di VENDITA, chì hè raffiguratu in questu diagramma. Quì avemu ancu mostra u dipartimentu finanziariu ACCOUNTS, u dipartimentu di gestione MANAGEMENT è a sala di servitori SERVER ROOM.
Allora, u dipartimentu di vendita pò avè un centu di l'impiegati, è ùn vulemu chì alcunu di elli puderà ghjunghje à a sala di u servitore nantu à a reta. Una eccezzioni hè fatta per u direttore di vendita chì travaglia in un computer Laptop2 - pò avè accessu à a sala di u servitore. Un novu impiigatu chì travaglia in Laptop3 ùn deve micca avè tali accessu, vale à dì, se u trafficu da u so urdinatore righjunghji u router R2, deve esse abbandunatu.
U rolu di un ACL hè di filtrà u trafficu secondu i paràmetri di filtrazione specificati. Includite l'indirizzu IP di l'urigine, l'indirizzu IP di destinazione, u protokollu, u numeru di porti è altri paràmetri, grazia à quale pudete identificà u trafficu è piglià qualchi azzioni cun ellu.
Dunque, ACL hè un mecanismu di filtrazione di a capa 3 di u mudellu OSI. Questu significa chì stu mecanismu hè utilizatu in i routers. U criteriu principale per u filtru hè l'identificazione di u flussu di dati. Per esempiu, se vulemu bluccà u tippu cù l'urdinatore Laptop3 da accede à u servitore, prima di tuttu, avemu da identificà u so trafficu. Stu trafficu si move in a direzzione di Laptop-Switch2-R2-R1-Switch1-Server1 attraversu l'interfaccia currispundenti di i dispositi di rete, mentre chì l'interfaccia G0/0 di i routers ùn anu nunda di fà.
Per identificà u trafficu, avemu da identificà a so strada. Dopu fattu questu, pudemu decide induve esattamente avemu bisognu di stallà u filtru. Ùn vi preoccupate micca di i filtri stessi, li discutemu in a prossima lezione, per avà avemu bisognu di capisce u principiu di quale interfaccia u filtru deve esse appiicatu.
Se fighjate à un router, pudete vede chì ogni volta chì u trafficu si move, ci hè una interfaccia induve u flussu di dati entra, è una interfaccia per quale stu flussu esce.
Ci hè veramente 3 interfacce: l'interfaccia di input, l'interfaccia di output è l'interfaccia di u router. Ricurdate solu chì u filtru pò esse applicatu solu à l'interfaccia di input o output.
U principiu di l'operazione ACL hè simile à un passu à un avvenimentu chì pò esse assistitu solu da quelli invitati chì u nome hè nantu à a lista di e persone invitate. Un ACL hè una lista di parametri di qualificazione chì sò usati per identificà u trafficu. Per esempiu, sta lista indica chì tuttu u trafficu hè permessu da l'indirizzu IP 192.168.1.10, è u trafficu da tutti l'altri indirizzi hè denegatu. Comu dissi, sta lista pò esse appiicata à l'interfaccia di input è output.
Ci sò 2 tipi di ACL: standard è estensi. Un ACL standard hà un identificatore da 1 à 99 o da 1300 à 1999. Quessi sò solu nomi di lista chì ùn anu micca vantaghji nantu à l'altri cum'è a numerazione aumenta. In più di u numeru, pudete assignà u vostru nome à l'ACL. L'ACL estesi sò numerati da 100 à 199 o da 2000 à 2699 è ponu ancu avè un nome.
In un ACL standard, a classificazione hè basatu annantu à l'indirizzu IP fonte di u trafficu. Dunque, quandu si usa una tale lista, ùn pudete micca limità u trafficu direttu à qualsiasi fonti, pudete solu bluccà u trafficu originatu da un dispositivu.
Un ACL allargatu classifica u trafficu per l'indirizzu IP fonte, l'indirizzu IP di destinazione, u protocolu utilizatu è u numeru di portu. Per esempiu, pudete bluccà solu u trafficu FTP, o solu u trafficu HTTP. Oghje fighjeremu l'ACL standard, è dedicà a prossima lezione video à listi estesi.
Comu dissi, un ACL hè una lista di cundizioni. Dopu avè applicà sta lista à l'interfaccia di entrata o di uscita di u router, u router cuntrolla u trafficu contr'à sta lista, è s'ellu risponde à e cundizioni stabilite in a lista, decide di permette o di ricusà stu trafficu. A ghjente spessu trova difficiule di determinà l'interfaccia di input è output di un router, ancu s'ellu ùn ci hè nunda di complicatu quì. Quandu parlemu di una interfaccia entrata, questu significa chì solu u trafficu ingressu serà cuntrullatu in questu portu, è u router ùn applicà micca restrizioni à u trafficu in uscita. In listessu modu, se parlemu di una interfaccia di egressu, questu significa chì tutte e regule s'applicanu solu à u trafficu in uscita, mentre chì u trafficu in entrata in questu portu serà accettatu senza restrizioni. Per esempiu, se u router hà 2 porti: f0/0 è f0/1, allura l'ACL serà applicatu solu à u trafficu chì entra in l'interfaccia f0/0, o solu à u trafficu originatu da l'interfaccia f0/1. U trafficu chì entra o abbanduneghja l'interfaccia f0/1 ùn serà micca affettatu da a lista.
Dunque, ùn vi cunfundite micca da a direzzione di l'interfaccia d'entrata o di uscita, dipende da a direzzione di u trafficu specificu. Allora, dopu chì u router hà verificatu u trafficu per currisponde à e cundizioni ACL, pò piglià solu duie decisioni: permette u trafficu o rifiutà. Per esempiu, pudete permette u trafficu destinatu à 180.160.1.30 è rifiutà u trafficu destinatu à 192.168.1.10. Ogni lista pò cuntene parechje cundizioni, ma ognuna di sti cundizioni deve permette o nigà.
Diciamu chì avemu una lista:
pruibisce _______
permette à ________
permette à ________
Pruibisce _________.
Prima, u router verificarà u trafficu per vede s'ellu currisponde à a prima cundizione; se ùn currisponde micca, verificarà a seconda cundizione. Se u trafficu currisponde à a terza cundizione, u router cesserà di verificà è ùn paragunarà micca cù u restu di e cundizioni di a lista. Eseguirà l'azzione "permette" è passà à verificà a prossima parte di u trafficu.
In casu chì ùn avete micca stabilitu una regula per qualsiasi pacchettu è u trafficu passa per tutte e linee di a lista senza chjappà alcuna di e cundizioni, hè distruttu, perchè ogni lista ACL per difettu finisci cù a denegazione di ogni cumanda - vale à dì, scartà. ogni pacchettu, ùn cascà sottu à alcuna di e regule. Sta cundizione si mette in vigore s'ellu ci hè almenu una regula in a lista, altri ùn hà micca effettu. Ma s'è a prima linea cuntene l'entrata deny 192.168.1.30 è a lista ùn cuntene più alcuna cundizione, allora à a fine ci deve esse un cumandamentu permessu qualcunu, vale à dì, permette ogni trafficu fora di quellu pruibitu da a regula. Duvete piglià questu in contu per evità errori quandu cunfigurà l'ACL.
Vogliu ricurdà a regula basica di creà una lista ASL: postu ASL standard u più vicinu pussibule à u destinazione, vale à dì à u destinatariu di u trafficu, è postu ASL allargatu u più vicinu pussibule à a fonte, vale à dì, à u mittente di u trafficu. Quessi sò cunsiglii di Cisco, ma in a pratica ci sò situazioni induve hè più sensu di mette un ACL standard vicinu à a fonti di trafficu. Ma s'è vo truvate una quistione nantu à e regule di piazzamentu ACL durante l'esame, seguite i cunsiglii di Cisco è risponde senza ambiguità: u standard hè più vicinu à a destinazione, estendu hè più vicinu à a fonte.
Avà fighjemu a sintassi di un ACL standard. Ci hè dui tipi di sintassi di cumandamentu in u modu di cunfigurazione globale di router: sintassi classica è sintassi muderna.
U tipu di cumandamentu classicu hè access-list <numeru ACL> <deny/allow> <criteri>. Se stabilisce <ACL number> da 1 à 99, u dispusitivu capisce automaticamente chì questu hè un ACL standard, è s'ellu hè da 100 à 199, allora hè un allargatu. Siccomu in a lezioni di l'oghje guardemu una lista standard, pudemu usà ogni numeru da 1 à 99. Allora indichemu l'azzione chì deve esse appiicata se i paràmetri currispondenu à u criteriu seguente - permettenu o denegate u trafficu. Avemu da cunsiderà u criteriu dopu, postu chì hè ancu usatu in sintassi mudernu.
U tipu di cumanda mudernu hè ancu utilizatu in u modu di cunfigurazione globale Rx (config) è pare cusì: ip access-list standard <ACL number / name>. Quì pudete aduprà un numeru da 1 à 99 o u nome di a lista ACL, per esempiu, ACL_Networking. Stu cumandimu mette subitu u sistema in u modu di sottucumandamentu standard di Rx (config-std-nacl), induve deve entre <deny/enable> <criteri>. U tipu mudernu di squadre hà più vantaghji cumparatu cù u classicu.
In una lista classica, se scrive l'access-list 10 deny ______, dopu scrivite u prossimu cumandamentu di u listessu tipu per un altru criteriu, è finiscinu cù 100 tali cumandamenti, dopu per cambià qualcunu di i cumandamenti inseriti, vi tuccherà à fà. sguassate tuttu u listinu di l'accessu 10 cù u cumandimu no access-list 10. Questu eliminerà tutti i cumandamenti 100 perchè ùn ci hè micca manera di edità ogni cumandamentu individuale in questa lista.
In a sintassi muderna, u cumandamentu hè divisu in dui linii, u primu di quale cuntene u numeru di lista. Supponi chì s'è vo avete una lista access-list standard 10 deny ________, access-list standard 20 deny ________ è cusì, allora avete l'uppurtunità di inserisce listi intermedi cù altri criteri trà elli, per esempiu, access-list standard 15 deny ________ .
In alternativa, pudete simpricimenti sguassate l'access-list standard 20 line è retype li cù diversi paràmetri trà l'access-list standard 10 è access-list standard lines 30. Cusì, ci sò parechje manere di edità a sintassi ACL moderna.
Avete bisognu à esse assai attenti quandu creanu ACL. Comu sapete, i listi sò letti da cima à fondu. Se mette una linea in cima chì permette u trafficu da un òspite specificu, quì sottu pudete mette una linea chì pruibisce u trafficu da tutta a reta di a quale questu òspite face parte, è e duie cundizioni seranu verificate - u trafficu à un òspite specificu serà. esse permessu di passà, è u trafficu da tutti l'altri hosts sta reta serà bluccatu. Per quessa, sempre mette e voci specifiche in cima di a lista è generale in u fondu.
Allora, dopu avè creatu un ACL classicu o mudernu, duvete applicà. Per fà questu, avete bisognu à andà à i paràmetri di una interfaccia specifica, per esempiu, f0/0 utilizendu l'interfaccia di cumanda <tipu è slot>, andate à u modu di subcommand di l'interfaccia è entre in u cumandimu ip access-group <number ACL/ nome> . Per piacè nutate a diffarenza: quandu compilate una lista, una lista d'accessu hè utilizata, è quandu l'applicà, un gruppu d'accessu hè utilizatu. Duvete determinà à quale interfaccia serà applicata sta lista - l'interfaccia in entrata o l'interfaccia in uscita. Se a lista hà un nome, per esempiu, Networking, u listessu nome hè ripetutu in u cumandimu per applicà a lista in questa interfaccia.
Avà pigliate un prublema specificu è pruvate à risolve cù l'esempiu di u nostru diagramma di rete cù Packet Tracer. Dunque, avemu 4 rete: dipartimentu di vendita, dipartimentu di cuntabilità, gestione è sala di servitori.
Task No 1: tuttu u trafficu direttu da i dipartimenti di vendita è finanziarii à u dipartimentu di gestione è a sala di u servitore deve esse bluccatu. U locu di bloccu hè l'interfaccia S0/1/0 di u router R2. Prima avemu da creà una lista chì cuntene e seguenti voci:
Chjamemu a lista "Management and Server Security ACL", abbreviata cum'è ACL Secure_Ma_And_Se. Questu hè seguitu da pruibisce u trafficu da a reta di u dipartimentu finanziariu 192.168.1.128/26, pruibisce u trafficu da a reta di u dipartimentu di vendita 192.168.1.0/25, è permettenu qualsiasi altru trafficu. À a fine di a lista hè indicatu chì hè utilizatu per l'interfaccia S0/1/0 di u router R2. Se ùn avemu micca un Permit Any Entry à a fine di a lista, allora tutti l'altri traffici seranu bluccati perchè l'ACL predeterminatu hè sempre stabilitu in Deny Any Entry à a fine di a lista.
Possu applicà sta ACL à l'interfaccia G0/0? Di sicuru, possu, ma in questu casu solu u trafficu da u dipartimentu di cuntabilità serà bluccatu, è u trafficu da u dipartimentu di vendita ùn serà micca limitatu in ogni modu. In u listessu modu, pudete applicà una ACL à l'interfaccia G0/1, ma in questu casu, u trafficu di u dipartimentu finanziariu ùn serà micca bluccatu. Di sicuru, pudemu creà dui listi di blocchi separati per queste interfacce, ma hè assai più efficaci di cumminà in una lista è appricà à l'interfaccia di output di u router R2 o l'interfaccia di input S0/1/0 di u router R1.
Ancu s'è e regule di Cisco dichjaranu chì un ACL standard deve esse piazzatu u più vicinu à a destinazione pussibule, l'aghju pusatu più vicinu à a fonte di u trafficu perchè vogliu bluccà tuttu u trafficu in uscita, è hè più sensu per fà questu più vicinu à u trafficu. surghjente cusì chì stu trafficu ùn perdi micca a reta trà dui routers.
Mi sò scurdatu di parlà di i criterii, allora vultemu prestu. Pudete specificà qualcunu cum'è un criteriu - in questu casu, ogni trafficu da qualsiasi dispositivu è qualsiasi rete serà denegatu o permessu. Pudete ancu specificà un òspite cù u so identificatore - in questu casu, l'entrata serà l'indirizzu IP di un dispositivu specificu. Infine, pudete specificà una reta sana, per esempiu, 192.168.1.10/24. In questu casu, /24 significarà a presenza di una maschera di subnet di 255.255.255.0, ma hè impussibile di specificà l'indirizzu IP di a maschera di subnet in l'ACL. Per questu casu, ACL hà un cuncettu chjamatu Wildcart Mask, o "maschera inversa". Dunque ci vole à specificà l'indirizzu IP è a maschera di ritornu. A maschera inversa s'assumiglia cusì: duvete sottrae a maschera di subnet diretta da a maschera di subnet generale, vale à dì, u numeru chì currisponde à u valore di l'octetu in a maschera di avanti hè sottrattu da 255.
Dunque, avete aduprà u paràmetru 192.168.1.10 0.0.0.255 cum'è u criteriu in l'ACL.
Cumu funziona? Se ci hè un 0 in l'octettu di a maschera di ritornu, u criteriu hè cunsideratu cum'è l'octetu currispundente di l'indirizzu IP di a subnet. Se ci hè un numeru in l'octettu backmask, u match ùn hè micca verificatu. Cusì, per una reta di 192.168.1.0 è una maschera di ritornu di 0.0.0.255, tuttu u trafficu da l'indirizzi chì i primi trè ottetti sò uguali à 192.168.1., indipendentemente da u valore di u quartu ottettu, serà bluccatu o permessu secondu l'azzione specifica.
Aduprà una maschera inversa hè faciule, è torneremu à a Maschera Wildcart in u prossimu video per pudè spiegà cumu travaglià cun ella.
28:50 min
Grazie per stà cun noi. Ti piace i nostri articuli ? Vulete vede più cuntenutu interessante? Supportaci facendu un ordine o ricumandendu à l'amichi, 30% di scontu per l'utilizatori di Habr nantu à un analogu unicu di servitori di livellu d'entrata, chì hè statu inventatu da noi per voi: (dispunibule cù RAID1 è RAID10, finu à 24 core è finu à 40GB DDR4).
Dell R730xd 2 volte più prezzu ? Solu quì in l'Olanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - da $ 99! Leghje circa
Source: www.habr.com