I dag vil vi begynde at lære om ACL-adgangskontrolliste, dette emne vil tage 2 videolektioner. Vi vil se på konfigurationen af en standard ACL, og i den næste video tutorial vil jeg tale om den udvidede liste.
I denne lektion vil vi dække 3 emner. Den første er, hvad en ACL er, den anden er, hvad der er forskellen mellem en standard og en udvidet adgangsliste, og i slutningen af lektionen vil vi som et laboratorium se på opsætning af en standard ACL og løse mulige problemer.
Så hvad er en ACL? Hvis du studerede kurset fra den allerførste videolektion, så husker du, hvordan vi organiserede kommunikationen mellem forskellige netværksenheder.
Vi studerede også statisk routing over forskellige protokoller for at opnå færdigheder i at organisere kommunikation mellem enheder og netværk. Vi er nu nået til læringsstadiet, hvor vi bør være bekymrede for at sikre trafikkontrol, det vil sige at forhindre "bad guys" eller uautoriserede brugere i at infiltrere netværket. Det kan for eksempel dreje sig om personer fra salgsafdelingen SALG, som er afbildet i dette diagram. Her viser vi også økonomiafdelingen REGNSKAB, ledelsesafdelingen LEDELSE og serverrummet SERVERRUM.
Så salgsafdelingen har måske hundrede ansatte, og vi ønsker ikke, at nogen af dem skal kunne nå serverrummet over netværket. Der er en undtagelse for salgschefen, der arbejder på en Laptop2 computer - han kan få adgang til serverrummet. En ny medarbejder, der arbejder på Laptop3, bør ikke have sådan adgang, det vil sige, hvis trafik fra hans computer når router R2, skal den droppes.
En ACLs rolle er at filtrere trafik i henhold til de specificerede filtreringsparametre. De inkluderer kilde-IP-adressen, destinations-IP-adressen, protokol, antallet af porte og andre parametre, takket være hvilke du kan identificere trafikken og foretage nogle handlinger med den.
Så ACL er en lag 3-filtreringsmekanisme af OSI-modellen. Det betyder, at denne mekanisme bruges i routere. Hovedkriteriet for filtrering er identifikation af datastrømmen. For eksempel, hvis vi vil blokere fyren med Laptop3-computeren fra at få adgang til serveren, skal vi først og fremmest identificere hans trafik. Denne trafik bevæger sig i retning af Laptop-Switch2-R2-R1-Switch1-Server1 gennem de tilsvarende grænseflader på netværksenheder, mens G0/0-grænseflader på routere ikke har noget med det at gøre.
For at identificere trafik skal vi identificere dens vej. Når vi har gjort dette, kan vi beslutte, hvor præcist vi skal installere filteret. Du skal ikke bekymre dig om selve filtrene, vi vil diskutere dem i den næste lektion, for nu skal vi forstå princippet om, hvilken grænseflade filteret skal anvendes til.
Hvis du ser på en router, kan du se, at hver gang trafikken bevæger sig, er der en grænseflade, hvor datastrømmen kommer ind, og en grænseflade, hvorigennem dette flow kommer ud.
Der er faktisk 3 interfaces: input interfacet, output interfacet og routerens eget interface. Bare husk, at filtrering kun kan anvendes på input- eller outputgrænsefladen.
Princippet for ACL-drift svarer til et pass til en begivenhed, der kun kan deltages af de gæster, hvis navn er på listen over inviterede personer. En ACL er en liste over kvalifikationsparametre, der bruges til at identificere trafik. For eksempel angiver denne liste, at al trafik er tilladt fra IP-adressen 192.168.1.10, og trafik fra alle andre adresser nægtes. Som jeg sagde, kan denne liste anvendes på både input- og outputgrænsefladen.
Der er 2 typer ACL'er: standard og udvidet. En standard ACL har en identifikator fra 1 til 99 eller fra 1300 til 1999. Disse er simpelthen listenavne, der ikke har nogen fordele i forhold til hinanden, efterhånden som nummereringen stiger. Ud over nummeret kan du tildele dit eget navn til ACL. Udvidede ACL'er er nummereret 100 til 199 eller 2000 til 2699 og kan også have et navn.
I en standard ACL er klassifikationen baseret på kildens IP-adresse for trafikken. Derfor, når du bruger en sådan liste, kan du ikke begrænse trafik dirigeret til nogen kilde, du kan kun blokere trafik, der stammer fra en enhed.
En udvidet ACL klassificerer trafik efter kilde-IP-adresse, destinations-IP-adresse, anvendt protokol og portnummer. For eksempel kan du kun blokere FTP-trafik eller kun HTTP-trafik. I dag vil vi se på standard ACL, og vi vil afsætte den næste videolektion til udvidede lister.
Som sagt er en ACL en liste over betingelser. Når du har anvendt denne liste på routerens indgående eller udgående grænseflade, kontrollerer routeren trafikken i forhold til denne liste, og hvis den opfylder betingelserne på listen, beslutter den, om den skal tillade eller afvise denne trafik. Folk har ofte svært ved at bestemme input- og outputgrænseflader på en router, selvom der ikke er noget kompliceret her. Når vi taler om en indgående grænseflade, betyder det, at kun indgående trafik vil blive kontrolleret på denne port, og routeren vil ikke anvende begrænsninger for udgående trafik. På samme måde, hvis vi taler om en udgående grænseflade, betyder det, at alle regler kun gælder for udgående trafik, mens indgående trafik på denne port vil blive accepteret uden begrænsninger. For eksempel, hvis routeren har 2 porte: f0/0 og f0/1, vil ACL kun blive anvendt på trafik, der kommer ind i f0/0-grænsefladen, eller kun på trafik, der stammer fra f0/1-grænsefladen. Trafik, der kommer ind i eller forlader grænseflade f0/1, vil ikke blive påvirket af listen.
Bliv derfor ikke forvirret af grænsefladens indgående eller udgående retning, det afhænger af retningen af den specifikke trafik. Så efter at routeren har tjekket trafikken for at matche ACL-betingelserne, kan den kun træffe to beslutninger: tillad trafikken eller afvis den. For eksempel kan du tillade trafik destineret til 180.160.1.30 og afvise trafik destineret til 192.168.1.10. Hver liste kan indeholde flere betingelser, men hver af disse betingelser skal tillade eller afvise.
Lad os sige, at vi har en liste:
Forbyd _______
Give lov til ________
Give lov til ________
Forbyd _________.
Først vil routeren tjekke trafikken for at se, om den matcher den første betingelse; hvis den ikke matcher, vil den kontrollere den anden betingelse. Hvis trafikken matcher den tredje betingelse, stopper routeren med at tjekke og sammenligner den ikke med resten af listebetingelserne. Det vil udføre "tillad"-handlingen og gå videre til at kontrollere den næste del af trafikken.
I tilfælde af at du ikke har sat en regel for nogen pakke, og trafikken passerer gennem alle linjerne på listen uden at ramme nogen af betingelserne, bliver den ødelagt, fordi hver ACL-liste som standard ender med deny any-kommandoen - dvs. enhver pakke, der ikke falder ind under nogen af reglerne. Denne betingelse træder i kraft, hvis der er mindst én regel på listen, ellers har den ingen effekt. Men hvis den første linje indeholder indtastningen nægte 192.168.1.30, og listen ikke længere indeholder nogen betingelser, så skal der i slutningen være en kommandotilladelse til enhver, dvs. tillad enhver trafik undtagen den, der er forbudt af reglen. Du skal tage højde for dette for at undgå fejl, når du konfigurerer ACL.
Jeg vil have dig til at huske den grundlæggende regel for at oprette en ASL-liste: Placer standard ASL så tæt som muligt på destinationen, det vil sige modtageren af trafikken, og placer udvidet ASL så tæt som muligt på kilden, dvs. til afsenderen af trafikken. Det er Ciscos anbefalinger, men i praksis er der situationer, hvor det giver mere mening at placere en standard ACL tæt på trafikkilden. Men hvis du støder på et spørgsmål om ACL-placeringsregler under eksamen, skal du følge Ciscos anbefalinger og svare utvetydigt: standard er tættere på destinationen, udvidet er tættere på kilden.
Lad os nu se på syntaksen for en standard ACL. Der er to typer kommandosyntaks i routerens globale konfigurationstilstand: klassisk syntaks og moderne syntaks.
Den klassiske kommandotype er adgangsliste <ACL-nummer> <afvis/tillad> <kriterier>. Hvis du indstiller <ACL nummer> fra 1 til 99, vil enheden automatisk forstå, at dette er en standard ACL, og hvis det er fra 100 til 199, så er det en udvidet. Da vi i dagens lektion ser på en standardliste, kan vi bruge et hvilket som helst tal fra 1 til 99. Så angiver vi den handling, der skal anvendes, hvis parametrene matcher følgende kriterium - tillad eller afvis trafik. Vi vil overveje kriteriet senere, da det også bruges i moderne syntaks.
Den moderne kommandotype bruges også i Rx(config) globale konfigurationstilstand og ser sådan ud: ip access-list standard <ACL nummer/navn>. Her kan du bruge enten et tal fra 1 til 99 eller navnet på ACL-listen, for eksempel ACL_Networking. Denne kommando sætter straks systemet i Rx standardtilstand underkommandotilstand (config-std-nacl), hvor du skal indtaste <deny/enable> <kriterier>. Den moderne type hold har flere fordele i forhold til den klassiske.
I en klassisk liste, hvis du skriver access-list 10 deny ______, så skriv den næste kommando af samme slags for et andet kriterium, og du ender med 100 sådanne kommandoer, så for at ændre nogen af de indtastede kommandoer, skal du slet hele adgangslistelisten 10 med kommandoen no access-list 10. Dette vil slette alle 100 kommandoer, fordi der ikke er nogen måde at redigere en individuel kommando på denne liste.
I moderne syntaks er kommandoen opdelt i to linjer, hvoraf den første indeholder listenummeret. Antag, at hvis du har en liste adgangsliste standard 10 nægte ________, adgangsliste standard 20 nægte ________ og så videre, så har du mulighed for at indsætte mellemlister med andre kriterier mellem dem, for eksempel adgangsliste standard 15 nægte ________ .
Alternativt kan du blot slette linjerne med adgangslistestandard 20 og genindtaste dem med forskellige parametre mellem linjerne med adgangslistestandard 10 og adgangslistestandard 30. Der er således forskellige måder at redigere moderne ACL-syntaks på.
Du skal være meget forsigtig, når du opretter ACL'er. Lister læses som bekendt fra top til bund. Hvis du placerer en linje øverst, der tillader trafik fra en bestemt vært, så kan du nedenfor placere en linje, der forbyder trafik fra hele det netværk, som denne vært er en del af, og begge betingelser vil blive kontrolleret - trafik til en bestemt vært vil tillades gennem, og trafik fra alle andre værter på dette netværk vil blive blokeret. Placer derfor altid specifikke poster øverst på listen og generelle nederst.
Så efter at du har oprettet en klassisk eller moderne ACL, skal du anvende den. For at gøre dette skal du gå til indstillingerne for en specifik grænseflade, for eksempel f0/0 ved hjælp af kommandogrænsefladen <type og slot>, gå til grænsefladeunderkommandotilstanden og indtaste kommandoen ip-adgangsgruppe <ACL-nummer/ navn> . Bemærk venligst forskellen: når du kompilerer en liste, bruges en adgangsliste, og når du anvender den, bruges en adgangsgruppe. Du skal bestemme, hvilken grænseflade denne liste vil blive anvendt på - den indgående grænseflade eller den udgående grænseflade. Hvis listen har et navn, f.eks. Netværk, gentages det samme navn i kommandoen for at anvende listen på denne grænseflade.
Lad os nu tage et specifikt problem og prøve at løse det ved at bruge eksemplet på vores netværksdiagram ved hjælp af Packet Tracer. Så vi har 4 netværk: salgsafdeling, regnskabsafdeling, ledelse og serverrum.
Opgave nr. 1: al trafik dirigeret fra salgs- og økonomiafdelingen til ledelsesafdelingen og serverrum skal spærres. Blokeringsstedet er interface S0/1/0 på router R2. Først skal vi oprette en liste med følgende poster:
Lad os kalde listen "Management and Server Security ACL", forkortet til ACL Secure_Ma_And_Se. Dette efterfølges af forbud mod trafik fra finansafdelingens netværk 192.168.1.128/26, forbud mod trafik fra salgsafdelingens netværk 192.168.1.0/25 og tillade anden trafik. I slutningen af listen er det angivet, at det bruges til det udgående interface S0/1/0 på router R2. Hvis vi ikke har en Permit Any-indgang i slutningen af listen, så vil al anden trafik blive blokeret, fordi standard-ACL altid er sat til en Deny Any-post i slutningen af listen.
Kan jeg anvende denne ACL på interface G0/0? Det kan jeg selvfølgelig, men i dette tilfælde vil kun trafik fra regnskabsafdelingen blive blokeret, og trafik fra salgsafdelingen vil på ingen måde være begrænset. På samme måde kan du anvende en ACL på G0/1-grænsefladen, men i dette tilfælde vil økonomiafdelingens trafik ikke blive blokeret. Selvfølgelig kan vi oprette to separate bloklister for disse grænseflader, men det er meget mere effektivt at kombinere dem til en liste og anvende den på outputgrænsefladen på router R2 eller inputgrænsefladen S0/1/0 på router R1.
Selvom Cisco-reglerne siger, at en standard ACL skal placeres så tæt på destinationen som muligt, vil jeg placere den tættere på kilden til trafikken, fordi jeg vil blokere al udgående trafik, og det giver mere mening at gøre dette tættere på kilde, så denne trafik ikke spilder netværket mellem to routere.
Jeg glemte at fortælle dig om kriterierne, så lad os hurtigt gå tilbage. Du kan angive enhver som et kriterium - i dette tilfælde vil enhver trafik fra enhver enhed og ethvert netværk blive nægtet eller tilladt. Du kan også angive en vært med dens identifikator - i dette tilfælde vil indtastningen være IP-adressen på en bestemt enhed. Endelig kan du angive et helt netværk, for eksempel 192.168.1.10/24. I dette tilfælde vil /24 betyde tilstedeværelsen af en undernetmaske på 255.255.255.0, men det er umuligt at angive IP-adressen på undernetmasken i ACL. I dette tilfælde har ACL et koncept kaldet Wildcart Mask, eller "omvendt maske". Derfor skal du angive IP-adressen og returmasken. Den omvendte maske ser sådan ud: du skal trække den direkte undernetmaske fra den generelle undernetmaske, det vil sige, at tallet svarende til oktetværdien i fremadmasken trækkes fra 255.
Derfor skal du bruge parameteren 192.168.1.10 0.0.0.255 som kriteriet i ACL.
Hvordan det virker? Hvis der er et 0 i returmaske-oktetten, anses kriteriet for at matche den tilsvarende oktet af subnet-IP-adressen. Hvis der er et tal i rygmaske-oktetten, kontrolleres matchen ikke. For et netværk på 192.168.1.0 og en returmaske på 0.0.0.255 vil al trafik fra adresser, hvis første tre oktetter er lig med 192.168.1., uanset værdien af den fjerde oktet, således blive blokeret eller tilladt afhængigt af den angivne handling.
Det er nemt at bruge en omvendt maske, og vi vender tilbage til Wildcart-masken i den næste video, så jeg kan forklare, hvordan man arbejder med den.
28:50 min
Tak fordi du blev hos os. Kan du lide vores artikler? Vil du se mere interessant indhold? Støt os ved at afgive en ordre eller anbefale til venner, 30% rabat til Habr-brugere på en unik analog af entry-level servere, som er opfundet af os til dig: (tilgængelig med RAID1 og RAID10, op til 24 kerner og op til 40 GB DDR4).
Dell R730xd 2 gange billigere? Kun her i Holland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fra $99! Læse om
Kilde: www.habr.com