Heute beginnen wir mit dem Erlernen der ACL-Zugriffskontrollliste. Dieses Thema wird in zwei Videolektionen behandelt. Wir werden uns die Konfiguration einer Standard-ACL ansehen und im nächsten Video-Tutorial werde ich über die erweiterte Liste sprechen.
In dieser Lektion werden wir drei Themen behandeln. Das erste ist, was eine ACL ist, das zweite ist, was der Unterschied zwischen einer Standard- und einer erweiterten Zugriffsliste ist, und am Ende der Lektion werden wir uns als Labor mit der Einrichtung einer Standard-ACL und der Lösung möglicher Probleme befassen.
Was ist also eine ACL? Wenn Sie den Kurs von der ersten Videolektion an studiert haben, erinnern Sie sich daran, wie wir die Kommunikation zwischen verschiedenen Netzwerkgeräten organisiert haben.
Wir haben auch statisches Routing über verschiedene Protokolle untersucht, um Kenntnisse in der Organisation der Kommunikation zwischen Geräten und Netzwerken zu erlangen. Wir haben jetzt die Lernphase erreicht, in der wir uns um die Sicherstellung der Verkehrskontrolle kümmern sollten, d. h. darum, zu verhindern, dass „Bösewichte“ oder nicht autorisierte Benutzer das Netzwerk infiltrieren. Dies kann beispielsweise Personen aus der Vertriebsabteilung SALES betreffen, die in diesem Diagramm dargestellt ist. Hier zeigen wir auch die Finanzabteilung KONTEN, die Verwaltungsabteilung VERWALTUNG und den Serverraum SERVERRAUM.
Die Vertriebsabteilung hat also möglicherweise hundert Mitarbeiter, und wir möchten nicht, dass einer von ihnen über das Netzwerk den Serverraum erreichen kann. Eine Ausnahme gilt für den Vertriebsleiter, der an einem Laptop2-Computer arbeitet – er hat Zugang zum Serverraum. Ein neuer Mitarbeiter, der an Laptop3 arbeitet, sollte keinen solchen Zugriff haben, d. h. wenn der Datenverkehr von seinem Computer Router R2 erreicht, sollte er verworfen werden.
Die Rolle einer ACL besteht darin, den Datenverkehr gemäß den angegebenen Filterparametern zu filtern. Dazu gehören die Quell-IP-Adresse, die Ziel-IP-Adresse, das Protokoll, die Anzahl der Ports und andere Parameter, dank derer Sie den Datenverkehr identifizieren und entsprechende Maßnahmen ergreifen können.
ACL ist also ein Layer-3-Filtermechanismus des OSI-Modells. Dies bedeutet, dass dieser Mechanismus in Routern verwendet wird. Das Hauptkriterium für die Filterung ist die Identifizierung des Datenstroms. Wenn wir beispielsweise den Zugriff des Benutzers mit dem Laptop3-Computer auf den Server blockieren möchten, müssen wir zunächst seinen Datenverkehr identifizieren. Dieser Datenverkehr bewegt sich in Richtung Laptop-Switch2-R2-R1-Switch1-Server1 über die entsprechenden Schnittstellen von Netzwerkgeräten, während die G0/0-Schnittstellen von Routern nichts damit zu tun haben.
Um den Verkehr zu identifizieren, müssen wir seinen Pfad identifizieren. Anschließend können wir entscheiden, wo genau wir den Filter installieren müssen. Machen Sie sich keine Sorgen um die Filter selbst, wir werden sie in der nächsten Lektion besprechen, denn jetzt müssen wir das Prinzip verstehen, auf welche Schnittstelle der Filter angewendet werden soll.
Wenn Sie sich einen Router ansehen, können Sie erkennen, dass es bei jeder Bewegung des Datenverkehrs eine Schnittstelle gibt, an der der Datenfluss eingeht, und eine Schnittstelle, über die dieser Fluss austritt.
Eigentlich gibt es 3 Schnittstellen: die Eingabeschnittstelle, die Ausgabeschnittstelle und die eigene Schnittstelle des Routers. Denken Sie daran, dass die Filterung nur auf die Eingabe- oder Ausgabeschnittstelle angewendet werden kann.
Das Prinzip des ACL-Betriebs ähnelt einer Eintrittskarte für eine Veranstaltung, an der nur diejenigen Gäste teilnehmen können, deren Name auf der Liste der eingeladenen Personen steht. Eine ACL ist eine Liste von Qualifikationsparametern, die zur Identifizierung des Datenverkehrs verwendet werden. Diese Liste gibt beispielsweise an, dass der gesamte Datenverkehr von der IP-Adresse 192.168.1.10 zulässig ist und der Datenverkehr von allen anderen Adressen abgelehnt wird. Wie gesagt, diese Liste kann sowohl auf die Eingabe- als auch auf die Ausgabeschnittstelle angewendet werden.
Es gibt zwei Arten von ACLs: Standard und erweitert. Eine Standard-ACL hat einen Bezeichner von 2 bis 1 oder von 99 bis 1300. Dabei handelt es sich lediglich um Listennamen, die mit zunehmender Nummerierung keine Vorteile gegenübereinander haben. Zusätzlich zur Nummer können Sie der ACL Ihren eigenen Namen zuweisen. Erweiterte ACLs sind von 1999 bis 100 oder 199 bis 2000 nummeriert und können auch einen Namen haben.
In einer Standard-ACL basiert die Klassifizierung auf der Quell-IP-Adresse des Datenverkehrs. Daher können Sie bei Verwendung einer solchen Liste den an eine beliebige Quelle gerichteten Datenverkehr nicht einschränken, sondern nur den von einem Gerät ausgehenden Datenverkehr blockieren.
Eine erweiterte ACL klassifiziert den Datenverkehr nach Quell-IP-Adresse, Ziel-IP-Adresse, verwendetem Protokoll und Portnummer. Sie können beispielsweise nur FTP-Verkehr oder nur HTTP-Verkehr blockieren. Heute werfen wir einen Blick auf die Standard-ACL und widmen die nächste Videolektion erweiterten Listen.
Wie gesagt, eine ACL ist eine Liste von Bedingungen. Nachdem Sie diese Liste auf die eingehende oder ausgehende Schnittstelle des Routers angewendet haben, vergleicht der Router den Datenverkehr mit dieser Liste. Wenn die in der Liste festgelegten Bedingungen erfüllt sind, entscheidet er, ob dieser Datenverkehr zugelassen oder abgelehnt wird. Oft fällt es den Leuten schwer, die Ein- und Ausgabeschnittstellen eines Routers zu bestimmen, obwohl es hier nichts Kompliziertes gibt. Wenn wir von einer eingehenden Schnittstelle sprechen, bedeutet dies, dass nur der eingehende Datenverkehr an diesem Port kontrolliert wird und der Router keine Einschränkungen für den ausgehenden Datenverkehr anwendet. Wenn es sich um eine Egress-Schnittstelle handelt, bedeutet dies ebenfalls, dass alle Regeln nur für ausgehenden Datenverkehr gelten, während eingehender Datenverkehr an diesem Port ohne Einschränkungen akzeptiert wird. Wenn der Router beispielsweise über zwei Ports verfügt: f2/0 und f0/0, wird die ACL nur auf Datenverkehr angewendet, der über die f1/0-Schnittstelle eintritt, oder nur auf Datenverkehr, der von der f0/0-Schnittstelle ausgeht. Der Verkehr, der die Schnittstelle f1/0 betritt oder verlässt, wird von der Liste nicht beeinflusst.
Lassen Sie sich daher nicht von der eingehenden oder ausgehenden Richtung der Schnittstelle verwirren, sie hängt von der Richtung des spezifischen Datenverkehrs ab. Nachdem der Router also überprüft hat, ob der Datenverkehr den ACL-Bedingungen entspricht, kann er nur zwei Entscheidungen treffen: den Datenverkehr zulassen oder ablehnen. Beispielsweise können Sie Datenverkehr für 180.160.1.30 zulassen und Datenverkehr für 192.168.1.10 ablehnen. Jede Liste kann mehrere Bedingungen enthalten, aber jede dieser Bedingungen muss zulassen oder ablehnen.
Nehmen wir an, wir haben eine Liste:
_______ verbieten
Erlauben ________
Erlauben ________
Verbieten Sie _________.
Zunächst überprüft der Router den Datenverkehr, um festzustellen, ob er die erste Bedingung erfüllt; wenn er nicht übereinstimmt, prüft er die zweite Bedingung. Wenn der Datenverkehr der dritten Bedingung entspricht, stoppt der Router die Überprüfung und vergleicht ihn nicht mit den übrigen Listenbedingungen. Es führt die Aktion „Zulassen“ aus und fährt mit der Überprüfung des nächsten Teils des Datenverkehrs fort.
Falls Sie für kein Paket eine Regel festgelegt haben und der Datenverkehr alle Zeilen der Liste durchläuft, ohne eine der Bedingungen zu erfüllen, wird das Paket zerstört, da jede ACL-Liste standardmäßig mit dem Befehl „deny any“ (d. h. verwerfen) endet jedes Paket, das keiner der Regeln unterliegt. Diese Bedingung wird wirksam, wenn mindestens eine Regel in der Liste vorhanden ist, andernfalls hat sie keine Wirkung. Wenn aber in der ersten Zeile der Eintrag deny 192.168.1.30 steht und die Liste keine Bedingungen mehr enthält, dann sollte am Ende ein Befehl „permit any“ stehen, also jeglichen Datenverkehr zulassen, außer dem, der durch die Regel verboten ist. Dies müssen Sie berücksichtigen, um Fehler bei der Konfiguration der ACL zu vermeiden.
Ich möchte, dass Sie sich an die Grundregel beim Erstellen einer ASL-Liste erinnern: Platzieren Sie Standard-ASL so nah wie möglich am Ziel, also am Empfänger des Datenverkehrs, und platzieren Sie erweiterte ASL so nah wie möglich an der Quelle, also an den Absender des Datenverkehrs. Dies sind Empfehlungen von Cisco, aber in der Praxis gibt es Situationen, in denen es sinnvoller ist, eine Standard-ACL in der Nähe der Verkehrsquelle zu platzieren. Wenn Sie jedoch während der Prüfung auf eine Frage zu den ACL-Platzierungsregeln stoßen, befolgen Sie die Empfehlungen von Cisco und antworten Sie eindeutig: „Standard“ ist näher am Ziel, „Extended“ ist näher an der Quelle.
Schauen wir uns nun die Syntax einer Standard-ACL an. Im globalen Konfigurationsmodus des Routers gibt es zwei Arten von Befehlssyntax: klassische Syntax und moderne Syntax.
Der klassische Befehlstyp ist access-list <ACL-Nummer> <deny/allow> <criteria>. Wenn Sie die <ACL-Nummer> auf einen Wert zwischen 1 und 99 einstellen, erkennt das Gerät automatisch, dass es sich um eine Standard-ACL handelt. Wenn sie zwischen 100 und 199 liegt, handelt es sich um eine erweiterte ACL. Da wir uns in der heutigen Lektion mit einer Standardliste befassen, können wir eine beliebige Zahl von 1 bis 99 verwenden. Anschließend geben wir die Aktion an, die angewendet werden muss, wenn die Parameter dem folgenden Kriterium entsprechen – Datenverkehr zulassen oder verweigern. Wir werden das Kriterium später betrachten, da es auch in der modernen Syntax verwendet wird.
Der moderne Befehlstyp wird auch im globalen Konfigurationsmodus Rx(config) verwendet und sieht folgendermaßen aus: ip access-list standard <ACL-Nummer/Name>. Hier können Sie entweder eine Zahl von 1 bis 99 oder den Namen der ACL-Liste verwenden, zum Beispiel ACL_Networking. Dieser Befehl versetzt das System sofort in den Rx-Standardmodus-Unterbefehlsmodus (config-std-nacl), in dem Sie <deny/enable> <criteria> eingeben müssen. Der moderne Teamtyp hat im Vergleich zum klassischen Team mehr Vorteile.
Wenn Sie in einer klassischen Liste „access-list 10 deny ______“ eingeben, dann den nächsten Befehl derselben Art für ein anderes Kriterium eingeben und am Ende 100 solcher Befehle erhalten, müssten Sie einen der eingegebenen Befehle löschen, um ihn zu ändern die gesamte Zugriffsliste list 10 mit dem Befehl no access-list 10. Dadurch werden alle 100 Befehle gelöscht, da es keine Möglichkeit gibt, einzelne Befehle in dieser Liste zu bearbeiten.
In der modernen Syntax ist der Befehl in zwei Zeilen unterteilt, von denen die erste die Listennummer enthält. Angenommen, Sie haben eine Liste „Access-List Standard 10 Deny ________“, eine Access-List Standard 20 Deny ________ usw., dann haben Sie die Möglichkeit, Zwischenlisten mit anderen Kriterien dazwischen einzufügen, zum Beispiel „Access-List Standard 15 Deny ________“. .
Alternativ können Sie einfach die 20 Standardzeilen der Zugriffsliste löschen und sie mit unterschiedlichen Parametern zwischen den Standardzeilen der Zugriffsliste 10 und den Standardzeilen der Zugriffsliste 30 erneut eingeben. Somit gibt es verschiedene Möglichkeiten, die moderne ACL-Syntax zu bearbeiten.
Beim Erstellen von ACLs müssen Sie sehr vorsichtig sein. Wie Sie wissen, werden Listen von oben nach unten gelesen. Wenn Sie oben eine Zeile platzieren, die den Datenverkehr von einem bestimmten Host zulässt, können Sie unten eine Zeile platzieren, die den Datenverkehr aus dem gesamten Netzwerk, zu dem dieser Host gehört, verbietet. Beide Bedingungen werden überprüft – der Datenverkehr zu einem bestimmten Host wird überprüft wird durchgelassen und der Datenverkehr von allen anderen Hosts in diesem Netzwerk wird blockiert. Platzieren Sie daher spezifische Einträge immer oben in der Liste und allgemeine Einträge unten.
Nachdem Sie also eine klassische oder moderne ACL erstellt haben, müssen Sie diese anwenden. Dazu müssen Sie mit dem Befehl interface <Typ und Steckplatz> zu den Einstellungen einer bestimmten Schnittstelle gehen, zum Beispiel f0/0, in den Unterbefehlsmodus „Schnittstelle“ wechseln und den Befehl ip access-group <ACL-Nummer/ eingeben. Name> . Bitte beachten Sie den Unterschied: Beim Zusammenstellen einer Liste wird eine Zugriffsliste verwendet, bei der Anwendung wird eine Zugriffsgruppe verwendet. Sie müssen festlegen, auf welche Schnittstelle diese Liste angewendet wird – die eingehende Schnittstelle oder die ausgehende Schnittstelle. Wenn die Liste einen Namen hat, zum Beispiel „Netzwerk“, wird derselbe Name im Befehl wiederholt, um die Liste auf diese Schnittstelle anzuwenden.
Nehmen wir nun ein konkretes Problem und versuchen es am Beispiel unseres Netzwerkdiagramms mit Packet Tracer zu lösen. Wir haben also 4 Netzwerke: Verkaufsabteilung, Buchhaltung, Management und Serverraum.
Aufgabe Nr. 1: Der gesamte Datenverkehr, der von der Vertriebs- und Finanzabteilung zur Verwaltungsabteilung und zum Serverraum geleitet wird, muss blockiert werden. Der Sperrort ist die Schnittstelle S0/1/0 des Routers R2. Zuerst müssen wir eine Liste erstellen, die folgende Einträge enthält:
Nennen wir die Liste „Management and Server Security ACL“, abgekürzt als ACL Secure_Ma_And_Se. Anschließend wird der Datenverkehr aus dem Netzwerk der Finanzabteilung 192.168.1.128/26 verboten, der Datenverkehr aus dem Netzwerk der Vertriebsabteilung 192.168.1.0/25 verboten und jeder andere Datenverkehr zugelassen. Am Ende der Liste wird angegeben, dass es für die ausgehende Schnittstelle S0/1/0 des Routers R2 verwendet wird. Wenn wir am Ende der Liste keinen Eintrag „Alle zulassen“ haben, wird der gesamte andere Datenverkehr blockiert, da die Standard-ACL immer auf den Eintrag „Alle verweigern“ am Ende der Liste eingestellt ist.
Kann ich diese ACL auf die Schnittstelle G0/0 anwenden? Natürlich kann ich das, aber in diesem Fall wird nur der Verkehr aus der Buchhaltung blockiert und der Verkehr aus der Vertriebsabteilung wird in keiner Weise eingeschränkt. Auf die gleiche Weise können Sie eine ACL auf die G0/1-Schnittstelle anwenden, aber in diesem Fall wird der Datenverkehr der Finanzabteilung nicht blockiert. Natürlich können wir für diese Schnittstellen zwei separate Blocklisten erstellen, aber viel effizienter ist es, sie zu einer Liste zusammenzufassen und diese auf die Ausgangsschnittstelle von Router R2 oder die Eingangsschnittstelle S0/1/0 von Router R1 anzuwenden.
Obwohl die Cisco-Regeln besagen, dass eine Standard-ACL so nah wie möglich am Ziel platziert werden sollte, werde ich sie näher an der Quelle des Datenverkehrs platzieren, weil ich den gesamten ausgehenden Datenverkehr blockieren möchte, und es ist sinnvoller, dies näher am Ziel zu tun Quelle, damit dieser Datenverkehr das Netzwerk zwischen zwei Routern nicht verschwendet.
Ich habe vergessen, Ihnen die Kriterien mitzuteilen, also gehen wir schnell zurück. Sie können ein beliebiges Kriterium angeben. In diesem Fall wird jeglicher Datenverkehr von jedem Gerät und jedem Netzwerk abgelehnt oder zugelassen. Sie können auch einen Host mit seiner Kennung angeben – in diesem Fall ist der Eintrag die IP-Adresse eines bestimmten Geräts. Schließlich können Sie ein ganzes Netzwerk angeben, zum Beispiel 192.168.1.10/24. In diesem Fall bedeutet /24 das Vorhandensein einer Subnetzmaske von 255.255.255.0, es ist jedoch nicht möglich, die IP-Adresse der Subnetzmaske in der ACL anzugeben. Für diesen Fall verfügt ACL über ein Konzept namens Wildcart Mask oder „Reverse Mask“. Daher müssen Sie die IP-Adresse und die Rückgabemaske angeben. Die umgekehrte Maske sieht folgendermaßen aus: Sie müssen die direkte Subnetzmaske von der allgemeinen Subnetzmaske subtrahieren, d. h. die Zahl, die dem Oktettwert in der Vorwärtsmaske entspricht, wird von 255 subtrahiert.
Daher sollten Sie in der ACL den Parameter 192.168.1.10 0.0.0.255 als Kriterium verwenden.
Wie es funktioniert? Wenn das Rückgabemasken-Oktett eine 0 enthält, wird davon ausgegangen, dass das Kriterium mit dem entsprechenden Oktett der IP-Adresse des Subnetzes übereinstimmt. Wenn im Backmask-Oktett eine Zahl vorhanden ist, wird die Übereinstimmung nicht überprüft. Somit wird für ein Netzwerk von 192.168.1.0 und einer Rückgabemaske von 0.0.0.255 der gesamte Datenverkehr von Adressen, deren erste drei Oktette gleich 192.168.1 sind, unabhängig vom Wert des vierten Oktetts blockiert oder zugelassen, je nachdem die angegebene Aktion.
Die Verwendung einer umgekehrten Maske ist einfach und wir werden im nächsten Video auf die Wildcart-Maske zurückkommen, damit ich erklären kann, wie man damit arbeitet.
28:50 min
Vielen Dank, dass Sie bei uns geblieben sind. Gefallen Ihnen unsere Artikel? Möchten Sie weitere interessante Inhalte sehen? Unterstützen Sie uns, indem Sie eine Bestellung aufgeben oder an Freunde weiterempfehlen. 30 % Rabatt für Habr-Benutzer auf ein einzigartiges Analogon von Einstiegsservern, das von uns für Sie erfunden wurde: (verfügbar mit RAID1 und RAID10, bis zu 24 Kerne und bis zu 40 GB DDR4).
Dell R730xd 2-mal günstiger? Nur hier in den Niederlanden! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbit/s 100 TB – ab 99 $! Lesen über
Source: habr.com