Hodiaŭ ni komencos lerni pri ACL-alirkontrola listo, ĉi tiu temo prenos 2 videolecionojn. Ni rigardos la agordon de norma ACL, kaj en la sekva videolernilo mi parolos pri la plilongigita listo.
En ĉi tiu leciono ni traktos 3 temojn. La unua estas kio estas ACL, la dua estas la diferenco inter normo kaj plilongigita alirlisto, kaj ĉe la fino de la leciono, kiel laboratorio, ni rigardos starigi norman ACL kaj solvi eblajn problemojn.
Do kio estas ACL? Se vi studis la kurson ekde la unua videoleciono, tiam vi memoras kiel ni organizis komunikadon inter diversaj retaj aparatoj.
Ni ankaŭ studis statikan vojadon super diversaj protokoloj por akiri kapablojn en organizado de komunikadoj inter aparatoj kaj retoj. Ni nun atingis la lernan stadion, kie ni devus zorgi pri certigi trafikan kontrolon, tio estas, malhelpi "malbonulojn" aŭ neaŭtorizitajn uzantojn enfiltri la reton. Ekzemple, ĉi tio povas koncerni homojn de la venda fako de VENDO, kiu estas prezentita en ĉi tiu diagramo. Ĉi tie ni montras ankaŭ la financan fakon KONTOJ, la administradan fakon MANAGEMENT kaj la servila ĉambro SERVIL ĈAmbro.
Do, la venda fako eble havas cent dungitojn, kaj ni ne volas, ke iu el ili povu atingi la servilan ĉambron per la reto. Escepto estas farita por la vendisto kiu laboras sur Laptop2 komputilo - li povas havi aliron al la servila ĉambro. Nova dungito laboranta sur Laptop3 ne devus havi tian aliron, tio estas, se trafiko de sia komputilo atingas enkursigilon R2, ĝi devus esti faligita.
La rolo de ACL estas filtri trafikon laŭ la specifitaj filtraj parametroj. Ili inkluzivas la fontan IP-adreson, celan IP-adreson, protokolon, nombron da havenoj kaj aliajn parametrojn, danke al kiuj vi povas identigi la trafikon kaj fari iujn agojn kun ĝi.
Do, ACL estas tavola 3 filtra mekanismo de la OSI-modelo. Ĉi tio signifas, ke ĉi tiu mekanismo estas uzata en enkursigiloj. La ĉefa kriterio por filtrado estas la identigo de la datumfluo. Ekzemple, se ni volas malhelpi la ulo kun la Laptop3-komputilo de aliro al la servilo, unue ni devas identigi lian trafikon. Ĉi tiu trafiko moviĝas en la direkto de Laptop-Switch2-R2-R1-Switch1-Server1 tra la respondaj interfacoj de retaj aparatoj, dum la G0/0-interfacoj de enkursigiloj havas nenion komunan kun ĝi.
Por identigi trafikon, ni devas identigi ĝian vojon. Farinte tion, ni povas decidi kie ĝuste ni devas instali la filtrilon. Ne zorgu pri la filtriloj mem, ni diskutos ilin en la sekva leciono, nun ni devas kompreni la principon, al kiu interfaco la filtrilo devas esti aplikata.
Se vi rigardas enkursigilon, vi povas vidi, ke ĉiufoje kiam trafiko moviĝas, ekzistas interfaco, kie la datumfluo eniras, kaj interfaco tra kiu ĉi tiu fluo eliras.
Estas fakte 3 interfacoj: la eniga interfaco, la eliga interfaco kaj la propra interfaco de la enkursigilo. Nur memoru, ke filtrado povas esti aplikita nur al la eniga aŭ eliga interfaco.
La principo de ACL-funkciado estas simila al enirpermesilo al evento, kiun povas partopreni nur tiuj gastoj, kies nomo estas en la listo de invititaj personoj. ACL estas listo de kvalifikaj parametroj, kiuj estas uzataj por identigi trafikon. Ekzemple, ĉi tiu listo indikas, ke ĉiu trafiko estas permesita de la IP-adreso 192.168.1.10, kaj trafiko de ĉiuj aliaj adresoj estas neita. Kiel mi diris, ĉi tiu listo povas esti aplikata kaj al la eniga kaj eligo-interfaco.
Estas 2 specoj de ACLs: norma kaj etendita. Norma ACL havas identigilon de 1 ĝis 99 aŭ de 1300 ĝis 1999. Ĉi tiuj estas simple listnomoj kiuj ne havas ajnajn avantaĝojn super unu la alian kiam la numerado pliiĝas. Krom la nombro, vi povas asigni vian propran nomon al la ACL. Plilongigitaj ACLoj estas numeritaj 100 ĝis 199 aŭ 2000 ĝis 2699 kaj ankaŭ povas havi nomon.
En norma ACL, la klasifiko baziĝas sur la fonta IP-adreso de la trafiko. Sekve, kiam vi uzas tian liston, vi ne povas limigi trafikon direktitan al iu ajn fonto, vi povas nur bloki trafikon devenanta de aparato.
Plilongigita ACL klasifikas trafikon laŭ fonta IP-adreso, celo IP-adreso, uzata protokolo kaj havenombro. Ekzemple, vi povas bloki nur FTP-trafikon, aŭ nur HTTP-trafikon. Hodiaŭ ni rigardos la norman ACL, kaj ni dediĉos la sekvan videolecionon al plilongigitaj listoj.
Kiel mi diris, ACL estas listo de kondiĉoj. Post kiam vi aplikas ĉi tiun liston al la eniranta aŭ eliranta interfaco de la enkursigilo, la enkursigilo kontrolas la trafikon kontraŭ ĉi tiu listo, kaj se ĝi plenumas la kondiĉojn difinitajn en la listo, ĝi decidas ĉu permesi aŭ malakcepti ĉi tiun trafikon. Homoj ofte malfacilas determini la enigajn kaj elirajn interfacojn de enkursigilo, kvankam ĉi tie estas nenio komplika. Kiam ni parolas pri envenanta interfaco, tio signifas, ke nur envenanta trafiko estos kontrolita sur ĉi tiu haveno, kaj la enkursigilo ne aplikos limigojn al forira trafiko. Simile, se ni parolas pri elirinterfaco, tio signifas, ke ĉiuj reguloj aplikiĝos nur al elira trafiko, dum envenanta trafiko sur ĉi tiu haveno estos akceptita sen limigoj. Ekzemple, se la enkursigilo havas 2 havenojn: f0/0 kaj f0/1, tiam la ACL nur estos aplikita al trafiko eniranta la f0/0-interfacon, aŭ nur al trafiko originanta de la f0/1-interfaco. Trafiko eniranta aŭ eliranta interfacon f0/1 ne estos tuŝita de la listo.
Tial, ne estu konfuzita de la envenanta aŭ elira direkto de la interfaco, ĝi dependas de la direkto de la specifa trafiko. Do, post kiam la enkursigilo kontrolis la trafikon por kongrui kun la kondiĉoj de ACL, ĝi povas fari nur du decidojn: permesi la trafikon aŭ malakcepti ĝin. Ekzemple, vi povas permesi trafikon destinitan por 180.160.1.30 kaj malakcepti trafikon destinitan por 192.168.1.10. Ĉiu listo povas enhavi plurajn kondiĉojn, sed ĉiu el ĉi tiuj kondiĉoj devas permesi aŭ nei.
Ni diru, ke ni havas liston:
Malpermesu _______
Permesu ________
Permesu ________
Malpermesu _________.
Unue, la enkursigilo kontrolos la trafikon por vidi ĉu ĝi kongruas kun la unua kondiĉo; se ĝi ne kongruas, ĝi kontrolos la duan kondiĉon. Se la trafiko kongruas kun la tria kondiĉo, la enkursigilo ĉesos kontroli kaj ne komparos ĝin kun la ceteraj listkondiĉoj. Ĝi faros la agon "permesi" kaj daŭrigos kontroli la sekvan parton de trafiko.
Se vi ne starigis regulon por iu pako kaj la trafiko pasas tra ĉiuj linioj de la listo sen bati iun ajn el la kondiĉoj, ĝi estas detruita, ĉar ĉiu ACL-listo defaŭlte finiĝas per la deni ajnan komandon - tio estas, forĵeti ajna pakaĵeto, ne sub iu ajn el la reguloj. Ĉi tiu kondiĉo efektiviĝas se estas almenaŭ unu regulo en la listo, alie ĝi ne efikas. Sed se la unua linio enhavas la eniron deny 192.168.1.30 kaj la listo ne plu enhavas iujn ajn kondiĉojn, tiam ĉe la fino estu ordono permesi ajnan, tio estas, permesi ajnan trafikon krom tiu malpermesita de la regulo. Vi devas konsideri ĉi tion por eviti erarojn dum agordo de la ACL.
Mi volas, ke vi memoru la bazan regulon pri kreado de ASL-listo: metu norman ASL kiel eble plej proksime al la celloko, tio estas, al la ricevanto de la trafiko, kaj loku etendita ASL kiel eble plej proksime al la fonto, tio estas, al la sendinto de la trafiko. Ĉi tiuj estas rekomendoj de Cisco, sed praktike estas situacioj, kie pli sencas meti norman ACL proksime al la trafikfonto. Sed se vi renkontas demandon pri ACL-lokiga reguloj dum la ekzameno, sekvu la rekomendojn de Cisco kaj respondu malambigue: normo estas pli proksime al la celloko, etendita estas pli proksime al la fonto.
Nun ni rigardu la sintakson de norma ACL. Estas du specoj de komandsintakso en la enkursigilo tutmonda agorda reĝimo: klasika sintakso kaj moderna sintakso.
La klasika komandtipo estas alir-listo <ACL-numero> <nei/permesi> <kriterioj>. Se vi fiksas <ACL-numero> de 1 ĝis 99, la aparato aŭtomate komprenos, ke ĉi tio estas norma ACL, kaj se ĝi estas de 100 ĝis 199, tiam ĝi estas plilongigita. Ĉar en la hodiaŭa leciono ni rigardas norman liston, ni povas uzi ajnan nombron de 1 ĝis 99. Tiam ni indikas la agon, kiun oni devas apliki, se la parametroj kongruas kun la sekva kriterio - permesi aŭ malkonfirmi trafikon. Ni konsideros la kriterion poste, ĉar ĝi ankaŭ estas uzata en moderna sintakso.
La moderna komandtipo ankaŭ estas uzata en la tutmonda agorda reĝimo Rx(config) kaj aspektas jene: ip access-list standard <ACL-numero/nomo>. Ĉi tie vi povas uzi aŭ nombron de 1 ĝis 99 aŭ la nomon de la ACL-listo, ekzemple, ACL_Networking. Ĉi tiu komando tuj metas la sistemon en Rx-norman reĝimon subkomandan reĝimon (config-std-nacl), kie vi devas enigi <deny/enable> <criteria>. La moderna speco de teamoj havas pli da avantaĝoj kompare kun la klasika.
En klasika listo, se vi tajpas alirliston 10 deny ______, tiam tajpu la sekvan ordonon de la sama speco por alia kriterio, kaj vi finas kun 100 tiaj komandoj, tiam por ŝanĝi iun el la enmetitaj komandoj, vi devos forigu la tutan alirlistliston 10 per la komando neniu alirlisto 10. Ĉi tio forigos ĉiujn 100 komandojn ĉar ne estas maniero redakti ajnan individuan komandon en ĉi tiu listo.
En moderna sintakso, la komando estas dividita en du liniojn, la unua el kiuj enhavas la listnumeron. Supozu, se vi havas liston alirlistnormon 10 nei ________, alirlistnormon 20 deny ________ kaj tiel plu, tiam vi havas la ŝancon enmeti interajn listojn kun aliaj kriterioj inter ili, ekzemple alirlistnormon 15 deny ________ .
Alternative, vi povas simple forigi la alir-list-normajn liniojn 20 kaj retajpi ilin kun malsamaj parametroj inter la alir-listo-normo 10 kaj alir-listo-normaj linioj 30. Tiel, ekzistas diversaj manieroj redakti modernan ACL-sintakso.
Vi devas esti tre singarda kiam vi kreas ACL-ojn. Kiel vi scias, listoj estas legitaj de supre ĝis malsupre. Se vi metas linion supre, kiu permesas trafikon de specifa gastiganto, tiam malsupre vi povas meti linion, kiu malpermesas trafikon de la tuta reto, al kiu ĉi tiu gastiganto estas parto, kaj ambaŭ kondiĉoj estos kontrolitaj - trafiko al specifa gastiganto estos. estu permesita tra, kaj trafiko de ĉiuj aliaj gastigantoj ĉi tiu reto estos blokita. Tial, ĉiam metu specifajn enskribojn ĉe la supro de la listo kaj ĝeneralajn malsupre.
Do, post kiam vi kreis klasikan aŭ modernan ACL, vi devas apliki ĝin. Por fari tion, vi devas iri al la agordoj de specifa interfaco, ekzemple, f0/0 uzante la komandan interfacon <tipo kaj fendo>, iri al la interfaco subkomanda reĝimo kaj enigi la komandon ip access-group <ACL-numero/ nomo> . Bonvolu noti la diferencon: kiam oni kompilas liston, oni uzas alirlisto, kaj kiam oni aplikas ĝin oni uzas alirgrupon. Vi devas determini al kiu interfaco ĉi tiu listo estos aplikata - la envenanta interfaco aŭ la eliranta interfaco. Se la listo havas nomon, ekzemple, Retoj, la sama nomo estas ripetita en la komando por apliki la liston sur ĉi tiu interfaco.
Nun ni prenu specifan problemon kaj provu solvi ĝin uzante la ekzemplon de nia retdiagramo uzante Packet Tracer. Do, ni havas 4 retojn: venda fako, kontada fako, administrado kaj servila ĉambro.
Tasko n-ro 1: ĉiu trafiko direktita de la vendaj kaj financaj fakoj al la administra fako kaj servila ĉambro devas esti blokita. La bloka loko estas interfaco S0/1/0 de enkursigilo R2. Unue ni devas krei liston enhavantan la jenajn enskribojn:
Ni nomu la liston "Administrado kaj Servila Sekureco ACL", mallongigita kiel ACL Secure_Ma_And_Se. Sekvas malpermeso de trafiko de la financa faka reto 192.168.1.128/26, malpermesado de trafiko de la venda faka reto 192.168.1.0/25, kaj permesado de ajna alia trafiko. Ĉe la fino de la listo estas indikite, ke ĝi estas uzata por la elira interfaco S0/1/0 de enkursigilo R2. Se ni ne havas Permesi Iun ajn eniron ĉe la fino de la listo, tiam ĉio alia trafiko estos blokita ĉar la defaŭlta ACL ĉiam estas agordita al Deny Any eniro ĉe la fino de la listo.
Ĉu mi povas apliki ĉi tiun ACL al interfaco G0/0? Kompreneble, mi povas, sed ĉi-kaze nur trafiko de la kontada fako estos blokita, kaj trafiko de la venda fako neniel limiĝos. De la sama maniero, vi povas apliki ACL al la interfaco G0/1, sed ĉi-kaze la trafiko pri financa fako ne estos blokita. Kompreneble, ni povas krei du apartajn bloklistojn por ĉi tiuj interfacoj, sed estas multe pli efika kombini ilin en unu liston kaj apliki ĝin al la eliga interfaco de enkursigilo R2 aŭ la eniga interfaco S0/1/0 de enkursigilo R1.
Kvankam la reguloj de Cisco deklaras, ke norma ACL devus esti metita kiel eble plej proksime al la celloko, mi metos ĝin pli proksime al la fonto de la trafiko ĉar mi volas bloki la tutan elirantan trafikon, kaj pli sencas fari tion pli proksime al la trafiko. fonto por ke ĉi tiu trafiko ne malŝparu la reton inter du enkursigiloj.
Mi forgesis diri al vi pri la kriterioj, do ni rapide reiru. Vi povas specifi iun ajn kiel kriterion - en ĉi tiu kazo, ajna trafiko de iu ajn aparato kaj ajna reto estos malakceptita aŭ permesita. Vi ankaŭ povas specifi gastiganton kun ĝia identigilo - en ĉi tiu kazo, la eniro estos la IP-adreso de specifa aparato. Fine, vi povas specifi tutan reton, ekzemple 192.168.1.10/24. En ĉi tiu kazo, /24 signifos la ĉeeston de subreta masko de 255.255.255.0, sed estas neeble specifi la IP-adreson de la subreta masko en la ACL. Por ĉi tiu kazo, ACL havas koncepton nomitan Wildcart Mask, aŭ "inversa masko". Tial vi devas specifi la IP-adreson kaj resendi maskon. La inversa masko aspektas jene: vi devas subtrahi la rektan subretan maskon de la ĝenerala subreta masko, tio estas, la nombro responda al la okta valoro en la antaŭa masko estas subtrahita de 255.
Tial, vi devus uzi la parametron 192.168.1.10 0.0.0.255 kiel la kriterion en la ACL.
Kiel ĝi funkcias? Se estas 0 en la revenmaskokteto, la kriterio estas konsiderata kongrua kun la responda okteto de la subreta IP-adreso. Se estas numero en la dorsmaska okteto, la kongruo ne estas kontrolita. Tiel, por reto de 192.168.1.0 kaj revena masko de 0.0.0.255, la tuta trafiko de adresoj, kies unuaj tri oktetoj estas egalaj al 192.168.1., sendepende de la valoro de la kvara okteto, estos blokita aŭ permesita depende de la specifita ago.
Uzi inversan maskon estas facila, kaj ni revenos al la Wildcart Masko en la sekva video, por ke mi povu klarigi kiel labori kun ĝi.
28:50 min
Dankon pro restado ĉe ni. Ĉu vi ŝatas niajn artikolojn? Ĉu vi volas vidi pli interesan enhavon? Subtenu nin farante mendon aŭ rekomendante al amikoj, 30% rabato por uzantoj de Habr sur unika analogo de enirnivelaj serviloj, kiu estis inventita de ni por vi: (havebla kun RAID1 kaj RAID10, ĝis 24 kernoj kaj ĝis 40GB DDR4).
Dell R730xd 2 fojojn pli malmultekosta? Nur ĉi tie en Nederlando! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ekde $99! Legu pri
fonto: www.habr.com