Täna alustame tutvumist ACL-i juurdepääsukontrolli loendiga, see teema võtab 2 videotundi. Vaatame standardse ACL-i konfiguratsiooni ja järgmises videoõpetuses räägin laiendatud loendist.
Selles õppetükis käsitleme 3 teemat. Esimene on see, mis on ACL, teine on see, mis vahe on standardsel ja laiendatud juurdepääsuloendil ning tunni lõpus vaatleme laborina standardse ACL-i seadistamist ja võimalike probleemide lahendamist.
Niisiis, mis on ACL? Kui õppisite kursust esimesest videotunnist peale, siis mäletate, kuidas korraldasime suhtlust erinevate võrguseadmete vahel.
Samuti uurisime staatilist marsruutimist erinevate protokollide kaudu, et omandada oskusi seadmete ja võrkude vahelise suhtluse korraldamisel. Nüüdseks oleme jõudnud õppimisfaasi, kus peaksime muretsema liikluse kontrolli tagamise ehk “pahade” või volitamata kasutajate võrku imbumise eest. Näiteks võib see puudutada inimesi MÜÜGI müügiosakonnast, mis on sellel diagrammil kujutatud. Siin näitame ka finantsosakonda KONTOD, juhtimisosakonda JUHTIMINE ja serveriruumi SERVER ROOM.
Seega võib müügiosakonnas olla sada töötajat ja me ei taha, et keegi neist üle võrgu serveriruumi pääseks. Erandiks on müügijuht, kes töötab Laptop2 arvutiga - tal on juurdepääs serveriruumile. Uuel Laptop3-s töötaval töötajal ei tohiks sellist juurdepääsu olla, st kui tema arvutist väljuv liiklus jõuab ruuterisse R2, tuleks see katkestada.
ACL-i ülesanne on filtreerida liiklust vastavalt määratud filtreerimisparameetritele. Need sisaldavad lähte-IP-aadressi, sihtkoha IP-aadressi, protokolli, portide arvu ja muid parameetreid, tänu millele saate liiklust tuvastada ja sellega mõningaid toiminguid teha.
Niisiis, ACL on OSI mudeli 3. kihi filtreerimismehhanism. See tähendab, et seda mehhanismi kasutatakse ruuterites. Filtreerimise põhikriteeriumiks on andmevoo tuvastamine. Näiteks kui tahame blokeerida Laptop3 arvutiga mehe juurdepääsu serverile, peame esmalt tuvastama tema liikluse. See liiklus liigub võrguseadmete vastavate liideste kaudu Laptop-Switch2-R2-R1-Switch1-Server1 suunas, samas kui ruuterite G0/0 liidestel pole sellega mingit pistmist.
Liikluse tuvastamiseks peame tuvastama selle tee. Pärast seda saame otsustada, kuhu täpselt peame filtri paigaldama. Ärge muretsege filtrite endi pärast, neid käsitleme järgmises õppetükis, praegu peame mõistma, millisele liidesele filtrit rakendada.
Kui vaatate ruuterit, näete, et iga kord, kui liiklus liigub, on olemas liides, kust andmevoog sisse tuleb, ja liides, mille kaudu see voog väljub.
Tegelikult on 3 liidest: sisendliides, väljundliides ja ruuteri enda liides. Pidage meeles, et filtreerimist saab rakendada ainult sisend- või väljundliidesele.
ACL-i tööpõhimõte sarnaneb ürituse pääsmega, kus saavad osaleda ainult need külalised, kelle nimi on kutsutud isikute nimekirjas. ACL on kvalifikatsiooniparameetrite loend, mida kasutatakse liikluse tuvastamiseks. Näiteks näitab see loend, et kogu liiklus on lubatud IP-aadressilt 192.168.1.10 ja liiklus kõigilt teistelt aadressidelt on keelatud. Nagu ma ütlesin, saab seda loendit rakendada nii sisend- kui ka väljundliidesele.
ACL-e on kahte tüüpi: standardne ja laiendatud. Standardse ACL-i identifikaator on vahemikus 2 kuni 1 või 99 kuni 1300. Need on lihtsalt loendinimed, millel ei ole numeratsiooni suurenedes üksteise ees eeliseid. Lisaks numbrile saate ACL-ile määrata oma nime. Laiendatud ACL-id on nummerdatud 1999 kuni 100 või 199 kuni 2000 ja neil võib olla ka nimi.
Standardses ACL-is põhineb klassifikatsioon liikluse lähte-IP-aadressil. Seetõttu ei saa sellise loendi kasutamisel piirata liiklust, mis on suunatud ühelegi allikale, vaid saab blokeerida ainult seadmest pärineva liikluse.
Laiendatud ACL klassifitseerib liikluse lähte IP-aadressi, sihtkoha IP-aadressi, kasutatud protokolli ja pordi numbri järgi. Näiteks saate blokeerida ainult FTP-liikluse või ainult HTTP-liikluse. Täna vaatame standardset ACL-i ja pühendame järgmise videotunni laiendatud loenditele.
Nagu ma ütlesin, on ACL tingimuste loend. Pärast selle loendi rakendamist ruuteri sissetulevale või väljuvale liidesele kontrollib ruuter liiklust selles loendis ja kui see vastab loendis sätestatud tingimustele, otsustab see liikluse lubamise või keelamise. Inimestel on sageli keeruline ruuteri sisend- ja väljundliideseid määrata, kuigi siin pole midagi keerulist. Kui me räägime sissetulevast liidesest, siis see tähendab, et selles pordis juhitakse ainult sissetulevat liiklust ja ruuter ei rakenda väljaminevale liiklusele piiranguid. Samamoodi, kui me räägime väljumisliidest, tähendab see, et kõik reeglid kehtivad ainult väljuvale liiklusele, samas kui selle pordi sissetulev liiklus võetakse vastu ilma piiranguteta. Näiteks kui ruuteril on 2 porti: f0/0 ja f0/1, siis rakendatakse ACL ainult f0/0 liidesesse sisenevale liiklusele või ainult f0/1 liidesest lähtuvale liiklusele. Liidesesse f0/1 sisenevat või väljuvat liiklust loend ei mõjuta.
Seetõttu ärge laske end segadusse ajada liidese sissetuleva või väljuva suunaga, see sõltub konkreetse liikluse suunast. Seega, kui ruuter on kontrollinud liikluse vastavust ACL-i tingimustele, saab ta teha ainult kaks otsust: lubada liiklust või keelduda sellest. Näiteks saate lubada liikluse, mille sihtkoht on 180.160.1.30, ja keelduda liiklusest, mille sihtkoht on 192.168.1.10. Iga loend võib sisaldada mitut tingimust, kuid igaüks neist peab lubama või keelama.
Oletame, et meil on nimekiri:
Keelama _______
Lubama ________
Lubama ________
Keelama _________.
Esiteks kontrollib ruuter liiklust, et näha, kas see vastab esimesele tingimusele; kui see ei ühti, kontrollib see teist tingimust. Kui liiklus vastab kolmandale tingimusele, lõpetab ruuter kontrolli ega võrdle seda loendi ülejäänud tingimustega. See sooritab toimingu "lubamine" ja jätkab liikluse järgmise osa kontrollimist.
Kui te pole ühelegi paketi jaoks reeglit määranud ja liiklus läbib loendi kõiki ridu ilma ühtegi tingimust tabamata, siis see hävitatakse, kuna vaikimisi lõpeb iga ACL-i loend käsklusega deny any - see tähendab, visake ära mis tahes pakett, mis ei kuulu ühegi reegli alla. See tingimus jõustub, kui loendis on vähemalt üks reegel, vastasel juhul pole sellel mingit mõju. Aga kui esimesel real on kirje deny 192.168.1.30 ja loendis ei ole enam tingimusi, siis lõpus peaks olema käsk luba mis tahes, st lubada igasugust liiklust, välja arvatud reegliga keelatud. Peate sellega arvestama, et vältida vigu ACL-i konfigureerimisel.
Soovin, et mäletaksite ASL-loendi loomise põhireeglit: asetage standardne ASL sihtkohale, see tähendab liikluse adressaadile, võimalikult lähedale ja asetage laiendatud ASL allikale võimalikult lähedale, st liikluse saatjale. Need on Cisco soovitused, kuid praktikas on olukordi, kus on mõistlikum paigutada standardne ACL liiklusallika lähedusse. Kuid kui teil tekib eksami ajal küsimus ACL-i paigutusreeglite kohta, järgige Cisco soovitusi ja vastake ühemõtteliselt: standard on sihtkohale lähemal, laiendatud on allikale lähemal.
Vaatame nüüd standardse ACL-i süntaksit. Ruuteri globaalses konfiguratsioonirežiimis on kahte tüüpi käskude süntaks: klassikaline süntaks ja kaasaegne süntaks.
Klassikaline käsutüüp on access-list <ACL number> <deny/allow> <kriteeriumid>. Kui määrate <ACL number> väärtuseks 1 kuni 99, mõistab seade automaatselt, et see on standardne ACL ja kui see on vahemikus 100 kuni 199, siis on see laiendatud. Kuna tänases tunnis vaatleme tavalist loendit, saame kasutada mis tahes arvu vahemikus 1 kuni 99. Seejärel näitame toimingu, mida tuleb rakendada, kui parameetrid vastavad järgmisele kriteeriumile - liikluse lubamine või keelamine. Seda kriteeriumi käsitleme hiljem, kuna seda kasutatakse ka tänapäevases süntaksis.
Kaasaegset käsutüüpi kasutatakse ka globaalses konfiguratsioonirežiimis Rx(config) ja see näeb välja selline: ip access-list standard <ACL number/name>. Siin saate kasutada kas arvu vahemikus 1 kuni 99 või ACL-i loendi nime, näiteks ACL_Networking. See käsk paneb süsteemi kohe Rx standardrežiimi alamkäsu režiimi (config-std-nacl), kus tuleb sisestada <deny/enable> <kriteeriumid>. Kaasaegsel meeskonnatüübil on klassikalisega võrreldes rohkem eeliseid.
Klassikalises loendis, kui sisestate käsu access-list 10 deny __________, seejärel tippige järgmine sama tüüpi käsk mõne teise kriteeriumi jaoks ja saate 100 sellist käsku, siis tuleb sisestatud käskude muutmiseks kustutada kogu juurdepääsuloendi loend 10 käsuga no access-list 10. See kustutab kõik 100 käsku, kuna selles loendis ei ole võimalik ühtegi käsku muuta.
Kaasaegses süntaksis on käsk jagatud kaheks reaks, millest esimene sisaldab loendi numbrit. Oletame, et kui teil on loendi juurdepääsuloendi standard 10 keelamine ________, juurdepääsuloendi standard 20 keelamine ________ ja nii edasi, siis on teil võimalus lisada nende vahele muude kriteeriumidega vaheloendeid, näiteks juurdepääsuloendi standard 15 keelamine ________ .
Teise võimalusena võite lihtsalt kustutada juurdepääsuloendi standardsed 20 rida ja sisestada need erinevate parameetritega uuesti juurdepääsuloendi standardsete ridade 10 ja juurdepääsuloendi standardsete ridade vahel 30. Seega on tänapäevase ACL-i süntaksi redigeerimiseks erinevaid viise.
ACL-ide loomisel peate olema väga ettevaatlik. Nagu teate, loetakse loendeid ülalt alla. Kui asetate ülaossa rea, mis lubab liiklust konkreetsest hostist, siis alla saate paigutada rea, mis keelab liikluse kogu võrgust, mille osa see host on, ja kontrollitakse mõlemat tingimust - liiklus konkreetsesse hosti läbi ja liiklus kõikidelt selle võrgu hostidelt blokeeritakse. Seetõttu asetage konkreetsed kirjed alati loendi ülaossa ja üldised alla.
Niisiis, pärast klassikalise või kaasaegse ACL-i loomist peate selle rakendama. Selleks tuleb minna käsuliidese <tüüp ja pesa> abil konkreetse liidese seadistustesse, näiteks f0/0, minna liidese alamkäsu režiimi ja sisestada käsk ip access-group <ACL number/ nimi> . Pange tähele erinevust: loendi koostamisel kasutatakse juurdepääsuloendit ja selle rakendamisel juurdepääsurühma. Peate määrama, millisele liidesele seda loendit rakendatakse – sissetulevale või väljaminevale liidesele. Kui loendil on nimi, näiteks Networking, korratakse sama nime käsus loendi rakendamiseks sellel liidesel.
Nüüd võtame konkreetse probleemi ja proovime seda lahendada meie võrguskeemi näitel, kasutades Packet Tracerit. Seega on meil 4 võrku: müügiosakond, raamatupidamisosakond, juhtkond ja serveriruum.
Ülesanne nr 1: kogu liiklus, mis suunatakse müügi- ja finantsosakonnast haldusosakonda ja serveriruumi, tuleb blokeerida. Blokeerimiskoht on ruuteri R0 liides S1/0/2. Kõigepealt peame looma loendi, mis sisaldab järgmisi kirjeid:
Nimetagem loendit "Haldamise ja serveri turvalisuse ACL", lühendatult ACL Secure_Ma_And_Se. Sellele järgneb liikluse keelamine finantsosakonna võrgust 192.168.1.128/26, liikluse keelamine müügiosakonna võrgust 192.168.1.0/25 ja muu liikluse lubamine. Loendi lõpus on märgitud, et seda kasutatakse ruuteri R0 väljuva liidese S1/0/2 jaoks. Kui meil pole loendi lõpus kirjet Luba mis tahes, blokeeritakse kogu muu liiklus, kuna vaike-ACL on alati loendi lõpus seatud kirjele Keela kõik.
Kas ma saan seda ACL-i rakendada liidesele G0/0? Muidugi saan, aga sellisel juhul blokeeritakse liiklus ainult raamatupidamisosakonnast ja müügiosakonna liiklust ei piirata kuidagi. Samamoodi saate G0/1 liidesele rakendada ACL-i, kuid sel juhul finantsosakonna liiklust ei blokeerita. Loomulikult saame nende liideste jaoks luua kaks eraldi plokkide loendit, kuid palju tõhusam on need üheks loendiks ühendada ja rakendada ruuteri R2 väljundliidesele või ruuteri R0 sisendliidesele S1/0/1.
Kuigi Cisco reeglid näevad ette, et standardne ACL tuleks paigutada sihtkohale võimalikult lähedale, paigutan selle liikluse allikale lähemale, kuna tahan blokeerida kogu väljuva liikluse ja seda on mõttekam teha lähemale allikast, et see liiklus ei raiskaks võrku kahe ruuteri vahel.
Unustasin teile kriteeriumidest rääkida, nii et läheme kiiresti tagasi. Kriteeriumina saate määrata mis tahes – sellisel juhul keelatakse või lubatakse mis tahes seadmest ja võrgust mis tahes liiklus. Saate määrata ka hosti koos selle identifikaatoriga – sel juhul on kirjeks konkreetse seadme IP-aadress. Lõpuks saate määrata kogu võrgu, näiteks 192.168.1.10/24. Sel juhul tähendab /24 alamvõrgu maski 255.255.255.0 olemasolu, kuid alamvõrgu maski IP-aadressi ACL-is pole võimalik määrata. Sel juhul on ACL-il kontseptsioon nimega Wildcart Mask või "tagurpidi mask". Seetõttu peate määrama IP-aadressi ja tagastusmaski. Pöördmask näeb välja selline: peate lahutama otsese alamvõrgu maski üldisest alamvõrgu maskist, see tähendab, et 255-st lahutatakse okteti väärtusele vastav arv edasisuunas maskis.
Seetõttu peaksite ACL-is kriteeriumina kasutama parameetrit 192.168.1.10 0.0.0.255.
Kuidas see töötab? Kui tagastusmaski oktetis on 0, loetakse kriteerium vastavaks alamvõrgu IP-aadressi vastava oktetiga. Kui seljamaski oktetis on number, siis vastet ei kontrollita. Seega blokeeritakse või lubatakse võrgu 192.168.1.0 ja tagastusmaski 0.0.0.255 puhul kogu liiklus aadressidelt, mille kolm esimest oktetti on 192.168.1., sõltumata neljanda okteti väärtusest. määratud toiming.
Pöördmaski kasutamine on lihtne ja tuleme Wildcart Maski juurde tagasi järgmises videos, et saaksin selgitada, kuidas sellega töötada.
28:50 min
Täname, et jäite meiega. Kas teile meeldivad meie artiklid? Kas soovite näha huvitavamat sisu? Toeta meid, esitades tellimuse või soovitades sõpradele, Habri kasutajatele 30% allahindlus ainulaadsele algtaseme serverite analoogile, mille me teie jaoks välja mõtlesime: (saadaval RAID1 ja RAID10, kuni 24 tuuma ja kuni 40 GB DDR4-ga).
Dell R730xd 2 korda odavam? Ainult siin Hollandis! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – alates 99 dollarist! Millegi kohta lugema
Allikas: www.habr.com