امروز ما شروع به یادگیری لیست کنترل دسترسی ACL خواهیم کرد، این مبحث 2 درس ویدیویی خواهد داشت. ما به پیکربندی یک ACL استاندارد نگاه خواهیم کرد و در آموزش ویدیویی بعدی در مورد لیست توسعه یافته صحبت خواهم کرد.
در این درس به 3 موضوع می پردازیم. اولی اینکه ACL چیست، دومی تفاوت بین لیست دسترسی استاندارد و توسعه یافته چیست و در پایان درس، به عنوان آزمایشگاه، به راه اندازی ACL استاندارد و حل مشکلات احتمالی خواهیم پرداخت.
بنابراین ACL چیست؟ اگر از اولین درس ویدیویی این دوره را مطالعه کرده باشید، به یاد می آورید که چگونه ارتباط بین دستگاه های مختلف شبکه را سازماندهی کردیم.
ما همچنین مسیریابی استاتیک را روی پروتکلهای مختلف مطالعه کردیم تا در سازماندهی ارتباطات بین دستگاهها و شبکهها مهارت کسب کنیم. ما اکنون به مرحله یادگیری رسیدهایم که باید نگران اطمینان از کنترل ترافیک باشیم، یعنی جلوگیری از نفوذ «افراد بد» یا کاربران غیرمجاز به شبکه. به عنوان مثال، این ممکن است مربوط به افرادی از بخش فروش SALES باشد که در این نمودار نشان داده شده است. در اینجا ما همچنین بخش مالی ACCOUNTS، بخش مدیریت MANAGEMENT و اتاق سرور SERVER ROOM را نشان می دهیم.
بنابراین، بخش فروش ممکن است صد کارمند داشته باشد، و ما نمی خواهیم هیچ یک از آنها بتوانند از طریق شبکه به اتاق سرور دسترسی پیدا کنند. یک استثنا برای مدیر فروش که روی یک کامپیوتر Laptop2 کار می کند وجود دارد - او می تواند به اتاق سرور دسترسی داشته باشد. کارمند جدیدی که روی Laptop3 کار می کند نباید چنین دسترسی داشته باشد، یعنی اگر ترافیک رایانه او به روتر R2 برسد، باید حذف شود.
نقش ACL فیلتر کردن ترافیک با توجه به پارامترهای فیلتر مشخص شده است. آنها شامل آدرس IP مبدا، آدرس IP مقصد، پروتکل، تعداد پورت ها و سایر پارامترها هستند که به لطف آنها می توانید ترافیک را شناسایی کرده و اقداماتی را با آن انجام دهید.
بنابراین، ACL مکانیزم فیلتر لایه 3 مدل OSI است. یعنی این مکانیزم در روترها استفاده می شود. معیار اصلی برای فیلتر، شناسایی جریان داده است. به عنوان مثال، اگر بخواهیم دسترسی شخصی را که کامپیوتر Laptop3 دارد به سرور مسدود کنیم، اول از همه باید ترافیک او را شناسایی کنیم. این ترافیک در جهت Laptop-Switch2-R2-R1-Switch1-Server1 از طریق رابط های مربوطه دستگاه های شبکه حرکت می کند، در حالی که رابط های G0/0 روترها هیچ ربطی به آن ندارند.
برای شناسایی ترافیک باید مسیر آن را شناسایی کنیم. با انجام این کار، می توانیم تصمیم بگیریم که دقیقاً کجا فیلتر را نصب کنیم. نگران خود فیلترها نباشید، در درس بعدی درباره آنها بحث خواهیم کرد، در حال حاضر باید بفهمیم که فیلتر روی کدام رابط باید اعمال شود.
اگر به یک روتر نگاه کنید، می بینید که هر بار که ترافیک حرکت می کند، یک رابط وجود دارد که جریان داده وارد می شود، و یک رابط که از طریق آن این جریان خارج می شود.
در واقع 3 رابط وجود دارد: رابط ورودی، رابط خروجی و رابط خود روتر. فقط به یاد داشته باشید که فیلتر کردن فقط برای رابط ورودی یا خروجی قابل اعمال است.
اصل عمل ACL شبیه پاس به یک رویداد است که فقط میهمانانی که نامشان در لیست افراد دعوت شده باشد می توانند در آن شرکت کنند. ACL لیستی از پارامترهای صلاحیت است که برای شناسایی ترافیک استفاده می شود. به عنوان مثال، این لیست نشان می دهد که تمام ترافیک از آدرس IP 192.168.1.10 مجاز است و ترافیک از همه آدرس های دیگر ممنوع است. همانطور که گفتم، این لیست را می توان برای هر دو رابط ورودی و خروجی اعمال کرد.
2 نوع ACL وجود دارد: استاندارد و توسعه یافته. یک ACL استاندارد دارای یک شناسه از 1 تا 99 یا از 1300 تا 1999 است. اینها به سادگی اسامی لیستی هستند که با افزایش شماره گذاری هیچ مزیتی نسبت به یکدیگر ندارند. علاوه بر شماره، می توانید نام خود را به ACL اختصاص دهید. ACL های توسعه یافته از 100 تا 199 یا 2000 تا 2699 شماره گذاری می شوند و ممکن است یک نام نیز داشته باشند.
در یک ACL استاندارد، طبقه بندی بر اساس آدرس IP منبع ترافیک است. بنابراین، هنگام استفاده از چنین لیستی، نمیتوانید ترافیکی را که به هیچ منبعی هدایت میشود محدود کنید، فقط میتوانید ترافیکی را که از یک دستگاه نشات میگیرد مسدود کنید.
ACL توسعه یافته ترافیک را بر اساس آدرس IP مبدا، آدرس IP مقصد، پروتکل استفاده شده و شماره پورت طبقه بندی می کند. به عنوان مثال، شما می توانید فقط ترافیک FTP یا فقط ترافیک HTTP را مسدود کنید. امروز به ACL استاندارد نگاه خواهیم کرد و درس ویدیویی بعدی را به لیست های توسعه یافته اختصاص خواهیم داد.
همانطور که گفتم، ACL لیستی از شرایط است. پس از اعمال این لیست به رابط ورودی یا خروجی روتر، روتر ترافیک را در این لیست بررسی می کند و در صورت داشتن شرایط مندرج در لیست، تصمیم می گیرد که آیا این ترافیک را مجاز یا رد کند. معمولاً تعیین رابط ورودی و خروجی روتر برای افراد دشوار است، اگرچه در اینجا هیچ چیز پیچیده ای وجود ندارد. وقتی در مورد رابط ورودی صحبت می کنیم، به این معنی است که فقط ترافیک ورودی در این پورت کنترل می شود و روتر محدودیتی برای ترافیک خروجی اعمال نخواهد کرد. به همین ترتیب، اگر در مورد رابط خروجی صحبت می کنیم، به این معنی است که تمام قوانین فقط برای ترافیک خروجی اعمال می شود، در حالی که ترافیک ورودی در این پورت بدون محدودیت پذیرفته می شود. به عنوان مثال، اگر روتر دارای 2 پورت باشد: f0/0 و f0/1، ACL فقط برای ترافیک ورودی به رابط f0/0 یا فقط برای ترافیکی که از رابط f0/1 سرچشمه میگیرد اعمال میشود. ترافیک ورودی یا خروجی از رابط f0/1 تحت تأثیر لیست قرار نخواهد گرفت.
بنابراین، با جهت ورودی یا خروجی رابط اشتباه نگیرید، این بستگی به جهت ترافیک خاص دارد. بنابراین، پس از اینکه روتر ترافیک را برای مطابقت با شرایط ACL بررسی کرد، می تواند تنها دو تصمیم بگیرد: اجازه ترافیک یا رد آن. به عنوان مثال، می توانید ترافیک مقصد 180.160.1.30 را مجاز کنید و ترافیک مقصد 192.168.1.10 را رد کنید. هر لیست می تواند شامل چندین شرط باشد، اما هر یک از این شرایط باید اجازه یا رد شود.
فرض کنید یک لیست داریم:
ممنوع کرده است _______
اجازه ________
اجازه ________
ممنوع کرده است _________.
ابتدا، روتر ترافیک را بررسی می کند تا ببیند آیا با شرط اول مطابقت دارد یا خیر، اگر مطابقت نداشته باشد، شرایط دوم را بررسی می کند. اگر ترافیک با شرط سوم مطابقت داشته باشد، روتر بررسی را متوقف می کند و آن را با بقیه شرایط لیست مقایسه نمی کند. عمل "اجازه دادن" را انجام می دهد و به بررسی قسمت بعدی ترافیک می پردازد.
در صورتی که برای هیچ بسته ای قانون تنظیم نکرده باشید و ترافیک از تمام خطوط لیست بدون انجام هیچ یک از شرایط عبور کند، از بین می رود، زیرا هر لیست ACL به طور پیش فرض با دستور deny any خاتمه می یابد - یعنی رد کنید. هر بسته ای که تحت هیچ یک از قوانین قرار نمی گیرد. این شرط در صورتی اعمال می شود که حداقل یک قانون در لیست وجود داشته باشد، در غیر این صورت تاثیری ندارد. اما اگر خط اول حاوی ورودی 192.168.1.30 باشد و لیست دیگر حاوی هیچ شرطی نباشد، در انتها باید یک مجوز دستوری وجود داشته باشد، یعنی اجازه هرگونه ترافیک به جز مواردی که توسط قانون ممنوع شده است، وجود داشته باشد. برای جلوگیری از اشتباه در هنگام پیکربندی ACL باید این را در نظر بگیرید.
من می خواهم قانون اساسی ایجاد یک لیست ASL را به خاطر بسپارید: ASL استاندارد را تا حد امکان نزدیک به مقصد، یعنی به گیرنده ترافیک، و ASL توسعه یافته را تا حد امکان نزدیک به منبع قرار دهید، یعنی به فرستنده ترافیک اینها توصیه های سیسکو هستند، اما در عمل موقعیت هایی وجود دارد که قرار دادن ACL استاندارد نزدیک به منبع ترافیک منطقی تر است. اما اگر در طول امتحان با سؤالی در مورد قوانین قرار دادن ACL مواجه شدید، توصیههای سیسکو را دنبال کنید و بدون ابهام پاسخ دهید: استاندارد به مقصد نزدیکتر است، توسعه یافته به منبع نزدیکتر است.
حال بیایید به نحو یک ACL استاندارد نگاه کنیم. دو نوع دستور دستوری در حالت پیکربندی جهانی روتر وجود دارد: نحو کلاسیک و نحو مدرن.
نوع دستور کلاسیک لیست دسترسی <شماره ACL> <رد کردن/اجازه> <معیار> است. اگر <ACL number> را از 1 تا 99 تنظیم کنید، دستگاه به طور خودکار میفهمد که این یک ACL استاندارد است و اگر از 100 تا 199 باشد، یک توسعه یافته است. از آنجایی که در درس امروز ما به یک لیست استاندارد نگاه می کنیم، می توانیم از هر عددی از 1 تا 99 استفاده کنیم. سپس اقدامی را نشان می دهیم که اگر پارامترها با معیار زیر مطابقت داشته باشند - مجاز یا رد کردن ترافیک است. ما بعداً این معیار را در نظر خواهیم گرفت، زیرا در نحو مدرن نیز استفاده می شود.
نوع دستور مدرن نیز در حالت پیکربندی جهانی Rx(config) استفاده میشود و به این صورت است: فهرست دسترسی استاندارد ip <ACL number/name>. در اینجا می توانید از یک عدد از 1 تا 99 یا نام لیست ACL، به عنوان مثال، ACL_Networking استفاده کنید. این دستور بلافاصله سیستم را در حالت زیر فرمان حالت استاندارد Rx قرار می دهد (config-std-nacl)، که در آن باید <deny/enable> <criteria> را وارد کنید. تیم های مدرن از مزایای بیشتری نسبت به تیم های کلاسیک برخوردار هستند.
در یک لیست کلاسیک، اگر access-list 10 deny ______ را تایپ کنید، سپس دستور بعدی از همان نوع را برای معیار دیگری تایپ کنید، و در نهایت با 100 دستور از این دست مواجه می شوید، سپس برای تغییر هر یک از دستورات وارد شده، باید کل لیست دسترسی 10 را با دستور no access-list 10 حذف کنید. با این کار تمام 100 دستور حذف می شود زیرا هیچ راهی برای ویرایش هر فرمان فردی در این لیست وجود ندارد.
در نحو مدرن، دستور به دو خط تقسیم می شود که خط اول شامل شماره لیست است. فرض کنید اگر یک لیست دسترسی به لیست استاندارد 10 رد ________، استاندارد فهرست دسترسی 20 رد ________ و غیره دارید، در این صورت این فرصت را دارید که لیست های میانی را با معیارهای دیگر بین آنها درج کنید، به عنوان مثال، استاندارد فهرست دسترسی 15 رد ________ .
از طرف دیگر، می توانید به سادگی 20 خط استاندارد لیست دسترسی را حذف کرده و آنها را با پارامترهای مختلف بین خطوط استاندارد 10 لیست دسترسی و 30 خط استاندارد لیست دسترسی دوباره تایپ کنید.
هنگام ایجاد ACL باید بسیار مراقب باشید. همانطور که می دانید لیست ها از بالا به پایین خوانده می شوند. اگر خطی را در بالا قرار دهید که اجازه ترافیک از یک هاست خاص را می دهد، در زیر می توانید خطی را قرار دهید که ترافیک کل شبکه ای را که این میزبان بخشی از آن است ممنوع می کند و هر دو شرایط بررسی می شود - ترافیک به یک میزبان خاص بررسی می شود. اجازه ورود داده می شود و ترافیک سایر میزبان ها این شبکه مسدود می شود. بنابراین، همیشه ورودی های خاص را در بالای لیست و موارد عمومی را در پایین قرار دهید.
بنابراین، پس از ایجاد یک ACL کلاسیک یا مدرن، باید آن را اعمال کنید. برای این کار باید به تنظیمات یک اینترفیس خاص مثلا f0/0 با استفاده از رابط فرمان <type and slot> بروید، به حالت subcommand interface رفته و دستور ip access-group <ACL number/ را وارد کنید. نام> . لطفاً به تفاوت توجه داشته باشید: هنگام کامپایل یک لیست، از یک لیست دسترسی و در هنگام اعمال آن از یک گروه دسترسی استفاده می شود. شما باید تعیین کنید که این لیست برای کدام رابط اعمال شود - رابط ورودی یا رابط خروجی. اگر لیست نامی دارد، مثلاً Networking، همان نام در دستور اعمال لیست در این رابط تکرار می شود.
حال بیایید یک مشکل خاص را در نظر بگیریم و سعی کنیم با استفاده از مثال نمودار شبکه خود با استفاده از Packet Tracer آن را حل کنیم. بنابراین، ما 4 شبکه داریم: بخش فروش، بخش حسابداری، مدیریت و اتاق سرور.
وظیفه شماره 1: تمام ترافیک هدایت شده از بخش های فروش و مالی به بخش مدیریت و اتاق سرور باید مسدود شود. محل مسدود کردن رابط S0/1/0 روتر R2 است. ابتدا باید یک لیست حاوی ورودی های زیر ایجاد کنیم:
بیایید لیست را "Management and Server Security ACL" نامگذاری کنیم که به اختصار ACL Secure_Ma_And_Se نامیده می شود. به دنبال آن ترافیک از شبکه بخش مالی 192.168.1.128/26 ممنوع می شود، ترافیک شبکه بخش فروش 192.168.1.0/25 ممنوع می شود و هرگونه ترافیک دیگری مجاز است. در انتهای لیست نشان داده شده است که برای رابط خروجی S0/1/0 روتر R2 استفاده می شود. اگر ورودی Permit Any در انتهای لیست نداشته باشیم، تمام ترافیک های دیگر مسدود خواهند شد زیرا ACL پیش فرض همیشه روی یک ورودی Deny Any در انتهای لیست تنظیم می شود.
آیا می توانم این ACL را در رابط G0/0 اعمال کنم؟ البته میتونم ولی در این صورت فقط تردد از حسابداری مسدود میشه و ترافیک قسمت فروش به هیچ وجه محدود نمیشه. به همین ترتیب، می توانید یک ACL را برای رابط G0/1 اعمال کنید، اما در این صورت ترافیک بخش مالی مسدود نخواهد شد. البته میتوانیم دو لیست بلاک مجزا برای این رابطها ایجاد کنیم، اما ترکیب آنها در یک لیست و اعمال آن در رابط خروجی روتر R2 یا رابط ورودی S0/1/0 روتر R1 بسیار کارآمدتر است.
اگرچه قوانین سیسکو بیان می کند که یک ACL استاندارد باید تا حد امکان نزدیک به مقصد قرار گیرد، من آن را نزدیک تر به منبع ترافیک قرار می دهم زیرا می خواهم تمام ترافیک خروجی را مسدود کنم، و منطقی تر است که این کار را نزدیک تر به مقصد انجام دهم. منبع تا این ترافیک شبکه بین دو روتر را هدر ندهد.
فراموش کردم در مورد معیارها به شما بگویم، پس بیایید سریع به عقب برگردیم. شما می توانید هر یک را به عنوان یک معیار مشخص کنید - در این صورت، هرگونه ترافیک از هر دستگاه و هر شبکه ای رد یا مجاز می شود. شما همچنین می توانید یک میزبان را با شناسه آن مشخص کنید - در این مورد، ورودی آدرس IP یک دستگاه خاص خواهد بود. در نهایت، می توانید یک شبکه کامل را مشخص کنید، به عنوان مثال 192.168.1.10/24. در این حالت، /24 به معنای وجود یک ماسک زیر شبکه 255.255.255.0 خواهد بود، اما تعیین آدرس IP زیر شبکه در ACL غیرممکن است. برای این مورد، ACL مفهومی به نام Wildcart Mask یا «ماسک معکوس» دارد. بنابراین باید آدرس IP و ماسک برگشتی را مشخص کنید. ماسک معکوس به این صورت است: شما باید ماسک زیر شبکه مستقیم را از ماسک زیر شبکه عمومی کم کنید، یعنی عدد مربوط به مقدار هشت در ماسک جلو از 255 کم می شود.
بنابراین، شما باید از پارامتر 192.168.1.10 0.0.0.255 به عنوان معیار در ACL استفاده کنید.
چگونه کار می کند؟ اگر 0 در octet ماسک برگشتی وجود داشته باشد، این معیار مطابق با octet مربوط به آدرس IP زیرشبکه در نظر گرفته می شود. اگر یک عدد در اکتت پشت ماسک وجود داشته باشد، مطابقت بررسی نمی شود. بنابراین، برای یک شبکه 192.168.1.0 و یک ماسک بازگشتی 0.0.0.255، تمام ترافیک آدرس هایی که سه اکتت اول آنها برابر با 192.168.1 است، بدون در نظر گرفتن مقدار اکتت چهارم، مسدود یا مجاز خواهد بود. اقدام مشخص شده
استفاده از ماسک معکوس آسان است و ما در ویدیوی بعدی به Wildcart Mask باز خواهیم گشت تا بتوانم نحوه کار با آن را توضیح دهم.
28:50 دقیقه
از اینکه با ما ماندید متشکرم آیا مقالات ما را دوست دارید؟ آیا می خواهید مطالب جالب تری ببینید؟ با ثبت سفارش یا معرفی به دوستان از ما حمایت کنید 30٪ تخفیف برای کاربران Habr در آنالوگ منحصر به فرد سرورهای سطح ورودی که توسط ما برای شما اختراع شده است: (در دسترس با RAID1 و RAID10، حداکثر 24 هسته و حداکثر 40 گیگابایت DDR4).
Dell R730xd 2 برابر ارزان تر است؟ فقط اینجا در هلند! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - از 99 دلار! در مورد بخوانید
منبع: www.habr.com