Tänään alamme oppia ACL-käyttöoikeusluettelosta, tämä aihe kestää 2 videotuntia. Tarkastelemme tavallisen ACL:n kokoonpanoa, ja seuraavassa video-opetusohjelmassa puhun laajennetusta luettelosta.
Tällä oppitunnilla käsittelemme 3 aihetta. Ensimmäinen on, mitä ACL on, toinen on ero standardin ja laajennetun käyttöoikeusluettelon välillä, ja oppitunnin lopussa tarkastelemme laboratoriona standardin ACL:n määrittämistä ja mahdollisten ongelmien ratkaisemista.
Joten mikä on ACL? Jos opiskelit kurssia ensimmäisestä videotunnista lähtien, muistat, kuinka järjestimme viestinnän eri verkkolaitteiden välillä.
Opiskelimme myös staattista reititystä eri protokollien yli saadaksemme taitoja laitteiden ja verkkojen välisen viestinnän järjestämiseen. Olemme nyt saavuttaneet oppimisvaiheen, jossa meidän pitäisi huolehtia liikenteenohjauksen varmistamisesta, eli "pahisten" tai luvattomien käyttäjien tunkeutumisen estämisestä verkkoon. Tämä voi koskea esimerkiksi MYYNTI-myyntiosaston ihmisiä, jotka on kuvattu tässä kaaviossa. Täällä näytämme myös talousosaston TILINPÄÄTÖKSET, hallintoosaston MANAGEMENT ja palvelinhuoneen SERVER ROOM.
Myyntiosastolla voi siis olla sata työntekijää, emmekä halua kenenkään pääsevän verkon kautta palvelinhuoneeseen. Poikkeuksena on myyntipäällikkö, joka työskentelee Laptop2-tietokoneella - hänellä on pääsy palvelinhuoneeseen. Uudella Laptop3:lla työskentelevällä työntekijällä ei pitäisi olla tällaista käyttöoikeutta, eli jos liikenne hänen tietokoneestaan saapuu reitittimeen R2, se tulee poistaa.
ACL:n tehtävänä on suodattaa liikennettä määritettyjen suodatusparametrien mukaan. Ne sisältävät lähde-IP-osoitteen, kohde-IP-osoitteen, protokollan, porttien lukumäärän ja muut parametrit, joiden avulla voit tunnistaa liikenteen ja tehdä sen kanssa toimenpiteitä.
Joten ACL on OSI-mallin kerroksen 3 suodatusmekanismi. Tämä tarkoittaa, että tätä mekanismia käytetään reitittimissä. Suodatuksen pääkriteeri on tietovirran tunnistaminen. Jos esimerkiksi haluamme estää Laptop3-tietokonetta käyttävän kaverin pääsyn palvelimelle, meidän on ensin tunnistettava hänen liikenne. Tämä liikenne liikkuu suuntaan Laptop-Switch2-R2-R1-Switch1-Server1 vastaavien verkkolaitteiden liitäntöjen kautta, kun taas reitittimien G0/0-liitännöillä ei ole mitään tekemistä sen kanssa.
Liikenteen tunnistamiseksi meidän on tunnistettava sen reitti. Kun tämä on tehty, voimme päättää, mihin tarkalleen meidän on asennettava suodatin. Älä ole huolissasi itse suodattimista, keskustelemme niistä seuraavassa oppitunnissa, nyt meidän on ymmärrettävä periaate, mihin käyttöliittymään suodatinta tulisi käyttää.
Jos katsot reititintä, voit nähdä, että joka kerta kun liikenne liikkuu, on rajapinta, johon tietovirta tulee, ja rajapinta, jonka kautta tämä virta tulee ulos.
Itse asiassa on 3 rajapintaa: tuloliitäntä, lähtöliitäntä ja reitittimen oma liitäntä. Muista vain, että suodatusta voidaan soveltaa vain tulo- tai lähtöliitäntään.
ACL-toiminnan periaate on samanlainen kuin tapahtumaan pääsy, johon voivat osallistua vain ne vieraat, joiden nimi on kutsuttujen listalla. ACL on luettelo kelpoisuusparametreista, joita käytetään liikenteen tunnistamiseen. Tämä luettelo esimerkiksi osoittaa, että kaikki liikenne on sallittu IP-osoitteesta 192.168.1.10 ja liikenne kaikista muista osoitteista on kielletty. Kuten sanoin, tätä luetteloa voidaan soveltaa sekä tulo- että lähtöliitäntään.
ACL-luetteloita on 2 tyyppiä: vakio ja laajennettu. Vakio ACL:n tunniste on 1-99 tai 1300-1999. Nämä ovat yksinkertaisesti luettelonimiä, joilla ei ole etuja toisiinsa nähden numeroinnin kasvaessa. Numeron lisäksi voit määrittää ACL:lle oman nimesi. Laajennetut ACL-luettelot on numeroitu 100-199 tai 2000-2699, ja niillä voi olla myös nimi.
Tavallisessa ACL-luettelossa luokitus perustuu liikenteen lähteen IP-osoitteeseen. Siksi tällaista luetteloa käytettäessä et voi rajoittaa mihinkään lähteeseen suunnattua liikennettä, voit vain estää laitteesta tulevan liikenteen.
Laajennettu ACL luokittelee liikenteen lähteen IP-osoitteen, kohde-IP-osoitteen, käytetyn protokollan ja portin numeron mukaan. Voit esimerkiksi estää vain FTP-liikenteen tai vain HTTP-liikenteen. Tänään tarkastelemme tavallista ACL:ää ja omistamme seuraavan videotunnin laajennetuille luetteloille.
Kuten sanoin, ACL on luettelo ehdoista. Kun otat tämän luettelon käyttöön reitittimen saapuvan tai lähtevän liittymän liitännässä, reititin vertaa liikennettä tähän luetteloon, ja jos se täyttää luettelossa asetetut ehdot, se päättää salliako vai estääkö tämä liikenne. Ihmisten on usein vaikea määrittää reitittimen tulo- ja lähtöliitännät, vaikka tässä ei ole mitään monimutkaista. Kun puhumme saapuvasta rajapinnasta, tämä tarkoittaa, että vain saapuvaa liikennettä ohjataan tässä portissa, eikä reititin rajoita lähtevää liikennettä. Vastaavasti, jos puhumme poistumisrajapinnasta, tämä tarkoittaa, että kaikki säännöt koskevat vain lähtevää liikennettä, kun taas saapuva liikenne tässä portissa hyväksytään ilman rajoituksia. Jos reitittimessä on esimerkiksi 2 porttia: f0/0 ja f0/1, ACL:ää sovelletaan vain f0/0-rajapintaan tulevaan liikenteeseen tai vain f0/1-liitännästä lähtevään liikenteeseen. Lista ei vaikuta liitännälle f0/1 tulevaan tai sieltä poistuvaan liikenteeseen.
Siksi älä hämmenny käyttöliittymän tulevasta tai lähtevästä suunnasta, se riippuu tietyn liikenteen suunnasta. Joten kun reititin on tarkistanut liikenteen ACL-ehtoja vastaavan, se voi tehdä vain kaksi päätöstä: sallia liikenteen tai hylätä sen. Voit esimerkiksi sallia numeroon 180.160.1.30 suunnatun liikenteen ja hylätä liikenteen, jonka määrä on 192.168.1.10. Jokainen luettelo voi sisältää useita ehtoja, mutta kunkin ehdon on sallittava tai kiellettävä.
Oletetaan, että meillä on luettelo:
Kieltää _______
Sallia ________
Sallia ________
Kieltää _________.
Ensin reititin tarkistaa liikenteen nähdäkseen, vastaako se ensimmäistä ehtoa; jos se ei vastaa, se tarkistaa toisen ehdon. Jos liikenne vastaa kolmatta ehtoa, reititin lopettaa tarkistamisen eikä vertaa sitä muihin luettelon ehtoihin. Se suorittaa "salli"-toiminnon ja siirtyy seuraavan liikenteen osan tarkistamiseen.
Jos et ole asettanut sääntöä millekään paketille ja liikenne kulkee listan kaikkien rivien läpi osumatta mihinkään ehdosta, se tuhoutuu, koska jokainen ACL-lista päättyy oletusarvoisesti deny any -komennolla - eli hylkää mikä tahansa paketti, joka ei ole minkään säännön alainen. Tämä ehto tulee voimaan, jos luettelossa on vähintään yksi sääntö, muuten sillä ei ole vaikutusta. Mutta jos ensimmäisellä rivillä on merkintä deny 192.168.1.30 eikä luettelossa enää ole ehtoja, niin lopussa pitäisi olla komento, joka sallii kaikki, eli salli kaikki liikenne paitsi säännön kieltämä. Sinun on otettava tämä huomioon, jotta vältyt virheiltä ACL:n määrittämisessä.
Haluan sinun muistavan ASL-luettelon luomisen perussäännön: sijoita standardi ASL mahdollisimman lähelle kohdetta eli liikenteen vastaanottajaa ja sijoita laajennettu ASL mahdollisimman lähelle lähdettä, eli liikenteen lähettäjälle. Nämä ovat Ciscon suosituksia, mutta käytännössä on tilanteita, joissa on järkevämpää sijoittaa standardi ACL lähelle liikennelähdettä. Mutta jos kohtaat kysymyksen ACL-sijoittelusäännöistä kokeen aikana, noudata Ciscon suosituksia ja vastaa yksiselitteisesti: standardi on lähempänä kohdetta, laajennettu on lähempänä lähdettä.
Katsotaan nyt tavallisen ACL:n syntaksia. Reitittimen globaalissa kokoonpanotilassa on kahdenlaisia komentosyntaksia: klassinen syntaksi ja moderni syntaksi.
Klassinen komentotyyppi on access-list <ACL-numero> <kielto/salli> <ehdot>. Jos asetat <ACL-numeron> 1 - 99, laite ymmärtää automaattisesti, että tämä on standardi ACL, ja jos se on 100 - 199, se on laajennettu. Koska tämän päivän oppitunnilla tarkastelemme vakioluetteloa, voimme käyttää mitä tahansa numeroa 1 - 99. Sitten osoitamme toimenpiteen, joka on suoritettava, jos parametrit vastaavat seuraavaa ehtoa - salli tai estä liikenne. Käsittelemme kriteeriä myöhemmin, koska sitä käytetään myös nykyaikaisessa syntaksissa.
Nykyaikaista komentotyyppiä käytetään myös globaalissa Rx(config) -määritystilassa ja se näyttää tältä: ip access-list standardi <ACL-numero/nimi>. Tässä voit käyttää joko numeroa 1-99 tai ACL-luettelon nimeä, esimerkiksi ACL_Networking. Tämä komento asettaa järjestelmän välittömästi Rx-standarditilan alikomentotilaan (config-std-nacl), jossa sinun on syötettävä <deny/enable> <kriteerit>. Nykyaikaisella joukkuetyypillä on enemmän etuja verrattuna klassiseen.
Jos kirjoitat perinteisessä luettelossa access-list 10 deny ______, kirjoitat sitten seuraavan samanlaisen komennon toiselle kriteerille ja saat 100 tällaista komentoa. Jos haluat muuttaa mitä tahansa annettua komentoa, sinun on poista koko käyttöoikeusluettelo 10 komennolla no access-list 10. Tämä poistaa kaikki 100 komentoa, koska tässä luettelossa ei voi muokata yksittäistä komentoa.
Nykyaikaisessa syntaksissa komento on jaettu kahteen riviin, joista ensimmäinen sisältää listanumeron. Oletetaan, että jos sinulla on luettelo pääsyluettelostandardi 10 kieltää ________, pääsyluettelostandardi 20 kieltää ________ ja niin edelleen, niin sinulla on mahdollisuus lisätä väliluetteloita muiden kriteerien väliin, esimerkiksi pääsyluettelostandardi 15 kieltää ________ .
Vaihtoehtoisesti voit yksinkertaisesti poistaa pääsyluettelon standardin 20 riviä ja kirjoittaa ne uudelleen eri parametrein käyttöoikeusluettelon standardien 10 ja pääsyluettelon standardirivien välillä 30. Siten on olemassa useita tapoja muokata nykyaikaista ACL-syntaksia.
Sinun on oltava erittäin varovainen luodessasi ACL-luetteloita. Kuten tiedät, luettelot luetaan ylhäältä alas. Jos sijoitat yläreunaan rivin, joka sallii liikenteen tietystä isännästä, voit sijoittaa alle rivin, joka estää liikenteen koko verkosta, johon tämä isäntä kuuluu, ja molemmat ehdot tarkistetaan - liikenne tiettyyn isäntään päästää läpi, ja liikenne kaikilta muilta tämän verkon isänniltä estetään. Siksi sijoita aina tietyt merkinnät luettelon yläosaan ja yleiset alareunaan.
Joten, kun olet luonut klassisen tai modernin ACL:n, sinun on otettava se käyttöön. Tätä varten sinun on siirryttävä tietyn liitännän asetuksiin, esimerkiksi f0/0 käyttämällä komentoliitäntää <tyyppi ja paikka>, siirryttävä liitännän alikomentotilaan ja syötettävä komento ip access-group <ACL-numero/ nimi> . Huomaa ero: listaa laadittaessa käytetään pääsylistaa ja sitä sovellettaessa käyttöoikeusryhmää. Sinun on määritettävä, mihin käyttöliittymään tätä luetteloa sovelletaan - saapuvan vai lähtevän liittymän. Jos luettelolla on nimi, esimerkiksi Networking, sama nimi toistetaan komennossa, jolla luettelo otetaan käyttöön tässä käyttöliittymässä.
Otetaan nyt tietty ongelma ja yritetään ratkaista se verkkokaavion esimerkin avulla käyttämällä Packet Tracer -ohjelmaa. Meillä on siis 4 verkostoa: myyntiosasto, kirjanpito, johto ja palvelinhuone.
Tehtävä nro 1: kaikki myynti- ja talousosastoilta johdolle ja palvelinhuoneeseen suunnattu liikenne on estettävä. Estopaikka on reitittimen R0 liitäntä S1/0/2. Ensin meidän on luotava luettelo, joka sisältää seuraavat merkinnät:
Kutsutaan luetteloa "Management and Server Security ACL", lyhennettynä ACL Secure_Ma_And_Se. Tämän jälkeen kielletään liikenne talousosastoverkosta 192.168.1.128/26, kielletään liikenne myyntiverkostosta 192.168.1.0/25 ja sallitaan muu liikenne. Luettelon lopussa on ilmoitettu, että sitä käytetään reitittimen R0 lähtevässä liitännässä S1/0/2. Jos meillä ei ole Permit Any -merkintää luettelon lopussa, kaikki muu liikenne estetään, koska oletusarvoiseksi ACL-luetteloksi on aina asetettu Estä kaikki -merkintä luettelon lopussa.
Voinko käyttää tätä ACL-luetteloa käyttöliittymään G0/0? Tietysti voin, mutta tässä tapauksessa vain kirjanpito-osaston liikenne estetään, eikä myyntiosaston liikennettä rajoiteta millään tavalla. Samalla tavalla voit käyttää ACL:ää G0/1-rajapinnalle, mutta tässä tapauksessa talousosaston liikennettä ei estä. Voimme tietysti luoda näille liitännöille kaksi erillistä lohkolistaa, mutta paljon tehokkaampaa on yhdistää ne yhdeksi listaksi ja soveltaa sitä reitittimen R2 lähtöliitäntään tai reitittimen R0 tuloliitäntään S1/0/1.
Vaikka Ciscon sääntöjen mukaan tavallinen ACL tulisi sijoittaa mahdollisimman lähelle kohdetta, sijoitan sen lähemmäs liikenteen lähdettä, koska haluan estää kaiken lähtevän liikenteen, ja on järkevämpää tehdä tämä lähempänä kohdetta. lähde, jotta tämä liikenne ei tuhlaa verkkoa kahden reitittimen välillä.
Unohdin kertoa sinulle kriteereistä, joten palataan nopeasti takaisin. Voit määrittää minkä tahansa kriteeriksi - tässä tapauksessa kaikki liikenne mistä tahansa laitteesta ja verkosta estetään tai sallitaan. Voit myös määrittää isännän sen tunnuksella - tässä tapauksessa merkintä on tietyn laitteen IP-osoite. Lopuksi voit määrittää koko verkon, esimerkiksi 192.168.1.10/24. Tässä tapauksessa /24 tarkoittaa aliverkon peitteen 255.255.255.0 olemassaoloa, mutta aliverkon peitteen IP-osoitetta on mahdotonta määrittää ACL:ssä. Tätä varten ACL:llä on käsite nimeltä Wildcart Mask tai "käänteinen maski". Siksi sinun on määritettävä IP-osoite ja palautusmaski. Käänteinen maski näyttää tältä: sinun on vähennettävä suora aliverkon peite yleisestä aliverkon peiteestä, eli 255:stä vähennetään oktettiarvoa vastaava luku eteenpäin maskissa.
Siksi sinun tulee käyttää parametria 192.168.1.10 0.0.0.255 ACL:n kriteerinä.
Kuinka se toimii? Jos palautusmaskin oktetissa on 0, kriteerin katsotaan vastaavan aliverkon IP-osoitteen vastaavaa oktettia. Jos backmask-oktetissa on numero, vastaavuutta ei tarkisteta. Näin ollen 192.168.1.0-verkossa ja 0.0.0.255-palautusmaskissa kaikki liikenne osoitteista, joiden kolme ensimmäistä oktettia ovat 192.168.1, neljännen oktetin arvosta riippumatta estetään tai sallitaan riippuen määritetty toimenpide.
Käänteisen maskin käyttäminen on helppoa, ja palaamme Wildcart Maskiin seuraavassa videossa, jotta voin selittää, kuinka sen kanssa työskennellä.
28:50 min
Kiitos, että pysyt kanssamme. Pidätkö artikkeleistamme? Haluatko nähdä mielenkiintoisempaa sisältöä? Tue meitä tekemällä tilauksen tai suosittelemalla ystäville, 30 %:n alennus Habr-käyttäjille ainutlaatuisesta lähtötason palvelimien analogista, jonka me keksimme sinulle: (saatavana RAID1:n ja RAID10:n kanssa, jopa 24 ydintä ja jopa 40 Gt DDR4-muistia).
Dell R730xd 2 kertaa halvempi? Vain täällä Alankomaissa! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - alkaen 99 dollaria! Lukea
Lähde: will.com