Aujourd'hui, nous allons commencer à découvrir la liste de contrôle d'accès ACL, ce sujet prendra 2 leçons vidéo. Nous examinerons la configuration d'une ACL standard et, dans le prochain didacticiel vidéo, je parlerai de la liste étendue.
Dans cette leçon, nous aborderons 3 sujets. La première est ce qu'est une ACL, la seconde est quelle est la différence entre une liste d'accès standard et une liste d'accès étendue, et à la fin de la leçon, en tant que laboratoire, nous examinerons la configuration d'une ACL standard et la résolution des problèmes possibles.
Alors, qu’est-ce qu’une ACL ? Si vous avez étudié le cours dès la toute première leçon vidéo, vous vous souvenez de la façon dont nous avons organisé la communication entre différents périphériques réseau.
Nous avons également étudié le routage statique sur divers protocoles pour acquérir des compétences dans l'organisation des communications entre appareils et réseaux. Nous avons désormais atteint le stade de l’apprentissage où nous devons nous préoccuper d’assurer le contrôle du trafic, c’est-à-dire d’empêcher les « méchants » ou les utilisateurs non autorisés d’infiltrer le réseau. Il peut s'agir par exemple des personnes du service commercial VENTES, représenté sur ce schéma. Ici, nous montrons également le service financier COMPTES, le service de gestion GESTION et la salle des serveurs SERVER ROOM.
Ainsi, le service commercial peut compter une centaine d’employés, et nous ne voulons pas qu’aucun d’entre eux puisse accéder à la salle des serveurs via le réseau. Une exception est faite pour le responsable commercial qui travaille sur un ordinateur Laptop2 : il peut avoir accès à la salle des serveurs. Un nouvel employé travaillant sur Laptop3 ne devrait pas avoir un tel accès, c'est-à-dire que si le trafic de son ordinateur atteint le routeur R2, il doit être supprimé.
Le rôle d'une ACL est de filtrer le trafic en fonction des paramètres de filtrage spécifiés. Ils incluent l'adresse IP source, l'adresse IP de destination, le protocole, le nombre de ports et d'autres paramètres, grâce auxquels vous pouvez identifier le trafic et prendre certaines mesures avec celui-ci.
Ainsi, ACL est un mécanisme de filtrage de couche 3 du modèle OSI. Cela signifie que ce mécanisme est utilisé dans les routeurs. Le principal critère de filtrage est l'identification du flux de données. Par exemple, si nous voulons empêcher l’utilisateur de l’ordinateur Laptop3 d’accéder au serveur, nous devons tout d’abord identifier son trafic. Ce trafic se déplace en direction de Laptop-Switch2-R2-R1-Switch1-Server1 via les interfaces correspondantes des périphériques réseau, alors que les interfaces G0/0 des routeurs n'y sont pour rien.
Pour identifier le trafic, il faut identifier son chemin. Cela fait, nous pouvons décider où exactement nous devons installer le filtre. Ne vous inquiétez pas des filtres eux-mêmes, nous en discuterons dans la prochaine leçon, pour l'instant nous devons comprendre le principe de l'interface à laquelle le filtre doit être appliqué.
Si vous regardez un routeur, vous pouvez voir que chaque fois que le trafic se déplace, il existe une interface par laquelle le flux de données entre et une interface par laquelle ce flux sort.
Il existe en fait 3 interfaces : l'interface d'entrée, l'interface de sortie et l'interface propre au routeur. N'oubliez pas que le filtrage ne peut être appliqué qu'à l'interface d'entrée ou de sortie.
Le principe de fonctionnement de l'ACL est similaire à un laissez-passer pour un événement auquel seuls les invités dont le nom figure sur la liste des invités peuvent assister. Une ACL est une liste de paramètres de qualification utilisés pour identifier le trafic. Par exemple, cette liste indique que tout le trafic est autorisé à partir de l'adresse IP 192.168.1.10 et que le trafic provenant de toutes les autres adresses est refusé. Comme je l'ai dit, cette liste peut être appliquée à la fois à l'interface d'entrée et à l'interface de sortie.
Il existe 2 types d'ACL : standard et étendue. Une ACL standard a un identifiant de 1 à 99 ou de 1300 1999 à 100. Il s'agit simplement de noms de liste qui n'ont aucun avantage les uns sur les autres à mesure que la numérotation augmente. En plus du numéro, vous pouvez attribuer votre propre nom à l'ACL. Les ACL étendues sont numérotées de 199 à 2000 ou de 2699 XNUMX à XNUMX XNUMX et peuvent également avoir un nom.
Dans une ACL standard, la classification est basée sur l'adresse IP source du trafic. Par conséquent, lorsque vous utilisez une telle liste, vous ne pouvez pas restreindre le trafic dirigé vers une source quelconque, vous pouvez uniquement bloquer le trafic provenant d'un appareil.
Une ACL étendue classe le trafic par adresse IP source, adresse IP de destination, protocole utilisé et numéro de port. Par exemple, vous pouvez bloquer uniquement le trafic FTP ou uniquement le trafic HTTP. Aujourd'hui, nous examinerons l'ACL standard et consacrerons la prochaine leçon vidéo aux listes étendues.
Comme je l'ai dit, une ACL est une liste de conditions. Après avoir appliqué cette liste à l'interface entrante ou sortante du routeur, le routeur vérifie le trafic par rapport à cette liste et, s'il remplit les conditions définies dans la liste, il décide d'autoriser ou de refuser ce trafic. Il est souvent difficile pour les gens de déterminer les interfaces d'entrée et de sortie d'un routeur, même s'il n'y a rien de compliqué ici. Lorsqu'on parle d'interface entrante, cela signifie que seul le trafic entrant sera contrôlé sur ce port, et le routeur n'appliquera pas de restrictions sur le trafic sortant. De même, si nous parlons d'une interface de sortie, cela signifie que toutes les règles s'appliqueront uniquement au trafic sortant, tandis que le trafic entrant sur ce port sera accepté sans restrictions. Par exemple, si le routeur dispose de 2 ports : f0/0 et f0/1, alors l'ACL ne sera appliquée qu'au trafic entrant dans l'interface f0/0, ou uniquement au trafic provenant de l'interface f0/1. Le trafic entrant ou sortant de l’interface f0/1 ne sera pas affecté par la liste.
Par conséquent, ne vous laissez pas tromper par le sens entrant ou sortant de l’interface, cela dépend du sens du trafic spécifique. Ainsi, une fois que le routeur a vérifié que le trafic correspond aux conditions ACL, il ne peut prendre que deux décisions : autoriser le trafic ou le rejeter. Par exemple, vous pouvez autoriser le trafic destiné à 180.160.1.30 et rejeter le trafic destiné à 192.168.1.10. Chaque liste peut contenir plusieurs conditions, mais chacune de ces conditions doit autoriser ou refuser.
Disons que nous avons une liste :
Interdire _______
Permettre ________
Permettre ________
Interdire _________.
Tout d’abord, le routeur vérifiera le trafic pour voir s’il correspond à la première condition ; s’il ne correspond pas, il vérifiera la deuxième condition. Si le trafic correspond à la troisième condition, le routeur arrêtera la vérification et ne le comparera pas avec le reste des conditions de la liste. Il effectuera l'action « autoriser » et passera à la vérification de la partie suivante du trafic.
Si vous n'avez défini aucune règle pour un paquet et que le trafic passe par toutes les lignes de la liste sans remplir aucune des conditions, il est détruit, car chaque liste d'ACL se termine par défaut par la commande refuser toute commande - c'est-à-dire rejeter n'importe quel paquet, ne relevant d'aucune des règles. Cette condition prend effet s'il y a au moins une règle dans la liste, sinon elle n'a aucun effet. Mais si la première ligne contient l'entrée refuser 192.168.1.30 et que la liste ne contient plus aucune condition, alors à la fin il devrait y avoir une commande permit any, c'est-à-dire autoriser tout trafic sauf celui interdit par la règle. Vous devez en tenir compte pour éviter les erreurs lors de la configuration de l'ACL.
Je veux que vous vous souveniez de la règle de base de la création d'une liste ASL : placez l'ASL standard aussi près que possible de la destination, c'est-à-dire du destinataire du trafic, et placez l'ASL étendue aussi près que possible de la source, c'est-à-dire à l'expéditeur du trafic. Ce sont des recommandations de Cisco, mais dans la pratique, il existe des situations dans lesquelles il est plus judicieux de placer une ACL standard à proximité de la source de trafic. Mais si vous rencontrez une question sur les règles de placement des ACL pendant l'examen, suivez les recommandations de Cisco et répondez sans ambiguïté : le standard est plus proche de la destination, l'étendue est plus proche de la source.
Examinons maintenant la syntaxe d'une ACL standard. Il existe deux types de syntaxe de commande dans le mode de configuration globale du routeur : la syntaxe classique et la syntaxe moderne.
Le type de commande classique est access-list <ACL number> <deny/allow> <criteria>. Si vous définissez le <numéro ACL> entre 1 et 99, l'appareil comprendra automatiquement qu'il s'agit d'une ACL standard, et s'il est compris entre 100 et 199, il s'agit d'une liste étendue. Puisque dans la leçon d'aujourd'hui, nous examinons une liste standard, nous pouvons utiliser n'importe quel nombre de 1 à 99. Ensuite, nous indiquons l'action qui doit être appliquée si les paramètres correspondent au critère suivant - autoriser ou refuser le trafic. Nous examinerons ce critère plus tard, puisqu'il est également utilisé dans la syntaxe moderne.
Le type de commande moderne est également utilisé dans le mode de configuration globale Rx(config) et ressemble à ceci : ip access-list standard <numéro/nom ACL>. Ici, vous pouvez utiliser soit un nombre de 1 à 99, soit le nom de la liste ACL, par exemple ACL_Networking. Cette commande met immédiatement le système en mode sous-commande du mode standard Rx (config-std-nacl), où vous devez saisir <deny/enable> <criteria>. Le type d'équipes moderne présente plus d'avantages que le type classique.
Dans une liste classique, si vous tapez access-list 10 deny ______, puis tapez la commande suivante du même genre pour un autre critère, et vous vous retrouvez avec 100 de ces commandes, alors pour modifier l'une des commandes saisies, vous devrez supprimez toute la liste d'accès 10 avec la commande no access-list 10. Cela supprimera les 100 commandes car il n'y a aucun moyen de modifier une commande individuelle dans cette liste.
Dans la syntaxe moderne, la commande est divisée en deux lignes, dont la première contient le numéro de liste. Supposons que si vous disposez d'une liste d'accès standard 10 refuser ________, d'une liste d'accès standard 20 refuser ________ et ainsi de suite, vous avez alors la possibilité d'insérer des listes intermédiaires avec d'autres critères entre elles, par exemple, une liste d'accès standard 15 refuser ________ .
Alternativement, vous pouvez simplement supprimer les lignes standard de la liste d'accès 20 et les retaper avec des paramètres différents entre les lignes standard de la liste d'accès 10 et la norme de la liste d'accès 30. Ainsi, il existe différentes manières de modifier la syntaxe ACL moderne.
Vous devez être très prudent lors de la création d'ACL. Comme vous le savez, les listes se lisent de haut en bas. Si vous placez une ligne en haut qui autorise le trafic provenant d'un hôte spécifique, vous pouvez placer en dessous une ligne qui interdit le trafic de l'ensemble du réseau dont cet hôte fait partie, et les deux conditions seront vérifiées - le trafic vers un hôte spécifique sera sera autorisé à passer et le trafic de tous les autres hôtes de ce réseau sera bloqué. Par conséquent, placez toujours les entrées spécifiques en haut de la liste et les entrées générales en bas.
Ainsi, après avoir créé une ACL classique ou moderne, vous devez l’appliquer. Pour ce faire, vous devez accéder aux paramètres d'une interface spécifique, par exemple f0/0 à l'aide de la commande interface <type et slot>, accéder au mode sous-commande de l'interface et saisir la commande ip access-group <numéro ACL/ nom> . Veuillez noter la différence : lors de la compilation d'une liste, une liste d'accès est utilisée, et lors de son application, un groupe d'accès est utilisé. Vous devez déterminer à quelle interface cette liste sera appliquée : l'interface entrante ou l'interface sortante. Si la liste a un nom, par exemple Réseau, le même nom est répété dans la commande pour appliquer la liste sur cette interface.
Prenons maintenant un problème spécifique et essayons de le résoudre en utilisant l'exemple de notre diagramme de réseau utilisant Packet Tracer. Nous disposons donc de 4 réseaux : service commercial, service comptable, direction et salle serveur.
Tâche n°1 : tout trafic dirigé des services commerciaux et financiers vers le service de gestion et la salle des serveurs doit être bloqué. L'emplacement bloquant est l'interface S0/1/0 du routeur R2. Nous devons d’abord créer une liste contenant les entrées suivantes :
Appelons la liste « ACL de gestion et de sécurité du serveur », en abrégé ACL Secure_Ma_And_Se. Viennent ensuite l'interdiction du trafic provenant du réseau du service financier 192.168.1.128/26, l'interdiction du trafic provenant du réseau du service commercial 192.168.1.0/25 et l'autorisation de tout autre trafic. En fin de liste il est indiqué qu'il est utilisé pour l'interface sortante S0/1/0 du routeur R2. Si nous n'avons pas d'entrée Autoriser tout à la fin de la liste, alors tout autre trafic sera bloqué car l'ACL par défaut est toujours définie sur une entrée Refuser tout à la fin de la liste.
Puis-je appliquer cette ACL à l’interface G0/0 ? Bien sûr, je peux, mais dans ce cas, seul le trafic du service comptable sera bloqué, et le trafic du service commercial ne sera en aucun cas limité. De la même manière, vous pouvez appliquer une ACL sur l'interface G0/1, mais dans ce cas le trafic du service financier ne sera pas bloqué. Bien sûr, nous pouvons créer deux listes de blocage distinctes pour ces interfaces, mais il est beaucoup plus efficace de les combiner en une seule liste et de l'appliquer à l'interface de sortie du routeur R2 ou à l'interface d'entrée S0/1/0 du routeur R1.
Bien que les règles Cisco stipulent qu'une ACL standard doit être placée aussi près que possible de la destination, je la placerai plus près de la source du trafic car je souhaite bloquer tout le trafic sortant, et il est plus logique de le faire plus près de la source du trafic. source afin que ce trafic ne gaspille pas le réseau entre deux routeurs.
J'ai oublié de vous parler des critères, alors revenons rapidement en arrière. Vous pouvez en spécifier n'importe quel comme critère - dans ce cas, tout trafic provenant de n'importe quel appareil et de n'importe quel réseau sera refusé ou autorisé. Vous pouvez également spécifier un hôte avec son identifiant - dans ce cas, l'entrée sera l'adresse IP d'un appareil spécifique. Enfin, vous pouvez spécifier un réseau entier, par exemple 192.168.1.10/24. Dans ce cas, /24 signifiera la présence d'un masque de sous-réseau de 255.255.255.0, mais il est impossible de spécifier l'adresse IP du masque de sous-réseau dans l'ACL. Pour ce cas, ACL dispose d’un concept appelé Wildcart Mask, ou « masque inversé ». Vous devez donc préciser l'adresse IP et le masque de retour. Le masque inverse ressemble à ceci : vous devez soustraire le masque de sous-réseau direct du masque de sous-réseau général, c'est-à-dire que le nombre correspondant à la valeur de l'octet dans le masque direct est soustrait de 255.
Par conséquent, vous devez utiliser le paramètre 192.168.1.10 0.0.0.255 comme critère dans l'ACL.
Comment ça fonctionne? S'il y a un 0 dans l'octet du masque de retour, le critère est considéré comme correspondant à l'octet correspondant de l'adresse IP du sous-réseau. S'il y a un nombre dans l'octet de masque arrière, la correspondance n'est pas vérifiée. Ainsi, pour un réseau de 192.168.1.0 et un masque de retour de 0.0.0.255, tout le trafic provenant d'adresses dont les trois premiers octets sont égaux à 192.168.1., quelle que soit la valeur du quatrième octet, sera bloqué ou autorisé selon l'action spécifiée.
Utiliser un masque inversé est simple, et nous reviendrons sur le masque Wildcart dans la prochaine vidéo afin que je puisse vous expliquer comment l'utiliser.
28:50 min
Merci de rester avec nous. Vous aimez nos articles ? Vous voulez voir du contenu plus intéressant ? Soutenez-nous en passant une commande ou en recommandant à vos amis, 30 % de réduction pour les utilisateurs Habr sur un analogue unique de serveurs d'entrée de gamme, que nous avons inventé pour vous : (disponible avec RAID1 et RAID10, jusqu'à 24 cœurs et jusqu'à 40 Go de DDR4).
Dell R730xd 2 fois moins cher ? Ici seulement aux Pays-Bas! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - à partir de 99$ ! En savoir plus
Source: habr.com