Hjoed sille wy begjinne te learen oer ACL tagong kontrôle list, dit ûnderwerp sil nimme 2 video lessen. Wy sille de konfiguraasje fan in standert ACL besjen, en yn 'e folgjende fideo-tutorial sil ik prate oer de útwreide list.
Yn dizze les sille wy 3 ûnderwerpen behannelje. De earste is wat in ACL is, de twadde is wat is it ferskil tusken in standert en in útwreide tagong list, en oan 'e ein fan' e les, as in laboratoarium, wy sille sjen op it opsetten fan in standert ACL en oplosse mooglike problemen.
Dus wat is in ACL? As jo de kursus studearre fan 'e earste fideo-les, dan ûnthâlde jo hoe't wy de kommunikaasje organisearre hawwe tusken ferskate netwurkapparaten.
Wy studearre ek statyske routing oer ferskate protokollen om feardigens te krijen yn it organisearjen fan kommunikaasje tusken apparaten en netwurken. Wy hawwe no it learstadium berikt wêr't wy soargen moatte meitsje oer it garandearjen fan ferkearskontrôle, dat is, it foarkommen fan "minne jonges" of net autorisearre brûkers fan it netwurk te ynfiltrearjen. Dit kin bygelyks minsken fan 'e ferkeapôfdieling fan SALES oanbelangje, dy't yn dit diagram ôfbylde is. Hjir litte wy ek de finansjele ôfdieling ACCOUNTS, de behear ôfdieling MANAGEMENT en de server room SERVER ROOM.
Dat, de ferkeapôfdieling kin hûndert meiwurkers hawwe, en wy wolle net dat ien fan har de serverkeamer oer it netwurk kin berikke. In útsûndering is makke foar de ferkeapmanager dy't wurket op in Laptop2-kompjûter - hy kin tagong hawwe ta de serverkeamer. In nije meiwurker dy't wurket op Laptop3 moat sa'n tagong net hawwe, dat is, as ferkear fan syn kompjûter router R2 berikt, moat it falle wurde.
De rol fan in ACL is om ferkear te filterjen neffens de oantsjutte filterparameters. Se befetsje it boarne IP-adres, bestimmings-IP-adres, protokol, oantal havens en oare parameters, wêrtroch jo it ferkear kinne identifisearje en wat aksjes mei nimme.
Dat, ACL is in laach 3-filtermeganisme fan it OSI-model. Dit betsjut dat dit meganisme wurdt brûkt yn routers. It wichtichste kritearium foar filterjen is de identifikaasje fan 'e gegevensstream. Bygelyks, as wy de man mei de Laptop3-komputer blokkearje wolle fan tagong ta de tsjinner, moatte wy earst syn ferkear identifisearje. Dit ferkear beweecht yn 'e rjochting fan Laptop-Switch2-R2-R1-Switch1-Server1 troch de oerienkommende ynterfaces fan netwurkapparaten, wylst de G0/0-ynterfaces fan routers der neat mei te krijen hawwe.
Om ferkear te identifisearjen, moatte wy it paad identifisearje. As wy dit dien hawwe, kinne wy beslute wêr't wy it filter krekt moatte ynstallearje. Meitsje jo gjin soargen oer de filters sels, wy sille se besprekke yn 'e folgjende les, foar no moatte wy it prinsipe begripe op hokker ynterface it filter moat wurde tapast.
As jo sjogge op in router, kinne jo sjen dat eltse kear ferkear beweecht, der is in ynterface dêr't de gegevens stream komt yn, en in ynterface dêr't dizze stream komt út.
D'r binne eins 3 ynterfaces: de input-ynterface, de output-ynterface en de eigen ynterface fan 'e router. Unthâld gewoan dat filterjen allinich kin wurde tapast op 'e ynfier- of útfierynterface.
It prinsipe fan ACL operaasje is fergelykber mei in pas nei in evenemint dat kin allinnich wurde bywenne troch dy gasten waans namme stiet op de list fan útnoege persoanen. In ACL is in list mei kwalifikaasjeparameters dy't brûkt wurde om ferkear te identifisearjen. Bygelyks, dizze list jout oan dat alle ferkear is tastien fan it IP-adres 192.168.1.10, en ferkear fan alle oare adressen wurdt wegere. Lykas ik sei, kin dizze list tapast wurde op sawol de ynfier- en útfierynterface.
D'r binne 2 soarten ACL's: standert en útwreide. In standert ACL hat in identifier fan 1 oant 99 of fan 1300 oant 1999. Dit binne gewoan listnammen dy't gjin foardielen boppe inoar hawwe as de nûmering ferheget. Neist it nûmer kinne jo jo eigen namme tawize oan it ACL. Utwreide ACL's binne nûmere 100 oant 199 of 2000 oant 2699 en kinne ek in namme hawwe.
Yn in standert ACL is de klassifikaasje basearre op it boarne IP-adres fan it ferkear. Dêrom, by it brûken fan sa'n list, kinne jo ferkear net beheine dat rjochte is op elke boarne, jo kinne allinich ferkear blokkearje dat komt fan in apparaat.
In útwreide ACL klassifisearret ferkear troch boarne IP-adres, bestimming IP-adres, protokol brûkt, en poartenûmer. Jo kinne bygelyks allinich FTP-ferkear blokkearje, of allinich HTTP-ferkear. Hjoed sille wy sjen nei de standert ACL, en wy sille wije de folgjende fideo les oan útwreide listen.
Lykas ik sei, in ACL is in list fan betingsten. Nei't jo dizze list tapast hawwe op de ynkommende of útgeande ynterface fan 'e router, kontrolearret de router it ferkear tsjin dizze list, en as it foldocht oan de betingsten dy't yn' e list steane, beslút it om dit ferkear te tastean of te wegerjen. Minsken fine it faak lestich om de ynfier- en útfierynterfaces fan in router te bepalen, hoewol d'r hjir neat yngewikkeld is. As wy prate oer in ynkommende ynterface, betsjut dit dat allinich ynkommende ferkear wurdt kontrolearre op dizze poarte, en de router sil gjin beheiningen tapasse foar útgeand ferkear. Lykas, as wy it hawwe oer in egress-ynterface, betsjut dit dat alle regels allinich jilde foar útgeand ferkear, wylst ynkommende ferkear op dizze poarte sûnder beheiningen akseptearre wurde. Bygelyks, as de router 2-poarten hat: f0/0 en f0/1, dan sil de ACL allinich tapast wurde op ferkear dat de f0/0-ynterface ynkomt, of allinich foar ferkear dat komt fan 'e f0/1-ynterface. Ferkear dy't ynterface f0/1 yn- of ferlit, wurdt net beynfloede troch de list.
Wês dêrom net betize troch de ynkommende of útgeande rjochting fan 'e ynterface, it hinget ôf fan' e rjochting fan it spesifike ferkear. Dus, nei't de router it ferkear kontrolearre hat foar oerienkomst mei de ACL-betingsten, kin it mar twa besluten nimme: it ferkear tastean of it ôfwize. Jo kinne bygelyks ferkear tastean foar 180.160.1.30 en ferkear fersmite foar 192.168.1.10. Elke list kin meardere betingsten befetsje, mar elk fan dizze betingsten moat tastean of wegerje.
Litte wy sizze dat wy in list hawwe:
ferbean _______
Tastean _______
Tastean _______
Ferbean _________.
Earst sil de router it ferkear kontrolearje om te sjen oft it oerienkomt mei de earste betingst; as it net oerienkomt, sil it de twadde betingst kontrolearje. As it ferkear oerienkomt mei de tredde betingst, sil de router stopje mei kontrolearjen en sil it net fergelykje mei de rest fan 'e listbetingsten. It sil de aksje "tastean" útfiere en trochgean nei it kontrolearjen fan it folgjende diel fan ferkear.
As jo gjin regel hawwe ynsteld foar in pakket en it ferkear troch alle rigels fan 'e list giet sûnder ien fan' e betingsten te reitsjen, wurdt it ferneatige, om't elke ACL-list standert einiget mei it kommando wegerje - dat is, wegerje elk pakket, net falle ûnder ien fan 'e regels. Dizze betingst giet yn as der op syn minst ien regel yn 'e list is, oars hat it gjin effekt. Mar as de earste rigel befettet de yngong wegerje 192.168.1.30 en de list befettet gjin betingsten mear, dan oan 'e ein moat der in kommando tastimming elk, dat is, tastean eltse ferkear útsein dat ferbean troch de regel. Jo moatte dit rekken hâlde om flaters te foarkommen by it konfigurearjen fan de ACL.
Ik wol dat jo de basisregel fan it meitsjen fan in ASL-list ûnthâlde: plak standert ASL sa ticht mooglik by de bestimming, dat is, by de ûntfanger fan it ferkear, en plak útwreide ASL sa ticht mooglik by de boarne, dat is, oan de stjoerder fan it ferkear. Dit binne Cisco oanbefellings, mar yn 'e praktyk binne der situaasjes dêr't it makket mear sin in plak in standert ACL tichtby it ferkear boarne. Mar as jo komme oer in fraach oer ACL pleatsing regels tidens it eksamen, folgje Cisco syn oanbefellings en antwurd unambiguously: standert is nauwer de bestimming, útwreide is nauwer de boarne.
Litte wy no sjen nei de syntaksis fan in standert ACL. Der binne twa soarten kommando syntaksis yn de router globale konfiguraasje modus: klassike syntaksis en moderne syntaksis.
It klassike kommandotype is tagongslist <ACL-nûmer> <weigje/tastean> <kritearia>. As jo <ACL-nûmer> fan 1 oant 99 ynstelle, sil it apparaat automatysk begripe dat dit in standert ACL is, en as it fan 100 oant 199 is, dan is it in útwreide. Om't wy yn 'e hjoeddeiske les nei in standertlist sjogge, kinne wy elk nûmer fan 1 oant 99 brûke. Dan jouwe wy de aksje oan dy't tapast wurde moat as de parameters oerienkomme mei it folgjende kritearium - ferkear tastean of wegerje. Wy sille it kritearium letter beskôgje, om't it ek brûkt wurdt yn moderne syntaksis.
It moderne kommandotype wurdt ek brûkt yn 'e Rx (config) globale konfiguraasjemodus en sjocht der sa út: ip access-list standert <ACL number/name>. Hjir kinne jo in nûmer fan 1 oant 99 brûke of de namme fan 'e ACL-list, bygelyks ACL_Networking. Dit kommando set it systeem daliks yn Rx standert modus subkommando modus (config-std-nacl), dêr't jo moatte ynfiere <weigerje / ynskeakelje> <kritearia>. It moderne type teams hat mear foardielen yn ferliking mei de klassike.
Yn in klassike list, as jo tagongslist 10 wegerje ______ ynfiere, typ dan it folgjende kommando fan deselde soarte foar in oar kritearium, en jo einigje mei 100 sokke kommando's, dan moatte jo ien fan 'e ynfierde kommando's feroarje, wiskje de hiele tagongslistlist 10 mei it kommando gjin tagongslist 10. Dit sil alle 100 kommando's wiskje, om't d'r gjin manier is om in yndividuele kommando yn dizze list te bewurkjen.
Yn moderne syntaksis is it kommando ferdield yn twa rigels, wêrfan de earste it listnûmer befettet. Stel dat as jo in list tagong-list standert 10 wegerje ________, tagong-list standert 20 wegerje ________ ensafuorthinne, dan hawwe jo de mooglikheid om ynfoegje tuskenlizzende listen mei oare kritearia tusken harren, Bygelyks, tagong-list standert 15 wegerje ________ .
As alternatyf, kinne jo gewoan wiskje de tagong-list standert 20 rigels en retype se mei ferskillende parameters tusken de tagong-list standert 10 en tagong-list standert 30 rigels. Sa binne der ferskate manieren om te bewurkjen moderne ACL syntaksis.
Jo moatte heul foarsichtich wêze by it meitsjen fan ACL's. Lykas jo witte, wurde listen fan boppen nei ûnderen lêzen. As jo in rigel oan 'e boppekant pleatse dy't ferkear fan in spesifike host mooglik makket, dan kinne jo hjirûnder in line pleatse dy't ferkear ferbiedt fan it heule netwurk wêrfan dizze host diel útmakket, en beide betingsten sille wurde kontrolearre - ferkear nei in spesifike host sil wurde tastien troch, en ferkear fan alle oare hosts dit netwurk sil wurde blokkearre. Pleats dêrom altyd spesifike yngongen boppe oan 'e list en algemiene ûnderoan.
Dat, neidat jo in klassike as moderne ACL hawwe makke, moatte jo it tapasse. Om dit te dwaan, moatte jo nei de ynstellings fan in spesifike ynterface gean, bygelyks f0/0 mei de kommando-ynterface <type en slot>, gean nei de ynterface subkommando-modus en fier it kommando ip tagongsgroep <ACL number/ yn namme > . Let op it ferskil: by it gearstallen fan in list wurdt in tagongslist brûkt, en by it tapassen wurdt in tagongsgroep brûkt. Jo moatte bepale hokker ynterface dizze list wurdt tapast op - de ynkommende ynterface of de útgeande ynterface. As de list hat in namme, Bygelyks, Networking, deselde namme wurdt werhelle yn it kommando te passen de list op dizze ynterface.
Litte wy no in spesifyk probleem nimme en besykje it op te lossen mei it foarbyld fan ús netwurkdiagram mei Packet Tracer. Dat, wy hawwe 4 netwurken: ferkeap ôfdieling, boekhâlding ôfdieling, behear en server keamer.
Opdracht nr. 1: alle ferkear rjochte fan de ferkeap- en finansjele ôfdielings nei de behear ôfdieling en tsjinner keamer moat wurde blokkearre. De blokkearjende lokaasje is ynterface S0/1/0 fan router R2. Earst moatte wy in list meitsje mei de folgjende yngongen:
Lit ús neame de list "Management en Server Security ACL", ôfkoarte as ACL Secure_Ma_And_Se. Dit wurdt folge troch in ferbiede ferkear út de finansjele ôfdieling netwurk 192.168.1.128/26, ferbean ferkear út de ferkeap ôfdieling netwurk 192.168.1.0/25, en tastean alle oare ferkear. Oan 'e ein fan' e list wurdt oanjûn dat it wurdt brûkt foar de útgeande ynterface S0/1/0 fan router R2. As wy gjin Permit Any-yngong hawwe oan 'e ein fan' e list, dan sil alle oare ferkear blokkearre wurde, om't de standert ACL altyd ynsteld is op in Wegearje Any-yngong oan 'e ein fan' e list.
Kin ik dizze ACL tapasse op ynterface G0/0? Fansels kin ik, mar yn dit gefal sil allinich ferkear fan 'e boekhâldingsôfdieling blokkearre wurde, en ferkear fan' e ferkeapôfdieling sil op gjin inkelde manier beheind wurde. Op deselde wize kinne jo in ACL tapasse op de G0/1-ynterface, mar yn dit gefal sil it ferkear fan 'e finansjele ôfdieling net blokkearre wurde. Fansels kinne wy twa aparte bloklisten meitsje foar dizze ynterfaces, mar it is folle effisjinter om se te kombinearjen yn ien list en tapasse it op de útfierynterface fan router R2 of de ynfierynterface S0/1/0 fan router R1.
Hoewol't Cisco regels stelt dat in standert ACL moat wurde pleatst sa ticht by de bestimming mooglik, Ik sil pleatse it tichter by de boarne fan it ferkear omdat ik wol blokkearje alle útgeande ferkear, en it makket mear sin in dwaan dit nauwer de boarne sadat dit ferkear net fergrieme it netwurk tusken twa routers.
Ik fergeat jo te fertellen oer de kritearia, dus litte wy gau weromgean. Jo kinne elk as kritearium opjaan - yn dit gefal sil elk ferkear fan elk apparaat en elk netwurk wurde wegere of tastien. Jo kinne ek in host opjaan mei syn identifier - yn dit gefal sil de yngong it IP-adres fan in spesifyk apparaat wêze. Ta beslút, kinne jo opjaan in hiele netwurk, Bygelyks, 192.168.1.10/24. Yn dit gefal sil /24 de oanwêzigens fan in subnetmasker fan 255.255.255.0 betsjutte, mar it is ûnmooglik om it IP-adres fan it subnetmasker yn 'e ACL oan te jaan. Foar dit gefal hat ACL in konsept neamd Wildcart Mask, of "reverse masker". Dêrom moatte jo it IP-adres en it weromkommende masker opjaan. It omkearde masker sjocht der sa út: jo moatte it direkte subnetmasker subtrahearje fan it algemiene subnetmasker, dat is, it nûmer dat oerienkomt mei de octetwearde yn it foarútmasker wurdt subtrahearre fan 255.
Dêrom moatte jo de parameter 192.168.1.10 0.0.0.255 brûke as kritearium yn 'e ACL.
Hoe't it wurket? As d'r in 0 is yn it oktet fan 'e returnmasker, wurdt it kritearium beskôge as oerienkomt mei it korrespondearjende oktet fan it subnet IP-adres. As der in nûmer yn it backmask oktet, de wedstriid wurdt net kontrolearre. Sa sil foar in netwurk fan 192.168.1.0 en in weromkearmasker fan 0.0.0.255 alle ferkear fan adressen wêrfan de earste trije oktetten lyk binne oan 192.168.1., nettsjinsteande de wearde fan it fjirde oktet, blokkearre of tastien wurde ôfhinklik fan de oantsjutte aksje.
It brûken fan in omkearde masker is maklik, en wy komme werom nei it Wildcart Mask yn 'e folgjende fideo, sadat ik kin útlizze hoe't jo dermei wurkje.
28:50 min
Tankewol foar it bliuwen by ús. Hâld jo fan ús artikels? Wolle jo mear ynteressante ynhâld sjen? Stypje ús troch in bestelling te pleatsen of oan te befeljen oan freonen, 30% koarting foar Habr-brûkers op in unike analoog fan servers op yngongsnivo, dy't troch ús foar jo útfûn is: (beskikber mei RAID1 en RAID10, oant 24 kearnen en oant 40GB DDR4).
Dell R730xd 2 kear goedkeaper? Allinne hjir yn Nederlân! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fan $99! Lêze oer
Boarne: www.habr.com