Hoxe comezaremos a aprender sobre a lista de control de acceso ACL, este tema levará 2 leccións de vídeo. Observaremos a configuración dunha ACL estándar e no seguinte vídeo titorial falarei da lista ampliada.
Nesta lección trataremos 3 temas. O primeiro é o que é unha ACL, o segundo é a diferenza entre unha lista de acceso estándar e unha ampliada e, ao final da lección, como un laboratorio, analizaremos a configuración dunha ACL estándar e a solución de posibles problemas.
Entón, que é un ACL? Se estudaches o curso desde a primeira lección de vídeo, lembras como organizamos a comunicación entre varios dispositivos de rede.
Tamén estudamos o enrutamento estático sobre varios protocolos para adquirir habilidades na organización das comunicacións entre dispositivos e redes. Chegamos agora á fase de aprendizaxe na que deberíamos preocuparnos por garantir o control do tráfico, é dicir, evitar que “malos” ou usuarios non autorizados se infiltren na rede. Por exemplo, isto pode afectar a persoas do departamento de vendas de VENDAS, que se representa neste diagrama. Aquí mostramos tamén o departamento financeiro CONTAS, o departamento de xestión XESTIÓN e a sala de servidores SALA DE SERVIDORES.
Así, o departamento de vendas pode ter cen empregados e non queremos que ningún deles poida chegar á sala de servidores pola rede. Faise unha excepción para o director de vendas que traballa nun ordenador Laptop2: pode ter acceso á sala de servidores. Un novo empregado que traballa no Laptop3 non debería ter tal acceso, é dicir, se o tráfico do seu ordenador chega ao router R2, debería abandonalo.
A función dunha ACL é filtrar o tráfico segundo os parámetros de filtrado especificados. Inclúen o enderezo IP de orixe, o enderezo IP de destino, o protocolo, o número de portos e outros parámetros, grazas aos cales pode identificar o tráfico e realizar algunhas accións con el.
Así, ACL é un mecanismo de filtrado de capa 3 do modelo OSI. Isto significa que este mecanismo úsase nos enrutadores. O criterio principal para o filtrado é a identificación do fluxo de datos. Por exemplo, se queremos bloquear o acceso ao servidor ao tipo do ordenador Laptop3, antes de nada debemos identificar o seu tráfico. Este tráfico móvese en dirección a Laptop-Switch2-R2-R1-Switch1-Server1 a través das correspondentes interfaces dos dispositivos de rede, mentres que as interfaces G0/0 dos routers non teñen nada que ver con iso.
Para identificar o tráfico, debemos identificar o seu camiño. Feito isto, podemos decidir onde precisamos instalar o filtro. Non te preocupes polos propios filtros, discutirémolos na seguinte lección, polo momento necesitamos comprender o principio de que interface debe aplicarse o filtro.
Se miras un enrutador, podes ver que cada vez que o tráfico se move, hai unha interface onde entra o fluxo de datos e unha interface pola que sae este fluxo.
En realidade, hai 3 interfaces: a interface de entrada, a interface de saída e a propia interface do router. Só lembra que o filtrado só se pode aplicar á interface de entrada ou saída.
O principio de funcionamento de ACL é semellante a un pase a un evento ao que só poden asistir aqueles invitados cuxo nome estea na lista de persoas invitadas. Unha ACL é unha lista de parámetros de cualificación que se usan para identificar o tráfico. Por exemplo, esta lista indica que se permite todo o tráfico desde o enderezo IP 192.168.1.10 e que se denega o tráfico de todos os demais enderezos. Como dixen, esta lista pódese aplicar tanto á interface de entrada como á de saída.
Hai 2 tipos de ACL: estándar e estendido. Unha ACL estándar ten un identificador de 1 a 99 ou de 1300 a 1999. Estes son simplemente nomes de lista que non teñen vantaxes entre si a medida que aumenta a numeración. Ademais do número, pode asignar o seu propio nome á ACL. As ACL ampliadas están numeradas do 100 ao 199 ou do 2000 ao 2699 e tamén poden ter un nome.
Nunha ACL estándar, a clasificación baséase no enderezo IP de orixe do tráfico. Polo tanto, ao usar esa lista, non pode restrinxir o tráfico dirixido a ningunha fonte, só pode bloquear o tráfico orixinado desde un dispositivo.
Unha ACL estendida clasifica o tráfico por enderezo IP de orixe, enderezo IP de destino, protocolo utilizado e número de porto. Por exemplo, só pode bloquear o tráfico FTP ou só o tráfico HTTP. Hoxe analizaremos a ACL estándar e dedicaremos a seguinte lección de vídeo ás listas ampliadas.
Como dixen, unha ACL é unha lista de condicións. Despois de aplicar esta lista á interface de entrada ou de saída do enrutador, o enrutador comproba o tráfico con esta lista e, se cumpre as condicións establecidas na lista, decide se permite ou non este tráfico. A miúdo é difícil determinar as interfaces de entrada e saída dun enrutador, aínda que aquí non hai nada complicado. Cando falamos dunha interface de entrada, isto significa que só se controlará o tráfico de entrada neste porto e que o enrutador non aplicará restricións ao tráfico de saída. Do mesmo xeito, se falamos dunha interface de saída, isto significa que todas as regras aplicaranse só ao tráfico de saída, mentres que o tráfico de entrada neste porto será aceptado sen restricións. Por exemplo, se o enrutador ten 2 portos: f0/0 e f0/1, a ACL só se aplicará ao tráfico que entra na interface f0/0 ou só ao tráfico orixinado desde a interface f0/1. O tráfico que entra ou sae da interface f0/1 non se verá afectado pola lista.
Polo tanto, non se confunda coa dirección de entrada ou saída da interface, depende da dirección do tráfico específico. Así, despois de que o enrutador comprobou que o tráfico coincide coas condicións da ACL, só pode tomar dúas decisións: permitir o tráfico ou rexeitalo. Por exemplo, pode permitir o tráfico destinado a 180.160.1.30 e rexeitar o tráfico destinado a 192.168.1.10. Cada lista pode conter varias condicións, pero cada unha destas condicións debe permitir ou denegar.
Digamos que temos unha lista:
Prohibido _______
Permitir ________
Permitir ________
Prohibido _________.
En primeiro lugar, o enrutador comprobará o tráfico para ver se coincide coa primeira condición; se non coincide, comprobará a segunda condición. Se o tráfico coincide coa terceira condición, o router deixará de comprobar e non o comparará co resto das condicións da lista. Realizará a acción "permitir" e pasará a comprobar a seguinte parte do tráfico.
No caso de que non estableceu unha regra para ningún paquete e o tráfico pasa por todas as liñas da lista sen cumprir ningunha das condicións, destrúese, porque cada lista ACL por defecto remata co comando deny any - é dicir, descartar calquera paquete, non caendo baixo ningunha das regras. Esta condición ten efecto se hai polo menos unha regra na lista, se non, non ten efecto. Pero se a primeira liña contén a entrada deny 192.168.1.30 e a lista xa non contén ningunha condición, entón ao final debería haber un comando permit any, é dicir, permitir calquera tráfico excepto o prohibido pola regra. Debe telo en conta para evitar erros ao configurar a ACL.
Quero que recordes a regra básica para crear unha lista de ASL: colocar ASL estándar o máis preto posible do destino, é dicir, do destinatario do tráfico, e colocar ASL estendido o máis preto posible da fonte, é dicir, ao remitente do tráfico. Estas son recomendacións de Cisco, pero na práctica hai situacións nas que ten máis sentido colocar unha ACL estándar preto da fonte de tráfico. Pero se atopas unha pregunta sobre as regras de colocación de ACL durante o exame, sigue as recomendacións de Cisco e responde sen ambigüidades: o estándar está máis preto do destino, o estendido está máis preto da orixe.
Agora vexamos a sintaxe dunha ACL estándar. Hai dous tipos de sintaxe de comandos no modo de configuración global do router: sintaxe clásica e sintaxe moderna.
O tipo de comando clásico é access-list <número de ACL> <deny/allow> <criteria>. Se estableces <número de ACL> de 1 a 99, o dispositivo entenderá automaticamente que se trata dunha ACL estándar, e se é de 100 a 199, entón é unha estendida. Xa que na lección de hoxe estamos mirando unha lista estándar, podemos usar calquera número do 1 ao 99. Despois indicamos a acción que se debe aplicar se os parámetros coinciden co seguinte criterio: permitir ou denegar o tráfico. Consideraremos o criterio máis adiante, xa que tamén se usa na sintaxe moderna.
O tipo de comando moderno tamén se usa no modo de configuración global Rx(config) e ten o seguinte aspecto: ip access-list standard <ACL number/name>. Aquí pode usar un número do 1 ao 99 ou o nome da lista ACL, por exemplo, ACL_Networking. Este comando pon inmediatamente o sistema no modo de subcomando estándar Rx (config-std-nacl), onde debes introducir <deny/enable> <criteria>. O tipo moderno de equipos ten máis vantaxes en comparación co clásico.
Nunha lista clásica, se escribe access-list 10 deny ______, despois escribe o seguinte comando do mesmo tipo para outro criterio e acabas con 100 comandos deste tipo, entón para cambiar calquera dos comandos introducidos, terás que eliminar toda a lista de accesos 10 co comando non access-list 10. Isto eliminará os 100 comandos porque non hai forma de editar ningún comando individual nesta lista.
Na sintaxe moderna, o comando divídese en dúas liñas, a primeira delas contén o número de lista. Supoña que se ten unha lista de acceso estándar 10 denegar ________, lista de acceso estándar 20 denegar ________ e así por diante, entón tes a oportunidade de inserir listas intermedias con outros criterios entre elas, por exemplo, lista de acceso estándar 15 denegar ________ .
Alternativamente, pode simplemente eliminar as liñas estándar da lista de acceso 20 e reescribilas con diferentes parámetros entre as liñas estándar da lista de acceso 10 e as liñas estándar da lista de acceso 30. Así, hai varias formas de editar a sintaxe ACL moderna.
Debes ter moito coidado ao crear ACL. Como sabes, as listas lense de arriba a abaixo. Se colocas unha liña na parte superior que permite o tráfico dun host específico, a continuación podes colocar unha liña que prohiba o tráfico de toda a rede da que forma parte este host e comprobaranse ambas as condicións: o tráfico a un host específico permitirase o paso e bloquearase o tráfico de todos os demais hosts desta rede. Polo tanto, coloque sempre entradas específicas na parte superior da lista e as xerais na parte inferior.
Entón, despois de crear unha ACL clásica ou moderna, debes aplicala. Para iso, cómpre ir á configuración dunha interface específica, por exemplo, f0/0 usando a interface de comandos <tipo e ranura>, ir ao modo de subcomando da interface e introducir o comando ip access-group <número ACL/ nome> . Teña en conta a diferenza: ao compilar unha lista utilízase unha lista de acceso e ao aplicala úsase un grupo de acceso. Debes determinar a que interface se aplicará esta lista: a interface de entrada ou a interface de saída. Se a lista ten un nome, por exemplo, Rede, o mesmo nome repítese no comando para aplicar a lista nesta interface.
Agora tomemos un problema específico e intentemos resolvelo usando o exemplo do noso diagrama de rede usando Packet Tracer. Así, temos 4 redes: departamento de vendas, departamento de contabilidade, xestión e sala de servidores.
Tarefa número 1: debe bloquearse todo o tráfico dirixido desde os departamentos de vendas e financeiro ao departamento de xestión e á sala de servidores. A localización de bloqueo é a interface S0/1/0 do router R2. Primeiro debemos crear unha lista que conteña as seguintes entradas:
Chamemos á lista "ACL de xestión e seguridade do servidor", abreviada como ACL Secure_Ma_And_Se. A continuación prohíbese o tráfico da rede do departamento financeiro 192.168.1.128/26, prohíbese o tráfico da rede do departamento de vendas 192.168.1.0/25 e permita calquera outro tráfico. Ao final da lista indícase que se utiliza para a interface de saída S0/1/0 do router R2. Se non temos unha entrada Permitir calquera ao final da lista, entón todo o resto de tráfico bloquearase porque a ACL predeterminada sempre está definida como unha entrada Denegar calquera ao final da lista.
Podo aplicar esta ACL á interface G0/0? Por suposto, podo, pero neste caso só se bloqueará o tráfico do departamento de contabilidade e non se limitará de ningún xeito o tráfico do departamento de vendas. Do mesmo xeito, pode aplicar unha ACL á interface G0/1, pero neste caso non se bloqueará o tráfico do departamento de finanzas. Por suposto, podemos crear dúas listas de bloques separadas para estas interfaces, pero é moito máis eficiente combinalas nunha soa lista e aplicala á interface de saída do router R2 ou á interface de entrada S0/1/0 do router R1.
Aínda que as regras de Cisco establecen que unha ACL estándar debe colocarse o máis preto posible do destino, colocareina máis preto da fonte do tráfico porque quero bloquear todo o tráfico de saída e ten máis sentido facelo máis preto do fonte para que este tráfico non desperdicie a rede entre dous enrutadores.
Esquecín falarvos dos criterios, así que volvamos rapidamente. Podes especificar calquera como criterio; neste caso, calquera tráfico de calquera dispositivo e calquera rede será denegado ou permitido. Tamén pode especificar un host co seu identificador; neste caso, a entrada será o enderezo IP dun dispositivo específico. Finalmente, pode especificar unha rede completa, por exemplo, 192.168.1.10/24. Neste caso, /24 significará a presenza dunha máscara de subrede de 255.255.255.0, pero é imposible especificar o enderezo IP da máscara de subrede na ACL. Para este caso, ACL ten un concepto chamado Wildcart Mask, ou "máscara inversa". Polo tanto, debes especificar o enderezo IP e a máscara de retorno. A máscara inversa ten o seguinte aspecto: debes restar a máscara de subrede directa da máscara xeral de subrede, é dicir, o número correspondente ao valor de octeto na máscara de avance réstase de 255.
Polo tanto, debería utilizar o parámetro 192.168.1.10 0.0.0.255 como criterio na ACL.
Cómo funciona? Se hai un 0 no octeto da máscara de retorno, considérase que o criterio coincide co octeto correspondente do enderezo IP da subrede. Se hai un número no octeto da máscara traseira, a coincidencia non se verifica. Así, para unha rede de 192.168.1.0 e unha máscara de retorno de 0.0.0.255, todo o tráfico procedente de enderezos cuxos tres primeiros octetos sexan iguais a 192.168.1., independentemente do valor do cuarto octeto, bloquearase ou permitirá a acción especificada.
Usar unha máscara inversa é doado, e volveremos á máscara Wildcart no seguinte vídeo para que poida explicar como traballar con ela.
28:50 min
Grazas por estar connosco. Gústanche os nosos artigos? Queres ver máis contido interesante? Apóyanos facendo un pedido ou recomendando a amigos, Desconto do 30 % para os usuarios de Habr nun análogo único de servidores de nivel de entrada, que inventamos nós para ti: (dispoñible con RAID1 e RAID10, ata 24 núcleos e ata 40 GB DDR4).
Dell R730xd 2 veces máis barato? Só aquí nos Países Baixos! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - desde $ 99! Ler sobre
Fonte: www.habr.com