Danas ćemo početi učiti o popisu kontrole pristupa ACL-u, za ovu će temu biti potrebne 2 video lekcije. Pogledat ćemo konfiguraciju standardnog ACL-a, au sljedećem video vodiču govorit ću o proširenom popisu.
U ovoj lekciji obradit ćemo 3 teme. Prvo što je ACL, drugo koja je razlika između standardne i proširene pristupne liste, a na kraju lekcije, kao laboratorij, pogledat ćemo postavljanje standardnog ACL-a i rješavanje mogućih problema.
Dakle, što je ACL? Ako ste proučavali tečaj od prve video lekcije, onda se sjećate kako smo organizirali komunikaciju između različitih mrežnih uređaja.
Također smo proučavali statičko usmjeravanje preko raznih protokola kako bismo stekli vještine organiziranja komunikacije između uređaja i mreža. Sada smo došli do faze učenja u kojoj bismo se trebali brinuti o osiguravanju kontrole prometa, odnosno sprječavanju "loših momaka" ili neovlaštenih korisnika da se infiltriraju u mrežu. Na primjer, to se može odnositi na ljude iz prodajnog odjela SALES, koji je prikazan na ovom dijagramu. Ovdje također prikazujemo financijski odjel RAČUNI, odjel upravljanja UPRAVLJANJE i poslužiteljsku sobu SERVER ROOM.
Dakle, odjel prodaje može imati stotinu zaposlenika, a mi ne želimo da itko od njih može preko mreže doći do sobe s poslužiteljem. Izuzetak je napravljen za voditelja prodaje koji radi na Laptop2 računalu - on može imati pristup server sobi. Novi zaposlenik koji radi na Laptop3 ne bi trebao imati takav pristup, odnosno, ako promet s njegovog računala dođe do routera R2, trebao bi biti ispušten.
Uloga ACL-a je filtriranje prometa prema navedenim parametrima filtriranja. Oni uključuju izvornu IP adresu, odredišnu IP adresu, protokol, broj portova i druge parametre, zahvaljujući kojima možete identificirati promet i poduzeti neke radnje s njim.
Dakle, ACL je mehanizam filtriranja sloja 3 OSI modela. To znači da se ovaj mehanizam koristi u usmjerivačima. Glavni kriterij za filtriranje je identifikacija toka podataka. Na primjer, ako tipu s Laptop3 računalom želimo blokirati pristup poslužitelju, prije svega moramo identificirati njegov promet. Taj se promet kreće u smjeru Laptop-Switch2-R2-R1-Switch1-Server1 preko odgovarajućih sučelja mrežnih uređaja, dok G0/0 sučelja routera nemaju nikakve veze s tim.
Da bismo identificirali promet, moramo identificirati njegov put. Nakon što smo to učinili, možemo odlučiti gdje točno trebamo instalirati filtar. Ne brinite o samim filtrima, raspravljat ćemo o njima u sljedećoj lekciji, za sada moramo razumjeti princip na kojem se sučelju filtar treba primijeniti.
Ako pogledate usmjerivač, možete vidjeti da svaki put kada se promet kreće, postoji sučelje kroz koje ulazi protok podataka i sučelje kroz koje taj protok izlazi.
Zapravo postoje 3 sučelja: ulazno sučelje, izlazno sučelje i vlastito sučelje rutera. Zapamtite samo da se filtriranje može primijeniti samo na ulazno ili izlazno sučelje.
Princip rada ACL-a sličan je propusnici za događaj kojem mogu prisustvovati samo gosti čije se ime nalazi na popisu pozvanih osoba. ACL je popis kvalifikacijskih parametara koji se koriste za identifikaciju prometa. Na primjer, ovaj popis označava da je sav promet dopušten s IP adrese 192.168.1.10, a promet sa svih ostalih adresa je odbijen. Kao što sam rekao, ovaj popis se može primijeniti i na ulazno i na izlazno sučelje.
Postoje 2 vrste ACL-ova: standardni i prošireni. Standardni ACL ima identifikator od 1 do 99 ili od 1300 do 1999. To su jednostavno imena popisa koja nemaju nikakve prednosti jedna u odnosu na drugu kako se numeriranje povećava. Osim broja, ACL-u možete dodijeliti svoje ime. Prošireni ACL-ovi označeni su brojevima od 100 do 199 ili od 2000 do 2699 i mogu imati i naziv.
U standardnom ACL-u, klasifikacija se temelji na izvornoj IP adresi prometa. Stoga, kada koristite takav popis, ne možete ograničiti promet usmjeren na bilo koji izvor, možete samo blokirati promet koji potječe s uređaja.
Prošireni ACL klasificira promet prema izvornoj IP adresi, odredišnoj IP adresi, korištenom protokolu i broju priključka. Na primjer, možete blokirati samo FTP promet ili samo HTTP promet. Danas ćemo pogledati standardni ACL, a sljedeću video lekciju posvetit ćemo proširenim listama.
Kao što sam rekao, ACL je popis uvjeta. Nakon što primijenite ovaj popis na dolazno ili odlazno sučelje usmjerivača, usmjerivač provjerava promet u odnosu na ovaj popis i, ako ispunjava uvjete navedene na popisu, odlučuje hoće li dopustiti ili odbiti ovaj promet. Ljudima je često teško odrediti ulazno i izlazno sučelje usmjerivača, iako ovdje nema ništa komplicirano. Kada govorimo o dolaznom sučelju, to znači da će se na ovom portu kontrolirati samo dolazni promet, a ruter neće primjenjivati ograničenja na odlazni promet. Slično, ako govorimo o izlaznom sučelju, to znači da će se sva pravila primjenjivati samo na odlazni promet, dok će dolazni promet na ovom portu biti prihvaćen bez ograničenja. Na primjer, ako ruter ima 2 porta: f0/0 i f0/1, tada će se ACL primijeniti samo na promet koji ulazi u f0/0 sučelje ili samo na promet koji potječe iz f0/1 sučelja. Popis neće utjecati na promet koji ulazi ili izlazi iz sučelja f0/1.
Stoga neka vas ne zbuni dolazni ili odlazni smjer sučelja, to ovisi o smjeru specifičnog prometa. Dakle, nakon što usmjerivač provjeri usklađenost prometa s ACL uvjetima, može donijeti samo dvije odluke: dopustiti promet ili ga odbiti. Na primjer, možete dopustiti promet namijenjen 180.160.1.30 i odbiti promet namijenjen 192.168.1.10. Svaki popis može sadržavati više uvjeta, ali svaki od tih uvjeta mora dopustiti ili odbiti.
Recimo da imamo popis:
Zabraniti _______
Dopusti ________
Dopusti ________
Zabraniti _________.
Prvo će usmjerivač provjeriti promet da vidi odgovara li prvom uvjetu; ako ne odgovara, provjerit će drugi uvjet. Ako promet odgovara trećem uvjetu, usmjerivač će prestati provjeravati i neće ga uspoređivati s ostalim uvjetima popisa. Izvršit će radnju "dopusti" i prijeći na provjeru sljedećeg dijela prometa.
U slučaju da niste postavili pravilo ni za jedan paket i promet prolazi kroz sve retke liste bez ispunjavanja bilo kojeg uvjeta, on se uništava, jer svaka ACL lista po defaultu završava naredbom deny any - odnosno odbaci bilo koji paket, koji ne potpada ni pod jedno od pravila. Ovaj uvjet stupa na snagu ako postoji barem jedno pravilo na popisu, inače nema učinka. Ali ako prvi redak sadrži unos deny 192.168.1.30 i popis više ne sadrži nikakve uvjete, tada bi na kraju trebala biti naredba permit any, odnosno dopusti bilo koji promet osim onog koji je zabranjen pravilom. Ovo morate uzeti u obzir kako biste izbjegli pogreške prilikom konfiguriranja ACL-a.
Želim da zapamtite osnovno pravilo izrade ASL liste: standardni ASL postavite što bliže odredištu, odnosno primatelju prometa, a prošireni ASL postavite što bliže izvoru, tj. pošiljatelju prometa. Ovo su Ciscove preporuke, ali u praksi postoje situacije u kojima ima više smisla postaviti standardni ACL blizu izvora prometa. Ali ako tijekom ispita naiđete na pitanje o pravilima postavljanja ACL-a, slijedite preporuke Cisca i odgovorite nedvosmisleno: standardni je bliži odredištu, prošireni je bliži izvoru.
Sada pogledajmo sintaksu standardnog ACL-a. Postoje dvije vrste sintakse naredbi u načinu globalne konfiguracije usmjerivača: klasična sintaksa i moderna sintaksa.
Klasična vrsta naredbe je access-list <ACL broj> <deny/allow> <criteria>. Ako postavite <ACL broj> od 1 do 99, uređaj će automatski shvatiti da je to standardni ACL, a ako je od 100 do 199, onda je prošireni. Budući da u današnjoj lekciji gledamo standardni popis, možemo koristiti bilo koji broj od 1 do 99. Zatim označavamo radnju koju treba primijeniti ako parametri odgovaraju sljedećem kriteriju - dopustiti ili zabraniti promet. Kriterij ćemo razmotriti kasnije, budući da se koristi iu modernoj sintaksi.
Moderni tip naredbe također se koristi u načinu globalne konfiguracije Rx(config) i izgleda ovako: ip access-list standard <ACL broj/naziv>. Ovdje možete koristiti ili broj od 1 do 99 ili naziv ACL popisa, na primjer, ACL_Networking. Ova naredba odmah stavlja sustav u način podnaredbe standardnog načina Rx (config-std-nacl), gdje morate unijeti <deny/enable> <criteria>. Moderni tip timova ima više prednosti u odnosu na klasični.
U klasičnom popisu, ako upišete access-list 10 deny ______, zatim upišete sljedeću naredbu iste vrste za drugi kriterij, i završite sa 100 takvih naredbi, a zatim da biste promijenili bilo koju od unesenih naredbi, morat ćete izbrišite cijeli popis popisa pristupa 10 s naredbom no access-list 10. Ovo će izbrisati svih 100 naredbi jer ne postoji način za uređivanje bilo koje pojedinačne naredbe na ovom popisu.
U modernoj sintaksi, naredba je podijeljena u dva retka, od kojih prvi sadrži broj popisa. Pretpostavimo da ako imate standard popisa pristupa 10 zabrani ________, standard popisa za pristup 20 zabrani ________ i tako dalje, tada imate priliku umetnuti međupopise s drugim kriterijima između njih, na primjer, standard popisa za pristup 15 zabrani ________ .
Alternativno, možete jednostavno izbrisati standardne redove popisa pristupa 20 i ponovno ih upisati s različitim parametrima između redova standarda popisa pristupa 10 i standarda popisa pristupa 30. Dakle, postoje različiti načini za uređivanje moderne ACL sintakse.
Morate biti vrlo oprezni kada kreirate ACL-ove. Kao što znate, popisi se čitaju odozgo prema dolje. Ako na vrhu postavite crtu koja dopušta promet s određenog hosta, tada ispod možete postaviti crtu koja zabranjuje promet s cijele mreže čiji je taj host dio, i oba uvjeta će biti provjerena - promet na određeni host će biti dopušten, a promet sa svih drugih računala ove mreže bit će blokiran. Stoga uvijek stavljajte specifične unose na vrh popisa, a općenite na dno.
Dakle, nakon što ste izradili klasični ili moderni ACL, morate ga primijeniti. Da biste to učinili, morate otići na postavke određenog sučelja, na primjer, f0/0 pomoću naredbenog sučelja <type and slot>, ići na način podnaredbe sučelja i unijeti naredbu ip access-group <ACL broj/ ime> . Imajte na umu razliku: prilikom sastavljanja popisa koristi se access-list, a kod njegove primjene koristi se access-group. Morate odrediti na koje će sučelje ovaj popis biti primijenjen - na dolazno sučelje ili na odlazno sučelje. Ako popis ima naziv, na primjer, Umrežavanje, isti se naziv ponavlja u naredbi za primjenu popisa na ovom sučelju.
Uzmimo sada konkretan problem i pokušajmo ga riješiti pomoću primjera našeg mrežnog dijagrama pomoću Packet Tracera. Dakle, imamo 4 mreže: odjel prodaje, odjel računovodstva, menadžment i poslužiteljsku sobu.
Zadatak br. 1: mora se blokirati sav promet usmjeren od prodajnih i financijskih odjela prema odjelu upravljanja i poslužiteljskoj sobi. Mjesto blokiranja je sučelje S0/1/0 usmjerivača R2. Prvo moramo stvoriti popis koji sadrži sljedeće unose:
Nazovimo popis "ACL upravljanja i sigurnosti poslužitelja", skraćeno ACL Secure_Ma_And_Se. Slijedi zabrana prometa s mreže financijskog odjela 192.168.1.128/26, zabrana prometa s mreže prodajnog odjela 192.168.1.0/25 te dopuštanje bilo kakvog drugog prometa. Na kraju popisa naznačeno je da se koristi za izlazno sučelje S0/1/0 rutera R2. Ako nemamo Dopusti bilo koji unos na kraju popisa, tada će sav ostali promet biti blokiran jer je zadani ACL uvijek postavljen na Odbij bilo koji unos na kraju popisa.
Mogu li primijeniti ovaj ACL na sučelje G0/0? Naravno da mogu, ali u ovom slučaju će biti blokiran samo promet iz računovodstva, a promet iz odjela prodaje neće biti ograničen ni na koji način. Na isti način možete primijeniti ACL na G0/1 sučelje, ali u tom slučaju promet odjela financija neće biti blokiran. Naravno, možemo stvoriti dvije odvojene liste blokova za ova sučelja, ali mnogo je učinkovitije kombinirati ih u jednu listu i primijeniti je na izlazno sučelje rutera R2 ili ulazno sučelje S0/1/0 rutera R1.
Iako Ciscova pravila navode da standardni ACL treba postaviti što bliže odredištu, ja ću ga postaviti bliže izvoru prometa jer želim blokirati sav odlazni promet, a ima smisla to učiniti bliže izvoru prometa. izvor tako da ovaj promet ne troši mrežu između dva usmjerivača.
Zaboravio sam vam reći o kriterijima, pa se brzo vratimo. Kao kriterij možete navesti bilo koji - u ovom će slučaju bilo koji promet s bilo kojeg uređaja i bilo koje mreže biti odbijen ili dopušten. Također možete navesti host s njegovim identifikatorom - u ovom slučaju unos će biti IP adresa određenog uređaja. Konačno, možete odrediti cijelu mrežu, na primjer, 192.168.1.10/24. U ovom slučaju /24 će značiti prisutnost maske podmreže 255.255.255.0, ali je nemoguće navesti IP adresu maske podmreže u ACL-u. Za ovaj slučaj, ACL ima koncept koji se zove Wildcart maska ili "obrnuta maska". Stoga morate navesti IP adresu i povratnu masku. Obrnuta maska izgleda ovako: morate oduzeti masku izravne podmreže od opće maske podmreže, to jest, broj koji odgovara vrijednosti okteta u prednjoj maski oduzima se od 255.
Stoga biste trebali koristiti parametar 192.168.1.10 0.0.0.255 kao kriterij u ACL-u.
Kako radi? Ako postoji 0 u oktetu povratne maske, smatra se da kriterij odgovara odgovarajućem oktetu IP adrese podmreže. Ako postoji broj u oktetu protumaske, podudaranje se ne provjerava. Dakle, za mrežu od 192.168.1.0 i povratnu masku od 0.0.0.255, sav promet s adresa čija su prva tri okteta jednaka 192.168.1., bez obzira na vrijednost četvrtog okteta, bit će blokiran ili dopušten ovisno o navedena radnja.
Korištenje obrnute maske je jednostavno, a mi ćemo se vratiti na Wildcart masku u sljedećem videu kako bih mogao objasniti kako raditi s njom.
28:50 min
Hvala što ste ostali s nama. Sviđaju li vam se naši članci? Želite li vidjeti više zanimljivog sadržaja? Podržite nas narudžbom ili preporukom prijateljima, 30% popusta za korisnike Habra na jedinstveni analog početnih poslužitelja, koji smo izmislili za vas: (dostupno s RAID1 i RAID10, do 24 jezgre i do 40 GB DDR4).
Dell R730xd 2 puta jeftiniji? Samo ovdje u Nizozemskoj! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB - od 99 USD! Pročitaj o
Izvor: www.habr.com