Jodi a nou pral kòmanse aprann sou lis kontwòl aksè ACL, sijè sa a pral pran 2 leson videyo. Nou pral gade nan konfigirasyon yon ACL estanda, ak nan pwochen leson patikilye videyo a mwen pral pale sou lis la pwolonje.
Nan leson sa a nou pral kouvri 3 sijè. Premye a se sa yon ACL se, dezyèm lan se diferans ki genyen ant yon estanda ak yon lis aksè pwolonje, ak nan fen leson an, kòm yon laboratwa, nou pral gade nan mete kanpe yon ACL estanda ak rezoud pwoblèm posib.
Se konsa, ki sa ki yon ACL? Si ou te etidye kou a depi premye leson videyo a, Lè sa a, ou sonje ki jan nou te òganize kominikasyon ant plizyè aparèy rezo.
Nou te etidye tou routage estatik sou divès pwotokòl pou jwenn ladrès nan òganize kominikasyon ant aparèy ak rezo. Kounye a nou rive nan etap aprantisaj la kote nou ta dwe konsène pou asire kontwòl trafik, se sa ki anpeche "move nèg" oswa itilizatè san otorizasyon enfiltre rezo a. Pa egzanp, sa ka konsène moun ki soti nan depatman lavant SALES, ki montre nan dyagram sa a. Isit la nou montre tou depatman finansye KONT, depatman jesyon MANAGEMENT ak chanm sèvè SERVER ROOM.
Se konsa, depatman lavant la ka gen yon santèn anplwaye, epi nou pa vle okenn nan yo kapab rive nan chanm nan sèvè sou rezo a. Yo fè yon eksepsyon pou manadjè lavant ki travay sou yon òdinatè Laptop2 - li ka gen aksè nan chanm sèvè a. Yon nouvo anplwaye k ap travay sou Laptop3 pa ta dwe gen aksè sa a, se sa ki, si trafik nan òdinatè l rive nan routeur R2, li ta dwe tonbe.
Wòl yon ACL se filtre trafik selon paramèt filtraj espesifye yo. Yo enkli adrès IP sous la, adrès IP destinasyon, pwotokòl, kantite pò ak lòt paramèt, gras a ki ou ka idantifye trafik la epi pran kèk aksyon avèk li.
Se konsa, ACL se yon mekanis filtraj kouch 3 nan modèl la OSI. Sa vle di ke mekanis sa a yo itilize nan routeurs. Kritè prensipal pou filtraj se idantifikasyon kouran done yo. Pou egzanp, si nou vle bloke nèg la ak òdinatè a Laptop3 soti nan aksè nan sèvè a, anvan tout bagay nou dwe idantifye trafik li yo. Trafik sa a deplase nan direksyon Laptop-Switch2-R2-R1-Switch1-Server1 atravè korespondan interfaces aparèy rezo, pandan y ap G0/0 interfaces routeurs pa gen anyen fè ak li.
Pou idantifye trafik, nou dwe idantifye chemen li. Lè w fin fè sa, nou ka deside ki kote egzakteman nou bezwen enstale filtè a. Pa enkyete sou filtè yo tèt yo, nou pral diskite sou yo nan pwochen leson an, pou kounye a nou bezwen konprann prensip la nan ki koòdone filtè a ta dwe aplike.
Si ou gade nan yon routeur, ou ka wè ke chak fwa trafik deplase, gen yon koòdone kote koule done a vini nan, ak yon koòdone nan ki koule sa a soti.
Gen aktyèlman 3 interfaces: koòdone nan opinyon, koòdone pwodiksyon an ak koòdone pwòp routeur la. Jis sonje ke filtraj ka sèlman aplike nan koòdone nan opinyon oswa pwodiksyon.
Prensip la nan operasyon ACL se menm jan ak yon pas nan yon evènman ki ka sèlman patisipe nan envite sa yo ki gen non ki sou lis la nan moun ki envite. Yon ACL se yon lis paramèt kalifikasyon yo itilize pou idantifye trafik. Pou egzanp, lis sa a endike ke tout trafik yo pèmèt soti nan adrès la IP 192.168.1.10, ak trafik soti nan tout lòt adrès yo refize. Kòm mwen te di, lis sa a ka aplike nan tou de koòdone nan opinyon ak pwodiksyon.
Gen 2 kalite ACL: estanda ak pwolonje. Yon ACL estanda gen yon idantifyan soti nan 1 a 99 oswa soti nan 1300 a 1999. Sa yo se tou senpleman lis non ki pa gen okenn avantaj youn sou lòt kòm nimero a ogmante. Anplis nimewo a, ou ka bay pwòp non ou nan ACL la. ACL pwolonje yo nimewote 100 a 199 oswa 2000 a 2699 epi yo ka gen yon non tou.
Nan yon ACL estanda, klasifikasyon an baze sou adrès IP sous trafik la. Se poutèt sa, lè w ap itilize yon lis konsa, ou pa ka mete restriksyon sou trafik ki dirije nenpòt sous, ou ka sèlman bloke trafik ki soti nan yon aparèy.
Yon ACL pwolonje klase trafik pa adrès IP sous, adrès IP destinasyon, pwotokòl itilize, ak nimewo pò. Pou egzanp, ou ka bloke sèlman trafik FTP, oswa sèlman trafik HTTP. Jodi a nou pral gade ACL estanda a, epi nou pral konsakre pwochen leson videyo a nan lis pwolonje.
Kòm mwen te di, yon ACL se yon lis kondisyon. Apre ou fin aplike lis sa a nan koòdone fèk ap rantre oswa soti nan routeur la, routeur la tcheke trafik la kont lis sa a, epi si li satisfè kondisyon ki tabli nan lis la, li deside si yo pèmèt oswa refize trafik sa a. Moun yo souvan jwenn li difisil pou detèmine interfaces D' ak sortie de yon routeur, byenke pa gen anyen konplike isit la. Lè nou pale sou yon koòdone fèk ap rantre, sa vle di ke sèlman trafik k ap rantre yo pral kontwole sou pò sa a, epi routeur la pa pral aplike restriksyon sou trafik sortan. Menm jan an tou, si nou ap pale de yon koòdone sòti, sa vle di ke tout règ yo pral aplike sèlman nan trafik sortan, pandan y ap trafik fèk ap rantre sou pò sa a pral aksepte san restriksyon. Pou egzanp, si routeur la gen 2 pò: f0/0 ak f0/1, Lè sa a, ACL a pral sèlman aplike nan trafik k ap antre nan koòdone nan f0/0, oswa sèlman nan trafik ki soti nan koòdone nan f0/1. Lis la pap afekte trafik k ap antre oswa soti nan koòdone f0/1.
Se poutèt sa, pa dwe konfonn pa direksyon an fèk ap rantre oswa sortan nan koòdone a, li depann de direksyon an nan trafik la espesifik. Se konsa, apre routeur la te tcheke trafik la pou matche ak kondisyon yo ACL, li ka pran sèlman de desizyon: pèmèt trafik la oswa rejte li. Pou egzanp, ou ka pèmèt trafik ki destine pou 180.160.1.30 epi rejte trafik ki destine pou 192.168.1.10. Chak lis ka genyen plizyè kondisyon, men chak nan kondisyon sa yo dwe pèmèt oswa refize.
Ann di nou gen yon lis:
Entèdi _______
Pèmèt ________
Pèmèt ________
Entèdi _________.
Premyèman, routeur la pral tcheke trafik la pou wè si li matche ak premye kondisyon an; si li pa matche ak, li pral tcheke dezyèm kondisyon an. Si trafik la matche ak twazyèm kondisyon an, routeur la ap sispann tcheke epi li pa pral konpare li ak rès kondisyon yo nan lis la. Li pral fè aksyon "pèmèt" la epi kontinye tcheke pwochen pòsyon trafik la.
Nan ka ou pa te mete yon règ pou nenpòt pake ak trafik la pase nan tout liy yo nan lis la san yo pa frape nenpòt nan kondisyon yo, li detwi, paske chak lis ACL pa default fini ak refize nenpòt lòd - se sa ki, jete. nenpòt pake, pa tonbe anba okenn nan règ yo. Kondisyon sa a pran efè si gen omwen yon règ nan lis la, otreman li pa gen okenn efè. Men, si premye liy lan gen antre nan refize 192.168.1.30 ak lis la pa gen okenn kondisyon ankò, Lè sa a, nan fen a ta dwe gen yon pèmi lòd nenpòt, se sa ki, pèmèt nenpòt trafik eksepte sa ki entèdi pa règ la. Ou dwe pran sa an kont pou evite erè lè w ap konfigirasyon ACL la.
Mwen vle ou sonje règ debaz la pou kreye yon lis ASL: mete ASL estanda pi pre ke posib nan destinasyon an, sa vle di, moun k ap resevwa trafik la, epi mete ASL pwolonje pi pre ke posib nan sous la, sa vle di, bay moun k ap voye trafik la. Sa yo se rekòmandasyon Cisco, men nan pratik gen sitiyasyon kote li fè plis sans pou mete yon ACL estanda tou pre sous trafik la. Men, si ou rankontre yon kesyon sou règ plasman ACL pandan egzamen an, swiv rekòmandasyon Cisco a epi reponn san anbigwite: estanda se pi pre destinasyon an, pwolonje se pi pre sous la.
Koulye a, kite a gade nan sentaks la nan yon ACL estanda. Gen de kalite sentaks kòmand nan mòd konfigirasyon global routeur la: sentaks klasik ak sentaks modèn.
Kalite lòd klasik la se lis aksè <nimewo ACL> <refize/pèmèt> <kritè>. Si ou mete <ACL nimewo> soti nan 1 a 99, aparèy la pral otomatikman konprann ke sa a se yon ACL estanda, epi si li soti nan 100 a 199, Lè sa a, li se yon sèl pwolonje. Depi nan leson jodi a nou ap gade nan yon lis estanda, nou ka itilize nenpòt nimewo soti nan 1 a 99. Lè sa a, nou endike aksyon an ki bezwen aplike si paramèt yo matche ak kritè sa a - pèmèt oswa refize trafik. Nou pral konsidere kritè a pita, paske li se tou itilize nan sentaks modèn.
Kalite kòmand modèn yo itilize tou nan mòd konfigirasyon global Rx(config) epi li sanble sa a: ip aksè-list estanda <ACL nimewo/non>. Isit la ou ka itilize swa yon nimewo soti nan 1 a 99 oswa non an nan lis la ACL, pou egzanp, ACL_Networking. Kòmandman sa a imedyatman mete sistèm nan nan mòd Rx estanda sou kòmand (config-std-nacl), kote ou dwe antre <deny/enable> <criteria>. Kalite modèn nan ekip gen plis avantaj konpare ak yon sèl klasik la.
Nan yon lis klasik, si ou tape access-list 10 deny ______, Lè sa a, tape pwochen kòmandman an nan menm kalite pou yon lòt kritè, epi ou fini ak 100 kòmandman sa yo, Lè sa a, chanje nenpòt nan kòmandman yo antre, w ap bezwen. efase tout lis aksè-lis la 10 ak kòmandman an pa gen lis aksè 10. Sa a pral efase tout 100 kòmandman paske pa gen okenn fason yo modifye nenpòt kòmandman endividyèl nan lis sa a.
Nan sentaks modèn, lòd la divize an de liy, premye nan yo ki gen nimewo lis la. Sipoze si ou gen yon lis aksè-list estanda 10 refize ________, aksè-list estanda 20 refize ________ ak sou sa, Lè sa a, ou gen opòtinite pou mete lis entèmedyè ak lòt kritè ant yo, pou egzanp, aksè-list estanda 15 refize ________ .
Altènativman, ou ka tou senpleman efase liy aksè-lis estanda 20 yo epi retape yo ak diferan paramèt ant estanda aksè-lis 10 ak liy aksè-lis estanda 30. Kidonk, gen plizyè fason pou edite sentaks ACL modèn.
Ou bezwen pran anpil prekosyon lè w ap kreye ACL. Kòm ou konnen, lis yo li depi anwo jouk anba. Si ou mete yon liy nan tèt la ki pèmèt trafik soti nan yon lame espesifik, Lè sa a, anba a ou ka mete yon liy ki entèdi trafik soti nan tout rezo a ke lame sa a fè pati nan, epi tou de kondisyon yo pral tcheke - trafik nan yon lame espesifik pral. gen dwa pase, epi trafik soti nan tout lòt lame rezo sa a pral bloke. Se poutèt sa, toujou mete antre espesifik nan tèt lis la ak sa yo jeneral nan pati anba a.
Se konsa, apre ou fin kreye yon ACL klasik oswa modèn, ou dwe aplike li. Pou fè sa, ou bezwen ale nan anviwònman yo nan yon koòdone espesifik, pou egzanp, f0/0 lè l sèvi avèk koòdone nan lòd <kalite ak plas>, ale nan mòd nan subcommand koòdone epi antre nan lòd ip aksè-group <ACL nimewo/ non> . Tanpri sonje diferans lan: lè w ap konpile yon lis, yo itilize yon lis aksè, epi lè w ap aplike li, yo itilize yon gwoup aksè. Ou dwe detèmine nan ki koòdone lis sa a pral aplike - koòdone fèk ap rantre oswa koòdone sortan an. Si lis la gen yon non, pou egzanp, Networking, se menm non an repete nan lòd la pou aplike lis la sou koòdone sa a.
Koulye a, ann pran yon pwoblèm espesifik epi eseye rezoud li lè l sèvi avèk egzanp dyagram rezo nou an lè l sèvi avèk Packet Tracer. Se konsa, nou gen 4 rezo: depatman lavant, depatman kontablite, jesyon ak chanm sèvè.
Travay nimewo 1: tout trafik ki dirije soti nan lavant ak depatman finansye nan depatman an jesyon ak chanm sèvè dwe bloke. Kote bloke a se koòdone S0/1/0 nan routeur R2. Premyèman, nou dwe kreye yon lis ki gen antre sa yo:
Ann rele lis "Jesyon ak Sèvè Sekirite ACL", abreje kòm ACL Secure_Ma_And_Se. Sa a se swiv pa entèdi trafik nan rezo depatman finansye 192.168.1.128/26, entèdi trafik soti nan rezo depatman lavant 192.168.1.0/25, ak pèmèt nenpòt lòt trafik. Nan fen lis la li endike ke li se itilize pou koòdone sortan S0/1/0 nan routeur R2. Si nou pa gen yon pèmi nenpòt antre nan fen lis la, Lè sa a, tout lòt trafik yo pral bloke paske ACL defo a toujou mete nan yon antre Deny Any nan fen lis la.
Èske mwen ka aplike ACL sa a nan koòdone G0/0? Natirèlman, mwen kapab, men nan ka sa a sèlman trafik soti nan depatman an kontablite pral bloke, ak trafik nan depatman an lavant pa pral limite nan okenn fason. Nan menm fason an, ou ka aplike yon ACL nan koòdone G0/1, men nan ka sa a trafik depatman finans pa pral bloke. Natirèlman, nou ka kreye de lis blòk separe pou interfaces sa yo, men li pi efikas pou konbine yo nan yon sèl lis epi aplike li nan koòdone pwodiksyon routeur R2 oswa koòdone opinyon S0/1/0 nan routeur R1.
Malgre ke règ Cisco endike ke yon ACL estanda ta dwe mete pi pre destinasyon an ke posib, mwen pral mete l pi pre sous trafik la paske mwen vle bloke tout trafik sortan, epi li fè plis sans pou fè sa pi pre a. sous pou trafik sa a pa gaspiye rezo a ant de routeurs.
Mwen bliye di w sou kritè yo, kidonk ann tounen byen vit. Ou ka presize nenpòt kòm yon kritè - nan ka sa a, nenpòt trafik soti nan nenpòt aparèy ak nenpòt rezo yo pral refize oswa pèmèt. Ou kapab tou presize yon lame ak idantifyan li yo - nan ka sa a, antre a pral adrès IP yon aparèy espesifik. Finalman, ou ka presize yon rezo tout antye, pou egzanp, 192.168.1.10/24. Nan ka sa a, /24 pral vle di prezans nan yon mask subnet nan 255.255.255.0, men li enposib presize adrès IP la nan mask la subnet nan ACL la. Pou ka sa a, ACL gen yon konsèp ki rele Wildcart Mask, oswa "mask ranvèse". Se poutèt sa ou dwe presize adrès IP la ak mask retounen. Mask ranvèse a sanble ak sa a: ou dwe soustraksyon mask subnet dirèk la soti nan mask sourè jeneral la, se sa ki, nimewo ki koresponn ak valè octet nan mask la devan yo soustraksyon soti nan 255.
Se poutèt sa, ou ta dwe itilize paramèt 192.168.1.10 0.0.0.255 kòm kritè nan ACL la.
Ki jan li fonksyone? Si gen yon 0 nan oktè mask la retounen, yo konsidere kritè a matche ak oktè ki koresponn nan adrès IP subnet la. Si gen yon nimewo nan oktè mask la, match la pa tcheke. Kidonk, pou yon rezo 192.168.1.0 ak yon mask retounen nan 0.0.0.255, tout trafik ki soti nan adrès ki gen twa premye oktè egal a 192.168.1., kèlkeswa valè katriyèm oktè a, yo pral bloke oswa pèmèt. aksyon an espesifye.
Sèvi ak yon mask ranvèse fasil, epi nou pral tounen nan Mask Wildcart nan pwochen videyo a pou mwen ka eksplike kijan pou travay avèk li.
28:50 min
Mèsi paske w rete avèk nou. Ou renmen atik nou yo? Vle wè plis kontni enteresan? Sipòte nou pa mete yon lòd oswa rekòmande pou zanmi, 30% rabè pou itilizatè Habr sou yon analòg inik nan sèvè nivo antre, ki te envante pa nou pou ou: (disponib ak RAID1 ak RAID10, jiska 24 nwayo ak jiska 40GB DDR4).
Dell R730xd 2 fwa pi bon mache? Sèlman isit la nan Netherlands! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - soti nan $ 99! Li sou
Sous: www.habr.com