Ma elkezdjük megismerni az ACL hozzáférés-vezérlési listát, ez a téma 2 videóleckét fog tartalmazni. Megnézzük egy szabványos ACL konfigurációját, és a következő oktatóvideóban a kiterjesztett listáról fogok beszélni.
Ebben a leckében 3 témával foglalkozunk. Az első az, hogy mi az ACL, a második, hogy mi a különbség a szabványos és a kiterjesztett hozzáférési lista között, és a lecke végén laborként megvizsgáljuk a szabványos ACL beállítását és az esetleges problémák megoldását.
Tehát mi az ACL? Ha már az első videoleckétől kezdve tanulmányozta a kurzust, akkor emlékszik, hogyan szerveztük meg a kommunikációt a különböző hálózati eszközök között.
Különböző protokollokon keresztüli statikus útválasztást is tanulmányoztunk, hogy készségeket szerezzünk az eszközök és hálózatok közötti kommunikáció megszervezésében. Elérkeztünk ahhoz a tanulási szakaszhoz, amikor a forgalomirányítás biztosításával kell foglalkoznunk, vagyis meg kell akadályozni, hogy „rosszfiúk” vagy jogosulatlan felhasználók beszivárogjanak a hálózatba. Ez érintheti például az ezen az ábrán látható SALES értékesítési osztály munkatársait. Itt mutatjuk be a pénzügyi osztály SZÁMLA, a menedzsment részleg MENEDZSMENT és a szerver szoba SZERVER SZOBÁT is.
Így az értékesítési részlegnek száz alkalmazottja lehet, és nem akarjuk, hogy bármelyikük elérje a szerverszobát a hálózaton keresztül. Kivételt képez az értékesítési vezető, aki Laptop2 számítógépen dolgozik - ő férhet hozzá a szerverszobához. A Laptop3-on dolgozó új alkalmazottnak nem szabad ilyen hozzáféréssel rendelkeznie, vagyis ha a számítógépéről érkező forgalom eléri az R2 routert, azt meg kell szüntetni.
Az ACL szerepe a forgalom szűrése a megadott szűrési paraméterek szerint. Tartalmazza a forrás IP-címét, a cél IP-címét, a protokollt, a portok számát és egyéb paramétereket, amelyeknek köszönhetően azonosíthatja a forgalmat, és bizonyos műveleteket végezhet vele.
Tehát az ACL az OSI modell 3. rétegű szűrési mechanizmusa. Ez azt jelenti, hogy ezt a mechanizmust az útválasztókban használják. A szűrés fő kritériuma az adatfolyam azonosítása. Például, ha meg akarjuk akadályozni, hogy a Laptop3 számítógéppel rendelkező srác hozzáférjen a szerverhez, először is azonosítanunk kell a forgalmát. Ez a forgalom a Laptop-Switch2-R2-R1-Switch1-Server1 irányába halad a hálózati eszközök megfelelő interfészein keresztül, míg a routerek G0/0 interfészeinek ehhez semmi köze.
A forgalom azonosításához meg kell határoznunk az útvonalát. Ezt követően el tudjuk dönteni, hogy pontosan hova kell beszerelnünk a szűrőt. Maguk a szűrők miatt ne törődjünk, a következő leckében megbeszéljük őket, egyelőre meg kell értenünk, hogy melyik interfészen kell a szűrőt alkalmazni.
Ha ránézünk egy útválasztóra, láthatjuk, hogy minden alkalommal, amikor a forgalom megmozdul, van egy interfész, ahová az adatáramlás bejön, és egy interfész, amelyen keresztül ez az áramlás kijön.
Valójában 3 interfész van: a bemeneti interfész, a kimeneti interfész és a router saját interfésze. Ne feledje, hogy a szűrés csak a bemeneti vagy kimeneti interfészen alkalmazható.
Az ACL működési elve hasonlít egy olyan eseményre való belépéshez, amelyen csak azok a vendégek vehetnek részt, akiknek a neve szerepel a meghívottak listáján. Az ACL a forgalom azonosítására használt minősítési paraméterek listája. Ez a lista például azt jelzi, hogy minden forgalom engedélyezett a 192.168.1.10 IP-címről, és az összes többi címről érkező forgalom le van tiltva. Mint mondtam, ez a lista mind a bemeneti, mind a kimeneti interfészre alkalmazható.
Kétféle ACL létezik: szabványos és kiterjesztett. A szabványos ACL azonosítója 2-től 1-ig vagy 99-tól 1300-ig terjed. Ezek egyszerűen listanevek, amelyek a számozás növekedésével semmilyen előnyt nem élveznek egymással szemben. A számon kívül saját nevet is hozzárendelhet az ACL-hez. A kiterjesztett ACL-ek 1999-tól 100-ig vagy 199-től 2000-ig vannak számozva, és lehet neve is.
A szabványos ACL-ben az osztályozás a forgalom forrás IP-címén alapul. Ezért egy ilyen lista használatakor nem korlátozhatja semmilyen forrásra irányuló forgalmat, csak az eszközről érkező forgalmat blokkolhatja.
A kiterjesztett ACL a forgalmat forrás IP-cím, cél IP-cím, használt protokoll és portszám szerint osztályozza. Például blokkolhatja csak az FTP-forgalmat vagy csak a HTTP-forgalmat. Ma megnézzük a szabványos ACL-t, és a következő videóleckét a kiterjesztett listáknak szenteljük.
Mint mondtam, az ACL a feltételek listája. Miután alkalmazta ezt a listát az útválasztó bejövő vagy kimenő interfészére, az útválasztó összeveti a forgalmat ezzel a listával, és ha az megfelel a listában meghatározott feltételeknek, eldönti, hogy engedélyezi-e vagy letiltja ezt a forgalmat. Az emberek gyakran nehezen tudják meghatározni egy útválasztó bemeneti és kimeneti interfészét, bár itt nincs semmi bonyolult. Ha bejövő interfészről beszélünk, ez azt jelenti, hogy ezen a porton csak a bejövő forgalmat vezérlik, és a router nem korlátoz a kimenő forgalomra. Hasonlóképpen, ha kimenő felületről beszélünk, ez azt jelenti, hogy minden szabály csak a kimenő forgalomra vonatkozik, míg a bejövő forgalmat ezen a porton korlátozás nélkül fogadjuk. Például, ha az útválasztónak 2 portja van: f0/0 és f0/1, akkor az ACL csak az f0/0 interfészre érkező forgalomra, vagy csak az f0/1 interfészről érkező forgalomra vonatkozik. Az f0/1 felületre belépő vagy elhagyó forgalmat a lista nem érinti.
Ezért ne tévesszen meg az interfész bejövő vagy kimenő iránya, ez az adott forgalom irányától függ. Tehát miután az útválasztó ellenőrizte, hogy a forgalom megfelel-e az ACL-feltételeknek, csak két döntést tud hozni: engedélyezi vagy elutasítja a forgalmat. Például engedélyezheti a 180.160.1.30-as forgalmat, és elutasíthatja a 192.168.1.10-re irányuló forgalmat. Minden lista több feltételt is tartalmazhat, de ezeknek a feltételeknek mindegyiknek engedélyeznie kell vagy meg kell tagadnia.
Tegyük fel, hogy van egy listánk:
Tiltás _______
Lehetővé teszi ________
Lehetővé teszi ________
Tiltás _________.
Először a router ellenőrzi a forgalmat, hogy az megfelel-e az első feltételnek; ha nem, akkor a második feltételt. Ha a forgalom megfelel a harmadik feltételnek, az útválasztó leállítja az ellenőrzést, és nem hasonlítja össze a lista többi feltételével. Végrehajtja az „engedélyezés” műveletet, és továbblép a forgalom következő részének ellenőrzésére.
Abban az esetben, ha egyetlen csomagra sem állított be szabályt, és a forgalom a lista összes során áthalad anélkül, hogy bármelyik feltételt elérné, akkor az megsemmisül, mivel minden ACL lista alapértelmezés szerint a deny any paranccsal végződik - azaz eldobja minden olyan csomagot, amelyre egyik szabály sem vonatkozik. Ez a feltétel akkor lép életbe, ha legalább egy szabály szerepel a listában, ellenkező esetben nincs hatása. De ha az első sor a deny 192.168.1.30 bejegyzést tartalmazza, és a lista már nem tartalmaz semmilyen feltételt, akkor a végén legyen egy parancs, amely engedélyezi bármelyiket, vagyis minden forgalmat engedélyez, kivéve azt, amit a szabály tilt. Ezt figyelembe kell vennie, hogy elkerülje a hibákat az ACL konfigurálásakor.
Szeretném, ha ne feledje az ASL-lista létrehozásának alapszabályát: a szabványos ASL-t a célállomáshoz, azaz a forgalom címzettjéhez a lehető legközelebb helyezze el, és a kiterjesztett ASL-t a forráshoz lehető legközelebb helyezze el, azaz a forgalom feladójának. Ezek a Cisco ajánlásai, de a gyakorlatban vannak olyan helyzetek, amikor ésszerűbb egy szabványos ACL-t a forgalmi forrás közelében elhelyezni. De ha a vizsga során az ACL elhelyezési szabályokkal kapcsolatos kérdésbe ütközik, kövesse a Cisco ajánlásait, és válaszoljon egyértelműen: a standard közelebb van a célhoz, a kiterjesztett közelebb a forráshoz.
Most nézzük meg a szabványos ACL szintaxisát. Kétféle parancsszintaxis létezik az útválasztó globális konfigurációs módjában: a klasszikus szintaxis és a modern szintaxis.
A klasszikus parancstípus: access-list <ACL-szám> <megtagadás/engedélyezés> <feltétel>. Ha az <ACL szám> értéket 1 és 99 között állítja be, az eszköz automatikusan megérti, hogy ez egy szabványos ACL, ha pedig 100 és 199 között van, akkor kiterjesztett. Mivel a mai leckében egy szabványos listát nézünk, használhatunk tetszőleges számot 1-től 99-ig. Ezután jelezzük azt a műveletet, amelyet alkalmazni kell, ha a paraméterek megfelelnek a következő kritériumnak - forgalom engedélyezése vagy tiltása. A kritériummal később foglalkozunk, mivel a modern szintaxisban is használják.
A modern parancstípust az Rx(config) globális konfigurációs módban is használják, és így néz ki: ip access-list standard <ACL szám/név>. Itt használhat egy számot 1 és 99 között, vagy az ACL-lista nevét, például ACL_Networking. Ez a parancs azonnal Rx normál módú alparancs módba helyezi a rendszert (config-std-nacl), ahol be kell írni a <deny/enable> <kritériumokat>. A modern típusú csapatoknak több előnye van a klasszikushoz képest.
Egy klasszikus listában, ha beírja az access-list 10 deny __________ parancsot, majd beírja a következő azonos típusú parancsot egy másik feltételhez, és végül 100 ilyen parancsot kap, akkor a beírt parancsok bármelyikének megváltoztatásához a törölje a teljes 10. hozzáférési listát a no access-list 10 paranccsal. Ezzel mind a 100 parancsot törli, mert nincs mód egyetlen parancs szerkesztésére sem ebben a listában.
A modern szintaxisban a parancs két sorra van osztva, amelyek közül az első a lista számát tartalmazza. Tegyük fel, hogy van egy listája hozzáférési lista standard 10 deny ________, hozzáférési lista szabvány 20 deny ________ és így tovább, akkor lehetősége van köztes listákat beszúrni más feltételekkel közéjük, például hozzáférési lista szabvány 15 deny ________ .
Alternatív megoldásként egyszerűen törölheti a hozzáférési lista szabványos 20-as sorát, és különböző paraméterekkel újraírhatja a hozzáférési lista szabványos 10-es és a hozzáférési lista szabványos 30-as sorai között, így többféle módon szerkesztheti a modern ACL-szintaxist.
Nagyon óvatosnak kell lennie az ACL-ek létrehozásakor. Mint tudják, a listákat fentről lefelé olvassák. Ha elhelyez egy sort a tetején, amely lehetővé teszi a forgalmat egy adott gazdagépről, akkor alatta elhelyezhet egy sort, amely tiltja a forgalmat a teljes hálózatról, amelynek ez a gazdagép része, és mindkét feltételt ellenőrizzük – egy adott gazdagépre irányuló forgalom átengedik, és a hálózat összes többi gazdagépéről érkező forgalom blokkolva lesz. Ezért mindig a konkrét bejegyzéseket helyezze el a lista elejére, az általánosakat pedig az aljára.
Tehát miután létrehozott egy klasszikus vagy modern ACL-t, alkalmaznia kell azt. Ehhez meg kell lépnie egy adott interfész beállításait, például az f0/0 parancsot a <type and slot> parancsfelület használatával, lépjen az interfész alparancs módba, és írja be az ip access-group <ACL number/ parancsot. név> . Vegye figyelembe a különbséget: lista összeállításakor hozzáférési listát használnak, alkalmazásakor pedig hozzáférési csoportot. Meg kell határoznia, hogy ez a lista melyik interfészre vonatkozik - a bejövő vagy a kimenő interfészre. Ha a listának van neve, például Hálózat, akkor ugyanaz a név megismétlődik a parancsban a lista alkalmazásához ezen a felületen.
Most vegyünk egy konkrét problémát, és próbáljuk meg megoldani a hálózati diagramunk példájával a Packet Tracer segítségével. Tehát 4 hálózatunk van: értékesítési osztály, könyvelési osztály, menedzsment és szerver szoba.
1. feladat: blokkolni kell az értékesítési és pénzügyi részlegről a menedzseri részlegre és a szerverszobára irányított összes forgalmat. A blokkoló hely az R0 útválasztó S1/0/2 interfésze. Először létre kell hoznunk egy listát, amely a következő bejegyzéseket tartalmazza:
Nevezzük a listát "Kezelés és kiszolgálóbiztonság ACL", rövidítve ACL Secure_Ma_And_Se. Ezt követi a 192.168.1.128/26-os pénzügyi osztályhálózat forgalmának tiltása, a 192.168.1.0/25-ös értékesítési hálózat forgalmának tiltása, valamint az egyéb forgalom engedélyezése. A lista végén látható, hogy az R0 útválasztó S1/0/2 kimenő interfészéhez használják. Ha nincs Engedélyezzünk bejegyzést a lista végén, akkor az összes többi forgalom blokkolva lesz, mert az alapértelmezett ACL mindig a Deny Any bejegyzésre van állítva a lista végén.
Alkalmazhatom ezt az ACL-t a G0/0 interfészre? Természetesen megtehetem, de ebben az esetben csak a könyvelési részleg forgalmát blokkolják, az értékesítési részleg forgalmát pedig semmilyen módon nem korlátozzák. Ugyanígy lehet ACL-t alkalmazni a G0/1 felületre, de ebben az esetben a pénzügyi osztály forgalmát nem blokkolja. Természetesen ezekhez az interfészekhez két különálló blokklistát is készíthetünk, de sokkal hatékonyabb, ha ezeket egy listába vonjuk össze és alkalmazzuk az R2 router kimeneti interfészére vagy az R0 router S1/0/1 bemeneti interfészére.
Bár a Cisco szabályai kimondják, hogy a szabványos ACL-t a célállomáshoz a lehető legközelebb kell elhelyezni, közelebb helyezem el a forgalom forrásához, mert blokkolni akarok minden kimenő forgalmat, és ésszerűbb ezt a forgalom forrásához közelebb tenni. forrásból, hogy ez a forgalom ne pazarolja két útválasztó közötti hálózatot.
Elfelejtettem szólni a kritériumokról, úgyhogy menjünk vissza gyorsan. Bármelyiket megadhatja kritériumként – ebben az esetben bármely eszközről és hálózatról érkező forgalom meg lesz tiltva vagy engedélyezett. Megadhat egy gazdagépet az azonosítójával is - ebben az esetben a bejegyzés egy adott eszköz IP-címe lesz. Végül megadhat egy teljes hálózatot, például 192.168.1.10/24. Ebben az esetben a /24 255.255.255.0 alhálózati maszk jelenlétét jelenti, de lehetetlen megadni az alhálózati maszk IP-címét az ACL-ben. Erre az esetre az ACL rendelkezik egy Wildcart Mask vagy „fordított maszk” nevű koncepcióval. Ezért meg kell adnia az IP-címet és a visszatérési maszkot. A fordított maszk így néz ki: ki kell vonni a közvetlen alhálózati maszkot az általános alhálózati maszkból, vagyis az előremenő maszkban szereplő oktett értékének megfelelő számot ki kell vonni 255-ből.
Ezért az ACL-ben a 192.168.1.10 0.0.0.255 paramétert kell feltételként használni.
Hogyan működik? Ha a visszatérési maszk oktettjében 0 van, a feltétel egyezik az alhálózati IP-cím megfelelő oktettjével. Ha van szám a backmask oktettben, akkor az egyezés nem kerül ellenőrzésre. Így a 192.168.1.0 hálózat és a 0.0.0.255 visszatérési maszk esetén az olyan címekről érkező összes forgalom, amelyek első három oktettje 192.168.1., a negyedik oktett értékétől függetlenül blokkolva vagy engedélyezve lesz. a megadott műveletet.
A fordított maszk használata egyszerű, és a következő videóban visszatérünk a Wildcart Mask-ra, hogy elmagyarázzam, hogyan kell vele dolgozni.
28:50 perc
Köszönjük, hogy velünk tartott. Tetszenek cikkeink? További érdekes tartalmakat szeretne látni? Támogass minket rendeléssel vagy ajánlj ismerőseidnek, 30% kedvezmény a Habr felhasználóknak a belépő szintű szerverek egyedülálló analógjára, amelyet mi találtunk ki Önnek: (RAID1 és RAID10, akár 24 maggal és akár 40 GB DDR4-gyel is elérhető).
Dell R730xd kétszer olcsóbb? Csak itt Hollandiában! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 dollártól! Olvasni valamiről
Forrás: will.com