Այսօր մենք կսկսենք սովորել ACL մուտքի վերահսկման ցուցակի մասին, այս թեման կպահանջի 2 տեսադաս: Մենք կդիտարկենք ստանդարտ ACL-ի կոնֆիգուրացիան, իսկ հաջորդ վիդեո ձեռնարկում ես կխոսեմ ընդլայնված ցանկի մասին:
Այս դասում մենք կանդրադառնանք 3 թեմայի. Առաջինն այն է, թե ինչ է ACL-ը, երկրորդը, թե որն է տարբերությունը ստանդարտ և ընդլայնված մուտքի ցանկի միջև, և դասի վերջում, որպես լաբորատորիա, մենք կանդրադառնանք ստանդարտ ACL-ի ստեղծմանը և հնարավոր խնդիրների լուծմանը:
Այսպիսով, ինչ է ACL- ը: Եթե դասընթացն ուսումնասիրել եք հենց առաջին վիդեոդասից, ապա հիշում եք, թե ինչպես էինք մենք կազմակերպում հաղորդակցությունը տարբեր ցանցային սարքերի միջև։
Մենք նաև ուսումնասիրել ենք ստատիկ երթուղում տարբեր արձանագրությունների միջոցով՝ սարքերի և ցանցերի միջև հաղորդակցությունը կազմակերպելու հմտություններ ձեռք բերելու համար: Այժմ մենք հասել ենք ուսուցման այն փուլին, որտեղ մենք պետք է մտահոգվենք երթևեկության վերահսկման ապահովմամբ, այսինքն՝ թույլ չտալով «վատ տղաներին» կամ չարտոնված օգտատերերին ցանց ներթափանցել: Օրինակ, դա կարող է վերաբերել ՎԱՃԱՌՔԻ վաճառքի բաժնի մարդկանց, որը պատկերված է այս դիագրամում: Այստեղ մենք նաև ցույց ենք տալիս ֆինանսական բաժնի ՀԱՇԻՎՆԵՐԸ, Կառավարման բաժինը ԿԱՌԱՎԱՐՈՒՄԸ և սերվերի սենյակը ՍԵՐՎԵՐԻ ՍԵՆՅԱԿ:
Այսպիսով, վաճառքի բաժինը կարող է ունենալ հարյուր աշխատակից, և մենք չենք ցանկանում, որ նրանցից որևէ մեկը կարողանա ցանցի միջոցով հասնել սերվերի սենյակ: Բացառություն է արվում վաճառքի մենեջերի համար, ով աշխատում է Laptop2 համակարգչի վրա՝ նա կարող է մուտք ունենալ սերվերի սենյակ: Laptop3-ի վրա աշխատող նոր աշխատակիցը չպետք է ունենա այդպիսի մուտք, այսինքն՝ եթե նրա համակարգչից տրաֆիկը հասնում է R2 երթուղիչին, այն պետք է հանվի։
ACL-ի դերը տրաֆիկը զտելն է՝ ըստ սահմանված զտման պարամետրերի: Դրանք ներառում են սկզբնաղբյուր IP հասցեն, նպատակակետ IP հասցեն, արձանագրությունը, նավահանգիստների քանակը և այլ պարամետրեր, որոնց շնորհիվ կարող եք նույնականացնել տրաֆիկը և որոշ գործողություններ կատարել դրա հետ:
Այսպիսով, ACL-ը OSI մոդելի 3-րդ շերտի զտման մեխանիզմն է: Սա նշանակում է, որ այս մեխանիզմն օգտագործվում է երթուղիչներում։ Զտման հիմնական չափանիշը տվյալների հոսքի նույնականացումն է: Օրինակ, եթե մենք ուզում ենք արգելափակել Laptop3 համակարգիչ ունեցող տղայի մուտքը սերվեր, առաջին հերթին մենք պետք է բացահայտենք նրա տրաֆիկը։ Այս տրաֆիկը շարժվում է Laptop-Switch2-R2-R1-Switch1-Server1 ուղղությամբ ցանցային սարքերի համապատասխան ինտերֆեյսներով, մինչդեռ երթուղիչների G0/0 ինտերֆեյսները դրա հետ կապ չունեն։
Երթևեկությունը բացահայտելու համար մենք պետք է բացահայտենք դրա ուղին: Դա անելուց հետո մենք կարող ենք որոշել, թե կոնկրետ որտեղ պետք է տեղադրենք զտիչը: Մի անհանգստացեք հենց ֆիլտրերի մասին, մենք դրանք կքննարկենք հաջորդ դասում, առայժմ մենք պետք է հասկանանք, թե որ ինտերֆեյսի վրա պետք է կիրառվի ֆիլտրը:
Եթե նայեք երթուղիչին, կարող եք տեսնել, որ ամեն անգամ, երբ երթևեկությունը շարժվում է, կա ինտերֆեյս, որտեղ մուտք է գործում տվյալների հոսքը, և ինտերֆեյս, որի միջոցով այս հոսքը դուրս է գալիս:
Իրականում գոյություն ունի 3 ինտերֆեյս՝ մուտքային ինտերֆեյս, ելքային ինտերֆեյս և երթուղիչի սեփական ինտերֆեյս: Պարզապես հիշեք, որ զտումը կարող է կիրառվել միայն մուտքային կամ ելքային ինտերֆեյսի վրա:
ACL-ի գործողության սկզբունքը նման է միջոցառման անցաթուղթին, որին կարող են մասնակցել միայն այն հյուրերը, որոնց անունը կա հրավիրված անձանց ցանկում: ACL-ը որակավորման պարամետրերի ցանկ է, որոնք օգտագործվում են երթևեկությունը բացահայտելու համար: Օրինակ, այս ցանկը ցույց է տալիս, որ ամբողջ տրաֆիկը թույլատրված է 192.168.1.10 IP հասցեից, իսկ մյուս բոլոր հասցեներից երթևեկությունը մերժված է: Ինչպես ասացի, այս ցանկը կարող է կիրառվել ինչպես մուտքային, այնպես էլ ելքային ինտերֆեյսի վրա:
Գոյություն ունեն ACL-ների 2 տեսակ՝ ստանդարտ և ընդլայնված: Ստանդարտ ACL-ն ունի նույնացուցիչ 1-ից մինչև 99-ը կամ 1300-ից մինչև 1999 թվականը: Սրանք պարզապես ցուցակի անուններ են, որոնք որևէ առավելություն չունեն միմյանց նկատմամբ, քանի որ համարակալումը մեծանում է: Բացի համարից, դուք կարող եք նշանակել ձեր սեփական անունը ACL-ին: Ընդլայնված ACL-ները համարակալված են 100-ից 199-ը կամ 2000-ից մինչև 2699-ը և կարող են նաև ունենալ անուն:
Ստանդարտ ACL-ում դասակարգումը հիմնված է տրաֆիկի աղբյուրի IP հասցեի վրա: Հետևաբար, նման ցուցակից օգտվելիս դուք չեք կարող սահմանափակել երթևեկությունը, որն ուղղված է որևէ աղբյուրի, կարող եք արգելափակել միայն սարքից ծագող տրաֆիկը:
Ընդլայնված ACL-ը դասակարգում է տրաֆիկը ըստ աղբյուրի IP հասցեի, նպատակակետի IP հասցեի, օգտագործված արձանագրության և պորտի համարի: Օրինակ, դուք կարող եք արգելափակել միայն FTP տրաֆիկը, կամ միայն HTTP տրաֆիկը: Այսօր մենք կանդրադառնանք ստանդարտ ACL-ին, և հաջորդ տեսադասը կնվիրենք ընդլայնված ցուցակներին:
Ինչպես ասացի, ACL-ը պայմանների ցանկ է: Այս ցանկը երթուղիչի մուտքային կամ ելքային ինտերֆեյսի վրա կիրառելուց հետո երթուղիչը ստուգում է երթևեկությունը այս ցանկի համեմատ, և եթե այն համապատասխանում է ցանկում նշված պայմաններին, նա որոշում է՝ թույլ տալ կամ մերժել այս տրաֆիկը: Մարդիկ հաճախ դժվարանում են որոշել երթուղիչի մուտքային և ելքային միջերեսները, թեև այստեղ բարդ բան չկա: Երբ մենք խոսում ենք մուտքային ինտերֆեյսի մասին, դա նշանակում է, որ այս նավահանգստում կվերահսկվի միայն մուտքային տրաֆիկը, և երթուղիչը սահմանափակումներ չի կիրառի ելքային տրաֆիկի համար: Նմանապես, եթե մենք խոսում ենք արտագնա ինտերֆեյսի մասին, դա նշանակում է, որ բոլոր կանոնները կկիրառվեն միայն ելքային տրաֆիկի վրա, մինչդեռ այս նավահանգստի մուտքային երթևեկությունը կընդունվի առանց սահմանափակումների: Օրինակ, եթե երթուղիչն ունի 2 պորտ՝ f0/0 և f0/1, ապա ACL-ը կկիրառվի միայն f0/0 ինտերֆեյս մուտք գործող երթևեկության վրա կամ միայն f0/1 ինտերֆեյսից առաջացող տրաֆիկի վրա: F0/1 ինտերֆեյսի մուտքի կամ դուրս գալու երթևեկությունը չի ազդի ցանկի վրա:
Հետևաբար, մի շփոթվեք միջերեսի մուտքային կամ ելքային ուղղությունից, դա կախված է կոնկրետ տրաֆիկի ուղղությունից: Այսպիսով, այն բանից հետո, երբ երթուղիչը ստուգի երթևեկությունը ACL պայմաններին համապատասխանելու համար, այն կարող է ընդունել միայն երկու որոշում՝ թույլ տալ երթևեկությունը կամ մերժել այն: Օրինակ, դուք կարող եք թույլատրել 180.160.1.30 համար նախատեսված երթևեկությունը և մերժել 192.168.1.10 համար նախատեսված երթևեկությունը: Յուրաքանչյուր ցուցակ կարող է պարունակել մի քանի պայմաններ, բայց այս պայմաններից յուրաքանչյուրը պետք է թույլ տա կամ մերժի:
Ենթադրենք, մենք ունենք ցուցակ.
Արգելել _______
Թույլատրել ________
Թույլատրել ________
Արգելել _________:
Նախ, երթուղիչը կստուգի երթևեկությունը՝ տեսնելու, թե արդյոք այն համապատասխանում է առաջին պայմանին, եթե այն չի համապատասխանում, կստուգի երկրորդ պայմանը: Եթե երթևեկությունը համապատասխանում է երրորդ պայմանին, երթուղիչը կդադարեցնի ստուգումը և այն չի համեմատի ցանկի մնացած պայմանների հետ: Այն կկատարի «թույլատրել» գործողությունը և կանցնի երթևեկի հաջորդ հատվածի ստուգմանը:
Եթե դուք որևէ փաթեթի համար կանոն չեք սահմանել, և երթևեկությունն անցնում է ցուցակի բոլոր տողերով՝ առանց որևէ պայմանի հարվածելու, այն կկործանվի, քանի որ յուրաքանչյուր ACL ցուցակ լռելյայն ավարտվում է deny any հրամանով, այսինքն՝ մերժել: ցանկացած փաթեթ, որը չի համապատասխանում կանոններից որևէ մեկին: Այս պայմանն ուժի մեջ է մտնում, եթե ցանկում կա առնվազն մեկ կանոն, հակառակ դեպքում այն ուժ չունի: Բայց եթե առաջին տողը պարունակում է մուտքի մերժում 192.168.1.30, և ցուցակն այլևս որևէ պայման չի պարունակում, ապա վերջում պետք է լինի ցանկացած հրամանի թույլտվություն, այսինքն՝ թույլատրել ցանկացած երթևեկություն, բացառությամբ կանոնով արգելվածի: Դուք պետք է հաշվի առնեք դա ACL-ը կարգավորելիս սխալներից խուսափելու համար:
Ես ուզում եմ, որ դուք հիշեք ASL ցուցակ ստեղծելու հիմնական կանոնը. տեղադրեք ստանդարտ ASL-ը որքան հնարավոր է մոտ նպատակակետին, այսինքն՝ տրաֆիկի ստացողին, և տեղադրեք ընդլայնված ASL-ը հնարավորինս մոտ աղբյուրին, այսինքն՝ տրաֆիկի ուղարկողին: Սրանք Cisco-ի առաջարկություններ են, բայց գործնականում կան իրավիճակներ, երբ ավելի խելամիտ է ստանդարտ ACL տեղադրելը երթևեկության աղբյուրին մոտ: Բայց եթե քննության ժամանակ հանդիպեք ACL-ի տեղաբաշխման կանոնների վերաբերյալ հարցի, հետևեք Cisco-ի առաջարկություններին և միանշանակ պատասխանեք՝ ստանդարտն ավելի մոտ է նպատակակետին, ընդլայնվածը՝ ավելի մոտ աղբյուրին:
Հիմա եկեք նայենք ստանդարտ ACL-ի շարահյուսությանը: Ուղղորդիչի գլոբալ կազմաձևման ռեժիմում կա երկու տեսակի հրամանների շարահյուսություն՝ դասական շարահյուսություն և ժամանակակից շարահյուսություն:
Հրամանի դասական տեսակն է մուտքի ցուցակ <ACL համարը> <մերժել/թույլատրել> <չափանիշ>: Եթե սահմանեք <ACL համարը> 1-ից մինչև 99, սարքն ավտոմատ կերպով կհասկանա, որ սա ստանդարտ ACL է, իսկ եթե այն 100-ից մինչև 199 է, ապա այն ընդլայնված է: Քանի որ այսօրվա դասում մենք նայում ենք ստանդարտ ցուցակին, մենք կարող ենք օգտագործել ցանկացած թիվ 1-ից մինչև 99: Այնուհետև մենք նշում ենք գործողությունը, որը պետք է կիրառվի, եթե պարամետրերը համապատասխանում են հետևյալ չափանիշին՝ թույլատրել կամ մերժել տրաֆիկը: Չափանիշը մենք կքննարկենք ավելի ուշ, քանի որ այն օգտագործվում է նաև ժամանակակից շարահյուսության մեջ:
Ժամանակակից հրամանի տեսակն օգտագործվում է նաև Rx(config) գլոբալ կազմաձևման ռեժիմում և ունի հետևյալ տեսքը՝ ip access-list ստանդարտ <ACL համարը/անունը>: Այստեղ կարող եք օգտագործել կամ 1-ից մինչև 99 թիվը, կամ ACL ցուցակի անվանումը, օրինակ՝ ACL_Networking: Այս հրամանն անմիջապես դնում է համակարգը Rx ստանդարտ ռեժիմի ենթահրամանի ռեժիմի մեջ (config-std-nacl), որտեղ դուք պետք է մուտքագրեք <մերժել/միացնել> <չափանիշ>: Թիմերի ժամանակակից տեսակն ավելի շատ առավելություններ ունի դասականի համեմատ։
Դասական ցուցակում, եթե մուտքագրեք access-list 10 deny ______, ապա մուտքագրեք նույն կարգի հաջորդ հրամանը մեկ այլ չափանիշի համար, և դուք կստանաք 100 այդպիսի հրաման, ապա մուտքագրված հրամաններից որևէ մեկը փոխելու համար ձեզ հարկավոր է. ջնջեք մուտքի ցուցակի ամբողջ ցանկը 10՝ no access-list 10 հրամանով: Սա կջնջի բոլոր 100 հրամանները, քանի որ այս ցանկում որևէ առանձին հրաման խմբագրելու հնարավորություն չկա:
Ժամանակակից շարահյուսությունում հրամանը բաժանված է երկու տողի, որոնցից առաջինը պարունակում է ցուցակի համարը։ Ենթադրենք, եթե դուք ունեք ցուցակի մուտքի ցուցակի ստանդարտ 10 մերժում ________, մուտքի ցուցակի ստանդարտ 20 մերժում ________ և այլն, ապա դուք հնարավորություն ունեք միջանկյալ ցուցակներ ներդնել նրանց միջև այլ չափանիշներով, օրինակ՝ մուտքի ցուցակի ստանդարտ 15 մերժել ________ .
Որպես այլընտրանք, դուք կարող եք պարզապես ջնջել մուտքի ցուցակի ստանդարտ 20 տողերը և դրանք նորից մուտքագրել տարբեր պարամետրերով մուտքի ցուցակի ստանդարտ 10 և մուտքի ցուցակի ստանդարտ 30 տողերի միջև: Այսպիսով, ժամանակակից ACL շարահյուսությունը խմբագրելու տարբեր եղանակներ կան:
ACL-ներ ստեղծելիս պետք է շատ զգույշ լինել: Ինչպես գիտեք, ցուցակները կարդացվում են վերևից ներքև: Եթե վերևում տեղադրեք մի գիծ, որը թույլ է տալիս երթևեկել որոշակի հոսթից, ապա ներքևում կարող եք տեղադրել մի գիծ, որն արգելում է երթևեկությունը ամբողջ ցանցից, որի մաս է կազմում այս հոսթը, և երկու պայմաններն էլ կստուգվեն. թույլատրվում է մուտք գործել, և այս ցանցի մյուս բոլոր հոսթներից երթևեկությունը կարգելափակվի: Ուստի, միշտ տեղադրեք կոնկրետ գրառումները ցուցակի վերևում, իսկ ընդհանուրները՝ ներքևում:
Այսպիսով, դասական կամ ժամանակակից ACL ստեղծելուց հետո դուք պետք է կիրառեք այն: Դա անելու համար դուք պետք է գնաք որոշակի ինտերֆեյսի կարգավորումներ, օրինակ՝ f0/0՝ օգտագործելով հրամանի միջերեսը <type and slot>, անցեք ինտերֆեյսի ենթահրամանի ռեժիմ և մուտքագրեք հրամանի ip access-group <ACL number/: անունը> . Խնդրում ենք նկատի ունենալ տարբերությունը. ցանկը կազմելիս օգտագործվում է մուտքի ցուցակ, իսկ այն կիրառելիս՝ մուտքի խումբ: Դուք պետք է որոշեք, թե որ ինտերֆեյսի վրա կկիրառվի այս ցանկը՝ մուտքային ինտերֆեյսի կամ ելքային միջերեսի վրա: Եթե ցուցակն ունի անուն, օրինակ՝ Networking, ապա նույն անունը կրկնվում է հրամանում՝ այս ինտերֆեյսի վրա ցուցակը կիրառելու համար:
Այժմ եկեք վերցնենք կոնկրետ խնդիր և փորձենք լուծել այն՝ օգտագործելով մեր ցանցային դիագրամի օրինակը՝ օգտագործելով Packet Tracer-ը: Այսպիսով, մենք ունենք 4 ցանց՝ վաճառքի բաժին, հաշվապահական հաշվառման բաժին, կառավարման և սերվերի սենյակ։
Առաջադրանք թիվ 1. վաճառքի և ֆինանսական բաժիններից դեպի կառավարման բաժին և սերվերի սենյակ ուղղվող ողջ երթևեկությունը պետք է արգելափակվի: Արգելափակման վայրը R0 երթուղիչի S1/0/2 միջերեսն է: Սկզբում մենք պետք է ստեղծենք ցուցակ, որը պարունակում է հետևյալ գրառումները.
Ցանկը անվանենք «Management and Server Security ACL», կրճատ՝ ACL Secure_Ma_And_Se: Դրան հաջորդում է 192.168.1.128/26 ֆինանսական բաժնի ցանցից երթևեկության արգելումը, 192.168.1.0/25 վաճառքի բաժնի ցանցից երթևեկության արգելումը և ցանկացած այլ երթևեկության թույլատրում: Ցանկի վերջում նշվում է, որ այն օգտագործվում է R0 երթուղիչի ելքային S1/0/2 ինտերֆեյսի համար: Եթե ցուցակի վերջում չունենք «Permit Any» մուտքը, ապա մնացած բոլոր երթևեկությունը կարգելափակվի, քանի որ կանխադրված ACL-ը միշտ դրված է «Մերժել ցանկացած մուտքի» ցուցակի վերջում:
Կարո՞ղ եմ այս ACL-ը կիրառել G0/0 ինտերֆեյսի վրա: Իհարկե կարող եմ, բայց այս դեպքում կարգելափակվի միայն հաշվապահական երթևեկությունը, իսկ վաճառքի բաժնի երթևեկությունը որևէ կերպ չի սահմանափակվի։ Նույն կերպ, դուք կարող եք կիրառել ACL G0/1 ինտերֆեյսի վրա, բայց այս դեպքում ֆինանսական բաժնի տրաֆիկը չի արգելափակվի: Իհարկե, մենք կարող ենք ստեղծել երկու առանձին բլոկային ցուցակներ այս ինտերֆեյսների համար, բայց շատ ավելի արդյունավետ է դրանք միավորել մեկ ցուցակի մեջ և կիրառել այն R2 երթուղիչի ելքային ինտերֆեյսի կամ R0 երթուղիչի S1/0/1 մուտքային ինտերֆեյսի վրա:
Թեև Cisco-ի կանոնները նշում են, որ ստանդարտ ACL-ը պետք է տեղադրվի նպատակակետին հնարավորինս մոտ, ես այն կտեղադրեմ ավելի մոտ երթևեկության աղբյուրին, քանի որ ուզում եմ արգելափակել բոլոր ելքային երթևեկությունը, և ավելի խելամիտ է դա անել ավելի մոտ: աղբյուր, որպեսզի այս տրաֆիկը չվատնի ցանցը երկու երթուղղիչների միջև:
Ես մոռացել էի ձեզ ասել չափանիշների մասին, այնպես որ եկեք արագ վերադառնանք: Որպես չափանիշ կարող եք նշել ցանկացածը. այս դեպքում ցանկացած սարքից և ցանկացած ցանցից ցանկացած տրաֆիկ կմերժվի կամ կթույլատրվի: Կարող եք նաև նշել հոսթն իր նույնացուցիչով. այս դեպքում մուտքը կլինի կոնկրետ սարքի IP հասցեն: Վերջապես, դուք կարող եք նշել մի ամբողջ ցանց, օրինակ, 192.168.1.10/24: Այս դեպքում /24-ը կնշանակի 255.255.255.0 ենթացանցային դիմակի առկայություն, սակայն ACL-ում անհնար է նշել ենթացանցային դիմակի IP հասցեն: Այս դեպքում ACL-ն ունի հայեցակարգ, որը կոչվում է Wildcart Mask կամ «հակադարձ դիմակ»: Այսպիսով, դուք պետք է նշեք IP հասցեն և վերադարձի դիմակը: Հակադարձ դիմակն այսպիսի տեսք ունի՝ դուք պետք է հանեք ուղիղ ենթացանցային դիմակը ընդհանուր ենթացանցային դիմակից, այսինքն՝ առաջ դիմակի օկտետի արժեքին համապատասխան թիվը հանվում է 255-ից։
Հետևաբար, դուք պետք է օգտագործեք 192.168.1.10 0.0.0.255 պարամետրը որպես ACL-ի չափանիշ:
Ինչպես է դա աշխատում? Եթե վերադարձի դիմակ ութնյակում կա 0, ապա համարվում է, որ չափանիշը համապատասխանում է ենթացանցային IP հասցեի համապատասխան օկտետին: Եթե թիկունքի դիմակի օկտետում թիվ կա, համընկնումը չի ստուգվում: Այսպիսով, 192.168.1.0 ցանցի և 0.0.0.255 հետադարձ դիմակի համար բոլոր երթևեկությունը այն հասցեներից, որոնց առաջին երեք օկտետները հավասար են 192.168.1.-ի, անկախ չորրորդ օկտետի արժեքից, կարգելափակվի կամ կթույլատրվի՝ կախված նրանից: նշված գործողությունը:
Հակադարձ դիմակ օգտագործելը հեշտ է, և մենք կվերադառնանք Wildcart Mask-ին հաջորդ տեսանյութում, որպեսզի ես կարողանամ բացատրել, թե ինչպես աշխատել դրա հետ:
28:50 րոպե
Շնորհակալություն մեզ հետ մնալու համար: Ձեզ դուր են գալիս մեր հոդվածները: Ցանկանու՞մ եք տեսնել ավելի հետաքրքիր բովանդակություն: Աջակցեք մեզ՝ պատվիրելով կամ խորհուրդ տալով ընկերներին, 30% զեղչ Habr-ի օգտատերերի համար մուտքի մակարդակի սերվերների եզակի անալոգի վրա, որը ստեղծվել է մեր կողմից ձեզ համար. (հասանելի է RAID1 և RAID10-ով, մինչև 24 միջուկով և մինչև 40 ԳԲ DDR4):
Dell R730xd 2 անգամ ավելի էժան? Միայն այստեղ Նիդեռլանդներում! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - $99-ից: Կարդացեք մասին
Source: www.habr.com