Hari ini kita akan mulai belajar tentang daftar kontrol akses ACL, topik ini akan mengambil 2 video pelajaran. Kita akan melihat konfigurasi ACL standar, dan dalam tutorial video berikutnya saya akan berbicara tentang daftar tambahannya.
Dalam pelajaran ini kita akan membahas 3 topik. Yang pertama adalah apa itu ACL, yang kedua adalah apa perbedaan antara standar dan daftar akses yang diperluas, dan di akhir pelajaran, sebagai laboratorium, kita akan melihat cara menyiapkan ACL standar dan memecahkan kemungkinan masalah.
Jadi apa itu ACL? Jika Anda mempelajari kursus dari video pelajaran pertama, maka Anda ingat bagaimana kami mengatur komunikasi antara berbagai perangkat jaringan.
Kami juga mempelajari perutean statis melalui berbagai protokol untuk memperoleh keterampilan dalam mengatur komunikasi antar perangkat dan jaringan. Kita sekarang telah mencapai tahap pembelajaran di mana kita harus memperhatikan pengendalian lalu lintas, yaitu mencegah βorang jahatβ atau pengguna tidak sah menyusup ke jaringan. Misalnya, hal ini mungkin menyangkut orang-orang dari departemen penjualan PENJUALAN, yang digambarkan dalam diagram ini. Di sini kami juga menampilkan AKUN departemen keuangan, MANAJEMEN departemen manajemen dan RUANG SERVER ruang server.
Jadi, departemen penjualan mungkin memiliki seratus karyawan, dan kami tidak ingin satu pun dari mereka dapat menjangkau ruang server melalui jaringan. Pengecualian dibuat untuk manajer penjualan yang bekerja pada komputer Laptop2 - dia dapat memiliki akses ke ruang server. Seorang karyawan baru yang bekerja di Laptop3 seharusnya tidak memiliki akses seperti itu, yaitu jika lalu lintas dari komputernya mencapai router R2, maka harus dihentikan.
Peran ACL adalah memfilter lalu lintas menurut parameter pemfilteran yang ditentukan. Ini termasuk alamat IP sumber, alamat IP tujuan, protokol, jumlah port dan parameter lainnya, sehingga Anda dapat mengidentifikasi lalu lintas dan mengambil beberapa tindakan dengannya.
Jadi, ACL adalah mekanisme penyaringan lapisan 3 model OSI. Artinya mekanisme ini digunakan di router. Kriteria utama untuk memfilter adalah identifikasi aliran data. Misalnya, jika kita ingin memblokir orang yang memiliki komputer Laptop3 agar tidak mengakses server, pertama-tama kita harus mengidentifikasi lalu lintasnya. Lalu lintas ini bergerak ke arah Laptop-Switch2-R2-R1-Switch1-Server1 melalui antarmuka perangkat jaringan yang sesuai, sedangkan antarmuka router G0/0 tidak ada hubungannya dengan itu.
Untuk mengidentifikasi lalu lintas, kita harus mengidentifikasi jalurnya. Setelah melakukan ini, kita dapat memutuskan di mana tepatnya kita perlu memasang filter. Jangan khawatir tentang filter itu sendiri, kita akan membahasnya di pelajaran berikutnya, untuk saat ini kita perlu memahami prinsip di antarmuka mana filter harus diterapkan.
Jika Anda melihat router, Anda dapat melihat bahwa setiap kali lalu lintas bergerak, terdapat antarmuka tempat aliran data masuk, dan antarmuka tempat aliran data keluar.
Sebenarnya ada 3 antarmuka: antarmuka masukan, antarmuka keluaran, dan antarmuka router itu sendiri. Ingatlah bahwa pemfilteran hanya dapat diterapkan pada antarmuka input atau output.
Prinsip pengoperasian ACL mirip dengan tiket masuk ke suatu acara yang hanya dapat dihadiri oleh tamu yang namanya tercantum dalam daftar undangan. ACL adalah daftar parameter kualifikasi yang digunakan untuk mengidentifikasi lalu lintas. Misalnya, daftar ini menunjukkan bahwa semua lalu lintas diperbolehkan dari alamat IP 192.168.1.10, dan lalu lintas dari semua alamat lainnya ditolak. Seperti yang saya katakan, daftar ini dapat diterapkan pada antarmuka input dan output.
Ada 2 jenis ACL: standar dan diperpanjang. ACL standar memiliki pengidentifikasi dari 1 hingga 99 atau dari 1300 hingga 1999. Ini hanyalah daftar nama yang tidak memiliki kelebihan satu sama lain seiring bertambahnya penomoran. Selain nomornya, Anda dapat menetapkan nama Anda sendiri ke ACL. ACL yang diperluas diberi nomor 100 hingga 199 atau 2000 hingga 2699 dan mungkin juga memiliki nama.
Dalam ACL standar, klasifikasi didasarkan pada alamat IP sumber lalu lintas. Oleh karena itu, saat menggunakan daftar seperti itu, Anda tidak dapat membatasi lalu lintas yang diarahkan ke sumber mana pun, Anda hanya dapat memblokir lalu lintas yang berasal dari perangkat.
ACL yang diperluas mengklasifikasikan lalu lintas berdasarkan alamat IP sumber, alamat IP tujuan, protokol yang digunakan, dan nomor port. Misalnya, Anda hanya dapat memblokir lalu lintas FTP, atau hanya lalu lintas HTTP. Hari ini kita akan melihat ACL standar, dan pelajaran video berikutnya akan dikhususkan untuk daftar tambahan.
Seperti yang saya katakan, ACL adalah daftar kondisi. Setelah Anda menerapkan daftar ini ke antarmuka masuk atau keluar router, router memeriksa lalu lintas berdasarkan daftar ini, dan jika memenuhi ketentuan yang ditetapkan dalam daftar, router memutuskan apakah akan mengizinkan atau menolak lalu lintas ini. Seringkali orang merasa kesulitan untuk menentukan antarmuka input dan output dari sebuah router, meskipun tidak ada yang rumit di sini. Ketika kita berbicara tentang antarmuka masuk, ini berarti hanya lalu lintas masuk yang akan dikontrol melalui port ini, dan router tidak akan menerapkan batasan pada lalu lintas keluar. Demikian pula, jika kita berbicara tentang antarmuka jalan keluar, ini berarti bahwa semua aturan hanya akan berlaku untuk lalu lintas keluar, sedangkan lalu lintas masuk melalui port ini akan diterima tanpa batasan. Misalnya jika router mempunyai 2 port: f0/0 dan f0/1, maka ACL hanya akan diterapkan pada trafik yang masuk ke antarmuka f0/0, atau hanya pada trafik yang berasal dari antarmuka f0/1. Lalu lintas yang masuk atau keluar antarmuka f0/1 tidak akan terpengaruh oleh daftar.
Oleh karena itu, jangan bingung dengan arah masuk atau keluar antarmuka, itu tergantung pada arah lalu lintas tertentu. Jadi, setelah router memeriksa lalu lintas untuk mencocokkan kondisi ACL, ia hanya dapat membuat dua keputusan: mengizinkan lalu lintas atau menolaknya. Misalnya, Anda dapat mengizinkan lalu lintas dengan tujuan 180.160.1.30 dan menolak lalu lintas dengan tujuan 192.168.1.10. Setiap daftar dapat berisi beberapa ketentuan, namun masing-masing ketentuan ini harus mengizinkan atau menolak.
Katakanlah kita memiliki daftar:
Melarang _______
Mengizinkan ________
Mengizinkan ________
Melarang _________.
Pertama, router akan memeriksa lalu lintas untuk melihat apakah cocok dengan kondisi pertama; jika tidak cocok, maka akan memeriksa kondisi kedua. Jika lalu lintas cocok dengan kondisi ketiga, router akan berhenti memeriksa dan tidak akan membandingkannya dengan kondisi daftar lainnya. Ini akan melakukan tindakan "izinkan" dan melanjutkan untuk memeriksa bagian lalu lintas berikutnya.
Jika Anda belum menetapkan aturan untuk paket apa pun dan lalu lintas melewati semua baris daftar tanpa memenuhi kondisi apa pun, paket tersebut akan dimusnahkan, karena setiap daftar ACL secara default diakhiri dengan perintah tolak apa pun - yaitu, buang paket apa pun, tidak termasuk dalam aturan apa pun. Kondisi ini berlaku jika ada setidaknya satu aturan dalam daftar, jika tidak maka tidak akan berpengaruh. Tetapi jika baris pertama berisi entri menolak 192.168.1.30 dan daftar tersebut tidak lagi memuat ketentuan apa pun, maka di akhir harus ada perintah izinkan apa pun, yaitu izinkan lalu lintas apa pun kecuali yang dilarang oleh aturan. Anda harus memperhitungkan hal ini untuk menghindari kesalahan saat mengkonfigurasi ACL.
Saya ingin Anda mengingat aturan dasar pembuatan daftar ASL: tempatkan ASL standar sedekat mungkin dengan tujuan, yaitu penerima lalu lintas, dan tempatkan ASL yang diperluas sedekat mungkin dengan sumber, yaitu, kepada pengirim lalu lintas. Ini adalah rekomendasi Cisco, namun dalam praktiknya ada situasi di mana lebih masuk akal untuk menempatkan ACL standar dekat dengan sumber lalu lintas. Namun jika Anda menemukan pertanyaan tentang aturan penempatan ACL selama ujian, ikuti rekomendasi Cisco dan jawablah dengan jelas: standar lebih dekat ke tujuan, diperpanjang lebih dekat ke sumber.
Sekarang mari kita lihat sintaks ACL standar. Ada dua jenis sintaks perintah dalam mode konfigurasi global router: sintaksis klasik dan sintaksis modern.
Jenis perintah klasiknya adalah daftar akses <nomor ACL> <tolak/izinkan> <kriteria>. Jika Anda mengatur <Nomor ACL> dari 1 hingga 99, perangkat akan secara otomatis memahami bahwa ini adalah ACL standar, dan jika dari 100 hingga 199, maka ini adalah ACL yang diperluas. Karena dalam pelajaran hari ini kita melihat daftar standar, kita dapat menggunakan angka apa pun dari 1 hingga 99. Kemudian kami menunjukkan tindakan yang perlu diterapkan jika parameternya cocok dengan kriteria berikut - izinkan atau tolak lalu lintas. Kami akan mempertimbangkan kriterianya nanti, karena kriteria ini juga digunakan dalam sintaksis modern.
Tipe perintah modern juga digunakan dalam mode konfigurasi global Rx(config) dan terlihat seperti ini: ip access-list standard <ACL number/name>. Di sini Anda dapat menggunakan nomor dari 1 hingga 99 atau nama daftar ACL, misalnya ACL_Networking. Perintah ini segera menempatkan sistem ke mode subperintah mode standar Rx (config-std-nacl), di mana Anda harus memasukkan <deny/enable> <kriteria>. Jenis tim modern memiliki keunggulan lebih dibandingkan tim klasik.
Dalam daftar klasik, jika Anda mengetikkan daftar akses 10 tolak ______, lalu ketikkan perintah berikutnya yang serupa untuk kriteria lain dan berakhir dengan 100 perintah seperti itu, maka untuk mengubah salah satu perintah yang dimasukkan, Anda perlu menghapus seluruh daftar akses-daftar 10 dengan perintah no access-list 10. Ini akan menghapus semua 100 perintah karena tidak ada cara untuk mengedit perintah individual apa pun dalam daftar ini.
Dalam sintaksis modern, perintah dibagi menjadi dua baris, baris pertama berisi nomor daftar. Misalkan jika Anda memiliki daftar access-list standar 10 penolakan ________, standar akses-daftar 20 penolakan ________ dan seterusnya, maka Anda memiliki kesempatan untuk menyisipkan daftar perantara dengan kriteria lain di antara keduanya, misalnya daftar akses standar 15 penolakan ________ .
Alternatifnya, Anda cukup menghapus baris standar daftar akses 20 dan mengetikkannya ulang dengan parameter yang berbeda antara baris daftar akses standar 10 dan standar daftar akses 30. Jadi, ada berbagai cara untuk mengedit sintaks ACL modern.
Anda harus sangat berhati-hati saat membuat ACL. Seperti yang Anda ketahui, daftar dibaca dari atas ke bawah. Jika Anda menempatkan garis di atas yang mengizinkan lalu lintas dari host tertentu, maka di bawah Anda dapat menempatkan garis yang melarang lalu lintas dari seluruh jaringan tempat host ini menjadi bagiannya, dan kedua kondisi akan diperiksa - lalu lintas ke host tertentu akan diizinkan masuk, dan lalu lintas dari semua host lain di jaringan ini akan diblokir. Oleh karena itu, selalu tempatkan entri spesifik di bagian atas daftar dan entri umum di bagian bawah.
Jadi, setelah Anda membuat ACL klasik atau modern, Anda harus menerapkannya. Untuk melakukan ini, Anda perlu masuk ke pengaturan antarmuka tertentu, misalnya, f0/0 menggunakan perintah antarmuka <tipe dan slot>, masuk ke mode subperintah antarmuka dan masukkan perintah ip access-group <nomor ACL/ nama> . Harap perhatikan perbedaannya: saat menyusun daftar, daftar akses digunakan, dan saat menerapkannya, grup akses digunakan. Anda harus menentukan antarmuka mana yang akan diterapkan daftar ini - antarmuka masuk atau antarmuka keluar. Jika daftar memiliki nama, misalnya Jaringan, nama yang sama diulangi dalam perintah untuk menerapkan daftar pada antarmuka ini.
Sekarang mari kita ambil masalah tertentu dan coba selesaikan menggunakan contoh diagram jaringan kita menggunakan Packet Tracer. Jadi, kami memiliki 4 jaringan: departemen penjualan, departemen akuntansi, manajemen, dan ruang server.
Tugas No. 1: semua lalu lintas yang diarahkan dari departemen penjualan dan keuangan ke departemen manajemen dan ruang server harus diblokir. Lokasi pemblokiran adalah antarmuka S0/1/0 router R2. Pertama kita harus membuat daftar yang berisi entri berikut:
Sebut saja daftarnya "Manajemen dan Keamanan Server ACL", disingkat ACL Secure_Ma_And_Se. Hal ini diikuti dengan melarang lalu lintas dari jaringan departemen keuangan 192.168.1.128/26, melarang lalu lintas dari jaringan departemen penjualan 192.168.1.0/25, dan mengizinkan lalu lintas lainnya. Di akhir daftar ditunjukkan bahwa ini digunakan untuk antarmuka keluar S0/1/0 dari router R2. Jika kita tidak memiliki entri Izin Apa Pun di akhir daftar, maka semua lalu lintas lainnya akan diblokir karena ACL default selalu disetel ke entri Tolak Apa Pun di akhir daftar.
Bisakah saya menerapkan ACL ini ke antarmuka G0/0? Tentu saja bisa, tetapi dalam hal ini hanya lalu lintas dari departemen akuntansi yang akan diblokir, dan lalu lintas dari departemen penjualan tidak akan dibatasi dengan cara apa pun. Dengan cara yang sama, Anda dapat menerapkan ACL ke antarmuka G0/1, namun dalam kasus ini lalu lintas departemen keuangan tidak akan diblokir. Tentu saja, kita dapat membuat dua daftar blok terpisah untuk antarmuka ini, namun jauh lebih efisien jika menggabungkannya ke dalam satu daftar dan menerapkannya pada antarmuka keluaran router R2 atau antarmuka masukan S0/1/0 dari router R1.
Meskipun peraturan Cisco menyatakan bahwa ACL standar harus ditempatkan sedekat mungkin dengan tujuan, saya akan menempatkannya lebih dekat ke sumber lalu lintas karena saya ingin memblokir semua lalu lintas keluar, dan lebih masuk akal untuk melakukan ini lebih dekat ke sumber lalu lintas. sumber sehingga lalu lintas ini tidak menyia-nyiakan jaringan antara dua router.
Saya lupa memberi tahu Anda tentang kriterianya, jadi ayo cepat kembali. Anda dapat menentukan apa pun sebagai kriteria - dalam hal ini, lalu lintas apa pun dari perangkat apa pun dan jaringan apa pun akan ditolak atau diizinkan. Anda juga dapat menentukan host dengan pengidentifikasinya - dalam hal ini, entri akan berupa alamat IP perangkat tertentu. Terakhir, Anda dapat menentukan seluruh jaringan, misalnya 192.168.1.10/24. Dalam hal ini, /24 berarti adanya subnet mask 255.255.255.0, namun tidak mungkin untuk menentukan alamat IP subnet mask di ACL. Untuk kasus ini, ACL memiliki konsep yang disebut Wildcart Mask, atau βreverse maskβ. Oleh karena itu Anda harus menentukan alamat IP dan mengembalikan masker. Masker terbalik terlihat seperti ini: Anda harus mengurangi subnet mask langsung dari subnet mask umum, yaitu, angka yang sesuai dengan nilai oktet di masker depan dikurangi dari 255.
Oleh karena itu, sebaiknya gunakan parameter 192.168.1.10 0.0.0.255 sebagai kriteria di ACL.
Bagaimana itu bekerja? Jika ada 0 dalam oktet mask kembali, kriteria dianggap cocok dengan oktet alamat IP subnet yang sesuai. Jika ada nomor di oktet backmask, kecocokannya tidak dicentang. Jadi, untuk jaringan 192.168.1.0 dan return mask 0.0.0.255, semua lalu lintas dari alamat yang tiga oktet pertamanya sama dengan 192.168.1., berapa pun nilai oktet keempat, akan diblokir atau diizinkan tergantung pada tindakan yang ditentukan.
Menggunakan reverse mask itu mudah, dan kita akan kembali ke Wildcart Mask di video berikutnya sehingga saya bisa menjelaskan cara menggunakannya.
28:50 menit
Terima kasih untuk tetap bersama kami. Apakah Anda menyukai artikel kami? Ingin melihat konten yang lebih menarik? Dukung kami dengan melakukan pemesanan atau merekomendasikan kepada teman, Diskon 30% untuk pengguna Habr pada analog unik dari server level awal, yang kami ciptakan untuk Anda: (tersedia dengan RAID1 dan RAID10, hingga 24 core dan hingga 40GB DDR4).
Dell R730xd 2 kali lebih murah? Hanya disini di Belanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - mulai $99! Membaca tentang
Sumber: www.habr.com