Í dag munum við byrja að læra um ACL aðgangsstýringarlista, þetta efni mun taka 2 myndbandstíma. Við munum skoða uppsetningu staðlaðs ACL og í næsta kennslumyndbandi mun ég tala um útbreiddan listann.
Í þessari kennslustund munum við fara yfir 3 efni. Hið fyrra er hvað ACL er, annað er munurinn á stöðluðum og auknum aðgangslista og í lok kennslustundarinnar, sem rannsóknarstofu, munum við skoða að setja upp staðlað ACL og leysa hugsanleg vandamál.
Svo hvað er ACL? Ef þú lærðir námskeiðið frá fyrstu myndbandsstundinni, þá manðu hvernig við skipulögðum samskipti milli ýmissa nettækja.
Við rannsökuðum einnig kyrrstæða leið yfir ýmsar samskiptareglur til að öðlast færni í að skipuleggja samskipti milli tækja og neta. Við höfum nú náð því lærdómsstigi að við ættum að hafa áhyggjur af því að tryggja umferðarstjórnun, það er að koma í veg fyrir að „vondu krakkar“ eða óviðkomandi notendur komist inn á netið. Til dæmis getur þetta varðað fólk frá söludeild SÖLU, sem er sýnt á þessari skýringarmynd. Hér sýnum við einnig fjármáladeild REIKNINGA, stjórnunardeild STJÓRN og netþjónaherbergi ÞJÓNAHÚS.
Þannig að söludeildin kann að hafa hundrað starfsmenn og við viljum ekki að einhver þeirra geti náð í netþjónaherbergið í gegnum netið. Undantekning er gerð fyrir sölustjóra sem vinnur á Laptop2 tölvu - hann getur haft aðgang að netþjónaherberginu. Nýr starfsmaður sem vinnur á Laptop3 ætti ekki að hafa slíkan aðgang, það er að segja ef umferð frá tölvunni hans nær til beini R2 ætti að sleppa því.
Hlutverk ACL er að sía umferð í samræmi við tilgreindar síunarfæribreytur. Þeir innihalda uppruna IP tölu, IP tölu áfangastað, samskiptareglur, fjölda hafna og aðrar breytur, þökk sé þeim sem þú getur borið kennsl á umferðina og gripið til aðgerða með henni.
Svo, ACL er lag 3 síunarkerfi OSI líkansins. Þetta þýðir að þessi vélbúnaður er notaður í beinum. Aðalviðmiðið fyrir síun er auðkenning gagnastraumsins. Til dæmis, ef við viljum koma í veg fyrir að gaurinn með Laptop3 tölvunni fái aðgang að þjóninum, þá verðum við fyrst og fremst að bera kennsl á umferð hans. Þessi umferð færist í átt að Laptop-Switch2-R2-R1-Switch1-Server1 í gegnum samsvarandi tengi nettækja á meðan G0/0 tengi beina hafa ekkert með það að gera.
Til að bera kennsl á umferð verðum við að bera kennsl á leið hennar. Eftir að hafa gert þetta getum við ákveðið hvar nákvæmlega við þurfum að setja upp síuna. Ekki hafa áhyggjur af síunum sjálfum, við munum ræða þær í næstu lexíu, í bili þurfum við að skilja meginregluna um hvaða viðmót sían á að nota á.
Ef þú skoðar beini geturðu séð að í hvert skipti sem umferð hreyfist er viðmót þar sem gagnaflæðið kemur inn og viðmót sem þetta flæði kemur út um.
Það eru í raun 3 tengi: inntaksviðmótið, úttaksviðmótið og eigin viðmót beinisins. Mundu bara að síun er aðeins hægt að beita á inntaks- eða úttaksviðmótið.
Meginreglan um ACL-rekstur er svipuð og aðgangseyrir á viðburð sem aðeins geta sótt þeir gestir sem hafa nafn á lista yfir boðsmenn. ACL er listi yfir hæfisbreytur sem eru notaðar til að bera kennsl á umferð. Til dæmis gefur þessi listi til kynna að öll umferð sé leyfð frá IP tölunni 192.168.1.10 og umferð frá öllum öðrum netföngum er hafnað. Eins og ég sagði er hægt að nota þennan lista bæði á inntaks- og úttaksviðmótið.
Það eru 2 tegundir af ACL: staðlaðar og framlengdar. Staðlað ACL hefur auðkenni frá 1 til 99 eða frá 1300 til 1999. Þetta eru einfaldlega listanöfn sem hafa enga kosti fram yfir hvort annað eftir því sem númerið eykst. Til viðbótar við númerið geturðu úthlutað þínu eigin nafni til ACL. Útvíkkuð ACL eru númeruð 100 til 199 eða 2000 til 2699 og geta einnig haft nafn.
Í venjulegu ACL er flokkunin byggð á uppruna IP tölu umferðarinnar. Þess vegna, þegar þú notar slíkan lista, geturðu ekki takmarkað umferð sem beint er að hvaða uppruna sem er, þú getur aðeins lokað fyrir umferð sem kemur frá tæki.
Útvíkkað ACL flokkar umferð eftir IP-tölu uppruna, IP-tölu áfangastaðar, samskiptareglur sem notuð eru og gáttarnúmer. Til dæmis geturðu lokað á FTP umferð eða aðeins HTTP umferð. Í dag munum við skoða staðlaða ACL og við munum verja næstu myndbandslexíu til útvíkkaðra lista.
Eins og ég sagði, ACL er listi yfir skilyrði. Eftir að þú hefur sett þennan lista á inn- eða útgefandi viðmót beinsins, athugar beininn umferðina á móti þessum lista og ef hann uppfyllir skilyrðin sem sett eru fram á listanum ákveður hann hvort hann leyfir eða hafnar þessari umferð. Fólk á oft erfitt með að ákvarða inntaks- og úttaksviðmót beini, þó það sé ekkert flókið hér. Þegar við tölum um komandi viðmót þýðir þetta að aðeins komandi umferð verður stjórnað á þessari höfn og beininn mun ekki setja takmarkanir á útleið. Að sama skapi, ef við erum að tala um útgönguviðmót, þýðir þetta að allar reglur gilda aðeins um útleið, á meðan komandi umferð á þessari höfn verður samþykkt án takmarkana. Til dæmis, ef beininn er með 2 tengi: f0/0 og f0/1, þá verður ACL aðeins notað á umferð sem fer inn í f0/0 viðmótið, eða aðeins á umferð sem kemur frá f0/1 viðmótinu. Listinn mun ekki hafa áhrif á umferð sem fer inn eða út úr viðmóti f0/1.
Þess vegna, ekki vera ruglaður af komandi eða útleið átt viðmótsins, það fer eftir stefnu tiltekinnar umferðar. Svo, eftir að leiðin hefur athugað umferðina til að passa við ACL skilyrðin, getur hann aðeins tekið tvær ákvarðanir: leyfa umferð eða hafna henni. Til dæmis geturðu leyft umferð á 180.160.1.30 og hafnað umferð á 192.168.1.10. Hver listi getur innihaldið mörg skilyrði, en hvert þessara skilyrða verður að leyfa eða hafna.
Segjum að við höfum lista:
Banna _______
Leyfa __________
Leyfa __________
Banna _________.
Í fyrsta lagi mun beininn athuga umferðina til að sjá hvort hún passi við fyrra skilyrðið; ef það passar ekki mun það athuga annað ástandið. Ef umferðin samsvarar þriðja skilyrðinu hættir beininn að athuga og ber það ekki saman við restina af skilyrðunum á listanum. Það mun framkvæma „leyfa“ aðgerðina og halda áfram að athuga næsta hluta umferðarinnar.
Ef þú hefur ekki stillt reglu fyrir neinn pakka og umferðin fer í gegnum allar línur listans án þess að snerta eitthvað af skilyrðunum, þá er henni eytt, því sérhver ACL listi endar sjálfgefið á neita hvaða skipun sem er - þ.e. hvaða pakki sem er, sem fellur ekki undir neinar reglur. Þetta skilyrði tekur gildi ef að minnsta kosti ein regla er á listanum, annars hefur það engin áhrif. En ef fyrsta línan inniheldur færsluna neita 192.168.1.30 og listinn inniheldur ekki lengur nein skilyrði, þá ætti í lokin að vera skipunarleyfi, það er að leyfa alla umferð nema þá sem er bönnuð samkvæmt reglunni. Þú verður að taka tillit til þessa til að forðast mistök þegar þú stillir ACL.
Ég vil að þú munir grunnregluna um að búa til ASL lista: staðsetja staðlað ASL eins nálægt áfangastaðnum og hægt er, það er viðtakanda umferðarinnar, og staðsetja útbreidda ASL eins nálægt upprunanum og hægt er, þ.e. til sendanda umferðarinnar. Þetta eru ráðleggingar Cisco, en í reynd eru aðstæður þar sem skynsamlegra er að setja staðlað ACL nálægt umferðargjafanum. En ef þú rekst á spurningu um ACL staðsetningarreglur meðan á prófinu stendur skaltu fylgja ráðleggingum Cisco og svara ótvírætt: staðallinn er nær áfangastaðnum, útbreiddur er nær upprunanum.
Nú skulum við skoða setningafræði venjulegs ACL. Það eru tvær tegundir af skipanasetningafræði í alþjóðlegri stillingarstillingu leiðar: klassísk setningafræði og nútíma setningafræði.
Klassíska skipunargerðin er aðgangslisti <ACL númer> <neta/leyfa> <viðmið>. Ef þú stillir <ACL number> frá 1 til 99, mun tækið sjálfkrafa skilja að þetta er staðlað ACL, og ef það er frá 100 til 199, þá er það framlengt. Þar sem í kennslustundinni í dag erum við að skoða staðlaðan lista, getum við notað hvaða tölu sem er frá 1 til 99. Þá tilgreinum við aðgerðina sem þarf að beita ef færibreyturnar passa við eftirfarandi viðmiðun - leyfa eða hafna umferð. Við munum skoða viðmiðið síðar, þar sem það er einnig notað í nútíma setningafræði.
Nútíma skipunargerðin er einnig notuð í Rx(config) alþjóðlegri stillingarham og lítur svona út: ip access-list standard <ACL number/name>. Hér geturðu notað annað hvort númer frá 1 til 99 eða heiti ACL listans, til dæmis ACL_Networking. Þessi skipun setur kerfið strax í Rx staðlaða undirskipunarham (config-std-nacl), þar sem þú verður að slá inn <deny/enable> <criteria>. Nútíma tegund teyma hefur fleiri kosti samanborið við hið klassíska.
Í klassískum lista, ef þú skrifar aðgangslista 10 neita ______, sláðu inn næstu skipun af sama tagi fyrir aðra viðmiðun, og þú endar með 100 slíkar skipanir, þá þarftu að breyta einhverju af skipunum sem slegnar eru inn. eyða öllum aðgangslistanum 10 með skipuninni enginn aðgangslisti 10. Þetta mun eyða öllum 100 skipunum vegna þess að það er engin leið til að breyta neinni einstökum skipunum á þessum lista.
Í nútíma setningafræði er skipuninni skipt í tvær línur, sú fyrri inniheldur listanúmerið. Segjum sem svo að ef þú ert með lista aðgangslista staðall 10 neita ________, aðgangslista staðall 20 neita ________ og svo framvegis, þá hefurðu tækifæri til að setja inn millilista með öðrum viðmiðum á milli þeirra, til dæmis aðgangslista staðall 15 neita ________ .
Að öðrum kosti geturðu einfaldlega eytt aðgangslistanum staðal 20 línum og slegið þær inn aftur með mismunandi breytum á milli aðgangslista staðalsins 10 og aðgangslista staðalsins 30. Þannig eru ýmsar leiðir til að breyta nútíma ACL setningafræði.
Þú þarft að vera mjög varkár þegar þú býrð til ACL. Eins og þú veist eru listar lesnir ofan frá og niður. Ef þú setur línu efst sem leyfir umferð frá tilteknum hýsil, þá fyrir neðan geturðu sett línu sem bannar umferð frá öllu netinu sem þessi hýsil er hluti af, og bæði skilyrðin verða hakuð - umferð til ákveðins hýsils mun hleypt í gegn og umferð frá öllum öðrum hýslum sem þetta netkerfi verður lokað. Settu því alltaf sérstakar færslur efst á listanum og almennar neðst.
Svo, eftir að þú hefur búið til klassískt eða nútímalegt ACL, verður þú að nota það. Til að gera þetta þarftu að fara í stillingar tiltekins viðmóts, til dæmis f0/0 með því að nota skipanaviðmótið <tegund og rauf>, fara í undirskipunarstillingu viðmótsins og slá inn skipunina ip aðgangshópur <ACL númer/ nafn > . Vinsamlegast athugaðu muninn: þegar listi er settur saman er aðgangslisti notaður og þegar hann er notaður er notaður aðgangshópur. Þú verður að ákveða hvaða viðmót þessi listi verður notaður á - innkomandi viðmótið eða sendandi viðmótið. Ef listinn hefur nafn, til dæmis Netkerfi, er sama nafnið endurtekið í skipuninni til að nota listann á þessu viðmóti.
Nú skulum við taka tiltekið vandamál og reyna að leysa það með því að nota dæmið um netskýringarmyndina okkar með því að nota Packet Tracer. Þannig að við höfum 4 net: söludeild, bókhaldsdeild, stjórnun og netþjónaherbergi.
Verkefni nr. 1: Lokað verður fyrir alla umferð sem beint er frá sölu- og fjármálasviði til stjórnunardeildar og netþjónaherbergis. Lokunarstaðurinn er viðmót S0/1/0 á beini R2. Fyrst verðum við að búa til lista sem inniheldur eftirfarandi færslur:
Við skulum kalla listann „Stjórn og netþjónsöryggi ACL“, skammstafað sem ACL Secure_Ma_And_Se. Þessu er fylgt eftir með því að banna umferð frá neti fjármáladeildar 192.168.1.128/26, banna umferð frá neti söludeildar 192.168.1.0/25 og leyfa aðra umferð. Í lok listasins er gefið til kynna að það sé notað fyrir útleiðandi tengi S0/1/0 á beini R2. Ef við höfum ekki Permit Any færslu í lok listans, þá verður allri annarri umferð lokað vegna þess að sjálfgefið ACL er alltaf stillt á Neita öllum færslu í lok listans.
Get ég notað þetta ACL á tengi G0/0? Auðvitað get ég það, en í þessu tilviki verður aðeins lokað fyrir umferð frá bókhaldsdeildinni og umferð frá söludeild verður ekki takmörkuð á nokkurn hátt. Á sama hátt geturðu notað ACL á G0/1 viðmótið, en í þessu tilviki verður umferð fjármáladeildarinnar ekki læst. Auðvitað getum við búið til tvo aðskilda blokkalista fyrir þessi viðmót, en það er mun skilvirkara að sameina þá í einn lista og nota hann á úttaksviðmót beini R2 eða inntaksviðmót S0/1/0 á beini R1.
Þótt Cisco reglur kveði á um að staðlað ACL ætti að vera eins nálægt áfangastað og mögulegt er, mun ég setja það nær uppruna umferðarinnar vegna þess að ég vil loka fyrir alla útleiðandi umferð, og það er skynsamlegra að gera þetta nær uppspretta þannig að þessi umferð eyði ekki netinu á milli tveggja beina.
Ég gleymdi að segja þér frá viðmiðunum, svo við skulum fara fljótt til baka. Þú getur tilgreint hvaða sem er sem viðmiðun - í þessu tilviki verður allri umferð frá hvaða tæki sem er og hvaða neti sem er verður hafnað eða leyfð. Þú getur líka tilgreint hýsil með auðkenni hans - í þessu tilviki mun færslan vera IP-tala tiltekins tækis. Að lokum geturðu tilgreint heilt net, til dæmis 192.168.1.10/24. Í þessu tilviki mun /24 þýða tilvist undirnetsgrímu 255.255.255.0, en það er ómögulegt að tilgreina IP-tölu undirnetsgrímunnar í ACL. Í þessu tilviki hefur ACL hugtak sem kallast Wildcart Mask, eða „öfug gríma“. Þess vegna verður þú að tilgreina IP tölu og skilagrímu. Andstæða gríman lítur svona út: þú verður að draga beinu undirnetmaskann frá almennu undirnetmaskanum, það er að talan sem samsvarar áttundargildinu í frammaskanum er dregin frá 255.
Þess vegna ættir þú að nota færibreytuna 192.168.1.10 0.0.0.255 sem viðmiðun í ACL.
Hvernig það virkar? Ef það er 0 í áttunda maskínu til baka telst viðmiðunin passa við samsvarandi áttund undirnets IP tölu. Ef það er tala í bakgrímu-oktettinum er samsvörunin ekki merkt. Þannig, fyrir net sem er 192.168.1.0 og skilamaska upp á 0.0.0.255, verður allri umferð frá heimilisföngum þar sem fyrstu þrír oktettarnir eru jafnir 192.168.1., óháð gildi fjórða áttundar, lokað eða leyfð eftir tilgreinda aðgerð.
Það er auðvelt að nota öfuga grímu og við munum koma aftur að Wildcart Mask í næsta myndbandi svo ég geti útskýrt hvernig á að vinna með hana.
28:50 mín
Þakka þér fyrir að vera hjá okkur. Líkar þér við greinarnar okkar? Viltu sjá meira áhugavert efni? Styðjið okkur með því að leggja inn pöntun eða mæla með því við vini, 30% afsláttur fyrir Habr notendur á einstökum hliðstæðum upphafsþjónum, sem var fundið upp af okkur fyrir þig: (fáanlegt með RAID1 og RAID10, allt að 24 kjarna og allt að 40GB DDR4).
Dell R730xd 2 sinnum ódýrari? Aðeins hér í Hollandi! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - frá $99! Lestu um
Heimild: www.habr.com