シスコ トレーニング 200-125 CCNA v3.0。 27日目。ACLの紹介。 パート1

今日は ACL アクセス コントロール リストについて学び始めます。このトピックには 2 つのビデオ レッスンが必要です。 標準 ACL の設定を見ていき、次のビデオ チュートリアルでは拡張リストについて説明します。

このレッスンでは 3 つのトピックを取り上げます。 XNUMX つ目は ACL とは何か、XNUMX つ目は標準アクセス リストと拡張アクセス リストの違いは何か、レッスンの最後にはラボとして、標準 ACL の設定と考えられる問題の解決について見ていきます。
では、ACLとは何でしょうか? 最初のビデオ レッスンからこのコースを学習した場合は、さまざまなネットワーク デバイス間の通信をどのように整理したかを覚えているでしょう。

また、デバイスとネットワーク間の通信を組織化するスキルを得るために、さまざまなプロトコル上の静的ルーティングについても研究しました。 私たちは現在、トラフィック制御を確実にすること、つまり「悪者」や無許可のユーザーがネットワークに侵入することを防ぐことを考慮する必要がある学習段階に到達しました。 たとえば、これは、この図に示されている SALES 営業部門の人々に関係する可能性があります。 ここでは、財務部門の ACCOUNT、管理部門の MANAGEMENT、サーバー ルーム SERVER ROOM も示しています。
したがって、営業部門には 2 人の従業員がいる可能性がありますが、そのうちの 3 人もネットワーク経由でサーバー ルームにアクセスできないようにしたいと考えています。 Laptop2 コンピュータで作業する営業マネージャーは例外として、サーバー ルームにアクセスできます。 LaptopXNUMX で作業している新入社員にはそのようなアクセス権を与えるべきではありません。つまり、彼のコンピュータからのトラフィックがルーター RXNUMX に到達した場合、それはドロップされる必要があります。

ACL の役割は、指定されたフィルタリング パラメータに従ってトラフィックをフィルタリングすることです。 これらには、送信元 IP アドレス、宛先 IP アドレス、プロトコル、ポート数、その他のパラメーターが含まれており、これによりトラフィックを識別し、それに対して何らかのアクションを実行できます。

つまり、ACL は OSI モデルのレイヤー 3 フィルタリング メカニズムです。 これは、このメカニズムがルーターで使用されていることを意味します。 フィルタリングの主な基準は、データ ストリームの識別です。 たとえば、Laptop3 コンピュータを持った男性がサーバーにアクセスするのをブロックしたい場合、まず最初に彼のトラフィックを特定する必要があります。 このトラフィックは、ネットワーク デバイスの対応するインターフェイスを介してラップトップ - スイッチ 2 - R2 - R1 - スイッチ 1 - サーバー 1 の方向に移動しますが、ルーターの G0/0 インターフェイスはこれとは何の関係もありません。

トラフィックを識別するには、そのパスを識別する必要があります。 これを完了すると、フィルターを正確にどこに設置する必要があるかを決定できます。 フィルター自体については心配する必要はありません。フィルターについては次のレッスンで説明します。ここでは、フィルターをどのインターフェイスに適用するかという原理を理解する必要があります。

ルーターを見ると、トラフィックが移動するたびに、データ フローが流入するインターフェイスと、このフローが流出するインターフェイスが存在することがわかります。

実際には、入力インターフェイス、出力インターフェイス、ルーター自身のインターフェイスの 3 つのインターフェイスがあります。 フィルタリングは入力インターフェイスまたは出力インターフェイスにのみ適用できることに注意してください。

ACL の運用原理は、招待者のリストに名前が記載されているゲストのみが参加できるイベントへのパスに似ています。 ACL は、トラフィックを識別するために使用される資格パラメータのリストです。 たとえば、このリストは、IP アドレス 192.168.1.10 からのすべてのトラフィックが許可され、他のすべてのアドレスからのトラフィックが拒否されることを示しています。 前述したように、このリストは入力インターフェイスと出力インターフェイスの両方に適用できます。

ACL には、標準と拡張の 2 種類があります。 標準 ACL には、1 から 99 まで、または 1300 から 1999 までの識別子があります。これらは単なるリスト名であり、番号が大きくなっても相互に利点はありません。 番号に加えて、独自の名前を ACL に割り当てることができます。 拡張 ACL には 100 ～ 199 または 2000 ～ 2699 の番号が付けられ、名前が付いている場合もあります。

標準 ACL では、分類はトラフィックの送信元 IP アドレスに基づいて行われます。 したがって、このようなリストを使用する場合、送信元へのトラフィックを制限することはできず、ブロックできるのはデバイスから発信されたトラフィックのみです。

拡張 ACL は、送信元 IP アドレス、宛先 IP アドレス、使用されるプロトコル、およびポート番号によってトラフィックを分類します。 たとえば、FTP トラフィックのみ、または HTTP トラフィックのみをブロックできます。 今日は標準 ACL について説明し、次のビデオ レッスンでは拡張リストを取り上げます。

先ほども述べたように、ACL は条件のリストです。 このリストをルータの受信インターフェイスまたは送信インターフェイスに適用すると、ルータはこのリストと照合してトラフィックをチェックし、リストに設定されている条件を満たしている場合は、このトラフィックを許可するか拒否するかを決定します。 ここでは複雑なことは何もありませんが、ルーターの入力インターフェイスと出力インターフェイスを決定するのが難しいと感じることがよくあります。 受信インターフェイスについて話すとき、これは、このポートでは受信トラフィックのみが制御され、ルーターは送信トラフィックに制限を適用しないことを意味します。 同様に、出力インターフェイスについて話している場合、これは、すべてのルールが送信トラフィックにのみ適用され、このポートの受信トラフィックは制限なく受け入れられることを意味します。 たとえば、ルータに f2/0 と f0/0 の 1 つのポートがある場合、ACL は f0/0 インターフェイスに入るトラフィックのみ、または f0/1 インターフェイスから発信されるトラフィックのみに適用されます。 インターフェイス f0/1 に出入りするトラフィックはリストの影響を受けません。

したがって、インターフェイスの受信方向または送信方向を混同しないでください。これは、特定のトラフィックの方向によって異なります。 したがって、ルータは、ACL 条件に一致するトラフィックをチェックした後、トラフィックを許可するか拒否するかの 180.160.1.30 つの決定のみを行うことができます。 たとえば、192.168.1.10 宛てのトラフィックを許可し、XNUMX 宛てのトラフィックを拒否できます。 各リストには複数の条件を含めることができますが、これらの条件ごとに許可または拒否する必要があります。

リストがあるとしましょう:

禁止する _______
許可する ________
許可する ________
禁止する _________。

まず、ルーターはトラフィックをチェックして最初の条件に一致するかどうかを確認し、一致しない場合は XNUMX 番目の条件をチェックします。 トラフィックが XNUMX 番目の条件に一致する場合、ルーターはチェックを停止し、リストの残りの条件と比較しません。 「許可」アクションを実行し、トラフィックの次の部分のチェックに進みます。

どのパケットにもルールを設定しておらず、トラフィックが条件に該当せずにリストのすべての行を通過した場合、各 ACL リストはデフォルトでdeny any コマンド、つまり破棄で終わるため、そのパケットは破棄されます。どのパケットでも、どのルールにも該当しません。 この条件は、リストにルールが少なくとも 192.168.1.30 つある場合に有効になります。それ以外の場合は、効果がありません。 ただし、最初の行にエントリdeny XNUMXが含まれており、リストに条件が含まれていない場合は、最後にコマンドpermit any (ルールで禁止されているトラフィックを除くすべてのトラフィックを許可) が必要です。 ACL を設定する際の間違いを避けるために、これを考慮する必要があります。

ASL リスト作成の基本ルールを覚えておいてください。標準 ASL は宛先、つまりトラフィックの受信者のできるだけ近くに配置し、拡張 ASL は送信元、つまり送信元のできるだけ近くに配置します。トラフィックの送信者に送信されます。 これらはシスコの推奨事項ですが、実際には、トラフィック ソースの近くに標準 ACL を配置する方が合理的である状況もあります。 ただし、試験中に ACL の配置ルールに関する質問に遭遇した場合は、シスコの推奨事項に従って、明確に答えてください。標準は宛先に近く、拡張は送信元に近いものです。

次に、標準 ACL の構文を見てみましょう。 ルータのグローバル コンフィギュレーション モードには、クラシック構文とモダン構文の XNUMX 種類のコマンド構文があります。

従来のコマンド タイプは、access-list <ACL 番号> <deny/allow> <criteria> です。 <ACL 番号> を 1 ～ 99 に設定すると、デバイスはこれが標準 ACL であることを自動的に認識し、100 ～ 199 の場合は拡張 ACL であると認識します。 今日のレッスンでは標準リストを対象としているため、1 から 99 までの任意の数値を使用できます。次に、パラメーターが次の基準 (トラフィックの許可または拒否) に一致する場合に適用する必要があるアクションを示します。 この基準は現代の構文でも使用されているため、後で検討します。

最新のコマンド タイプは Rx(config) グローバル コンフィギュレーション モードでも使用され、ip access-list standard <ACL 番号/名前> のようになります。 ここでは、1 ～ 99 の数字、または ACL リストの名前 (ACL_Networking など) を使用できます。 このコマンドにより、システムはただちに Rx 標準モード サブコマンド モード (config-std-nacl) になり、<deny/enable> <criteria> を入力する必要があります。 現代的なタイプのチームには、古典的なチームと比較して多くの利点があります。

従来のリストで、「access-list 10deny ______」と入力し、次に別の基準に対して同じ種類の次のコマンドを入力すると、最終的にそのようなコマンドが 100 個になる場合、入力したコマンドのいずれかを変更するには、次の操作を行う必要があります。 no access-list 10 コマンドを使用して、アクセス リスト リスト 10 全体を削除します。このリスト内の個々のコマンドを編集する方法がないため、これにより 100 個のコマンドがすべて削除されます。

最新の構文では、コマンドは 10 行に分割されており、最初の行にはリスト番号が含まれます。 access-list standard 20 Deny ________、access-list standard 15 Deny ________ などのリストがある場合、それらの間に他の基準を含む中間リストを挿入する機会があるとします。たとえば、access-list standard XNUMX Deny ________ などです。 。

あるいは、単純にアクセス リスト標準 20 行を削除し、アクセス リスト標準 10 行とアクセス リスト標準 30 行の間で異なるパラメータを使用して再入力することもできます。このように、最新の ACL 構文を編集するにはさまざまな方法があります。

ACL を作成するときは十分に注意する必要があります。 ご存知のとおり、リストは上から下に読まれます。 特定のホストからのトラフィックを許可する行を上部に配置した場合、その下に、このホストが属するネットワーク全体からのトラフィックを禁止する行を配置すると、両方の条件がチェックされ、特定のホストへのトラフィックがチェックされます。の通過が許可され、このネットワークの他のすべてのホストからのトラフィックはブロックされます。 したがって、常に特定のエントリをリストの上部に配置し、一般的なエントリを下部に配置します。

したがって、クラシックまたはモダン ACL を作成した後、それを適用する必要があります。 これを行うには、インターフェイス <タイプとスロット> コマンドを使用して特定のインターフェイス (たとえば、f0/0) の設定に移動し、インターフェイス サブコマンド モードに移動して、コマンド ip access-group <ACL 番号/ を入力する必要があります。名前> 。 違いに注意してください。リストをコンパイルするときはアクセス リストが使用され、リストを適用するときはアクセス グループが使用されます。 このリストをどのインターフェースに適用するか (受信インターフェースまたは送信インターフェース) を決定する必要があります。 リストに Networking などの名前がある場合、このインターフェイスにリストを適用するコマンドで同じ名前が繰り返されます。

ここで、特定の問題を取り上げ、パケット トレーサーを使用したネットワーク図の例を使用して解決してみます。 つまり、営業部門、経理部門、管理部門、サーバールームの4つのネットワークがあります。

タスク 1: 営業部門と財務部門から管理部門とサーバー ルームに向かうすべてのトラフィックをブロックする必要があります。 ブロックされている場所は、ルータ R0 のインターフェイス S1/0/2 です。 まず、次のエントリを含むリストを作成する必要があります。

このリストを「管理およびサーバー セキュリティ ACL」と呼び、ACL Secure_Ma_And_Se と略します。 次に、財務部門のネットワーク 192.168.1.128/26 からのトラフィックを禁止し、営業部門のネットワーク 192.168.1.0/25 からのトラフィックを禁止し、その他のトラフィックを許可します。 リストの最後には、ルータ R0 の発信インターフェイス S1/0/2 に使用されることが示されています。 リストの最後に [Permit Any] エントリがない場合、デフォルトの ACL は常にリストの最後に [Deny Any] エントリに設定されるため、他のトラフィックはすべてブロックされます。

この ACL をインターフェイス G0/0 に適用できますか? もちろん可能ですが、この場合は経理部門からのトラフィックのみがブロックされ、営業部門からのトラフィックは一切制限されません。 同様に、ACL を G0/1 インターフェイスに適用できますが、この場合、財務部門のトラフィックはブロックされません。 もちろん、これらのインターフェイスに対して 2 つの個別のブロック リストを作成することもできますが、それらを 0 つのリストに結合して、ルータ R1 の出力インターフェイスまたはルータ R0 の入力インターフェイス S1/XNUMX/XNUMX に適用する方がはるかに効率的です。

シスコのルールでは、標準 ACL を宛先のできるだけ近くに配置する必要があると規定されていますが、すべての発信トラフィックをブロックしたいため、標準 ACL をトラフィックの送信元の近くに配置します。これは、送信元の近くに配置する方が合理的です。このトラフィックが XNUMX つのルーター間のネットワークを無駄にしないようにします。

基準を言い忘れたので、早速戻ります。 条件として any を指定できます。この場合、任意のデバイスおよび任意のネットワークからのトラフィックが拒否または許可されます。 ホストをその識別子で指定することもできます。この場合、エントリは特定のデバイスの IP アドレスになります。 最後に、ネットワーク全体 (たとえば、192.168.1.10/24) を指定できます。 この場合、/24 は 255.255.255.0 のサブネット マスクが存在することを意味しますが、ACL でサブネット マスクの IP アドレスを指定することはできません。 この場合、ACL にはワイルドカート マスク、つまり「リバース マスク」と呼ばれる概念があります。 したがって、IP アドレスと戻りマスクを指定する必要があります。 逆方向マスクは次のようになります。一般的なサブネット マスクから直接サブネット マスクを減算する必要があります。つまり、順方向マスクのオクテット値に対応する数値が 255 から減算されます。

したがって、ACL の基準としてパラメータ 192.168.1.10 0.0.0.255 を使用する必要があります。

使い方？ リターン マスク オクテットに 0 がある場合、基準はサブネット IP アドレスの対応するオクテットと一致するとみなされます。 バックマスク オクテットに数値がある場合、一致はチェックされません。 したがって、ネットワーク 192.168.1.0 とリターン マスク 0.0.0.255 の場合、最初の 192.168.1 オクテットが XNUMX に等しいアドレスからのすべてのトラフィックは、XNUMX 番目のオクテットの値に関係なく、次の条件に応じてブロックまたは許可されます。指定されたアクション。

リバース マスクの使用は簡単です。次のビデオでワイルドカート マスクに戻って、その操作方法を説明します。

28:50分

いつもご宿泊いただきありがとうございます。 私たちの記事が気に入っていますか? もっと興味深いコンテンツを見たいですか? 注文したり、友人に勧めたりして私たちをサポートしてください。 Habr ユーザーは、当社があなたのために発明した、エントリーレベルのサーバーに似たユニークな製品を 30% 割引でご利用いただけます。 VPS (KVM) E5-2650 v4 (6 コア) 10GB DDR4 240GB SSD 1Gbps 20 ドルからの真実、またはサーバーを共有する方法? (RAID1 および RAID10、最大 24 コア、最大 40GB DDR4 で利用可能)。

Dell R730xdは2倍安い？ ここだけ 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV 199 ドルから オランダで！ Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 ドルから! について読む インフラストラクチャー企業を構築する方法730 ペニーで 5 ユーロの価値がある Dell R2650xd E4-9000 vXNUMX サーバーを使用したクラスですか?

出所： habr.com