Haut wäerte mir ufänken iwwer ACL Zougang Kontroll Lëscht ze léieren, dëst Thema wäert huelen 2 Video Lektioune. Mir kucken op d'Konfiguratioun vun engem Standard ACL, an am nächste Video Tutorial wäert ech iwwer déi erweidert Lëscht schwätzen.
An dëser Lektioun wäerte mir 3 Themen behandelen. Déi éischt ass wat en ACL ass, déi zweet ass wat den Ënnerscheed tëscht engem Standard an enger erweiderter Zougangslëscht ass, an um Enn vun der Lektioun wäerte mir als Labo kucken fir e Standard ACL opzestellen a méiglech Problemer ze léisen.
Also wat ass en ACL? Wann Dir de Cours vun der éischter Video Lektioun studéiert hutt, da erënnert Dir Iech un wéi mir d'Kommunikatioun tëscht verschiddene Netzwierkapparater organiséiert hunn.
Mir hunn och statesch Routing iwwer verschidde Protokoller studéiert fir Fäegkeeten ze kréien fir Kommunikatiounen tëscht Apparater an Netzwierker z'organiséieren. Mir hunn elo d'Léierstadium erreecht, wou mir eis Suerge sollte maachen fir d'Verkéierskontroll ze garantéieren, dat heescht datt "schlecht Kärelen" oder net autoriséiert Benotzer d'Netz infiltréieren. Zum Beispill kann dëst Leit aus dem SALES Verkafsdepartement betreffen, wat an dësem Diagramm duergestallt ass. Hei weisen mir och d'Finanzdepartement KONTAT, d'Gestiounsdepartement MANAGEMENT an d'Serverraum SERVER ROOM.
Also, de Verkafsdepartement kann honnert Mataarbechter hunn, a mir wëllen net datt ee vun hinnen de Serverraum iwwer dem Netz erreechen kann. Eng Ausnam gëtt gemaach fir de Verkeefer Manager deen op engem Laptop2 Computer schafft - hien kann Zougang zum Serverraum hunn. En neien Employé, deen um Laptop3 schafft, soll net esou Zougang hunn, dat heescht, wann de Traffic vu sengem Computer de Router R2 erreecht, da sollt et erofgesat ginn.
D'Roll vun engem ACL ass den Traffic ze filteren no de spezifizéierte Filterparameter. Si enthalen d'Quell IP Adress, Destinatioun IP Adress, Protokoll, Zuel vun den Häfen an aner Parameteren, duerch déi Dir de Verkéier identifizéieren an e puer Aktiounen mat him huelen.
Also, ACL ass e Layer 3 Filtermechanismus vum OSI Modell. Dëst bedeit datt dëse Mechanismus a Router benotzt gëtt. Den Haaptkriterium fir ze filteren ass d'Identifikatioun vum Datestroum. Zum Beispill, wa mir de Guy mam Laptop3 Computer blockéiere wëllen aus dem Server zougräifen, musse mir als éischt säi Traffic identifizéieren. Dëse Verkéier bewegt sech a Richtung Laptop-Switch2-R2-R1-Switch1-Server1 duerch déi entspriechend Interfaces vun Netzgeräter, während d'G0/0 Interfaces vu Router näischt domat ze dinn hunn.
Fir de Verkéier z'identifizéieren, musse mir säi Wee identifizéieren. Nodeems Dir dëst gemaach hutt, kënne mir entscheeden wou genau mir de Filter installéiere mussen. Maacht Iech keng Suergen iwwer d'Filtere selwer, mir wäerte se an der nächster Lektioun diskutéieren, fir elo musse mir de Prinzip verstoen op wéi eng Interface de Filter soll applizéiert ginn.
Wann Dir e Router kuckt, kënnt Dir gesinn datt all Kéier wann de Verkéier beweegt, gëtt et en Interface wou den Datefloss erakommt, an eng Interface duerch déi dëse Flux erauskënnt.
Et ginn tatsächlech 3 Interfaces: d'Input Interface, d'Output Interface an d'Router eegent Interface. Denkt just drun datt d'Filterung nëmmen op den Input oder Output Interface applizéiert ka ginn.
De Prinzip vun der Operatioun vun der ACL ass ähnlech wéi e Pass op en Event, deen nëmme vun deene Gäscht besicht ka ginn, deenen hiren Numm op der Lëscht vun de invitéierte Persounen ass. En ACL ass eng Lëscht vu Qualifikatiounsparameter déi benotzt gi fir den Traffic z'identifizéieren. Zum Beispill weist dës Lëscht un datt all Traffic vun der IP Adress 192.168.1.10 erlaabt ass, an de Verkéier vun allen aneren Adressen ofgeleent gëtt. Wéi ech gesot hunn, kann dës Lëscht souwuel op den Input- an Output-Interface applizéiert ginn.
Et ginn 2 Zorte vun ACLs: Standard an erweidert. E Standard-ACL huet en Identifizéierer vun 1 bis 99 oder vun 1300 bis 1999. Dëst sinn einfach Lëschtennimm, déi keng Virdeeler iwwerenee hunn wéi d'Nummerung eropgeet. Nieft der Nummer kënnt Dir Ären eegenen Numm dem ACL zouginn. Verlängert ACL sinn nummeréiert 100 bis 199 oder 2000 bis 2699 a kënnen och en Numm hunn.
An engem Standard ACL baséiert d'Klassifikatioun op der Quell IP Adress vum Traffic. Dofir, wann Dir sou eng Lëscht benotzt, kënnt Dir den Traffic net op eng Quell beschränken, Dir kënnt nëmmen de Traffic aus engem Apparat blockéieren.
En erweiderten ACL klasséiert Traffic no Quell IP Adress, Destinatioun IP Adress, Protokoll benotzt a Portnummer. Zum Beispill kënnt Dir nëmmen FTP-Traffic blockéieren, oder nëmmen HTTP-Traffic. Haut wäerte mir de Standard ACL kucken, a mir wäerten déi nächst Video Lektioun fir erweidert Lëschte widmen.
Wéi gesot, en ACL ass eng Lëscht vu Konditiounen. Nodeems Dir dës Lëscht op den Entréeën oder d'Ofgoen Interface vum Router applizéiert hutt, kontrolléiert de Router de Traffic géint dës Lëscht, a wann et d'Konditiounen entsprécht, déi an der Lëscht festgeluegt sinn, entscheet et ob dësen Traffic erlaabt oder ze refuséieren. D'Leit fannen et dacks schwéier d'Input- an Output-Interfaces vun engem Router ze bestëmmen, obwuel et hei näischt komplizéiert ass. Wa mir iwwer eng erakommen Interface schwätzen, heescht dat, datt nëmmen erakommen Verkéier op dësem port kontrolléiert ginn, an de Router wäert net Restriktiounen op erausginn Verkéier gëllen. Ähnlech, wa mir iwwer eng Egress-Interface schwätzen, heescht dat, datt all Regelen nëmme fir den erausginnen Traffic gëllen, während den erakommende Verkéier op dësem Hafen ouni Restriktiounen akzeptéiert gëtt. Zum Beispill, wann de Router 2 Ports huet: f0/0 an f0/1, da gëtt den ACL nëmme fir de Traffic applizéiert, deen an d'f0/0 Interface erakënnt, oder nëmmen op de Verkéier, deen aus der f0/1 Interface kënnt. Traffic erakommen oder verloossen Interface f0/1 gëtt net vun der Lëscht betraff ginn.
Dofir, verwiesselt Iech net vun der erakommen oder erausgaang Richtung vun der Interface, et hänkt vun der Richtung vum spezifesche Verkéier of. Also, nodeems de Router de Traffic iwwerpréift huet fir d'ACL Konditiounen ze passen, kann et nëmmen zwou Entscheedungen treffen: de Verkéier erlaben oder se refuséieren. Zum Beispill, Dir kënnt de Verkéier erlaabt fir 180.160.1.30 a refuséieren de Verkéier fir 192.168.1.10. All Lëscht kann verschidde Konditioune enthalen, awer all eenzel vun dëse Konditioune muss erlaben oder refuséieren.
Loosst eis soen datt mir eng Lëscht hunn:
Verbuet _______
Erlaabt __________
Erlaabt __________
Verbuet _________.
Als éischt wäert de Router de Traffic iwwerpréift fir ze kucken ob et mat der éischter Konditioun entsprécht; wann et net passt, iwwerpréift en déi zweet Konditioun. Wann de Verkéier mat der drëtter Bedingung entsprécht, wäert de Router ophalen ze kontrolléieren a vergläicht et net mat de Rescht vun de Lëschtebedéngungen. Et wäert d'Aktioun "erlaaben" maachen a weidergoen fir den nächsten Deel vum Traffic ze kontrolléieren.
Am Fall wou Dir keng Regel fir e Paket gesat hutt an de Traffic duerch all d'Linnen vun der Lëscht passéiert ouni eng vun de Bedéngungen ze treffen, gëtt se zerstéiert, well all ACL Lëscht par défaut endet mat dem Befehl verleegnen - dat heescht, ofginn all Pak, falen net ënner keng vun de Regelen. Dës Konditioun trëtt a Kraaft wann et op d'mannst eng Regel an der Lëscht ass, soss huet et keen Effekt. Awer wann déi éischt Zeil den Entrée verleegnen 192.168.1.30 enthält an d'Lëscht keng Konditioune méi enthält, da sollt et um Enn e Kommando-Erlaabnes sinn, dat heescht, all Verkéier erlaabt ausser dee vun der Regel verbueden ass. Dir musst dëst berücksichtegen fir Feeler ze vermeiden wann Dir den ACL konfiguréiert.
Ech wëll datt Dir un d'Basisregel erënnert fir eng ASL Lëscht ze kreéieren: Plaz Standard ASL sou no wéi méiglech un der Destinatioun, dat heescht dem Empfänger vum Traffic, a plazéiert erweidert ASL sou no wéi méiglech un der Quell, dat ass, dem Sender vum Verkéier. Dëst sinn Cisco Empfehlungen, awer an der Praxis ginn et Situatiounen wou et méi Sënn mécht e Standard ACL no bei der Verkéiersquell ze setzen. Mä wann Dir kommt op eng Fro iwwer ACL Placement Regelen während der Examen, verfollegen Cisco d'Empfehlungen an Äntwert eendeiteg: Standard méi no un der Destinatioun, verlängert ass méi no un der Quell.
Loosst eis elo d'Syntax vun engem Standard ACL kucken. Et ginn zwou Zorte vu Kommando Syntax am Router global Configuratioun Modus: klassesch Syntax a modern Syntax.
De klassesche Kommandotyp ass Zougangslëscht <ACL Nummer> <verweigeren/allow> <Critèren>. Wann Dir <ACL Nummer> vun 1 op 99 setzt, versteet den Apparat automatesch datt dëst e Standard ACL ass, a wann et vun 100 op 199 ass, dann ass et eng erweidert. Well mir an der Lektioun vun haut op eng Standardlëscht kucken, kënne mir all Zuel vun 1 bis 99 benotzen. Dann weisen mir d'Aktioun un, déi applizéiert muss ginn, wann d'Parameteren dem folgende Critère entspriechen - Traffic erlaben oder verleegnen. Mir wäerten de Critère spéider betruechten, well et och an der moderner Syntax benotzt gëtt.
De modernen Kommandotyp gëtt och am Rx (config) globalen Konfiguratiounsmodus benotzt a gesäit esou aus: IP Access-Lëscht Standard <ACL Nummer/Numm>. Hei kënnt Dir entweder eng Zuel vun 1 ze 99 oder den Numm vun der ACL Lëscht benotzen, Zum Beispill, ACL_Networking. Dëse Kommando setzt de System direkt an de Rx Standardmodus Ënnerkommandomodus (config-std-nacl), wou Dir <deny/enable> <Criteria> aginn muss. Déi modern Aart vun Équipen huet méi Virdeeler am Verglach zum klassesche.
An enger klassescher Lëscht, wann Dir Accès-Lëscht 10 deny ______ schreift, gitt dann de nächste Kommando vun der selwechter Aart fir en anere Critère, an Dir sidd mat 100 esou Kommandoen um Enn, dann fir eng vun den aginnen Kommandoen z'änneren, musst Dir läschen déi ganz Zougang-Lëscht Lëscht 10 mam Kommando keen Zougang-Lëscht 10. Dëst wäert all 100 Kommandoen läschen well et kee Wee gëtt all eenzelne Kommando an dëser Lëscht z'änneren.
An der moderner Syntax ass de Kommando an zwou Zeilen opgedeelt, déi éischt vun deenen d'Lëschtnummer enthält. Ugeholl, wann Dir eng Lëscht Zougang-Lëscht Standard 10 refuséieren ________, Zougang-Lëscht Standard 20 refuséieren ________ a sou weider, dann hutt Dir d'Méiglechkeet Tëschenzäit Lëschte mat anere Critèren tëscht hinnen anzeginn, Zum Beispill, Zougang-Lëscht Standard 15 refuséieren ________ .
Alternativ kënnt Dir einfach den Zougangslëscht Standard 20 Linnen läschen an se mat verschiddene Parameteren tëscht dem Zougankslëscht Standard 10 an Zougankslëscht Standard 30 Linnen retypéieren. Also ginn et verschidde Weeër fir modern ACL Syntax z'änneren.
Dir musst ganz virsiichteg sinn wann Dir ACLs erstellt. Wéi Dir wësst, ginn Lëschte vun uewe bis ënnen gelies. Wann Dir eng Linn uewen placéiert, déi den Traffic vun engem spezifesche Host erlaabt, da kënnt Dir hei ënnen eng Linn setzen, déi den Traffic aus dem ganzen Netz verbitt, vun deem dësen Host Deel ass, a béid Konditioune ginn iwwerpréift - de Verkéier op e spezifesche Host wäert erlaabt ginn duerch, an Traffic vun all aner Hosten dësem Netz wäert gespaart ginn. Dofir, setzen ëmmer spezifesch Entréen uewen op der Lëscht an allgemeng ënnen.
Also, nodeems Dir e klassesche oder modernen ACL erstallt hutt, musst Dir se applizéieren. Fir dëst ze maachen, musst Dir op d'Astellunge vun engem spezifeschen Interface goen, zum Beispill f0/0 mat der Kommando-Interface <Typ a Slot>, gitt an den Interface-Subcommand-Modus a gitt de Kommando ip Access-Grupp <ACL number/ numm > . Notéiert w.e.g. den Ënnerscheed: wann Dir eng Lëscht zesummestellt, gëtt eng Zougangslëscht benotzt, a wann Dir se applizéiert, gëtt eng Zougangsgrupp benotzt. Dir musst bestëmmen op wéi eng Interface dës Lëscht applizéiert gëtt - déi erakommen Interface oder déi erausginn Interface. Wann d'Lëscht en Numm huet, zum Beispill, Vernetzung, gëtt dee selwechten Numm am Kommando widderholl fir d'Lëscht op dëser Interface ze gëllen.
Loosst eis elo e spezifesche Problem huelen a probéieren et mam Beispill vun eisem Netzwierkdiagramm mat Packet Tracer ze léisen. Also, mir hu 4 Netzwierker: Ofsaz Departement, Comptablesmethod Departement, Gestioun an Server Sall.
Aufgab Nr. D'Blockéierungsplaz ass Interface S1/0/1 vum Router R0. Als éischt musse mir eng Lëscht erstellen mat de folgenden Entréen:
Loosst eis d'Lëscht "Management and Server Security ACL" nennen, als ACL Secure_Ma_And_Se verkierzt. Dëst ass gefollegt vum Verkéier aus dem Finanzdepartement Reseau 192.168.1.128/26 verbidden, Verkéier aus dem Ofsaz Departement Reseau 192.168.1.0/25 verbidden, an all aner Verkéier erlaabt. Um Enn vun der Lëscht gëtt uginn datt et fir den Outgoing Interface S0/1/0 vum Router R2 benotzt gëtt. Wa mir keng Permit Any Entrée um Enn vun der Lëscht hunn, da gëtt all aner Traffic blockéiert well den Default-ACL ëmmer um Enn vun der Lëscht op en Deny Any Entry gesat gëtt.
Kann ech dës ACL op Interface G0 / 0 gëlle? Natierlech kann ech, awer an dësem Fall gëtt nëmmen de Verkéier aus der Comptabilitéitsdepartement blockéiert, an de Verkéier vum Verkafsdepartement gëtt op kee Fall limitéiert. Am selwechte Wee kënnt Dir en ACL op d'G0/1 Interface gëllen, awer an dësem Fall gëtt de Verkéier vum Finanzdepartement net blockéiert. Natierlech kënne mir zwou separat Blocklëschte fir dës Schnëttplazen erstellen, awer et ass vill méi effizient se an eng Lëscht ze kombinéieren an op d'Output-Interface vum Router R2 oder d'Input-Interface S0/1/0 vum Router R1 ze gëllen.
Och wann d'Cisco Regele soen datt e Standard-ACL esou no wéi méiglech un der Destinatioun plazéiert ass, wäert ech se méi no un d'Quell vum Traffic setzen, well ech all erausginn Traffic blockéiere wëll, an et mécht méi Sënn fir dat méi no un de Verkéier ze maachen. Quell sou datt dësen Traffic d'Netzwierk tëscht zwee Router net verschwenden.
Ech hu vergiess Iech iwwer d'Critèren ze soen, also gi mir séier zréck. Dir kënnt all als Critère spezifizéieren - an dësem Fall gëtt all Traffic vun all Apparat an all Netzwierk verweigert oder erlaabt. Dir kënnt och e Host mat sengem Identifizéierer spezifizéieren - an dësem Fall ass d'Entrée d'IP Adress vun engem spezifeschen Apparat. Endlech, kënnt Dir e ganze Reseau uginn, Zum Beispill, 192.168.1.10/24. An dësem Fall bedeit /24 d'Präsenz vun enger Subnet Mask vum 255.255.255.0, awer et ass onméiglech d'IP Adress vun der Subnet Mask am ACL ze spezifizéieren. Fir dëse Fall huet ACL e Konzept genannt Wildcart Mask, oder "Reverse Mask". Dofir musst Dir d'IP Adress an d'Retourmask uginn. Déi ëmgedréint Mask gesäit esou aus: Dir musst déi direkt Subnet Mask vun der allgemenger Subnet Mask subtrahéieren, dat heescht, d'Zuel entsprécht dem Oktettwäert an der Forward Mask vun 255 subtrahéiert.
Dofir sollt Dir de Parameter 192.168.1.10 0.0.0.255 als Critère am ACL benotzen.
Wéi funktionéiert et? Wann et en 0 am Retour Mask Oktett ass, gëtt de Critère ugesinn fir de entspriechende Oktett vun der Subnet IP Adress ze passen. Wann et eng Nummer an der Réckmaske Oktett ass, gëtt de Match net iwwerpréift. Also, fir en Netz vun 192.168.1.0 an eng Retourmaske vun 0.0.0.255, all Verkéier vun Adressen, deenen hir éischt dräi Oktett gläich 192.168.1., onofhängeg vum Wäert vun der véierter Oktett, blockéiert oder erlaabt ofhängeg vun der spezifizéierter Aktioun.
Eng ëmgedréint Mask ze benotzen ass einfach, a mir kommen zréck op d'Wildcart Mask am nächste Video, fir datt ech erkläre kann wéi ech domat schaffen.
28:50 Uhr Min
Merci datt Dir bei eis bleift. Hutt Dir eis Artikelen gär? Wëllt Dir méi interessant Inhalt gesinn? Ënnerstëtzt eis andeems Dir eng Bestellung maacht oder Frënn empfeelt, 30% Remise fir Habr Benotzer op engem eenzegaartegen Analog vun Entry-Level Serveren, dee vun eis fir Iech erfonnt gouf: (verfügbar mat RAID1 an RAID10, bis zu 24 Kären a bis zu 40GB DDR4).
Dell R730xd 2 Mol méi bëlleg? Nëmmen hei an Holland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - vun $99! Liest iwwer
Source: will.com