Šiandien pradėsime mokytis apie ACL prieigos kontrolės sąrašą, ši tema užtruks 2 video pamokas. Pažiūrėsime į standartinio ACL konfigūraciją, o kitame vaizdo įraše kalbėsiu apie išplėstinį sąrašą.
Šioje pamokoje aptarsime 3 temas. Pirmasis – kas yra ACL, antrasis – kuo skiriasi standartinis ir išplėstinis prieigos sąrašas, o pamokos pabaigoje, kaip laboratorijoje, apžvelgsime standartinio ACL nustatymą ir galimų problemų sprendimą.
Taigi, kas yra ACL? Jei studijavote kursą nuo pat pirmosios vaizdo pamokos, tada prisimenate, kaip organizavome ryšį tarp įvairių tinklo įrenginių.
Taip pat studijavome statinį maršruto parinkimą įvairiais protokolais, kad įgytume įgūdžių organizuojant ryšį tarp įrenginių ir tinklų. Dabar pasiekėme mokymosi etapą, kai turėtume susirūpinti eismo kontrolės užtikrinimu, ty neleisti „blogiečiams“ ar neleistiniems vartotojams įsiskverbti į tinklą. Pavyzdžiui, tai gali būti susiję su žmonėmis iš PARDAVIMŲ pardavimo skyriaus, kuris pavaizduotas šioje diagramoje. Čia taip pat parodome finansų skyrių SĄSKAITOS, valdymo skyrių VALDYMAS ir serverių kambarį SERVER ROOM.
Taigi, pardavimo skyriuje gali būti šimtas darbuotojų, ir mes nenorime, kad nė vienas iš jų galėtų pasiekti serverių kambarį per tinklą. Pardavimų vadybininkui, dirbančiam Laptop2 kompiuteriu, daroma išimtis – jis gali turėti prieigą prie serverio patalpos. Naujas darbuotojas, dirbantis Laptop3, neturėtų turėti tokios prieigos, tai yra, jei srautas iš jo kompiuterio pasiekia maršrutizatorių R2, jis turėtų būti nutrauktas.
ACL vaidmuo yra filtruoti srautą pagal nurodytus filtravimo parametrus. Jie apima šaltinio IP adresą, paskirties IP adresą, protokolą, prievadų skaičių ir kitus parametrus, kurių dėka galite nustatyti srautą ir atlikti tam tikrus veiksmus.
Taigi, ACL yra OSI modelio 3 sluoksnio filtravimo mechanizmas. Tai reiškia, kad šis mechanizmas naudojamas maršrutizatoriuose. Pagrindinis filtravimo kriterijus yra duomenų srauto identifikavimas. Pavyzdžiui, jei norime užblokuoti vaikinui su Laptop3 kompiuteriu prieiti prie serverio, pirmiausia turime nustatyti jo srautą. Šis srautas per atitinkamas tinklo įrenginių sąsajas juda Laptop-Switch2-R2-R1-Switch1-Server1 kryptimi, o maršrutizatorių G0/0 sąsajos su tuo neturi nieko bendra.
Norėdami nustatyti eismą, turime nustatyti jo kelią. Tai atlikę, galime nuspręsti, kur tiksliai turime įdiegti filtrą. Nesijaudinkite dėl pačių filtrų, juos aptarsime kitoje pamokoje, kol kas turime suprasti, kokioje sąsajoje filtras turi būti taikomas principu.
Jei pažvelgsite į maršrutizatorių, pamatysite, kad kiekvieną kartą, kai srautas juda, yra sąsaja, į kurią patenka duomenų srautas, ir sąsaja, per kurią šis srautas išeina.
Iš tikrųjų yra 3 sąsajos: įvesties sąsaja, išvesties sąsaja ir paties maršrutizatoriaus sąsaja. Tiesiog atminkite, kad filtravimas gali būti taikomas tik įvesties arba išvesties sąsajai.
ACL veikimo principas panašus į leidimą į renginį, kuriame gali dalyvauti tik tie svečiai, kurių pavardė yra pakviestųjų sąraše. ACL yra kvalifikacinių parametrų, naudojamų srautui identifikuoti, sąrašas. Pavyzdžiui, šiame sąraše nurodoma, kad visas srautas leidžiamas iš IP adreso 192.168.1.10, o srautas iš visų kitų adresų yra uždraustas. Kaip jau sakiau, šis sąrašas gali būti taikomas tiek įvesties, tiek išvesties sąsajai.
Yra 2 ACL tipai: standartiniai ir išplėstiniai. Standartinis ACL turi identifikatorių nuo 1 iki 99 arba nuo 1300 iki 1999. Tai tiesiog sąrašo pavadinimai, kurie, didėjant numeracijai, neturi pranašumų vienas prieš kitą. Be numerio, ACL galite priskirti ir savo vardą. Išplėstiniai ACL sunumeruoti nuo 100 iki 199 arba 2000 iki 2699 ir taip pat gali turėti pavadinimą.
Standartinėje ACL klasifikacija pagrįsta srauto šaltinio IP adresu. Todėl naudodami tokį sąrašą negalite apriboti srauto, nukreipto į jokį šaltinį, galite blokuoti tik iš įrenginio kilusį srautą.
Išplėstinė ACL klasifikuoja srautą pagal šaltinio IP adresą, paskirties IP adresą, naudojamą protokolą ir prievado numerį. Pavyzdžiui, galite blokuoti tik FTP srautą arba tik HTTP srautą. Šiandien pažvelgsime į standartinį ACL, o kitą vaizdo įrašo pamoką skirsime išplėstiniams sąrašams.
Kaip sakiau, ACL yra sąlygų sąrašas. Pritaikius šį sąrašą maršrutizatoriaus įeinančių arba išeinančių siuntų sąsajai, maršrutizatorius patikrina srautą pagal šį sąrašą ir, jei jis atitinka sąraše nurodytas sąlygas, nusprendžia, ar leisti, ar uždrausti šį srautą. Žmonėms dažnai sunku nustatyti maršrutizatoriaus įvesties ir išvesties sąsajas, nors čia nėra nieko sudėtingo. Kai kalbame apie įeinančią sąsają, tai reiškia, kad šiame prievade bus valdomas tik įeinantis srautas, o maršrutizatorius netaikys apribojimų išeinančiam srautui. Panašiai, jei kalbame apie išėjimo sąsają, tai reiškia, kad visos taisyklės bus taikomos tik išeinančiam srautui, o įeinantis srautas šiuo prievadu bus priimtas be apribojimų. Pavyzdžiui, jei maršrutizatorius turi 2 prievadus: f0/0 ir f0/1, tada ACL bus taikomas tik srautui, patenkančiam į f0/0 sąsają, arba tik srautui, kylančiam iš f0/1 sąsajos. Sąrašas neturės įtakos eismui, patenkančiam į f0/1 sąsają arba iš jo išvažiuojant.
Todėl nesijaudinkite dėl įeinančios ar išeinančios sąsajos krypties, tai priklauso nuo konkretaus srauto krypties. Taigi, maršrutizatorius patikrins, ar srautas atitinka ACL sąlygas, jis gali priimti tik du sprendimus: leisti srautą arba jį atmesti. Pavyzdžiui, galite leisti eismą, skirtą 180.160.1.30, ir atmesti eismą, skirtą 192.168.1.10. Kiekviename sąraše gali būti kelios sąlygos, tačiau kiekviena iš šių sąlygų turi leisti arba atmesti.
Tarkime, kad turime sąrašą:
Uždrausti _______
Leisti ________
Leisti ________
Uždrausti _________.
Pirma, maršrutizatorius patikrins srautą, kad sužinotų, ar jis atitinka pirmąją sąlygą; jei ji neatitinka, jis patikrins antrąją sąlygą. Jei srautas atitinka trečiąją sąlygą, maršrutizatorius nustos tikrinti ir nelygins jo su kitomis sąrašo sąlygomis. Jis atliks veiksmą „leisti“ ir pereis prie kitos srauto dalies tikrinimo.
Jei nenustatėte taisyklės jokiam paketui ir srautas eina per visas sąrašo eilutes nepataikęs jokios sąlygos, jis sunaikinamas, nes kiekvienas ACL sąrašas pagal numatytuosius nustatymus baigiasi komanda deny any - tai yra atmesti bet koks paketas, kuriam netaikomos jokios taisyklės. Ši sąlyga įsigalioja, jei sąraše yra bent viena taisyklė, kitaip ji neturi jokios įtakos. Bet jei pirmoje eilutėje yra įrašas deny 192.168.1.30 ir sąraše nebėra jokių sąlygų, tada pabaigoje turėtų būti komanda leisti bet kokį, tai yra leisti bet kokį srautą, išskyrus draudžiamą pagal taisyklę. Turite į tai atsižvelgti, kad išvengtumėte klaidų konfigūruodami ACL.
Noriu, kad atsimintumėte pagrindinę ASL sąrašo kūrimo taisyklę: standartinį ASL įdėkite kuo arčiau paskirties, tai yra, srauto gavėjo, o išplėstinį ASL padėkite kuo arčiau šaltinio, t. srauto siuntėjui. Tai yra „Cisco“ rekomendacijos, tačiau praktikoje yra situacijų, kai prasmingiau standartinį ACL įdėti arti srauto šaltinio. Bet jei egzamino metu susidursite su klausimu apie ACL įdėjimo taisykles, vadovaukitės Cisco rekomendacijomis ir atsakykite vienareikšmiškai: standartas arčiau paskirties, išplėstinis – arčiau šaltinio.
Dabar pažvelkime į standartinio ACL sintaksę. Maršrutizatoriaus visuotinio konfigūravimo režime yra dviejų tipų komandų sintaksė: klasikinė sintaksė ir moderni sintaksė.
Klasikinis komandos tipas yra access-list <ACL numeris> <neleisti/leisti> <kriterijai>. Jei nustatysite <ACL numerį> nuo 1 iki 99, įrenginys automatiškai supras, kad tai yra standartinis ACL, o jei jis yra nuo 100 iki 199, tai yra išplėstinis. Kadangi šiandienos pamokoje žiūrime į standartinį sąrašą, galime naudoti bet kokį skaičių nuo 1 iki 99. Tada nurodome veiksmą, kurį reikia taikyti, jei parametrai atitinka tokį kriterijų – leisti arba uždrausti srautą. Šį kriterijų apsvarstysime vėliau, nes jis taip pat naudojamas šiuolaikinėje sintaksėje.
Šiuolaikinis komandų tipas taip pat naudojamas Rx(config) visuotiniame konfigūracijos režime ir atrodo taip: ip prieigos sąrašo standartas <ACL numeris/vardas>. Čia galite naudoti skaičių nuo 1 iki 99 arba ACL sąrašo pavadinimą, pavyzdžiui, ACL_Networking. Ši komanda iš karto perkelia sistemą į Rx standartinio režimo subkomandų režimą (config-std-nacl), kur turite įvesti <deny/enable> <criteria>. Šiuolaikinio tipo komandos turi daugiau privalumų lyginant su klasikine.
Klasikiniame sąraše, jei įvedate access-list 10 deny ______, tada įvedate kitą tos pačios rūšies komandą kitam kriterijui ir baigsite 100 tokių komandų, tada norėdami pakeisti bet kurią iš įvestų komandų turėsite ištrinti visas prieigos sąrašo sąrašas 10 su komanda no access-list 10. Taip bus ištrintos visos 100 komandų, nes šiame sąraše nėra galimybės redaguoti jokios atskiros komandos.
Šiuolaikinėje sintaksėje komanda yra padalinta į dvi eilutes, iš kurių pirmoje yra sąrašo numeris. Tarkime, jei turite sąrašo prieigos sąrašo standartą 10 neleisti ________, prieigos sąrašo standartą 20 neleisti ________ ir taip toliau, tada turite galimybę tarp jų įterpti tarpinius sąrašus su kitais kriterijais, pavyzdžiui, prieigos sąrašo standartas 15 neleisti ________ .
Arba galite tiesiog ištrinti prieigos sąrašo standartines 20 eilučių ir iš naujo įvesti jas skirtingais parametrais tarp prieigos sąrašo standarto 10 ir prieigos sąrašo standartinių eilučių 30. Taigi yra įvairių būdų, kaip redaguoti šiuolaikinę ACL sintaksę.
Kurdami ACL turite būti labai atsargūs. Kaip žinote, sąrašai skaitomi iš viršaus į apačią. Jei viršuje įdedate eilutę, kuri leidžia srautą iš konkretaus pagrindinio kompiuterio, tada žemiau galite įdėti eilutę, kuri draudžia srautą iš viso tinklo, kurio dalis yra šis kompiuteris, ir bus patikrintos abi sąlygos – srautas į konkretų pagrindinį kompiuterį bus leidžiamas ir srautas iš visų kitų šio tinklo prieglobų bus užblokuotas. Todėl konkrečius įrašus visada pateikite sąrašo viršuje, o bendruosius – apačioje.
Taigi, sukūrę klasikinį ar modernų ACL, turite jį pritaikyti. Norėdami tai padaryti, turite pereiti prie konkrečios sąsajos nustatymų, pavyzdžiui, f0/0, naudodami komandų sąsają <tipas ir lizdas>, eikite į sąsajos subkomandų režimą ir įveskite komandą ip access-group <ACL numeris/ vardas> . Atkreipkite dėmesį į skirtumą: sudarant sąrašą naudojamas prieigos sąrašas, o jį taikant – prieigos grupė. Turite nustatyti, kuriai sąsajai bus taikomas šis sąrašas – įeinančiai ar išeinančiajai sąsajai. Jei sąraše yra pavadinimas, pvz., Tinklas, tas pats pavadinimas kartojamas komandoje, kad sąrašas būtų taikomas šioje sąsajoje.
Dabar paimkime konkrečią problemą ir pabandykime ją išspręsti naudodami tinklo diagramos pavyzdį naudodami „Packet Tracer“. Taigi, turime 4 tinklus: pardavimų skyrių, buhalterijos skyrių, vadybą ir serverių kambarį.
Užduotis Nr. 1: visas srautas, nukreiptas iš pardavimo ir finansų skyrių į valdymo skyrių ir serverių patalpą, turi būti užblokuotas. Blokavimo vieta yra maršrutizatoriaus R0 sąsaja S1/0/2. Pirmiausia turime sukurti sąrašą su šiais įrašais:
Pavadinkime sąrašą „Valdymo ir serverio saugos ACL“, sutrumpintą kaip ACL Secure_Ma_And_Se. Po to uždraudžiamas srautas iš finansų padalinių tinklo 192.168.1.128/26, uždraudžiamas srautas iš pardavimo skyriaus tinklo 192.168.1.0/25 ir leidžiamas bet koks kitas srautas. Sąrašo pabaigoje nurodyta, kad jis naudojamas maršrutizatoriaus R0 išeinančiai sąsajai S1/0/2. Jei sąrašo pabaigoje neturime įrašo „Leisti bet kokį“, visas kitas srautas bus užblokuotas, nes numatytasis ACL sąrašo pabaigoje visada yra nustatytas į „Deny Any“ įrašą.
Ar galiu pritaikyti šį ACL sąsajai G0/0? Žinoma, galiu, bet tokiu atveju bus blokuojamas tik srautas iš buhalterijos, o srautas iš pardavimo skyriaus nebus ribojamas jokiu būdu. Lygiai taip pat galite taikyti ACL sąsajai G0/1, tačiau tokiu atveju finansų skyriaus srautas nebus blokuojamas. Žinoma, šioms sąsajoms galime sukurti du atskirus blokų sąrašus, tačiau daug efektyviau juos sujungti į vieną sąrašą ir pritaikyti maršrutizatoriaus R2 išvesties sąsajai arba maršrutizatoriaus R0 įvesties sąsajai S1/0/1.
Nors „Cisco“ taisyklėse teigiama, kad standartinis ACL turi būti dedamas kuo arčiau paskirties vietos, aš pastatysiu jį arčiau srauto šaltinio, nes noriu blokuoti visą išeinantį srautą, o tikslingiau tai daryti arčiau šaltinio, kad šis srautas neeikvotų tinklo tarp dviejų maršrutizatorių.
Pamiršau pasakyti apie kriterijus, todėl greitai grįžkime atgal. Galite nurodyti bet kurį kaip kriterijų – tokiu atveju bet koks srautas iš bet kurio įrenginio ir bet kurio tinklo bus uždraustas arba leidžiamas. Taip pat galite nurodyti pagrindinį kompiuterį su jo identifikatoriumi – tokiu atveju įrašas bus konkretaus įrenginio IP adresas. Galiausiai galite nurodyti visą tinklą, pavyzdžiui, 192.168.1.10/24. Šiuo atveju /24 reikš 255.255.255.0 potinklio kaukės buvimą, tačiau ACL neįmanoma nurodyti potinklio kaukės IP adreso. Šiuo atveju ACL turi koncepciją, vadinamą „Wildcart Mask“ arba „atvirkštine kauke“. Todėl turite nurodyti IP adresą ir grąžinimo kaukę. Atvirkštinė kaukė atrodo taip: iš bendros potinklio kaukės turite atimti tiesioginio potinklio kaukę, tai yra, skaičius, atitinkantis okteto reikšmę tiesioginėje kaukėje, atimamas iš 255.
Todėl kaip ACL kriterijų turėtumėte naudoti parametrą 192.168.1.10 0.0.0.255.
Kaip tai veikia? Jei grąžinimo kaukės oktete yra 0, laikoma, kad kriterijus atitinka atitinkamą potinklio IP adreso oktetą. Jei užpakalinės kaukės oktete yra skaičius, atitiktis nėra tikrinama. Taigi 192.168.1.0 tinkle ir 0.0.0.255 grąžinimo kauke visas srautas iš adresų, kurių pirmieji trys oktetai yra lygūs 192.168.1., nepriklausomai nuo ketvirtojo okteto reikšmės, bus blokuojamas arba leidžiamas, atsižvelgiant į nurodytą veiksmą.
Naudoti atvirkštinę kaukę paprasta, o kitame vaizdo įraše grįšime prie „Wildcart Mask“, kad galėčiau paaiškinti, kaip su ja dirbti.
28:50 min
Dėkojame, kad likote su mumis. Ar jums patinka mūsų straipsniai? Norite pamatyti įdomesnio turinio? Palaikykite mus pateikdami užsakymą ar rekomenduodami draugams, 30% nuolaida Habr vartotojams unikaliam pradinio lygio serverių analogui, kurį mes sugalvojome jums: (galima su RAID1 ir RAID10, iki 24 branduolių ir iki 40 GB DDR4).
Dell R730xd 2 kartus pigiau? Tik čia Olandijoje! „Dell R420“ – 2 x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbps 100 TB – nuo 99 USD! Skaityti apie
Šaltinis: www.habr.com