Šodien mēs sāksim apgūt ACL piekļuves kontroles sarakstu, šī tēma aizņems 2 video nodarbības. Mēs apskatīsim standarta ACL konfigurāciju, un nākamajā video pamācībā es runāšu par paplašināto sarakstu.
Šajā nodarbībā mēs apskatīsim 3 tēmas. Pirmais ir tas, kas ir ACL, otrs ir atšķirība starp standarta un paplašināto piekļuves sarakstu, un nodarbības beigās mēs kā laboratorija aplūkosim standarta ACL iestatīšanu un iespējamo problēmu risināšanu.
Tātad, kas ir ACL? Ja apguvāt kursu no pašas pirmās video nodarbības, tad atceraties, kā mēs organizējām saziņu starp dažādām tīkla ierīcēm.
Mēs arī pētījām statisko maršrutēšanu, izmantojot dažādus protokolus, lai iegūtu prasmes organizēt sakarus starp ierīcēm un tīkliem. Tagad esam sasnieguši mācīšanās stadiju, kurā mums būtu jāuztraucas par satiksmes kontroles nodrošināšanu, tas ir, nepieļautu "slikto puišu" vai nesankcionētu lietotāju iekļūšanu tīklā. Piemēram, tas var attiekties uz cilvēkiem no PĀRDOŠANAS pārdošanas nodaļas, kas ir attēlota šajā diagrammā. Šeit tiek parādīta arī finanšu nodaļa KONTI, vadības nodaļa VADĪBA un serveru telpa SERVER ROOM.
Tātad pārdošanas nodaļā var būt simts darbinieku, un mēs nevēlamies, lai neviens no viņiem tīklā varētu sasniegt serveru telpu. Izņēmums ir pārdošanas vadītājam, kurš strādā pie Laptop2 datora – viņam var būt pieeja serveru telpai. Jaunam darbiniekam, kas strādā pie klēpjdatora 3, šādai piekļuvei nevajadzētu būt, tas ir, ja trafiks no viņa datora sasniedz maršrutētāju R2, tas ir jāatceļ.
ACL uzdevums ir filtrēt trafiku atbilstoši norādītajiem filtrēšanas parametriem. Tie ietver avota IP adresi, galamērķa IP adresi, protokolu, portu skaitu un citus parametrus, pateicoties kuriem jūs varat identificēt trafiku un veikt dažas darbības ar to.
Tātad ACL ir OSI modeļa 3. slāņa filtrēšanas mehānisms. Tas nozīmē, ka šis mehānisms tiek izmantots maršrutētājos. Galvenais filtrēšanas kritērijs ir datu straumes identifikācija. Piemēram, ja mēs vēlamies bloķēt puisim ar Laptop3 datoru piekļuvi serverim, vispirms mums ir jāidentificē viņa trafika. Šī satiksme pārvietojas virzienā Laptop-Switch2-R2-R1-Switch1-Server1 caur atbilstošajām tīkla ierīču saskarnēm, savukārt maršrutētāju G0/0 saskarnēm ar to nav nekāda sakara.
Lai noteiktu satiksmi, mums ir jānosaka tās ceļš. Kad tas ir izdarīts, mēs varam izlemt, kur tieši mums ir jāuzstāda filtrs. Neuztraucieties par pašiem filtriem, mēs tos apspriedīsim nākamajā nodarbībā, pagaidām mums ir jāsaprot princips, kuram interfeisam ir jāpiemēro filtrs.
Ja paskatās uz maršrutētāju, jūs varat redzēt, ka katru reizi, kad satiksme pārvietojas, ir saskarne, kurā ienāk datu plūsma, un saskarne, caur kuru šī plūsma iziet.
Faktiski ir 3 saskarnes: ievades saskarne, izvades saskarne un paša maršrutētāja saskarne. Atcerieties, ka filtrēšanu var lietot tikai ievades vai izvades saskarnei.
ACL darbības princips ir līdzīgs caurlaidei uz pasākumu, kuru var apmeklēt tikai tie viesi, kuru vārds ir uzaicināto personu sarakstā. ACL ir kvalifikācijas parametru saraksts, ko izmanto trafika identificēšanai. Piemēram, šis saraksts norāda, ka visa trafika ir atļauta no IP adreses 192.168.1.10, un trafika no visām pārējām adresēm ir liegta. Kā jau teicu, šo sarakstu var attiecināt gan uz ievades, gan izvades saskarni.
Ir 2 ACL veidi: standarta un paplašinātie. Standarta ACL ir identifikators no 1 līdz 99 vai no 1300 līdz 1999. Tie ir vienkārši sarakstu nosaukumi, kuriem nav nekādu priekšrocību vienam pret otru, palielinoties numerācijai. Papildus numuram ACL varat piešķirt arī savu vārdu. Paplašinātie ACL ir numurēti no 100 līdz 199 vai 2000 līdz 2699, un tiem var būt arī nosaukums.
Standarta ACL klasifikācijas pamatā ir trafika avota IP adrese. Tāpēc, izmantojot šādu sarakstu, jūs nevarat ierobežot trafiku, kas vērsta uz jebkuru avotu, jūs varat bloķēt tikai trafiku, kas rodas no ierīces.
Paplašinātais ACL klasificē trafiku pēc avota IP adreses, galamērķa IP adreses, izmantotā protokola un porta numura. Piemēram, varat bloķēt tikai FTP trafiku vai tikai HTTP trafiku. Šodien mēs apskatīsim standarta ACL, un nākamo video nodarbību veltīsim paplašinātajiem sarakstiem.
Kā jau teicu, ACL ir nosacījumu saraksts. Kad esat lietojis šo sarakstu maršrutētāja ienākošajam vai izejošajam interfeisam, maršrutētājs pārbauda datplūsmu šajā sarakstā un, ja tas atbilst sarakstā izklāstītajiem nosacījumiem, izlemj, vai atļaut vai aizliegt šo trafiku. Cilvēkiem bieži ir grūti noteikt maršrutētāja ievades un izvades saskarnes, lai gan šeit nav nekā sarežģīta. Ja mēs runājam par ienākošo saskarni, tas nozīmē, ka šajā portā tiks kontrolēta tikai ienākošā trafika, un maršrutētājs nepiemēros ierobežojumus izejošajai trafikai. Tāpat, ja mēs runājam par izejas saskarni, tas nozīmē, ka visi noteikumi attieksies tikai uz izejošo trafiku, savukārt ienākošā trafika šajā portā tiks pieņemta bez ierobežojumiem. Piemēram, ja maršrutētājam ir 2 porti: f0/0 un f0/1, tad ACL tiks lietots tikai trafikam, kas ienāk f0/0 interfeisā, vai tikai trafikam, kas rodas no f0/1 interfeisa. Satiksmi, kas iebrauc vai izbrauc saskarnē f0/1, saraksts neietekmēs.
Tāpēc nevajag mulsināt saskarnes ienākošo vai izejošo virzienu, tas ir atkarīgs no konkrētās satiksmes virziena. Tātad, pēc tam, kad maršrutētājs ir pārbaudījis trafiku, vai tas atbilst ACL nosacījumiem, tas var pieņemt tikai divus lēmumus: atļaut trafiku vai to noraidīt. Piemēram, varat atļaut satiksmi, kuras mērķis ir 180.160.1.30, un noraidīt satiksmi, kuras mērķis ir 192.168.1.10. Katrā sarakstā var būt vairāki nosacījumi, taču katram no šiem nosacījumiem ir jāatļauj vai jānoliedz.
Pieņemsim, ka mums ir saraksts:
Aizliegt _______
Atļaut ________
Atļaut ________
Aizliegt _________.
Pirmkārt, maršrutētājs pārbaudīs trafiku, lai noskaidrotu, vai tas atbilst pirmajam nosacījumam; ja tas neatbilst, tas pārbaudīs otro nosacījumu. Ja satiksme atbilst trešajam nosacījumam, maršrutētājs pārtrauks pārbaudi un nesalīdzinās to ar pārējiem saraksta nosacījumiem. Tas veiks darbību “atļaut” un pāries uz nākamās satiksmes daļas pārbaudi.
Ja nevienai paketei neesat iestatījis kārtulu un trafiks iet cauri visām saraksta rindiņām, neizpildot nevienu no nosacījumiem, tas tiek iznīcināts, jo katrs ACL saraksts pēc noklusējuma beidzas ar komandu noliegt jebkuru - tas ir, atmest jebkura pakete, uz kuru neattiecas neviens no noteikumiem. Šis nosacījums stājas spēkā, ja sarakstā ir vismaz viens noteikums, pretējā gadījumā tam nav nekādas ietekmes. Bet, ja pirmajā rindā ir ieraksts deny 192.168.1.30 un sarakstā vairs nav nekādu nosacījumu, tad beigās ir jābūt komandai, kas atļauj jebkuru, tas ir, atļaut jebkuru trafiku, izņemot to, ko aizliedz noteikums. Tas ir jāņem vērā, lai izvairītos no kļūdām, konfigurējot ACL.
Es vēlos, lai jūs atceraties ASL saraksta izveides pamatnoteikumu: novietojiet standarta ASL pēc iespējas tuvāk galamērķim, tas ir, trafika saņēmējam, un novietojiet paplašināto ASL pēc iespējas tuvāk avotam, tas ir, satiksmes nosūtītājam. Tie ir Cisco ieteikumi, taču praksē ir situācijas, kad ir saprātīgāk novietot standarta ACL tuvu trafika avotam. Bet, ja eksāmena laikā saskaraties ar jautājumu par ACL izvietošanas noteikumiem, ievērojiet Cisco ieteikumus un atbildiet nepārprotami: standarts ir tuvāk galamērķim, paplašinātais ir tuvāk avotam.
Tagad apskatīsim standarta ACL sintaksi. Maršrutētāja globālajā konfigurācijas režīmā ir divu veidu komandu sintakse: klasiskā sintakse un modernā sintakse.
Klasiskais komandas veids ir access-list <ACL numurs> <liegt/atļaut> <kritēriji>. Ja iestatāt <ACL numurs> no 1 līdz 99, ierīce automātiski sapratīs, ka tas ir standarta ACL, un, ja tas ir no 100 līdz 199, tad tas ir paplašināts. Tā kā šodienas nodarbībā mēs skatāmies uz standarta sarakstu, mēs varam izmantot jebkuru skaitli no 1 līdz 99. Pēc tam mēs norādām darbību, kas jāveic, ja parametri atbilst sekojošam kritērijam - atļaut vai liegt trafiku. Mēs apsvērsim šo kritēriju vēlāk, jo tas tiek izmantots arī mūsdienu sintaksē.
Mūsdienu komandu tips tiek izmantots arī Rx(config) globālajā konfigurācijas režīmā un izskatās šādi: ip access-list standarts <ACL numurs/nosaukums>. Šeit varat izmantot skaitli no 1 līdz 99 vai ACL saraksta nosaukumu, piemēram, ACL_Networking. Šī komanda nekavējoties ieslēdz sistēmu Rx standarta režīma apakškomandu režīmā (config-std-nacl), kur jāievada <deny/enable> <criteria>. Mūsdienu komandu tipam ir vairāk priekšrocību salīdzinājumā ar klasisko.
Ja klasiskajā sarakstā ierakstāt access-list 10 deny ______, pēc tam ierakstāt nākamo tāda paša veida komandu citam kritērijam un tiek iegūtas 100 šādas komandas, tad, lai mainītu kādu no ievadītajām komandām, jums būs nepieciešams dzēst visu piekļuves sarakstu sarakstu 10 ar komandu no access-list 10. Tādējādi tiks izdzēstas visas 100 komandas, jo šajā sarakstā nevar rediģēt nevienu atsevišķu komandu.
Mūsdienu sintaksē komanda ir sadalīta divās rindās, no kurām pirmā satur saraksta numuru. Pieņemsim, ja jums ir saraksta piekļuves saraksta standarts 10 liegts ________, piekļuves saraksta standarts 20 liegts ________ un tā tālāk, tad jums ir iespēja starp tiem ievietot starpposma sarakstus ar citiem kritērijiem, piemēram, piekļuves saraksta standarts 15 liegts ________ .
Alternatīvi, jūs varat vienkārši izdzēst piekļuves saraksta standarta rindiņas 20 un atkārtoti ierakstīt tās ar dažādiem parametriem starp piekļuves saraksta standarta 10 un piekļuves saraksta standarta rindiņām 30. Tādējādi ir dažādi veidi, kā rediģēt moderno ACL sintaksi.
Veidojot ACL, jums jābūt ļoti uzmanīgiem. Kā zināms, saraksti tiek lasīti no augšas uz leju. Ja augšpusē ievietojat rindu, kas nodrošina trafiku no konkrēta resursdatora, tad zemāk varat ievietot rindu, kas aizliedz trafiku no visa tīkla, kurā šis resursdators ir daļa, un tiks pārbaudīti abi nosacījumi — tiks veikta trafika uz konkrētu resursdatoru. tiks atļauts cauri, un trafika no visiem citiem šī tīkla saimniekiem tiks bloķēta. Tāpēc vienmēr ievietojiet konkrētus ierakstus saraksta augšdaļā un vispārīgos - apakšā.
Tātad, kad esat izveidojis klasisko vai moderno ACL, jums tas ir jāpiemēro. Lai to izdarītu, jums jāiet uz konkrēta interfeisa iestatījumiem, piemēram, f0/0, izmantojot komandu interfeisu <tips un slots>, pārejiet uz interfeisa apakškomandu režīmu un ievadiet komandu ip access-group <ACL numurs/ nosaukums> . Lūdzu, ņemiet vērā atšķirību: veidojot sarakstu, tiek izmantots piekļuves saraksts, bet, to lietojot, tiek izmantota piekļuves grupa. Jums ir jānosaka, kuram interfeisam šis saraksts tiks piemērots - ienākošajam vai izejošajam interfeisam. Ja sarakstam ir nosaukums, piemēram, Networking, tas pats nosaukums tiek atkārtots komandā, lai lietotu sarakstu šajā saskarnē.
Tagad pieņemsim konkrētu problēmu un mēģināsim to atrisināt, izmantojot mūsu tīkla diagrammas piemēru, izmantojot Packet Tracer. Tātad, mums ir 4 tīkli: pārdošanas nodaļa, grāmatvedības nodaļa, vadība un serveru telpa.
Uzdevums Nr. 1: ir jābloķē visa datplūsma, kas novirzīta no pārdošanas un finanšu nodaļas uz vadības nodaļu un serveru telpu. Bloķēšanas vieta ir maršrutētāja R0 interfeiss S1/0/2. Vispirms mums ir jāizveido saraksts, kurā ir šādi ieraksti:
Sauksim sarakstu par "Management and Server Security ACL", saīsināti kā ACL Secure_Ma_And_Se. Tam seko trafika aizliegšana no finanšu nodaļas tīkla 192.168.1.128/26, trafika aizliegšana no tirdzniecības nodaļas tīkla 192.168.1.0/25 un jebkādas citas trafika atļaušana. Saraksta beigās ir norādīts, ka tas tiek izmantots maršrutētāja R0 izejošajam interfeisam S1/0/2. Ja mums saraksta beigās nav ieraksta Atļaut jebkuru, visa pārējā trafika tiks bloķēta, jo noklusējuma ACL vienmēr ir iestatīts uz Liegt jebkuru ierakstu saraksta beigās.
Vai es varu lietot šo ACL saskarnei G0/0? Protams, es varu, bet šajā gadījumā tiks bloķēta tikai trafika no grāmatvedības nodaļas, un satiksme no tirdzniecības nodaļas netiks nekādā veidā ierobežota. Tādā pašā veidā varat lietot ACL G0/1 saskarnei, taču šajā gadījumā finanšu nodaļas trafika netiks bloķēta. Protams, šīm saskarnēm varam izveidot divus atsevišķus bloku sarakstus, taču daudz efektīvāk ir tos apvienot vienā sarakstā un pielietot maršrutētāja R2 izvades interfeisam vai maršrutētāja R0 ievades interfeisam S1/0/1.
Lai gan Cisco noteikumos teikts, ka standarta ACL ir jānovieto pēc iespējas tuvāk galamērķim, es to novietošu tuvāk trafika avotam, jo vēlos bloķēt visu izejošo trafiku, un ir lietderīgāk to darīt tuvāk avots, lai šī trafika netērētu tīklu starp diviem maršrutētājiem.
Es aizmirsu jums pastāstīt par kritērijiem, tāpēc ātri atgriezīsimies. Kā kritēriju varat norādīt jebkuru — šajā gadījumā jebkura trafika no jebkuras ierīces un jebkura tīkla tiks liegta vai atļauta. Varat arī norādīt resursdatoru ar tā identifikatoru - šajā gadījumā ieraksts būs konkrētas ierīces IP adrese. Visbeidzot, varat norādīt visu tīklu, piemēram, 192.168.1.10/24. Šajā gadījumā /24 nozīmēs apakštīkla maskas 255.255.255.0 klātbūtni, taču nav iespējams norādīt apakštīkla maskas IP adresi ACL. Šajā gadījumā ACL ir koncepcija, ko sauc par Wildcart masku vai "reverse mask". Tāpēc jums ir jānorāda IP adrese un atgriešanas maska. Reversā maska izskatās šādi: no vispārējās apakštīkla maskas ir jāatņem tiešā apakštīkla maska, tas ir, no 255 tiek atņemts skaitlis, kas atbilst okteta vērtībai tiešā maskā.
Tāpēc kā kritēriju ACL ir jāizmanto parametrs 192.168.1.10 0.0.0.255.
Kā tas strādā? Ja atgriešanas maskas oktetā ir 0, tiek uzskatīts, ka kritērijs atbilst apakštīkla IP adreses atbilstošajam oktetam. Ja muguras maskas oktetā ir skaitlis, atbilstība netiek pārbaudīta. Tādējādi tīklam 192.168.1.0 un atgriešanas maskai 0.0.0.255 visa trafika no adresēm, kuru pirmie trīs okteti ir vienādi ar 192.168.1., neatkarīgi no ceturtā okteta vērtības tiks bloķēta vai atļauta atkarībā no norādīto darbību.
Reversās maskas lietošana ir vienkārša, un mēs atgriezīsimies pie Wildcart maskas nākamajā videoklipā, lai es varētu izskaidrot, kā ar to strādāt.
28:50 min
Paldies, ka palikāt kopā ar mums. Vai jums patīk mūsu raksti? Vai vēlaties redzēt interesantāku saturu? Atbalsti mūs, pasūtot vai iesakot draugiem, 30% atlaide Habr lietotājiem unikālam sākuma līmeņa serveru analogam, ko mēs jums izgudrojām: (pieejams ar RAID1 un RAID10, līdz 24 kodoliem un līdz 40 GB DDR4).
Dell R730xd 2 reizes lētāk? Tikai šeit Nīderlandē! Dell R420 — 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB — no 99 USD! Lasīt par
Avots: www.habr.com
