ProHoster > Blogs > Administrācija > Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 1. daļa

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 1. daļa

Å odien mēs sāksim apgÅ«t ACL piekļuves kontroles sarakstu, Ŕī tēma aizņems 2 video nodarbÄ«bas. Mēs apskatÄ«sim standarta ACL konfigurāciju, un nākamajā video pamācÄ«bā es runāŔu par paplaÅ”ināto sarakstu.

Å ajā nodarbÄ«bā mēs apskatÄ«sim 3 tēmas. Pirmais ir tas, kas ir ACL, otrs ir atŔķirÄ«ba starp standarta un paplaÅ”ināto piekļuves sarakstu, un nodarbÄ«bas beigās mēs kā laboratorija aplÅ«kosim standarta ACL iestatÄ«Å”anu un iespējamo problēmu risināŔanu.
Tātad, kas ir ACL? Ja apguvāt kursu no paÅ”as pirmās video nodarbÄ«bas, tad atceraties, kā mēs organizējām saziņu starp dažādām tÄ«kla ierÄ«cēm.

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 1. daļa

Mēs arÄ« pētÄ«jām statisko marÅ”rutÄ“Å”anu, izmantojot dažādus protokolus, lai iegÅ«tu prasmes organizēt sakarus starp ierÄ«cēm un tÄ«kliem. Tagad esam sasnieguÅ”i mācÄ«Å”anās stadiju, kurā mums bÅ«tu jāuztraucas par satiksmes kontroles nodroÅ”ināŔanu, tas ir, nepieļautu "slikto puiÅ”u" vai nesankcionētu lietotāju iekļūŔanu tÄ«klā. Piemēram, tas var attiekties uz cilvēkiem no PĀRDOÅ ANAS pārdoÅ”anas nodaļas, kas ir attēlota Å”ajā diagrammā. Å eit tiek parādÄ«ta arÄ« finanÅ”u nodaļa KONTI, vadÄ«bas nodaļa VADÄŖBA un serveru telpa SERVER ROOM.
Tātad pārdoÅ”anas nodaļā var bÅ«t simts darbinieku, un mēs nevēlamies, lai neviens no viņiem tÄ«klā varētu sasniegt serveru telpu. Izņēmums ir pārdoÅ”anas vadÄ«tājam, kurÅ” strādā pie Laptop2 datora ā€“ viņam var bÅ«t pieeja serveru telpai. Jaunam darbiniekam, kas strādā pie klēpjdatora 3, Ŕādai piekļuvei nevajadzētu bÅ«t, tas ir, ja trafiks no viņa datora sasniedz marÅ”rutētāju R2, tas ir jāatceļ.

ACL uzdevums ir filtrēt trafiku atbilstoÅ”i norādÄ«tajiem filtrÄ“Å”anas parametriem. Tie ietver avota IP adresi, galamērÄ·a IP adresi, protokolu, portu skaitu un citus parametrus, pateicoties kuriem jÅ«s varat identificēt trafiku un veikt dažas darbÄ«bas ar to.

Tātad ACL ir OSI modeļa 3. slāņa filtrÄ“Å”anas mehānisms. Tas nozÄ«mē, ka Å”is mehānisms tiek izmantots marÅ”rutētājos. Galvenais filtrÄ“Å”anas kritērijs ir datu straumes identifikācija. Piemēram, ja mēs vēlamies bloķēt puisim ar Laptop3 datoru piekļuvi serverim, vispirms mums ir jāidentificē viņa trafika. Å Ä« satiksme pārvietojas virzienā Laptop-Switch2-R2-R1-Switch1-Server1 caur atbilstoÅ”ajām tÄ«kla ierīču saskarnēm, savukārt marÅ”rutētāju G0/0 saskarnēm ar to nav nekāda sakara.

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 1. daļa

Lai noteiktu satiksmi, mums ir jānosaka tās ceļŔ. Kad tas ir izdarÄ«ts, mēs varam izlemt, kur tieÅ”i mums ir jāuzstāda filtrs. Neuztraucieties par paÅ”iem filtriem, mēs tos apspriedÄ«sim nākamajā nodarbÄ«bā, pagaidām mums ir jāsaprot princips, kuram interfeisam ir jāpiemēro filtrs.

Ja paskatās uz marÅ”rutētāju, jÅ«s varat redzēt, ka katru reizi, kad satiksme pārvietojas, ir saskarne, kurā ienāk datu plÅ«sma, un saskarne, caur kuru Ŕī plÅ«sma iziet.

Faktiski ir 3 saskarnes: ievades saskarne, izvades saskarne un paÅ”a marÅ”rutētāja saskarne. Atcerieties, ka filtrÄ“Å”anu var lietot tikai ievades vai izvades saskarnei.

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 1. daļa

ACL darbÄ«bas princips ir lÄ«dzÄ«gs caurlaidei uz pasākumu, kuru var apmeklēt tikai tie viesi, kuru vārds ir uzaicināto personu sarakstā. ACL ir kvalifikācijas parametru saraksts, ko izmanto trafika identificÄ“Å”anai. Piemēram, Å”is saraksts norāda, ka visa trafika ir atļauta no IP adreses 192.168.1.10, un trafika no visām pārējām adresēm ir liegta. Kā jau teicu, Å”o sarakstu var attiecināt gan uz ievades, gan izvades saskarni.

Ir 2 ACL veidi: standarta un paplaÅ”inātie. Standarta ACL ir identifikators no 1 lÄ«dz 99 vai no 1300 lÄ«dz 1999. Tie ir vienkārÅ”i sarakstu nosaukumi, kuriem nav nekādu priekÅ”rocÄ«bu vienam pret otru, palielinoties numerācijai. Papildus numuram ACL varat pieŔķirt arÄ« savu vārdu. PaplaÅ”inātie ACL ir numurēti no 100 lÄ«dz 199 vai 2000 lÄ«dz 2699, un tiem var bÅ«t arÄ« nosaukums.

Standarta ACL klasifikācijas pamatā ir trafika avota IP adrese. Tāpēc, izmantojot Ŕādu sarakstu, jÅ«s nevarat ierobežot trafiku, kas vērsta uz jebkuru avotu, jÅ«s varat bloķēt tikai trafiku, kas rodas no ierÄ«ces.

PaplaÅ”inātais ACL klasificē trafiku pēc avota IP adreses, galamērÄ·a IP adreses, izmantotā protokola un porta numura. Piemēram, varat bloķēt tikai FTP trafiku vai tikai HTTP trafiku. Å odien mēs apskatÄ«sim standarta ACL, un nākamo video nodarbÄ«bu veltÄ«sim paplaÅ”inātajiem sarakstiem.

Kā jau teicu, ACL ir nosacÄ«jumu saraksts. Kad esat lietojis Å”o sarakstu marÅ”rutētāja ienākoÅ”ajam vai izejoÅ”ajam interfeisam, marÅ”rutētājs pārbauda datplÅ«smu Å”ajā sarakstā un, ja tas atbilst sarakstā izklāstÄ«tajiem nosacÄ«jumiem, izlemj, vai atļaut vai aizliegt Å”o trafiku. Cilvēkiem bieži ir grÅ«ti noteikt marÅ”rutētāja ievades un izvades saskarnes, lai gan Å”eit nav nekā sarežģīta. Ja mēs runājam par ienākoÅ”o saskarni, tas nozÄ«mē, ka Å”ajā portā tiks kontrolēta tikai ienākoŔā trafika, un marÅ”rutētājs nepiemēros ierobežojumus izejoÅ”ajai trafikai. Tāpat, ja mēs runājam par izejas saskarni, tas nozÄ«mē, ka visi noteikumi attieksies tikai uz izejoÅ”o trafiku, savukārt ienākoŔā trafika Å”ajā portā tiks pieņemta bez ierobežojumiem. Piemēram, ja marÅ”rutētājam ir 2 porti: f0/0 un f0/1, tad ACL tiks lietots tikai trafikam, kas ienāk f0/0 interfeisā, vai tikai trafikam, kas rodas no f0/1 interfeisa. Satiksmi, kas iebrauc vai izbrauc saskarnē f0/1, saraksts neietekmēs.

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 1. daļa

Tāpēc nevajag mulsināt saskarnes ienākoÅ”o vai izejoÅ”o virzienu, tas ir atkarÄ«gs no konkrētās satiksmes virziena. Tātad, pēc tam, kad marÅ”rutētājs ir pārbaudÄ«jis trafiku, vai tas atbilst ACL nosacÄ«jumiem, tas var pieņemt tikai divus lēmumus: atļaut trafiku vai to noraidÄ«t. Piemēram, varat atļaut satiksmi, kuras mērÄ·is ir 180.160.1.30, un noraidÄ«t satiksmi, kuras mērÄ·is ir 192.168.1.10. Katrā sarakstā var bÅ«t vairāki nosacÄ«jumi, taču katram no Å”iem nosacÄ«jumiem ir jāatļauj vai jānoliedz.

Pieņemsim, ka mums ir saraksts:

Aizliegt _______
Atļaut ________
Atļaut ________
Aizliegt _________.

Pirmkārt, marÅ”rutētājs pārbaudÄ«s trafiku, lai noskaidrotu, vai tas atbilst pirmajam nosacÄ«jumam; ja tas neatbilst, tas pārbaudÄ«s otro nosacÄ«jumu. Ja satiksme atbilst treÅ”ajam nosacÄ«jumam, marÅ”rutētājs pārtrauks pārbaudi un nesalÄ«dzinās to ar pārējiem saraksta nosacÄ«jumiem. Tas veiks darbÄ«bu ā€œatļautā€ un pāries uz nākamās satiksmes daļas pārbaudi.

Ja nevienai paketei neesat iestatījis kārtulu un trafiks iet cauri visām saraksta rindiņām, neizpildot nevienu no nosacījumiem, tas tiek iznīcināts, jo katrs ACL saraksts pēc noklusējuma beidzas ar komandu noliegt jebkuru - tas ir, atmest jebkura pakete, uz kuru neattiecas neviens no noteikumiem. Šis nosacījums stājas spēkā, ja sarakstā ir vismaz viens noteikums, pretējā gadījumā tam nav nekādas ietekmes. Bet, ja pirmajā rindā ir ieraksts deny 192.168.1.30 un sarakstā vairs nav nekādu nosacījumu, tad beigās ir jābūt komandai, kas atļauj jebkuru, tas ir, atļaut jebkuru trafiku, izņemot to, ko aizliedz noteikums. Tas ir jāņem vērā, lai izvairītos no kļūdām, konfigurējot ACL.

Es vēlos, lai jÅ«s atceraties ASL saraksta izveides pamatnoteikumu: novietojiet standarta ASL pēc iespējas tuvāk galamērÄ·im, tas ir, trafika saņēmējam, un novietojiet paplaÅ”ināto ASL pēc iespējas tuvāk avotam, tas ir, satiksmes nosÅ«tÄ«tājam. Tie ir Cisco ieteikumi, taču praksē ir situācijas, kad ir saprātÄ«gāk novietot standarta ACL tuvu trafika avotam. Bet, ja eksāmena laikā saskaraties ar jautājumu par ACL izvietoÅ”anas noteikumiem, ievērojiet Cisco ieteikumus un atbildiet nepārprotami: standarts ir tuvāk galamērÄ·im, paplaÅ”inātais ir tuvāk avotam.

Tagad apskatÄ«sim standarta ACL sintaksi. MarÅ”rutētāja globālajā konfigurācijas režīmā ir divu veidu komandu sintakse: klasiskā sintakse un modernā sintakse.

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 1. daļa

Klasiskais komandas veids ir access-list <ACL numurs> <liegt/atļaut> <kritēriji>. Ja iestatāt <ACL numurs> no 1 lÄ«dz 99, ierÄ«ce automātiski sapratÄ«s, ka tas ir standarta ACL, un, ja tas ir no 100 lÄ«dz 199, tad tas ir paplaÅ”ināts. Tā kā Å”odienas nodarbÄ«bā mēs skatāmies uz standarta sarakstu, mēs varam izmantot jebkuru skaitli no 1 lÄ«dz 99. Pēc tam mēs norādām darbÄ«bu, kas jāveic, ja parametri atbilst sekojoÅ”am kritērijam - atļaut vai liegt trafiku. Mēs apsvērsim Å”o kritēriju vēlāk, jo tas tiek izmantots arÄ« mÅ«sdienu sintaksē.

MÅ«sdienu komandu tips tiek izmantots arÄ« Rx(config) globālajā konfigurācijas režīmā un izskatās Ŕādi: ip access-list standarts <ACL numurs/nosaukums>. Å eit varat izmantot skaitli no 1 lÄ«dz 99 vai ACL saraksta nosaukumu, piemēram, ACL_Networking. Å Ä« komanda nekavējoties ieslēdz sistēmu Rx standarta režīma apakÅ”komandu režīmā (config-std-nacl), kur jāievada <deny/enable> <criteria>. MÅ«sdienu komandu tipam ir vairāk priekÅ”rocÄ«bu salÄ«dzinājumā ar klasisko.

Ja klasiskajā sarakstā ierakstāt access-list 10 deny ______, pēc tam ierakstāt nākamo tāda paÅ”a veida komandu citam kritērijam un tiek iegÅ«tas 100 Ŕādas komandas, tad, lai mainÄ«tu kādu no ievadÄ«tajām komandām, jums bÅ«s nepiecieÅ”ams dzēst visu piekļuves sarakstu sarakstu 10 ar komandu no access-list 10. Tādējādi tiks izdzēstas visas 100 komandas, jo Å”ajā sarakstā nevar rediģēt nevienu atseviŔķu komandu.

Mūsdienu sintaksē komanda ir sadalīta divās rindās, no kurām pirmā satur saraksta numuru. Pieņemsim, ja jums ir saraksta piekļuves saraksta standarts 10 liegts ________, piekļuves saraksta standarts 20 liegts ________ un tā tālāk, tad jums ir iespēja starp tiem ievietot starpposma sarakstus ar citiem kritērijiem, piemēram, piekļuves saraksta standarts 15 liegts ________ .

AlternatÄ«vi, jÅ«s varat vienkārÅ”i izdzēst piekļuves saraksta standarta rindiņas 20 un atkārtoti ierakstÄ«t tās ar dažādiem parametriem starp piekļuves saraksta standarta 10 un piekļuves saraksta standarta rindiņām 30. Tādējādi ir dažādi veidi, kā rediģēt moderno ACL sintaksi.

Veidojot ACL, jums jābÅ«t ļoti uzmanÄ«giem. Kā zināms, saraksti tiek lasÄ«ti no augÅ”as uz leju. Ja augÅ”pusē ievietojat rindu, kas nodroÅ”ina trafiku no konkrēta resursdatora, tad zemāk varat ievietot rindu, kas aizliedz trafiku no visa tÄ«kla, kurā Å”is resursdators ir daļa, un tiks pārbaudÄ«ti abi nosacÄ«jumi ā€” tiks veikta trafika uz konkrētu resursdatoru. tiks atļauts cauri, un trafika no visiem citiem Ŕī tÄ«kla saimniekiem tiks bloķēta. Tāpēc vienmēr ievietojiet konkrētus ierakstus saraksta augÅ”daļā un vispārÄ«gos - apakŔā.

Tātad, kad esat izveidojis klasisko vai moderno ACL, jums tas ir jāpiemēro. Lai to izdarÄ«tu, jums jāiet uz konkrēta interfeisa iestatÄ«jumiem, piemēram, f0/0, izmantojot komandu interfeisu <tips un slots>, pārejiet uz interfeisa apakÅ”komandu režīmu un ievadiet komandu ip access-group <ACL numurs/ nosaukums> . LÅ«dzu, ņemiet vērā atŔķirÄ«bu: veidojot sarakstu, tiek izmantots piekļuves saraksts, bet, to lietojot, tiek izmantota piekļuves grupa. Jums ir jānosaka, kuram interfeisam Å”is saraksts tiks piemērots - ienākoÅ”ajam vai izejoÅ”ajam interfeisam. Ja sarakstam ir nosaukums, piemēram, Networking, tas pats nosaukums tiek atkārtots komandā, lai lietotu sarakstu Å”ajā saskarnē.

Tagad pieņemsim konkrētu problēmu un mēģināsim to atrisināt, izmantojot mÅ«su tÄ«kla diagrammas piemēru, izmantojot Packet Tracer. Tātad, mums ir 4 tÄ«kli: pārdoÅ”anas nodaļa, grāmatvedÄ«bas nodaļa, vadÄ«ba un serveru telpa.

Uzdevums Nr. 1: ir jābloķē visa datplÅ«sma, kas novirzÄ«ta no pārdoÅ”anas un finanÅ”u nodaļas uz vadÄ«bas nodaļu un serveru telpu. BloÄ·Ä“Å”anas vieta ir marÅ”rutētāja R0 interfeiss S1/0/2. Vispirms mums ir jāizveido saraksts, kurā ir Ŕādi ieraksti:

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 1. daļa

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 1. daļa

Sauksim sarakstu par "Management and Server Security ACL", saÄ«sināti kā ACL Secure_Ma_And_Se. Tam seko trafika aizliegÅ”ana no finanÅ”u nodaļas tÄ«kla 192.168.1.128/26, trafika aizliegÅ”ana no tirdzniecÄ«bas nodaļas tÄ«kla 192.168.1.0/25 un jebkādas citas trafika atļauÅ”ana. Saraksta beigās ir norādÄ«ts, ka tas tiek izmantots marÅ”rutētāja R0 izejoÅ”ajam interfeisam S1/0/2. Ja mums saraksta beigās nav ieraksta Atļaut jebkuru, visa pārējā trafika tiks bloķēta, jo noklusējuma ACL vienmēr ir iestatÄ«ts uz Liegt jebkuru ierakstu saraksta beigās.

Vai es varu lietot Å”o ACL saskarnei G0/0? Protams, es varu, bet Å”ajā gadÄ«jumā tiks bloķēta tikai trafika no grāmatvedÄ«bas nodaļas, un satiksme no tirdzniecÄ«bas nodaļas netiks nekādā veidā ierobežota. Tādā paŔā veidā varat lietot ACL G0/1 saskarnei, taču Å”ajā gadÄ«jumā finanÅ”u nodaļas trafika netiks bloķēta. Protams, Ŕīm saskarnēm varam izveidot divus atseviŔķus bloku sarakstus, taču daudz efektÄ«vāk ir tos apvienot vienā sarakstā un pielietot marÅ”rutētāja R2 izvades interfeisam vai marÅ”rutētāja R0 ievades interfeisam S1/0/1.

Lai gan Cisco noteikumos teikts, ka standarta ACL ir jānovieto pēc iespējas tuvāk galamērÄ·im, es to novietoÅ”u tuvāk trafika avotam, jo ā€‹ā€‹vēlos bloķēt visu izejoÅ”o trafiku, un ir lietderÄ«gāk to darÄ«t tuvāk avots, lai Ŕī trafika netērētu tÄ«klu starp diviem marÅ”rutētājiem.

Es aizmirsu jums pastāstÄ«t par kritērijiem, tāpēc ātri atgriezÄ«simies. Kā kritēriju varat norādÄ«t jebkuru ā€” Å”ajā gadÄ«jumā jebkura trafika no jebkuras ierÄ«ces un jebkura tÄ«kla tiks liegta vai atļauta. Varat arÄ« norādÄ«t resursdatoru ar tā identifikatoru - Å”ajā gadÄ«jumā ieraksts bÅ«s konkrētas ierÄ«ces IP adrese. Visbeidzot, varat norādÄ«t visu tÄ«klu, piemēram, 192.168.1.10/24. Å ajā gadÄ«jumā /24 nozÄ«mēs apakÅ”tÄ«kla maskas 255.255.255.0 klātbÅ«tni, taču nav iespējams norādÄ«t apakÅ”tÄ«kla maskas IP adresi ACL. Å ajā gadÄ«jumā ACL ir koncepcija, ko sauc par Wildcart masku vai "reverse mask". Tāpēc jums ir jānorāda IP adrese un atgrieÅ”anas maska. Reversā maska ā€‹ā€‹izskatās Ŕādi: no vispārējās apakÅ”tÄ«kla maskas ir jāatņem tieŔā apakÅ”tÄ«kla maska, tas ir, no 255 tiek atņemts skaitlis, kas atbilst okteta vērtÄ«bai tieŔā maskā.

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 1. daļa

Tāpēc kā kritēriju ACL ir jāizmanto parametrs 192.168.1.10 0.0.0.255.

Kā tas strādā? Ja atgrieÅ”anas maskas oktetā ir 0, tiek uzskatÄ«ts, ka kritērijs atbilst apakÅ”tÄ«kla IP adreses atbilstoÅ”ajam oktetam. Ja muguras maskas oktetā ir skaitlis, atbilstÄ«ba netiek pārbaudÄ«ta. Tādējādi tÄ«klam 192.168.1.0 un atgrieÅ”anas maskai 0.0.0.255 visa trafika no adresēm, kuru pirmie trÄ«s okteti ir vienādi ar 192.168.1., neatkarÄ«gi no ceturtā okteta vērtÄ«bas tiks bloķēta vai atļauta atkarÄ«bā no norādÄ«to darbÄ«bu.

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 1. daļa

Reversās maskas lietoÅ”ana ir vienkārÅ”a, un mēs atgriezÄ«simies pie Wildcart maskas nākamajā videoklipā, lai es varētu izskaidrot, kā ar to strādāt.

28:50 min


Paldies, ka palikāt kopā ar mums. Vai jums patīk mūsu raksti? Vai vēlaties redzēt interesantāku saturu? Atbalsti mūs, pasūtot vai iesakot draugiem, 30% atlaide Habr lietotājiem unikālam sākuma līmeņa serveru analogam, ko mēs jums izgudrojām: Visa patiesība par VPS (KVM) E5-2650 v4 (6 kodoli) 10GB DDR4 240GB SSD 1Gbps no 20$ vai kā koplietot serveri? (pieejams ar RAID1 un RAID10, līdz 24 kodoliem un līdz 40 GB DDR4).

Dell R730xd 2 reizes lētāk? Tikai Å”eit 2x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV no 199$ NÄ«derlandē! Dell R420 ā€” 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB ā€” no 99 USD! LasÄ«t par Kā izveidot infrastruktÅ«ras uzņēmumu klase ar Dell R730xd E5-2650 v4 serveru izmantoÅ”anu 9000 eiro par santÄ«mu?

Avots: www.habr.com

Pievieno komentāru