Å odien mÄs sÄksim apgÅ«t ACL piekļuves kontroles sarakstu, Ŕī tÄma aizÅems 2 video nodarbÄ«bas. MÄs apskatÄ«sim standarta ACL konfigurÄciju, un nÄkamajÄ video pamÄcÄ«bÄ es runÄÅ”u par paplaÅ”inÄto sarakstu.
Å ajÄ nodarbÄ«bÄ mÄs apskatÄ«sim 3 tÄmas. Pirmais ir tas, kas ir ACL, otrs ir atŔķirÄ«ba starp standarta un paplaÅ”inÄto piekļuves sarakstu, un nodarbÄ«bas beigÄs mÄs kÄ laboratorija aplÅ«kosim standarta ACL iestatÄ«Å”anu un iespÄjamo problÄmu risinÄÅ”anu.
TÄtad, kas ir ACL? Ja apguvÄt kursu no paÅ”as pirmÄs video nodarbÄ«bas, tad atceraties, kÄ mÄs organizÄjÄm saziÅu starp dažÄdÄm tÄ«kla ierÄ«cÄm.
MÄs arÄ« pÄtÄ«jÄm statisko marÅ”rutÄÅ”anu, izmantojot dažÄdus protokolus, lai iegÅ«tu prasmes organizÄt sakarus starp ierÄ«cÄm un tÄ«kliem. Tagad esam sasnieguÅ”i mÄcÄ«Å”anÄs stadiju, kurÄ mums bÅ«tu jÄuztraucas par satiksmes kontroles nodroÅ”inÄÅ”anu, tas ir, nepieļautu "slikto puiÅ”u" vai nesankcionÄtu lietotÄju iekļūŔanu tÄ«klÄ. PiemÄram, tas var attiekties uz cilvÄkiem no PÄRDOÅ ANAS pÄrdoÅ”anas nodaļas, kas ir attÄlota Å”ajÄ diagrammÄ. Å eit tiek parÄdÄ«ta arÄ« finanÅ”u nodaļa KONTI, vadÄ«bas nodaļa VADÄŖBA un serveru telpa SERVER ROOM.
TÄtad pÄrdoÅ”anas nodaÄ¼Ä var bÅ«t simts darbinieku, un mÄs nevÄlamies, lai neviens no viÅiem tÄ«klÄ varÄtu sasniegt serveru telpu. IzÅÄmums ir pÄrdoÅ”anas vadÄ«tÄjam, kurÅ” strÄdÄ pie Laptop2 datora ā viÅam var bÅ«t pieeja serveru telpai. Jaunam darbiniekam, kas strÄdÄ pie klÄpjdatora 3, Å”Ädai piekļuvei nevajadzÄtu bÅ«t, tas ir, ja trafiks no viÅa datora sasniedz marÅ”rutÄtÄju R2, tas ir jÄatceļ.
ACL uzdevums ir filtrÄt trafiku atbilstoÅ”i norÄdÄ«tajiem filtrÄÅ”anas parametriem. Tie ietver avota IP adresi, galamÄrÄ·a IP adresi, protokolu, portu skaitu un citus parametrus, pateicoties kuriem jÅ«s varat identificÄt trafiku un veikt dažas darbÄ«bas ar to.
TÄtad ACL ir OSI modeļa 3. slÄÅa filtrÄÅ”anas mehÄnisms. Tas nozÄ«mÄ, ka Å”is mehÄnisms tiek izmantots marÅ”rutÄtÄjos. Galvenais filtrÄÅ”anas kritÄrijs ir datu straumes identifikÄcija. PiemÄram, ja mÄs vÄlamies bloÄ·Ät puisim ar Laptop3 datoru piekļuvi serverim, vispirms mums ir jÄidentificÄ viÅa trafika. Å Ä« satiksme pÄrvietojas virzienÄ Laptop-Switch2-R2-R1-Switch1-Server1 caur atbilstoÅ”ajÄm tÄ«kla ierÄ«Äu saskarnÄm, savukÄrt marÅ”rutÄtÄju G0/0 saskarnÄm ar to nav nekÄda sakara.
Lai noteiktu satiksmi, mums ir jÄnosaka tÄs ceļŔ. Kad tas ir izdarÄ«ts, mÄs varam izlemt, kur tieÅ”i mums ir jÄuzstÄda filtrs. Neuztraucieties par paÅ”iem filtriem, mÄs tos apspriedÄ«sim nÄkamajÄ nodarbÄ«bÄ, pagaidÄm mums ir jÄsaprot princips, kuram interfeisam ir jÄpiemÄro filtrs.
Ja paskatÄs uz marÅ”rutÄtÄju, jÅ«s varat redzÄt, ka katru reizi, kad satiksme pÄrvietojas, ir saskarne, kurÄ ienÄk datu plÅ«sma, un saskarne, caur kuru Ŕī plÅ«sma iziet.
Faktiski ir 3 saskarnes: ievades saskarne, izvades saskarne un paÅ”a marÅ”rutÄtÄja saskarne. Atcerieties, ka filtrÄÅ”anu var lietot tikai ievades vai izvades saskarnei.
ACL darbÄ«bas princips ir lÄ«dzÄ«gs caurlaidei uz pasÄkumu, kuru var apmeklÄt tikai tie viesi, kuru vÄrds ir uzaicinÄto personu sarakstÄ. ACL ir kvalifikÄcijas parametru saraksts, ko izmanto trafika identificÄÅ”anai. PiemÄram, Å”is saraksts norÄda, ka visa trafika ir atļauta no IP adreses 192.168.1.10, un trafika no visÄm pÄrÄjÄm adresÄm ir liegta. KÄ jau teicu, Å”o sarakstu var attiecinÄt gan uz ievades, gan izvades saskarni.
Ir 2 ACL veidi: standarta un paplaÅ”inÄtie. Standarta ACL ir identifikators no 1 lÄ«dz 99 vai no 1300 lÄ«dz 1999. Tie ir vienkÄrÅ”i sarakstu nosaukumi, kuriem nav nekÄdu priekÅ”rocÄ«bu vienam pret otru, palielinoties numerÄcijai. Papildus numuram ACL varat pieŔķirt arÄ« savu vÄrdu. PaplaÅ”inÄtie ACL ir numurÄti no 100 lÄ«dz 199 vai 2000 lÄ«dz 2699, un tiem var bÅ«t arÄ« nosaukums.
Standarta ACL klasifikÄcijas pamatÄ ir trafika avota IP adrese. TÄpÄc, izmantojot Å”Ädu sarakstu, jÅ«s nevarat ierobežot trafiku, kas vÄrsta uz jebkuru avotu, jÅ«s varat bloÄ·Ät tikai trafiku, kas rodas no ierÄ«ces.
PaplaÅ”inÄtais ACL klasificÄ trafiku pÄc avota IP adreses, galamÄrÄ·a IP adreses, izmantotÄ protokola un porta numura. PiemÄram, varat bloÄ·Ät tikai FTP trafiku vai tikai HTTP trafiku. Å odien mÄs apskatÄ«sim standarta ACL, un nÄkamo video nodarbÄ«bu veltÄ«sim paplaÅ”inÄtajiem sarakstiem.
KÄ jau teicu, ACL ir nosacÄ«jumu saraksts. Kad esat lietojis Å”o sarakstu marÅ”rutÄtÄja ienÄkoÅ”ajam vai izejoÅ”ajam interfeisam, marÅ”rutÄtÄjs pÄrbauda datplÅ«smu Å”ajÄ sarakstÄ un, ja tas atbilst sarakstÄ izklÄstÄ«tajiem nosacÄ«jumiem, izlemj, vai atļaut vai aizliegt Å”o trafiku. CilvÄkiem bieži ir grÅ«ti noteikt marÅ”rutÄtÄja ievades un izvades saskarnes, lai gan Å”eit nav nekÄ sarežģīta. Ja mÄs runÄjam par ienÄkoÅ”o saskarni, tas nozÄ«mÄ, ka Å”ajÄ portÄ tiks kontrolÄta tikai ienÄkoÅ”Ä trafika, un marÅ”rutÄtÄjs nepiemÄros ierobežojumus izejoÅ”ajai trafikai. TÄpat, ja mÄs runÄjam par izejas saskarni, tas nozÄ«mÄ, ka visi noteikumi attieksies tikai uz izejoÅ”o trafiku, savukÄrt ienÄkoÅ”Ä trafika Å”ajÄ portÄ tiks pieÅemta bez ierobežojumiem. PiemÄram, ja marÅ”rutÄtÄjam ir 2 porti: f0/0 un f0/1, tad ACL tiks lietots tikai trafikam, kas ienÄk f0/0 interfeisÄ, vai tikai trafikam, kas rodas no f0/1 interfeisa. Satiksmi, kas iebrauc vai izbrauc saskarnÄ f0/1, saraksts neietekmÄs.
TÄpÄc nevajag mulsinÄt saskarnes ienÄkoÅ”o vai izejoÅ”o virzienu, tas ir atkarÄ«gs no konkrÄtÄs satiksmes virziena. TÄtad, pÄc tam, kad marÅ”rutÄtÄjs ir pÄrbaudÄ«jis trafiku, vai tas atbilst ACL nosacÄ«jumiem, tas var pieÅemt tikai divus lÄmumus: atļaut trafiku vai to noraidÄ«t. PiemÄram, varat atļaut satiksmi, kuras mÄrÄ·is ir 180.160.1.30, un noraidÄ«t satiksmi, kuras mÄrÄ·is ir 192.168.1.10. KatrÄ sarakstÄ var bÅ«t vairÄki nosacÄ«jumi, taÄu katram no Å”iem nosacÄ«jumiem ir jÄatļauj vai jÄnoliedz.
PieÅemsim, ka mums ir saraksts:
Aizliegt _______
Atļaut ________
Atļaut ________
Aizliegt _________.
PirmkÄrt, marÅ”rutÄtÄjs pÄrbaudÄ«s trafiku, lai noskaidrotu, vai tas atbilst pirmajam nosacÄ«jumam; ja tas neatbilst, tas pÄrbaudÄ«s otro nosacÄ«jumu. Ja satiksme atbilst treÅ”ajam nosacÄ«jumam, marÅ”rutÄtÄjs pÄrtrauks pÄrbaudi un nesalÄ«dzinÄs to ar pÄrÄjiem saraksta nosacÄ«jumiem. Tas veiks darbÄ«bu āatļautā un pÄries uz nÄkamÄs satiksmes daļas pÄrbaudi.
Ja nevienai paketei neesat iestatÄ«jis kÄrtulu un trafiks iet cauri visÄm saraksta rindiÅÄm, neizpildot nevienu no nosacÄ«jumiem, tas tiek iznÄ«cinÄts, jo katrs ACL saraksts pÄc noklusÄjuma beidzas ar komandu noliegt jebkuru - tas ir, atmest jebkura pakete, uz kuru neattiecas neviens no noteikumiem. Å is nosacÄ«jums stÄjas spÄkÄ, ja sarakstÄ ir vismaz viens noteikums, pretÄjÄ gadÄ«jumÄ tam nav nekÄdas ietekmes. Bet, ja pirmajÄ rindÄ ir ieraksts deny 192.168.1.30 un sarakstÄ vairs nav nekÄdu nosacÄ«jumu, tad beigÄs ir jÄbÅ«t komandai, kas atļauj jebkuru, tas ir, atļaut jebkuru trafiku, izÅemot to, ko aizliedz noteikums. Tas ir jÄÅem vÄrÄ, lai izvairÄ«tos no kļūdÄm, konfigurÄjot ACL.
Es vÄlos, lai jÅ«s atceraties ASL saraksta izveides pamatnoteikumu: novietojiet standarta ASL pÄc iespÄjas tuvÄk galamÄrÄ·im, tas ir, trafika saÅÄmÄjam, un novietojiet paplaÅ”inÄto ASL pÄc iespÄjas tuvÄk avotam, tas ir, satiksmes nosÅ«tÄ«tÄjam. Tie ir Cisco ieteikumi, taÄu praksÄ ir situÄcijas, kad ir saprÄtÄ«gÄk novietot standarta ACL tuvu trafika avotam. Bet, ja eksÄmena laikÄ saskaraties ar jautÄjumu par ACL izvietoÅ”anas noteikumiem, ievÄrojiet Cisco ieteikumus un atbildiet nepÄrprotami: standarts ir tuvÄk galamÄrÄ·im, paplaÅ”inÄtais ir tuvÄk avotam.
Tagad apskatÄ«sim standarta ACL sintaksi. MarÅ”rutÄtÄja globÄlajÄ konfigurÄcijas režīmÄ ir divu veidu komandu sintakse: klasiskÄ sintakse un modernÄ sintakse.
Klasiskais komandas veids ir access-list <ACL numurs> <liegt/atļaut> <kritÄriji>. Ja iestatÄt <ACL numurs> no 1 lÄ«dz 99, ierÄ«ce automÄtiski sapratÄ«s, ka tas ir standarta ACL, un, ja tas ir no 100 lÄ«dz 199, tad tas ir paplaÅ”inÄts. TÄ kÄ Å”odienas nodarbÄ«bÄ mÄs skatÄmies uz standarta sarakstu, mÄs varam izmantot jebkuru skaitli no 1 lÄ«dz 99. PÄc tam mÄs norÄdÄm darbÄ«bu, kas jÄveic, ja parametri atbilst sekojoÅ”am kritÄrijam - atļaut vai liegt trafiku. MÄs apsvÄrsim Å”o kritÄriju vÄlÄk, jo tas tiek izmantots arÄ« mÅ«sdienu sintaksÄ.
MÅ«sdienu komandu tips tiek izmantots arÄ« Rx(config) globÄlajÄ konfigurÄcijas režīmÄ un izskatÄs Å”Ädi: ip access-list standarts <ACL numurs/nosaukums>. Å eit varat izmantot skaitli no 1 lÄ«dz 99 vai ACL saraksta nosaukumu, piemÄram, ACL_Networking. Å Ä« komanda nekavÄjoties ieslÄdz sistÄmu Rx standarta režīma apakÅ”komandu režīmÄ (config-std-nacl), kur jÄievada <deny/enable> <criteria>. MÅ«sdienu komandu tipam ir vairÄk priekÅ”rocÄ«bu salÄ«dzinÄjumÄ ar klasisko.
Ja klasiskajÄ sarakstÄ ierakstÄt access-list 10 deny ______, pÄc tam ierakstÄt nÄkamo tÄda paÅ”a veida komandu citam kritÄrijam un tiek iegÅ«tas 100 Å”Ädas komandas, tad, lai mainÄ«tu kÄdu no ievadÄ«tajÄm komandÄm, jums bÅ«s nepiecieÅ”ams dzÄst visu piekļuves sarakstu sarakstu 10 ar komandu no access-list 10. TÄdÄjÄdi tiks izdzÄstas visas 100 komandas, jo Å”ajÄ sarakstÄ nevar rediÄ£Ät nevienu atseviŔķu komandu.
MÅ«sdienu sintaksÄ komanda ir sadalÄ«ta divÄs rindÄs, no kurÄm pirmÄ satur saraksta numuru. PieÅemsim, ja jums ir saraksta piekļuves saraksta standarts 10 liegts ________, piekļuves saraksta standarts 20 liegts ________ un tÄ tÄlÄk, tad jums ir iespÄja starp tiem ievietot starpposma sarakstus ar citiem kritÄrijiem, piemÄram, piekļuves saraksta standarts 15 liegts ________ .
AlternatÄ«vi, jÅ«s varat vienkÄrÅ”i izdzÄst piekļuves saraksta standarta rindiÅas 20 un atkÄrtoti ierakstÄ«t tÄs ar dažÄdiem parametriem starp piekļuves saraksta standarta 10 un piekļuves saraksta standarta rindiÅÄm 30. TÄdÄjÄdi ir dažÄdi veidi, kÄ rediÄ£Ät moderno ACL sintaksi.
Veidojot ACL, jums jÄbÅ«t ļoti uzmanÄ«giem. KÄ zinÄms, saraksti tiek lasÄ«ti no augÅ”as uz leju. Ja augÅ”pusÄ ievietojat rindu, kas nodroÅ”ina trafiku no konkrÄta resursdatora, tad zemÄk varat ievietot rindu, kas aizliedz trafiku no visa tÄ«kla, kurÄ Å”is resursdators ir daļa, un tiks pÄrbaudÄ«ti abi nosacÄ«jumi ā tiks veikta trafika uz konkrÄtu resursdatoru. tiks atļauts cauri, un trafika no visiem citiem Ŕī tÄ«kla saimniekiem tiks bloÄ·Äta. TÄpÄc vienmÄr ievietojiet konkrÄtus ierakstus saraksta augÅ”daÄ¼Ä un vispÄrÄ«gos - apakÅ”Ä.
TÄtad, kad esat izveidojis klasisko vai moderno ACL, jums tas ir jÄpiemÄro. Lai to izdarÄ«tu, jums jÄiet uz konkrÄta interfeisa iestatÄ«jumiem, piemÄram, f0/0, izmantojot komandu interfeisu <tips un slots>, pÄrejiet uz interfeisa apakÅ”komandu režīmu un ievadiet komandu ip access-group <ACL numurs/ nosaukums> . LÅ«dzu, Åemiet vÄrÄ atŔķirÄ«bu: veidojot sarakstu, tiek izmantots piekļuves saraksts, bet, to lietojot, tiek izmantota piekļuves grupa. Jums ir jÄnosaka, kuram interfeisam Å”is saraksts tiks piemÄrots - ienÄkoÅ”ajam vai izejoÅ”ajam interfeisam. Ja sarakstam ir nosaukums, piemÄram, Networking, tas pats nosaukums tiek atkÄrtots komandÄ, lai lietotu sarakstu Å”ajÄ saskarnÄ.
Tagad pieÅemsim konkrÄtu problÄmu un mÄÄ£inÄsim to atrisinÄt, izmantojot mÅ«su tÄ«kla diagrammas piemÄru, izmantojot Packet Tracer. TÄtad, mums ir 4 tÄ«kli: pÄrdoÅ”anas nodaļa, grÄmatvedÄ«bas nodaļa, vadÄ«ba un serveru telpa.
Uzdevums Nr. 1: ir jÄbloÄ·Ä visa datplÅ«sma, kas novirzÄ«ta no pÄrdoÅ”anas un finanÅ”u nodaļas uz vadÄ«bas nodaļu un serveru telpu. BloÄ·ÄÅ”anas vieta ir marÅ”rutÄtÄja R0 interfeiss S1/0/2. Vispirms mums ir jÄizveido saraksts, kurÄ ir Å”Ädi ieraksti:
Sauksim sarakstu par "Management and Server Security ACL", saÄ«sinÄti kÄ ACL Secure_Ma_And_Se. Tam seko trafika aizliegÅ”ana no finanÅ”u nodaļas tÄ«kla 192.168.1.128/26, trafika aizliegÅ”ana no tirdzniecÄ«bas nodaļas tÄ«kla 192.168.1.0/25 un jebkÄdas citas trafika atļauÅ”ana. Saraksta beigÄs ir norÄdÄ«ts, ka tas tiek izmantots marÅ”rutÄtÄja R0 izejoÅ”ajam interfeisam S1/0/2. Ja mums saraksta beigÄs nav ieraksta Atļaut jebkuru, visa pÄrÄjÄ trafika tiks bloÄ·Äta, jo noklusÄjuma ACL vienmÄr ir iestatÄ«ts uz Liegt jebkuru ierakstu saraksta beigÄs.
Vai es varu lietot Å”o ACL saskarnei G0/0? Protams, es varu, bet Å”ajÄ gadÄ«jumÄ tiks bloÄ·Äta tikai trafika no grÄmatvedÄ«bas nodaļas, un satiksme no tirdzniecÄ«bas nodaļas netiks nekÄdÄ veidÄ ierobežota. TÄdÄ paÅ”Ä veidÄ varat lietot ACL G0/1 saskarnei, taÄu Å”ajÄ gadÄ«jumÄ finanÅ”u nodaļas trafika netiks bloÄ·Äta. Protams, Ŕīm saskarnÄm varam izveidot divus atseviŔķus bloku sarakstus, taÄu daudz efektÄ«vÄk ir tos apvienot vienÄ sarakstÄ un pielietot marÅ”rutÄtÄja R2 izvades interfeisam vai marÅ”rutÄtÄja R0 ievades interfeisam S1/0/1.
Lai gan Cisco noteikumos teikts, ka standarta ACL ir jÄnovieto pÄc iespÄjas tuvÄk galamÄrÄ·im, es to novietoÅ”u tuvÄk trafika avotam, jo āāvÄlos bloÄ·Ät visu izejoÅ”o trafiku, un ir lietderÄ«gÄk to darÄ«t tuvÄk avots, lai Ŕī trafika netÄrÄtu tÄ«klu starp diviem marÅ”rutÄtÄjiem.
Es aizmirsu jums pastÄstÄ«t par kritÄrijiem, tÄpÄc Ätri atgriezÄ«simies. KÄ kritÄriju varat norÄdÄ«t jebkuru ā Å”ajÄ gadÄ«jumÄ jebkura trafika no jebkuras ierÄ«ces un jebkura tÄ«kla tiks liegta vai atļauta. Varat arÄ« norÄdÄ«t resursdatoru ar tÄ identifikatoru - Å”ajÄ gadÄ«jumÄ ieraksts bÅ«s konkrÄtas ierÄ«ces IP adrese. Visbeidzot, varat norÄdÄ«t visu tÄ«klu, piemÄram, 192.168.1.10/24. Å ajÄ gadÄ«jumÄ /24 nozÄ«mÄs apakÅ”tÄ«kla maskas 255.255.255.0 klÄtbÅ«tni, taÄu nav iespÄjams norÄdÄ«t apakÅ”tÄ«kla maskas IP adresi ACL. Å ajÄ gadÄ«jumÄ ACL ir koncepcija, ko sauc par Wildcart masku vai "reverse mask". TÄpÄc jums ir jÄnorÄda IP adrese un atgrieÅ”anas maska. ReversÄ maska āāizskatÄs Å”Ädi: no vispÄrÄjÄs apakÅ”tÄ«kla maskas ir jÄatÅem tieÅ”Ä apakÅ”tÄ«kla maska, tas ir, no 255 tiek atÅemts skaitlis, kas atbilst okteta vÄrtÄ«bai tieÅ”Ä maskÄ.
TÄpÄc kÄ kritÄriju ACL ir jÄizmanto parametrs 192.168.1.10 0.0.0.255.
KÄ tas strÄdÄ? Ja atgrieÅ”anas maskas oktetÄ ir 0, tiek uzskatÄ«ts, ka kritÄrijs atbilst apakÅ”tÄ«kla IP adreses atbilstoÅ”ajam oktetam. Ja muguras maskas oktetÄ ir skaitlis, atbilstÄ«ba netiek pÄrbaudÄ«ta. TÄdÄjÄdi tÄ«klam 192.168.1.0 un atgrieÅ”anas maskai 0.0.0.255 visa trafika no adresÄm, kuru pirmie trÄ«s okteti ir vienÄdi ar 192.168.1., neatkarÄ«gi no ceturtÄ okteta vÄrtÄ«bas tiks bloÄ·Äta vai atļauta atkarÄ«bÄ no norÄdÄ«to darbÄ«bu.
ReversÄs maskas lietoÅ”ana ir vienkÄrÅ”a, un mÄs atgriezÄ«simies pie Wildcart maskas nÄkamajÄ videoklipÄ, lai es varÄtu izskaidrot, kÄ ar to strÄdÄt.
28:50 min
Paldies, ka palikÄt kopÄ ar mums. Vai jums patÄ«k mÅ«su raksti? Vai vÄlaties redzÄt interesantÄku saturu? Atbalsti mÅ«s, pasÅ«tot vai iesakot draugiem, 30% atlaide Habr lietotÄjiem unikÄlam sÄkuma lÄ«meÅa serveru analogam, ko mÄs jums izgudrojÄm:
Dell R730xd 2 reizes lÄtÄk? Tikai Å”eit
Avots: www.habr.com