Денес ќе започнеме да учиме за списокот за контрола на пристап ACL, оваа тема ќе потрае 2 видео лекции. Ќе ја разгледаме конфигурацијата на стандарден ACL, а во следниот видео туторијал ќе зборувам за продолжената листа.
Во оваа лекција ќе покриеме 3 теми. Првата е што е ACL, втората е разликата помеѓу стандардна и проширена листа за пристап, а на крајот од лекцијата, како лабораторија, ќе разгледаме поставување на стандарден ACL и решавање на можни проблеми.
Значи, што е ACL? Ако го проучувавте курсот уште од првата видео лекција, тогаш се сеќавате како организиравме комуникација помеѓу различни мрежни уреди.
Исто така, проучувавме статичко рутирање преку различни протоколи за да стекнеме вештини за организирање на комуникациите помеѓу уредите и мрежите. Сега стигнавме до фазата на учење каде што треба да се грижиме за обезбедување контрола на сообраќајот, односно спречување на „лошите момци“ или неовластени корисници да се инфилтрираат во мрежата. На пример, ова може да се однесува на луѓе од одделот за продажба за ПРОДАЖБА, што е прикажано на овој дијаграм. Овде го прикажуваме и финансискиот оддел СМЕТКИ, менаџментот УПРАВУВАЊЕ и серверската соба СЕРВЕРСКА СОБА.
Значи, одделот за продажба може да има стотина вработени и не сакаме ниту еден од нив да може да стигне до серверската соба преку мрежата. Исклучок е направен за менаџерот за продажба кој работи на лаптоп2 компјутер - може да има пристап до серверската соба. Новиот вработен кој работи на Лаптоп3 не треба да има таков пристап, односно ако сообраќајот од неговиот компјутер стигне до рутерот R2, тој треба да се исфрли.
Улогата на ACL е да го филтрира сообраќајот според наведените параметри за филтрирање. Тие ја вклучуваат изворната IP адреса, IP адресата на дестинацијата, протоколот, бројот на порти и други параметри, благодарение на кои можете да го идентификувате сообраќајот и да преземете некои активности со него.
Значи, ACL е механизам за филтрирање со 3 слој на моделот OSI. Ова значи дека овој механизам се користи во рутерите. Главниот критериум за филтрирање е идентификацијата на протокот на податоци. На пример, ако сакаме да го блокираме момчето со лаптоп3 компјутерот да пристапи до серверот, пред се мора да го идентификуваме неговиот сообраќај. Овој сообраќај се движи во правец на Laptop-Switch2-R2-R1-Switch1-Server1 преку соодветните интерфејси на мрежните уреди, додека G0/0 интерфејсите на рутерите немаат никаква врска со тоа.
За да го идентификуваме сообраќајот, мора да го идентификуваме неговиот пат. Откако го направивме ова, можеме да одлучиме каде точно треба да го инсталираме филтерот. Не грижете се за самите филтри, ќе разговараме за нив во следната лекција, засега треба да го разбереме принципот на кој интерфејс треба да се примени филтерот.
Ако погледнете во рутер, можете да видите дека секогаш кога сообраќајот се движи, има интерфејс каде што протокот на податоци влегува и интерфејс преку кој излегува овој проток.
Всушност, постојат 3 интерфејси: влезен интерфејс, излезен интерфејс и сопствен интерфејс на рутерот. Само запомнете дека филтрирањето може да се примени само на влезниот или излезниот интерфејс.
Принципот на работа на ACL е сличен на пропусницата за настан на кој можат да присуствуваат само оние гости чие име е на списокот со поканети лица. ACL е листа на квалификациски параметри кои се користат за да се идентификува сообраќајот. На пример, оваа листа покажува дека целиот сообраќај е дозволен од IP адресата 192.168.1.10, а сообраќајот од сите други адреси е одбиен. Како што реков, оваа листа може да се примени и на влезниот и на излезниот интерфејс.
Постојат 2 типа на ACL: стандардни и продолжени. Стандарден ACL има идентификатор од 1 до 99 или од 1300 до 1999 година. Ова се едноставно имиња на листа што немаат никакви предности едни над други како што се зголемува нумерирањето. Покрај бројот, можете да доделите свое име на ACL. Проширените ACL се нумерирани од 100 до 199 или 2000 до 2699 и може да имаат и име.
Во стандарден ACL, класификацијата се заснова на изворната IP адреса на сообраќајот. Затоа, кога користите таков список, не можете да го ограничите сообраќајот насочен кон кој било извор, можете само да го блокирате сообраќајот што потекнува од уред.
Проширениот ACL го класифицира сообраќајот според изворната IP адреса, одредишната IP адреса, користениот протокол и бројот на портата. На пример, можете да го блокирате само сообраќајот FTP или само сообраќајот HTTP. Денес ќе го разгледаме стандардниот ACL, а следната видео лекција ќе ја посветиме на проширените списоци.
Како што реков, ACL е список на услови. Откако ќе ја примените оваа листа на дојдовниот или појдовниот интерфејс на рутерот, рутерот го проверува сообраќајот според оваа листа и ако ги исполнува условите наведени во списокот, одлучува дали да го дозволи или одбие овој сообраќај. На луѓето често им е тешко да ги одредат влезните и излезните интерфејси на рутерот, иако тука нема ништо комплицирано. Кога зборуваме за дојдовен интерфејс, тоа значи дека само дојдовниот сообраќај ќе се контролира на оваа порта, а рутерот нема да применува ограничувања за појдовниот сообраќај. Слично на тоа, ако зборуваме за интерфејс за излез, тоа значи дека сите правила ќе важат само за појдовниот сообраќај, додека дојдовниот сообраќај на оваа порта ќе биде прифатен без ограничувања. На пример, ако рутерот има 2 порти: f0/0 и f0/1, тогаш ACL ќе се применува само на сообраќајот што влегува во интерфејсот f0/0 или само на сообраќајот што потекнува од интерфејсот f0/1. Сообраќајот што влегува или излегува од интерфејсот f0/1 нема да биде засегнат од списокот.
Затоа, немојте да бидете збунети од влезната или појдовната насока на интерфејсот, тоа зависи од насоката на конкретниот сообраќај. Значи, откако рутерот ќе го провери сообраќајот за усогласување со условите ACL, може да донесе само две одлуки: да го дозволи сообраќајот или да го одбие. На пример, можете да дозволите сообраќај наменет за 180.160.1.30 и да го одбиете сообраќајот наменет за 192.168.1.10. Секоја листа може да содржи повеќе услови, но секој од овие услови мора да дозволи или одбие.
Да речеме дека имаме список:
Забрани _______
Дозволи ________
Дозволи ________
Забрани _________.
Прво, рутерот ќе го провери сообраќајот за да види дали се совпаѓа со првиот услов; ако не се совпаѓа, ќе го провери вториот услов. Ако сообраќајот се совпаѓа со третиот услов, рутерот ќе престане да проверува и нема да го споредува со останатите услови од списокот. Ќе го изврши дејството „дозволи“ и ќе продолжи кон проверка на следниот дел од сообраќајот.
Во случај да не сте поставиле правило за ниту еден пакет и сообраќајот поминува низ сите линии на списокот без да се погоди некој од условите, тој се уништува, бидејќи секоја листа ACL стандардно завршува со наредбата deny any - односно отфрли кој било пакет, кој не потпаѓа под ниту едно од правилата. Овој услов стапува на сила ако има барем едно правило во списокот, во спротивно нема ефект. Но, ако првата линија го содржи отфрлањето за влез 192.168.1.30 и списокот повеќе не содржи никакви услови, тогаш на крајот треба да има командна дозвола која било, односно да се дозволи каков било сообраќај освен оној што е забранет со правилото. Мора да го земете предвид ова за да избегнете грешки при конфигурирање на ACL.
Сакам да го запомните основното правило за креирање список со ASL: поставете стандарден ASL што е можно поблиску до дестинацијата, односно до примачот на сообраќајот и поставете продолжен ASL што е можно поблиску до изворот, т.е. до испраќачот на сообраќајот. Ова се препораки на Cisco, но во пракса има ситуации каде што има повеќе смисла да се постави стандарден ACL блиску до изворот на сообраќај. Но, ако наидете на прашање за правилата за поставување ACL за време на испитот, следете ги препораките на Cisco и одговорете недвосмислено: стандардот е поблиску до дестинацијата, продолжениот е поблиску до изворот.
Сега да ја погледнеме синтаксата на стандардниот ACL. Постојат два типа на командна синтакса во режимот на глобална конфигурација на рутерот: класична синтакса и модерна синтакса.
Класичниот тип на команда е список за пристап <ACL број> <одбие/дозволи> <критериуми>. Ако поставите <ACL број> од 1 до 99, уредот автоматски ќе разбере дека ова е стандарден ACL, а ако е од 100 до 199, тогаш тоа е продолжен. Бидејќи во денешната лекција гледаме стандардна листа, можеме да користиме кој било број од 1 до 99. Потоа го означуваме дејството што треба да се примени ако параметрите се совпаѓаат со следниот критериум - дозволи или одбие сообраќај. Подоцна ќе го разгледаме критериумот, бидејќи се користи и во модерната синтакса.
Современиот тип на команда се користи и во режимот за глобална конфигурација Rx(config) и изгледа вака: стандардна листа на ip пристап <ACL број/име>. Овде можете да користите или број од 1 до 99 или името на списокот ACL, на пример, ACL_Networking. Оваа команда веднаш го става системот во режим на подкоманда на стандарден режим Rx (config-std-nacl), каде што мора да внесете <негира/овозможи> <критериуми>. Современиот тип на тимови има повеќе предности во однос на класичниот.
Во класичен список, ако напишете листа за пристап 10 негира ______, потоа напишете ја следната команда од ист вид за друг критериум и на крајот ќе добиете 100 такви команди, тогаш за да промените која било од внесените команди ќе треба да ја избришете целата листа со листа за пристап 10 со командата no access-list 10. Ова ќе ги избрише сите 100 команди бидејќи не постои начин да се уреди некоја поединечна команда во оваа листа.
Во модерната синтакса, командата е поделена на два реда, од кои првата го содржи бројот на списокот. Да претпоставиме дека ако имате стандардна листа за пристап 10 негира ________, стандард за листа за пристап 20 одбива ________ и така натаму, тогаш имате можност да вметнете средни списоци со други критериуми меѓу нив, на пример, стандардот за листа за пристап 15 негира ________ .
Алтернативно, можете едноставно да ги избришете стандардните линии на листата за пристап 20 и повторно да ги напишете со различни параметри помеѓу линиите за стандардна листа за пристап 10 и стандардната листа на пристап 30. Така, постојат различни начини за уредување на модерната ACL синтакса.
Треба да бидете многу внимателни кога креирате ACL. Како што знаете, списоците се читаат од врвот до дното. Ако поставите линија на врвот што дозволува сообраќај од одреден хост, тогаш подолу можете да поставите линија што забранува сообраќај од целата мрежа во која е дел овој хост, и двата услови ќе бидат проверени - сообраќајот кон одреден хост ќе да биде дозволен преку, а сообраќајот од сите други хостови оваа мрежа ќе биде блокиран. Затоа, секогаш ставајте конкретни записи на врвот на листата, а општите на дното.
Значи, откако ќе создадете класичен или модерен ACL, мора да го примените. За да го направите ова, треба да отидете до поставките на специфичен интерфејс, на пример, f0/0 користејќи го командниот интерфејс <type and slot>, одете во режимот на подкоманда на интерфејсот и внесете ја командата ip access-group <ACL number/ име> . Забележете ја разликата: кога се составува список, се користи список за пристап, а кога се применува, се користи група за пристап. Мора да одредите на кој интерфејс ќе се примени оваа листа - дојдовниот или појдовниот интерфејс. Ако списокот има име, на пример, Networking, истото име се повторува во командата за примена на листата на овој интерфејс.
Сега да земеме конкретен проблем и да се обидеме да го решиме користејќи го примерот на нашиот мрежен дијаграм користејќи Packet Tracer. Значи, имаме 4 мрежи: оддел за продажба, оддел за сметководство, менаџмент и сервер соба.
Задача бр. 1: целиот сообраќај насочен од секторите за продажба и финансии до одделот за управување и серверот мора да биде блокиран. Локацијата за блокирање е интерфејсот S0/1/0 на рутерот R2. Прво мора да креираме листа која ги содржи следните записи:
Да ја наречеме листата „Управување и безбедност на серверот ACL“, скратено како ACL Secure_Ma_And_Se. Ова е проследено со забрана на сообраќај од мрежата на финансискиот оддел 192.168.1.128/26, забрана за сообраќај од мрежата на одделот за продажба 192.168.1.0/25 и дозволување на кој било друг сообраќај. На крајот од списокот е означено дека се користи за појдовниот интерфејс S0/1/0 на рутерот R2. Ако немаме запис за Дозвола на крајот од списокот, тогаш целиот друг сообраќај ќе биде блокиран затоа што стандардниот ACL е секогаш поставен на „Одбиј секакво запис“ на крајот од списокот.
Може ли да го применам овој ACL на интерфејсот G0/0? Се разбира, можам, но во овој случај ќе биде блокиран само сообраќајот од сметководството, а сообраќајот од одделот за продажба нема да биде ограничен на никаков начин. На ист начин, можете да примените ACL на интерфејсот G0/1, но во овој случај сообраќајот на одделот за финансии нема да биде блокиран. Се разбира, можеме да создадеме две посебни блок листи за овие интерфејси, но многу поефикасно е да ги комбинираме во една листа и да ја примениме на излезниот интерфејс на рутерот R2 или влезниот интерфејс S0/1/0 на рутерот R1.
Иако правилата на Cisco наведуваат дека стандардниот ACL треба да биде поставен што е можно поблиску до дестинацијата, ќе го поставам поблиску до изворот на сообраќајот затоа што сакам да го блокирам целиот појдовен сообраќај и има повеќе смисла да го направам ова поблиску до извор за овој сообраќај да не ја троши мрежата помеѓу два рутери.
Заборавив да ви кажам за критериумите, па брзо да се вратиме. Можете да наведете кој било како критериум - во овој случај, секој сообраќај од кој било уред и која било мрежа ќе биде одбиен или дозволен. Можете исто така да наведете домаќин со неговиот идентификатор - во овој случај, записот ќе биде IP адресата на одреден уред. Конечно, можете да наведете цела мрежа, на пример, 192.168.1.10/24. Во овој случај, /24 ќе значи присуство на маска на подмрежа од 255.255.255.0, но невозможно е да се наведе IP адресата на маската на подмрежата во ACL. За овој случај, ACL има концепт наречен Wildcart Mask, или „обратна маска“. Затоа мора да ја наведете IP адресата и да ја вратите маската. Обратна маска изгледа вака: мора да ја одземете директната маска на подмрежа од општата маска на подмрежа, односно бројот што одговара на вредноста на октетот во маската напред се одзема од 255.
Затоа, треба да го користите параметарот 192.168.1.10 0.0.0.255 како критериум во ACL.
Како работи? Ако има 0 во октетот за повратна маска, се смета дека критериумот одговара на соодветниот октет на IP адресата на подмрежата. Ако има број во октетот за маска, натпреварот не се штиклира. Така, за мрежа од 192.168.1.0 и повратна маска од 0.0.0.255, целиот сообраќај од адреси чии први три октети се еднакви на 192.168.1., без оглед на вредноста на четвртиот октет, ќе биде блокиран или дозволен во зависност од наведеното дејство.
Користењето обратна маска е лесно, а ние ќе се вратиме на маската Wildcart во следното видео за да можам да објаснам како да работам со неа.
28:50 мин
Ви благодариме што останавте со нас. Дали ви се допаѓаат нашите написи? Сакате да видите поинтересна содржина? Поддржете не со нарачка или препорака на пријатели, 30% попуст за корисниците на Habr на уникатен аналог на сервери на почетно ниво, кој го измисливме ние за вас: (достапен со RAID1 и RAID10, до 24 јадра и до 40 GB DDR4).
Dell R730xd 2 пати поевтин? Само овде во Холандија! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - од 99 долари! Прочитајте за
Извор: www.habr.com