Hari ini kita akan mula belajar tentang senarai kawalan akses ACL, topik ini akan mengambil 2 pelajaran video. Kami akan melihat konfigurasi ACL standard, dan dalam tutorial video seterusnya saya akan bercakap mengenai senarai lanjutan.
Dalam pelajaran ini kita akan membincangkan 3 topik. Yang pertama ialah apa itu ACL, yang kedua ialah apakah perbezaan antara standard dan senarai akses lanjutan, dan pada akhir pelajaran, sebagai makmal, kita akan melihat pada penyediaan ACL standard dan menyelesaikan masalah yang mungkin berlaku.
Jadi apa itu ACL? Jika anda mempelajari kursus dari pelajaran video pertama, maka anda masih ingat bagaimana kami mengatur komunikasi antara pelbagai peranti rangkaian.
Kami juga mempelajari penghalaan statik ke atas pelbagai protokol untuk mendapatkan kemahiran dalam mengatur komunikasi antara peranti dan rangkaian. Kami kini telah mencapai tahap pembelajaran di mana kami harus mengambil berat tentang memastikan kawalan trafik, iaitu, menghalang "orang jahat" atau pengguna yang tidak dibenarkan daripada menyusup ke rangkaian. Sebagai contoh, ini mungkin melibatkan orang dari jabatan jualan JUALAN, yang digambarkan dalam rajah ini. Di sini kami juga menunjukkan AKAUN jabatan kewangan, PENGURUSAN jabatan pengurusan dan bilik pelayan BILIK SERVER.
Jadi, jabatan jualan mungkin mempunyai seratus pekerja, dan kami tidak mahu mana-mana daripada mereka dapat mencapai bilik pelayan melalui rangkaian. Pengecualian dibuat untuk pengurus jualan yang bekerja pada komputer Laptop2 - dia boleh mempunyai akses ke bilik pelayan. Pekerja baru yang bekerja pada Laptop3 tidak sepatutnya mempunyai akses sedemikian, iaitu, jika trafik dari komputernya mencapai penghala R2, ia harus digugurkan.
Peranan ACL adalah untuk menapis trafik mengikut parameter penapisan yang ditentukan. Ia termasuk alamat IP sumber, alamat IP destinasi, protokol, bilangan port dan parameter lain, yang mana anda boleh mengenal pasti trafik dan mengambil beberapa tindakan dengannya.
Jadi, ACL ialah mekanisme penapisan lapisan 3 model OSI. Ini bermakna mekanisme ini digunakan dalam penghala. Kriteria utama untuk penapisan ialah pengenalpastian aliran data. Sebagai contoh, jika kita ingin menyekat lelaki yang mempunyai komputer Laptop3 daripada mengakses pelayan, pertama sekali kita mesti mengenal pasti trafiknya. Trafik ini bergerak ke arah Laptop-Switch2-R2-R1-Switch1-Server1 melalui antara muka peranti rangkaian yang sepadan, manakala antara muka G0/0 penghala tiada kaitan dengannya.
Untuk mengenal pasti lalu lintas, kita mesti mengenal pasti laluannya. Setelah melakukan ini, kita boleh memutuskan di mana sebenarnya kita perlu memasang penapis. Jangan risau tentang penapis itu sendiri, kita akan membincangkannya dalam pelajaran seterusnya, buat masa ini kita perlu memahami prinsip antara muka yang mana penapis harus digunakan.
Jika anda melihat penghala, anda dapat melihat bahawa setiap kali trafik bergerak, terdapat antara muka tempat aliran data masuk dan antara muka yang melaluinya aliran ini keluar.
Sebenarnya terdapat 3 antara muka: antara muka input, antara muka output dan antara muka penghala sendiri. Ingatlah bahawa penapisan hanya boleh digunakan pada antara muka input atau output.
Prinsip operasi ACL adalah serupa dengan pas kepada acara yang hanya boleh dihadiri oleh tetamu yang namanya ada dalam senarai orang jemputan. ACL ialah senarai parameter kelayakan yang digunakan untuk mengenal pasti trafik. Sebagai contoh, senarai ini menunjukkan bahawa semua trafik dibenarkan dari alamat IP 192.168.1.10 dan trafik dari semua alamat lain dinafikan. Seperti yang saya katakan, senarai ini boleh digunakan untuk kedua-dua antara muka input dan output.
Terdapat 2 jenis ACL: standard dan lanjutan. ACL standard mempunyai pengecam dari 1 hingga 99 atau dari 1300 hingga 1999. Ini hanyalah nama senarai yang tidak mempunyai sebarang kelebihan berbanding satu sama lain apabila penomboran meningkat. Selain nombor, anda boleh menetapkan nama anda sendiri kepada ACL. ACL lanjutan bernombor 100 hingga 199 atau 2000 hingga 2699 dan mungkin juga mempunyai nama.
Dalam ACL standard, klasifikasi adalah berdasarkan alamat IP sumber trafik. Oleh itu, apabila menggunakan senarai sedemikian, anda tidak boleh menyekat trafik yang ditujukan kepada mana-mana sumber, anda hanya boleh menyekat trafik yang berasal dari peranti.
ACL lanjutan mengklasifikasikan trafik mengikut alamat IP sumber, alamat IP destinasi, protokol yang digunakan dan nombor port. Contohnya, anda boleh menyekat trafik FTP sahaja atau trafik HTTP sahaja. Hari ini kita akan melihat ACL standard, dan kami akan menumpukan pelajaran video seterusnya kepada senarai lanjutan.
Seperti yang saya katakan, ACL ialah senarai syarat. Selepas anda menggunakan senarai ini pada antara muka masuk atau keluar penghala, penghala menyemak trafik terhadap senarai ini dan jika ia memenuhi syarat yang ditetapkan dalam senarai, ia memutuskan sama ada untuk membenarkan atau menafikan trafik ini. Orang ramai sering merasa sukar untuk menentukan antara muka input dan output penghala, walaupun tidak ada yang rumit di sini. Apabila kita bercakap tentang antara muka masuk, ini bermakna hanya trafik masuk akan dikawal pada port ini dan penghala tidak akan menggunakan sekatan pada trafik keluar. Begitu juga, jika kita bercakap tentang antara muka jalan keluar, ini bermakna semua peraturan hanya akan digunakan untuk trafik keluar, manakala trafik masuk pada port ini akan diterima tanpa sekatan. Contohnya, jika penghala mempunyai 2 port: f0/0 dan f0/1, maka ACL hanya akan digunakan pada trafik yang memasuki antara muka f0/0, atau hanya pada trafik yang berasal dari antara muka f0/1. Trafik masuk atau keluar antara muka f0/1 tidak akan terjejas oleh senarai.
Oleh itu, jangan keliru dengan arah masuk atau keluar antara muka, ia bergantung pada arah trafik tertentu. Jadi, selepas penghala menyemak trafik untuk memadankan keadaan ACL, ia boleh membuat dua keputusan sahaja: membenarkan trafik atau menolaknya. Sebagai contoh, anda boleh membenarkan trafik yang ditakdirkan untuk 180.160.1.30 dan menolak trafik yang ditakdirkan untuk 192.168.1.10. Setiap senarai boleh mengandungi berbilang syarat, tetapi setiap syarat ini mesti membenarkan atau menafikan.
Katakan kami mempunyai senarai:
Larang _______
Benarkan ________
Benarkan ________
Larang _________.
Pertama, penghala akan menyemak trafik untuk melihat sama ada ia sepadan dengan keadaan pertama; jika ia tidak sepadan, ia akan menyemak keadaan kedua. Jika trafik sepadan dengan syarat ketiga, penghala akan berhenti menyemak dan tidak akan membandingkannya dengan keadaan senarai yang lain. Ia akan melakukan tindakan "benarkan" dan meneruskan untuk menyemak bahagian lalu lintas seterusnya.
Sekiranya anda tidak menetapkan peraturan untuk mana-mana paket dan lalu lintas melalui semua baris senarai tanpa mencapai mana-mana syarat, ia akan dimusnahkan, kerana setiap senarai ACL secara lalai berakhir dengan menafikan sebarang arahan - iaitu, buang mana-mana paket, tidak termasuk di bawah mana-mana peraturan. Syarat ini berkuat kuasa jika terdapat sekurang-kurangnya satu peraturan dalam senarai, jika tidak, ia tidak mempunyai kesan. Tetapi jika baris pertama mengandungi entri menafikan 192.168.1.30 dan senarai itu tidak lagi mengandungi apa-apa syarat, maka pada akhirnya harus ada permit arahan apa-apa, iaitu membenarkan sebarang lalu lintas kecuali yang dilarang oleh peraturan. Anda mesti mengambil kira ini untuk mengelakkan kesilapan semasa mengkonfigurasi ACL.
Saya ingin anda mengingati peraturan asas untuk mencipta senarai ASL: letakkan ASL standard sedekat mungkin dengan destinasi, iaitu, kepada penerima trafik, dan letakkan ASL lanjutan sedekat mungkin dengan sumber, iaitu, kepada penghantar trafik. Ini adalah cadangan Cisco, tetapi dalam praktiknya terdapat situasi yang lebih masuk akal untuk meletakkan ACL standard dekat dengan sumber trafik. Tetapi jika anda menjumpai soalan tentang peraturan penempatan ACL semasa peperiksaan, ikut cadangan Cisco dan jawab dengan jelas: standard lebih dekat dengan destinasi, lanjutan lebih dekat dengan sumber.
Sekarang mari kita lihat sintaks ACL standard. Terdapat dua jenis sintaks perintah dalam mod konfigurasi global penghala: sintaks klasik dan sintaks moden.
Jenis arahan klasik ialah senarai akses <nombor ACL> <tolak/benarkan> <kriteria>. Jika anda menetapkan <nombor ACL> daripada 1 hingga 99, peranti akan secara automatik memahami bahawa ini adalah ACL standard, dan jika ia adalah dari 100 hingga 199, maka ia adalah yang dilanjutkan. Memandangkan dalam pelajaran hari ini kita melihat senarai standard, kita boleh menggunakan sebarang nombor dari 1 hingga 99. Kemudian kami menunjukkan tindakan yang perlu digunakan jika parameter sepadan dengan kriteria berikut - benarkan atau tolak trafik. Kami akan mempertimbangkan kriteria itu kemudian, kerana ia juga digunakan dalam sintaks moden.
Jenis arahan moden juga digunakan dalam mod konfigurasi global Rx(config) dan kelihatan seperti ini: standard senarai akses ip <nombor/nama ACL>. Di sini anda boleh menggunakan sama ada nombor dari 1 hingga 99 atau nama senarai ACL, contohnya, ACL_Networking. Perintah ini segera meletakkan sistem ke dalam mod subperintah mod standard Rx (config-std-nacl), di mana anda mesti memasukkan <deny/enable> <criteria>. Pasukan jenis moden mempunyai lebih banyak kelebihan berbanding pasukan klasik.
Dalam senarai klasik, jika anda menaip senarai akses 10 menafikan ______, kemudian taip perintah seterusnya jenis yang sama untuk kriteria lain, dan anda akan mendapat 100 arahan sedemikian, kemudian untuk menukar mana-mana arahan yang dimasukkan, anda perlu padam keseluruhan senarai senarai akses 10 dengan arahan tiada senarai akses 10. Ini akan memadam semua 100 arahan kerana tiada cara untuk mengedit mana-mana arahan individu dalam senarai ini.
Dalam sintaks moden, arahan dibahagikan kepada dua baris, yang pertama mengandungi nombor senarai. Katakan jika anda mempunyai standard senarai akses senarai 10 menafikan ________, standard senarai akses 20 menafikan ________ dan seterusnya, maka anda berpeluang untuk memasukkan senarai perantaraan dengan kriteria lain di antara mereka, contohnya, standard senarai akses 15 menafikan ________ .
Sebagai alternatif, anda boleh memadamkan baris standard 20 standard senarai akses dan menaipnya semula dengan parameter berbeza antara baris standard 10 senarai akses dan standard 30 baris akses. Oleh itu, terdapat pelbagai cara untuk mengedit sintaks ACL moden.
Anda perlu berhati-hati apabila mencipta ACL. Seperti yang anda tahu, senarai dibaca dari atas ke bawah. Jika anda meletakkan garisan di bahagian atas yang membenarkan trafik daripada hos tertentu, maka di bawah anda boleh meletakkan baris yang melarang trafik daripada keseluruhan rangkaian yang menjadi sebahagian daripada hos ini, dan kedua-dua syarat akan diperiksa - trafik ke hos tertentu akan dibenarkan melalui, dan trafik dari semua hos lain rangkaian ini akan disekat. Oleh itu, sentiasa letakkan entri khusus di bahagian atas senarai dan yang umum di bahagian bawah.
Jadi, selepas anda mencipta ACL klasik atau moden, anda mesti mengaplikasikannya. Untuk melakukan ini, anda perlu pergi ke tetapan antara muka tertentu, contohnya, f0/0 menggunakan antara muka perintah <jenis dan slot>, pergi ke mod subperintah antara muka dan masukkan kumpulan akses ip perintah <nombor ACL/ nama> . Sila ambil perhatian perbezaannya: apabila menyusun senarai, senarai akses digunakan, dan apabila menggunakannya, kumpulan akses digunakan. Anda mesti menentukan antara muka senarai ini akan digunakan - antara muka masuk atau antara muka keluar. Jika senarai mempunyai nama, contohnya, Rangkaian, nama yang sama diulang dalam arahan untuk menggunakan senarai pada antara muka ini.
Sekarang mari kita ambil masalah khusus dan cuba selesaikan menggunakan contoh rajah rangkaian kami menggunakan Packet Tracer. Jadi, kami mempunyai 4 rangkaian: jabatan jualan, jabatan perakaunan, pengurusan dan bilik pelayan.
Tugasan No. 1: semua trafik yang diarahkan dari jabatan jualan dan kewangan ke jabatan pengurusan dan bilik pelayan mesti disekat. Lokasi menyekat ialah antara muka S0/1/0 penghala R2. Mula-mula kita mesti membuat senarai yang mengandungi entri berikut:
Mari kita panggil senarai "Pengurusan dan Keselamatan Pelayan ACL", disingkatkan sebagai ACL Secure_Ma_And_Se. Ini diikuti dengan melarang trafik daripada rangkaian jabatan kewangan 192.168.1.128/26, melarang trafik daripada rangkaian jabatan jualan 192.168.1.0/25, dan membenarkan sebarang trafik lain. Pada penghujung senarai ia ditunjukkan bahawa ia digunakan untuk antara muka keluar S0/1/0 penghala R2. Jika kami tidak mempunyai Permit Sebarang entri di penghujung senarai, maka semua trafik lain akan disekat kerana ACL lalai sentiasa ditetapkan kepada Tolak Sebarang entri di hujung senarai.
Bolehkah saya menggunakan ACL ini pada antara muka G0/0? Sudah tentu, saya boleh, tetapi dalam kes ini hanya trafik dari jabatan perakaunan akan disekat, dan trafik dari jabatan jualan tidak akan dihadkan dalam apa jua cara. Dengan cara yang sama, anda boleh menggunakan ACL pada antara muka G0/1, tetapi dalam kes ini trafik jabatan kewangan tidak akan disekat. Sudah tentu, kita boleh mencipta dua senarai blok berasingan untuk antara muka ini, tetapi adalah lebih cekap untuk menggabungkannya ke dalam satu senarai dan menggunakannya pada antara muka output penghala R2 atau antara muka input S0/1/0 penghala R1.
Walaupun peraturan Cisco menyatakan bahawa ACL standard harus diletakkan sedekat mungkin dengan destinasi, saya akan meletakkannya lebih dekat dengan sumber trafik kerana saya ingin menyekat semua trafik keluar, dan lebih masuk akal untuk melakukan ini lebih dekat dengan sumber supaya trafik ini tidak membazirkan rangkaian antara dua penghala.
Saya terlupa untuk memberitahu anda tentang kriteria, jadi mari cepat kembali. Anda boleh menentukan mana-mana sebagai kriteria - dalam kes ini, sebarang trafik dari mana-mana peranti dan mana-mana rangkaian akan dinafikan atau dibenarkan. Anda juga boleh menentukan hos dengan pengecamnya - dalam kes ini, entri tersebut akan menjadi alamat IP peranti tertentu. Akhir sekali, anda boleh menentukan keseluruhan rangkaian, contohnya, 192.168.1.10/24. Dalam kes ini, /24 bermaksud kehadiran subnet mask 255.255.255.0, tetapi adalah mustahil untuk menentukan alamat IP subnet mask dalam ACL. Untuk kes ini, ACL mempunyai konsep yang dipanggil Wildcart Mask, atau "topeng terbalik". Oleh itu anda mesti menentukan alamat IP dan topeng pemulangan. Topeng terbalik kelihatan seperti ini: anda mesti menolak topeng subnet langsung daripada topeng subnet am, iaitu, nombor yang sepadan dengan nilai oktet dalam topeng hadapan ditolak daripada 255.
Oleh itu, anda harus menggunakan parameter 192.168.1.10 0.0.0.255 sebagai kriteria dalam ACL.
Bagaimana ia berfungsi? Jika terdapat 0 dalam oktet topeng pemulangan, kriteria tersebut dianggap sepadan dengan oktet yang sepadan bagi alamat IP subnet. Jika terdapat nombor dalam oktet backmask, perlawanan tidak disemak. Oleh itu, untuk rangkaian 192.168.1.0 dan topeng pengembalian 0.0.0.255, semua trafik dari alamat yang tiga oktet pertamanya adalah sama dengan 192.168.1., tanpa mengira nilai oktet keempat, akan disekat atau dibenarkan bergantung pada tindakan yang ditentukan.
Menggunakan topeng terbalik adalah mudah, dan kami akan kembali ke Topeng Wildcart dalam video seterusnya supaya saya boleh menerangkan cara mengendalikannya.
28:50 min
Terima kasih kerana tinggal bersama kami. Adakah anda suka artikel kami? Ingin melihat kandungan yang lebih menarik? Sokong kami dengan membuat pesanan atau mengesyorkan kepada rakan, Diskaun 30% untuk pengguna Habr pada analog unik pelayan peringkat permulaan, yang kami cipta untuk anda: (tersedia dengan RAID1 dan RAID10, sehingga 24 teras dan sehingga 40GB DDR4).
Dell R730xd 2 kali lebih murah? Hanya disini di Belanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - daripada $99! Baca tentang
Sumber: www.habr.com