Illum se nibdew nitgħallmu dwar il-lista tal-kontroll tal-aċċess ACL, dan is-suġġett se jieħu 2 lezzjonijiet bil-vidjo. Se nħarsu lejn il-konfigurazzjoni ta 'ACL standard, u fil-video tutorial li jmiss se nitkellem dwar il-lista estiża.
F'din il-lezzjoni ser inkopru 3 suġġetti. L-ewwel huwa x'inhu ACL, it-tieni hija x'inhi d-differenza bejn standard u lista ta 'aċċess estiż, u fl-aħħar tal-lezzjoni, bħala laboratorju, se nħarsu lejn it-twaqqif ta' ACL standard u nsolvu problemi possibbli.
Allura x'inhu ACL? Jekk studjajt il-kors mill-ewwel lezzjoni bil-vidjo, allura tiftakar kif organizzajna l-komunikazzjoni bejn diversi apparati tan-netwerk.
Studjajna wkoll ir-rotot statiku fuq diversi protokolli biex niksbu ħiliet fl-organizzazzjoni tal-komunikazzjonijiet bejn l-apparati u n-netwerks. Issa wasalna fl-istadju tat-tagħlim fejn għandna nkunu mħassba dwar l-iżgurar tal-kontroll tat-traffiku, jiġifieri, il-prevenzjoni ta '"guys ħżiena" jew utenti mhux awtorizzati milli jinfiltraw in-netwerk. Pereżempju, dan jista 'jikkonċerna nies mid-dipartiment tal-bejgħ tal-BEJGĦ, li jidher f'din id-dijagramma. Hawnhekk nuru wkoll id-dipartiment finanzjarju ACCOUNTS, id-dipartiment tal-ġestjoni MANAGEMENT u s-server room SERVER ROOM.
Għalhekk, id-dipartiment tal-bejgħ jista 'jkollu mitt impjegat, u ma rridux li xi ħadd minnhom ikun jista' jilħaq il-kamra tas-server fuq in-netwerk. Issir eċċezzjoni għall-maniġer tal-bejgħ li jaħdem fuq kompjuter Laptop2 - jista 'jkollu aċċess għall-kamra tas-server. Impjegat ġdid li jaħdem fuq Laptop3 m'għandux ikollu aċċess bħal dan, jiġifieri, jekk it-traffiku mill-kompjuter tiegħu jilħaq ir-router R2, għandu jintrema.
Ir-rwol ta 'ACL huwa li jiffiltra t-traffiku skond il-parametri speċifikati ta' filtrazzjoni. Dawn jinkludu l-indirizz IP tas-sors, indirizz IP tad-destinazzjoni, protokoll, numru ta 'portijiet u parametri oħra, li grazzi għalihom tista' tidentifika t-traffiku u tieħu xi azzjonijiet miegħu.
Allura, ACL huwa mekkaniżmu ta 'filtrazzjoni ta' saff 3 tal-mudell OSI. Dan ifisser li dan il-mekkaniżmu jintuża fir-routers. Il-kriterju ewlieni għall-iffiltrar huwa l-identifikazzjoni tal-fluss tad-dejta. Pereżempju, jekk irridu nibblukkaw lill-bniedem bil-kompjuter Laptop3 milli jaċċessa s-server, l-ewwelnett irridu nidentifikaw it-traffiku tiegħu. Dan it-traffiku jimxi fid-direzzjoni tal-Laptop-Switch2-R2-R1-Switch1-Server1 permezz tal-interfaces korrispondenti tal-apparat tan-netwerk, filwaqt li l-interfaces G0/0 tar-routers m'għandhom x'jaqsmu xejn magħha.
Biex nidentifikaw it-traffiku, irridu nidentifikaw it-triq tiegħu. Wara li għamilna dan, nistgħu niddeċiedu fejn eżattament għandna bżonn ninstallaw il-filtru. Tinkwetax dwar il-filtri nfushom, aħna ser niddiskutuhom fil-lezzjoni li jmiss, għalissa għandna bżonn nifhmu l-prinċipju ta 'liema interface għandu jiġi applikat il-filtru.
Jekk tħares lejn router, tista 'tara li kull darba li t-traffiku jiċċaqlaq, hemm interface fejn jidħol il-fluss tad-data, u interface li minnu joħroġ dan il-fluss.
Fil-fatt hemm 3 interfaces: l-interface tad-dħul, l-interface tal-output u l-interface tar-router stess. Ftakar biss li l-iffiltrar jista 'jiġi applikat biss għall-interface ta' input jew output.
Il-prinċipju tal-operat tal-ACL huwa simili għal pass għal avveniment li jista' jattendu biss dawk il-mistednin li isimhom jinsab fuq il-lista tal-persuni mistiedna. ACL hija lista ta' parametri ta' kwalifika li jintużaw biex jidentifikaw it-traffiku. Pereżempju, din il-lista tindika li t-traffiku kollu huwa permess mill-indirizz IP 192.168.1.10, u t-traffiku mill-indirizzi l-oħra kollha huwa miċħud. Kif għidt, din il-lista tista 'tiġi applikata kemm għall-interface ta' input kif ukoll għall-output.
Hemm 2 tipi ta 'ACLs: standard u estiżi. ACL standard għandu identifikatur minn 1 sa 99 jew minn 1300 sa 1999. Dawn huma sempliċement ismijiet ta 'lista li m'għandhom l-ebda vantaġġ fuq xulxin hekk kif in-numerazzjoni tiżdied. Minbarra n-numru, tista 'tassenja ismek stess lill-ACL. ACLs estiżi huma nnumerati minn 100 sa 199 jew 2000 sa 2699 u jista 'jkollhom ukoll isem.
F'ACL standard, il-klassifikazzjoni hija bbażata fuq l-indirizz IP tas-sors tat-traffiku. Għalhekk, meta tuża lista bħal din, ma tistax tirrestrinġi t-traffiku dirett lejn kwalunkwe sors, tista 'biss timblokka t-traffiku li joriġina minn apparat.
ACL estiż jikklassifika t-traffiku skont l-indirizz IP tas-sors, l-indirizz IP tad-destinazzjoni, il-protokoll użat u n-numru tal-port. Pereżempju, tista' timblokka biss it-traffiku FTP, jew it-traffiku HTTP biss. Illum se nħarsu lejn l-ACL standard, u se niddedikaw il-lezzjoni bil-vidjo li jmiss għal-listi estiżi.
Kif għedt, ACL hija lista ta 'kundizzjonijiet. Wara li tapplika din il-lista għall-interface deħlin jew ħerġin tar-router, ir-router jiċċekkja t-traffiku kontra din il-lista, u jekk jissodisfa l-kundizzjonijiet stabbiliti fil-lista, jiddeċiedi jekk jippermettix jew jiċħad dan it-traffiku. In-nies ħafna drabi jsibuha diffiċli biex jiddeterminaw l-interfaces ta 'input u output ta' router, għalkemm m'hemm xejn ikkumplikat hawn. Meta nitkellmu dwar interface deħlin, dan ifisser li t-traffiku deħlin biss se jkun ikkontrollat fuq dan il-port, u r-router mhux se japplika restrizzjonijiet għat-traffiku ħerġin. Bl-istess mod, jekk qed nitkellmu dwar interface ta 'ħruġ, dan ifisser li r-regoli kollha se japplikaw biss għat-traffiku ħerġin, filwaqt li t-traffiku deħlin fuq dan il-port jiġi aċċettat mingħajr restrizzjonijiet. Pereżempju, jekk ir-router għandu 2 portijiet: f0/0 u f0/1, allura l-ACL se jiġi applikat biss għat-traffiku li jidħol fl-interface f0/0, jew biss għat-traffiku li joriġina mill-interface f0/1. It-traffiku li jidħol jew joħroġ mill-interface f0/1 mhux se jiġi affettwat mil-lista.
Għalhekk, ma jkun konfuż mid-direzzjoni li tidħol jew ħierġa tal-interface, jiddependi fuq id-direzzjoni tat-traffiku speċifiku. Għalhekk, wara li r-router ikun ivverifika t-traffiku biex jaqbel mal-kundizzjonijiet ACL, jista 'jieħu biss żewġ deċiżjonijiet: jippermetti t-traffiku jew jirrifjutah. Pereżempju, tista' tippermetti traffiku destinat għal 180.160.1.30 u tirrifjuta traffiku destinat għal 192.168.1.10. Kull lista jista' jkun fiha kundizzjonijiet multipli, iżda kull waħda minn dawn il-kundizzjonijiet trid tippermetti jew tiċħad.
Ejja ngħidu li għandna lista:
Ipprojbixxi _______
Ħalli ________
Ħalli ________
Ipprojbixxi _________.
L-ewwel, ir-router se jiċċekkja t-traffiku biex jara jekk jaqbilx mal-ewwel kundizzjoni; jekk ma jaqbilx, se jiċċekkja t-tieni kundizzjoni. Jekk it-traffiku jaqbel mat-tielet kundizzjoni, ir-router jieqaf jiċċekkja u mhux se jqabbel mal-bqija tal-kundizzjonijiet tal-lista. Se twettaq l-azzjoni "jippermetti" u tkompli tiċċekkja l-porzjon li jmiss tat-traffiku.
Fil-każ li ma stabbilejtx regola għal xi pakkett u t-traffiku jgħaddi mil-linji kollha tal-lista mingħajr ma tolqot l-ebda waħda mill-kundizzjonijiet, tinqered, minħabba li kull lista ACL awtomatikament tispiċċa bil-ċaħda ta’ kull kmand - jiġifieri armi kwalunkwe pakkett, li ma jaqax taħt l-ebda waħda mir-regoli. Din il-kundizzjoni tidħol fis-seħħ jekk ikun hemm mill-inqas regola waħda fil-lista, inkella ma jkollha l-ebda effett. Imma jekk l-ewwel linja fiha l-entrata deny 192.168.1.30 u l-lista m'għadhiex fiha l-ebda kundizzjoni, allura fl-aħħar għandu jkun hemm kmand permess kwalunkwe, jiġifieri, jippermettu kwalunkwe traffiku ħlief dak ipprojbit mir-regola. Għandek tqis dan biex tevita żbalji meta tikkonfigura l-ACL.
Irrid li tiftakar ir-regola bażika tal-ħolqien ta 'lista ASL: poġġi ASL standard kemm jista' jkun viċin tad-destinazzjoni, jiġifieri, għar-riċevitur tat-traffiku, u poġġi ASL estiż kemm jista 'jkun qrib is-sors, jiġifieri, lil min jibgħat it-traffiku. Dawn huma rakkomandazzjonijiet Cisco, iżda fil-prattika hemm sitwazzjonijiet fejn jagħmel aktar sens li jitqiegħed ACL standard qrib is-sors tat-traffiku. Imma jekk tiltaqa 'ma' mistoqsija dwar ir-regoli tat-tqegħid tal-ACL waqt l-eżami, segwi r-rakkomandazzjonijiet ta 'Cisco u wieġeb mingħajr ambigwità: standard huwa eqreb lejn id-destinazzjoni, estiż huwa eqreb lejn is-sors.
Issa ejja nħarsu lejn is-sintassi ta 'ACL standard. Hemm żewġ tipi ta 'sintassi ta' kmand fil-mod ta 'konfigurazzjoni globali tar-router: sintassi klassika u sintassi moderna.
It-tip ta' kmand klassiku huwa lista ta' aċċess <numru ACL> <deny/allow> <kriterji>. Jekk issettja <numru ACL> minn 1 sa 99, l-apparat jifhem awtomatikament li dan huwa ACL standard, u jekk huwa minn 100 sa 199, allura huwa wieħed estiż. Peress li fil-lezzjoni tal-lum qed inħarsu lejn lista standard, nistgħu nużaw kwalunkwe numru minn 1 sa 99. Imbagħad nindikaw l-azzjoni li trid tiġi applikata jekk il-parametri jaqblu mal-kriterju li ġej - jippermettu jew iċaħħdu t-traffiku. Se nikkunsidraw il-kriterju aktar tard, peress li jintuża wkoll fis-sintassi moderna.
It-tip ta 'kmand modern jintuża wkoll fil-mod ta' konfigurazzjoni globali Rx(config) u jidher bħal dan: ip access-list standard <ACL number/name>. Hawnhekk tista' tuża jew numru minn 1 sa 99 jew l-isem tal-lista ACL, pereżempju, ACL_Networking. Dan il-kmand immedjatament ipoġġi s-sistema fil-modalità subkmand tal-modalità standard Rx (config-std-nacl), fejn trid tidħol <deny/enable> <criteria>. It-tip modern ta’ timijiet għandu aktar vantaġġi meta mqabbel ma’ dak klassiku.
F'lista klassika, jekk ittajpja access-list 10 deny ______, imbagħad ittajpja l-kmand li jmiss tal-istess tip għal kriterju ieħor, u tispiċċa b'100 kmand bħal dan, imbagħad biex tbiddel kwalunkwe mill-kmandi mdaħħla, ser ikollok bżonn li ħassar il-lista tal-lista ta 'aċċess kollu 10 bil-kmand ebda lista ta' aċċess 10. Dan se jħassar il-100 kmandi kollha minħabba li m'hemm l-ebda mod kif teditja kwalunkwe kmand individwali f'din il-lista.
Fis-sintassi moderna, il-kmand huwa maqsum f'żewġ linji, l-ewwel waħda fiha n-numru tal-lista. Ejja ngħidu jekk għandek lista access-list standard 10 deny ________, access-list standard 20 deny ________ u l-bqija, allura għandek l-opportunità li ddaħħal listi intermedji bi kriterji oħra bejniethom, pereżempju, access-list standard 15 deny ________ .
Alternattivament, tista 'sempliċement tħassar il-linji standard tal-lista ta' aċċess 20 u ttajpjahom mill-ġdid b'parametri differenti bejn l-istandard tal-lista tal-aċċess 10 u l-linji standard tal-lista tal-aċċess 30. Għalhekk, hemm diversi modi biex teditja s-sintassi ACL moderna.
Trid toqgħod attent ħafna meta toħloq ACLs. Kif tafu, il-listi jinqraw minn fuq għal isfel. Jekk tpoġġi linja fin-naħa ta’ fuq li tippermetti t-traffiku minn host speċifiku, allura taħt tista’ tpoġġi linja li tipprojbixxi t-traffiku min-netwerk kollu li jagħmel parti minnu dan l-ospitant, u ż-żewġ kundizzjonijiet se jiġu ċċekkjati - it-traffiku lejn host speċifiku se jitħallew jgħaddu, u t-traffiku mill-hosts l-oħra kollha dan in-netwerk ikun imblukkat. Għalhekk, dejjem poġġi entrati speċifiċi fil-quċċata tal-lista u dawk ġenerali fil-qiegħ.
Għalhekk, wara li tkun ħloqt ACL klassiku jew modern, trid tapplikaha. Biex tagħmel dan, għandek bżonn tmur fis-settings ta 'interface speċifika, pereżempju, f0/0 billi tuża l-interface tal-kmand <tip u slot>, mur fil-modalità subkmand tal-interface u daħħal il-kmand ip aċċess-grupp <numru ACL/ isem> . Jekk jogħġbok innota d-differenza: meta tiġi kkompilata lista, tintuża lista ta' aċċess, u meta tapplikaha, jintuża grupp ta' aċċess. Int trid tiddetermina liema interface se tiġi applikata din il-lista - l-interface li tidħol jew l-interface ħierġa. Jekk il-lista għandha isem, pereżempju, Netwerking, l-istess isem jiġi ripetut fil-kmand biex tapplika l-lista fuq din l-interface.
Issa ejja nieħdu problema speċifika u nippruvaw issolviha billi tuża l-eżempju tad-dijagramma tan-netwerk tagħna billi tuża Packet Tracer. Allura, għandna 4 netwerks: dipartiment tal-bejgħ, dipartiment tal-kontabilità, ġestjoni u kamra tas-server.
Kompitu Nru 1: it-traffiku kollu dirett mid-dipartimenti tal-bejgħ u finanzjarji lejn id-dipartiment tal-ġestjoni u l-kamra tas-server għandu jiġi mblukkat. Il-post tal-imblukkar huwa l-interface S0/1/0 tar-router R2. L-ewwel irridu noħolqu lista li jkun fiha l-entrati li ġejjin:
Ejja nsejħu l-lista "Management and Server Security ACL", imqassra bħala ACL Secure_Ma_And_Se. Dan huwa segwit mill-projbizzjoni tat-traffiku min-netwerk tad-dipartiment finanzjarju 192.168.1.128/26, tipprojbixxi t-traffiku min-netwerk tad-dipartiment tal-bejgħ 192.168.1.0/25, u tippermetti kwalunkwe traffiku ieħor. Fl-aħħar tal-lista huwa indikat li huwa użat għall-interface ħerġin S0/1/0 tar-router R2. Jekk ma jkollniex Permess Kwalunkwe dħul fl-aħħar tal-lista, allura t-traffiku l-ieħor kollu jiġi mblukkat minħabba li l-ACL default dejjem ikun issettjat għal Iċħad Kwalunkwe entrata fl-aħħar tal-lista.
Nista' napplika dan l-ACL għall-interface G0/0? Naturalment, nista ', iżda f'dan il-każ biss it-traffiku mid-dipartiment tal-kontabilità se jiġi mblukkat, u t-traffiku mid-dipartiment tal-bejgħ mhux se jkun limitat bl-ebda mod. Bl-istess mod, tista 'tapplika ACL għall-interface G0/1, iżda f'dan il-każ it-traffiku tad-dipartiment tal-finanzi mhux se jiġi mblukkat. Naturalment, nistgħu noħolqu żewġ listi ta 'blokki separati għal dawn l-interfaces, iżda huwa ħafna aktar effiċjenti li tgħaqqadhom f'lista waħda u tapplikaha għall-interface tal-output tar-router R2 jew l-interface tal-input S0/1/0 tar-router R1.
Għalkemm ir-regoli ta' Cisco jiddikjaraw li ACL standard għandu jitqiegħed qrib id-destinazzjoni kemm jista' jkun, ser inpoġġih eqreb lejn is-sors tat-traffiku għaliex irrid nibblokka t-traffiku kollu ħierġa, u jagħmel aktar sens li nagħmel dan eqreb lejn il- sors sabiex dan it-traffiku ma jaħlix in-netwerk bejn żewġ routers.
Insejt ngħidlek dwar il-kriterji, allura ejja malajr immorru lura. Tista' tispeċifika kwalunkwe bħala kriterju - f'dan il-każ, kwalunkwe traffiku minn kwalunkwe apparat u kwalunkwe netwerk jiġi miċħud jew permess. Tista 'wkoll tispeċifika host bl-identifikatur tiegħu - f'dan il-każ, id-dħul se jkun l-indirizz IP ta' apparat speċifiku. Fl-aħħarnett, tista 'tispeċifika netwerk sħiħ, pereżempju, 192.168.1.10/24. F'dan il-każ, /24 se jfisser il-preżenza ta 'subnet mask ta' 255.255.255.0, iżda huwa impossibbli li jiġi speċifikat l-indirizz IP tas-subnet mask fl-ACL. Għal dan il-każ, ACL għandu kunċett imsejjaħ Wildcart Mask, jew "reverse mask". Għalhekk trid tispeċifika l-indirizz IP u l-maskra tar-ritorn. Il-maskra inversa tidher bħal din: trid tnaqqas il-maskra tas-subnet diretta mill-maskra tas-subnet ġenerali, jiġifieri, in-numru li jikkorrispondi għall-valur tal-ottett fil-maskra 'l quddiem jitnaqqas minn 255.
Għalhekk, għandek tuża l-parametru 192.168.1.10 0.0.0.255 bħala l-kriterju fl-ACL.
Kif taħdem? Jekk ikun hemm 0 fl-ottett tal-maskra tar-ritorn, il-kriterju jitqies li jaqbel mal-ottett korrispondenti tal-indirizz IP tas-subnet. Jekk hemm numru fl-ottett tal-backmask, it-taqbil ma jiġix iċċekkjat. Għalhekk, għal netwerk ta’ 192.168.1.0 u maskra ta’ ritorn ta’ 0.0.0.255, it-traffiku kollu minn indirizzi li l-ewwel tliet ottetti tagħhom huma ugwali għal 192.168.1., irrispettivament mill-valur tar-raba’ ottett, ikun imblukkat jew permess skont l-azzjoni speċifikata.
L-użu ta 'maskra inversa huwa faċli, u aħna ser nerġgħu lura għall-Maskra Wildcart fil-video li jmiss sabiex inkun nista' nispjega kif taħdem magħha.
28:50 min
Grazzi talli bqajt magħna. Tħobb l-artikoli tagħna? Trid tara aktar kontenut interessanti? Appoġġuna billi tagħmel ordni jew tirrakkomanda lill-ħbieb, Roħs ta' 30% għall-utenti ta' Habr fuq analogu uniku ta' servers ta' livell ta' dħul, li ġie ivvintat minna għalik: (disponibbli b'RAID1 u RAID10, sa 24 core u sa 40GB DDR4).
Dell R730xd 2 darbiet orħos? Hawn biss fl-Olanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - minn $99! Aqra dwar
Sors: www.habr.com