Vandaag gaan we beginnen met het leren over de ACL-toegangscontrolelijst. Voor dit onderwerp zijn 2 videolessen nodig. We zullen kijken naar de configuratie van een standaard ACL, en in de volgende video-tutorial zal ik het hebben over de uitgebreide lijst.
In deze les behandelen we 3 onderwerpen. De eerste is wat een ACL is, de tweede is wat het verschil is tussen een standaard en een uitgebreide toegangslijst, en aan het einde van de les zullen we als lab kijken naar het opzetten van een standaard ACL en het oplossen van mogelijke problemen.
Dus wat is een ACL? Als je de cursus vanaf de allereerste videoles hebt bestudeerd, weet je nog hoe we de communicatie tussen verschillende netwerkapparaten organiseerden.
We hebben ook statische routering over verschillende protocollen bestudeerd om vaardigheden te verwerven in het organiseren van communicatie tussen apparaten en netwerken. We hebben nu de leerfase bereikt waarin we ons zorgen moeten maken over het garanderen van verkeerscontrole, dat wil zeggen het voorkomen dat ‘slechteriken’ of ongeautoriseerde gebruikers het netwerk infiltreren. Het kan bijvoorbeeld gaan om mensen van de verkoopafdeling SALES, zoals weergegeven in dit diagram. Hier tonen we ook de financiële afdeling ACCOUNTS, de beheerafdeling MANAGEMENT en de serverruimte SERVER ROOM.
De verkoopafdeling kan dus honderd medewerkers tellen, en we willen niet dat een van hen via het netwerk de serverruimte kan bereiken. Er wordt een uitzondering gemaakt voor de salesmanager die op een Laptop2-computer werkt; hij heeft toegang tot de serverruimte. Een nieuwe medewerker die op Laptop3 werkt, zou dergelijke toegang niet moeten hebben, dat wil zeggen dat als verkeer van zijn computer router R2 bereikt, dit moet worden verwijderd.
De rol van een ACL is het filteren van verkeer volgens de opgegeven filterparameters. Ze omvatten het bron-IP-adres, het bestemmings-IP-adres, het protocol, het aantal poorten en andere parameters, waardoor u het verkeer kunt identificeren en er enkele acties mee kunt ondernemen.
ACL is dus een laag 3-filtermechanisme van het OSI-model. Dit betekent dat dit mechanisme wordt gebruikt in routers. Het belangrijkste criterium voor filtering is de identificatie van de datastroom. Als we bijvoorbeeld willen voorkomen dat de man met de Laptop3-computer toegang krijgt tot de server, moeten we eerst zijn verkeer identificeren. Dit verkeer beweegt zich in de richting van Laptop-Switch2-R2-R1-Switch1-Server1 via de overeenkomstige interfaces van netwerkapparaten, terwijl de G0/0-interfaces van routers er niets mee te maken hebben.
Om verkeer te identificeren, moeten we het pad ervan identificeren. Nadat we dit hebben gedaan, kunnen we beslissen waar we het filter precies moeten installeren. Maak je geen zorgen over de filters zelf, we zullen ze in de volgende les bespreken, want nu moeten we het principe begrijpen van op welke interface het filter moet worden toegepast.
Als je naar een router kijkt, zie je dat elke keer dat het verkeer beweegt, er een interface is waar de datastroom binnenkomt, en een interface waardoor deze stroom naar buiten komt.
Er zijn eigenlijk 3 interfaces: de invoerinterface, de uitvoerinterface en de eigen interface van de router. Houd er rekening mee dat filteren alleen kan worden toegepast op de invoer- of uitvoerinterface.
Het principe van de ACL-werking is vergelijkbaar met een pas voor een evenement dat alleen kan worden bijgewoond door gasten wier naam op de lijst met uitgenodigde personen staat. Een ACL is een lijst met kwalificatieparameters die worden gebruikt om verkeer te identificeren. Deze lijst geeft bijvoorbeeld aan dat al het verkeer is toegestaan vanaf het IP-adres 192.168.1.10 en dat verkeer van alle andere adressen is geweigerd. Zoals ik al zei, kan deze lijst worden toegepast op zowel de invoer- als de uitvoerinterface.
Er zijn 2 soorten ACL's: standaard en uitgebreid. Een standaard ACL heeft een identificatienummer van 1 tot 99 of van 1300 tot 1999. Dit zijn eenvoudigweg lijstnamen die geen enkel voordeel ten opzichte van elkaar hebben naarmate de nummering toeneemt. Naast het nummer kunt u uw eigen naam aan de ACL toekennen. Uitgebreide ACL's zijn genummerd van 100 tot 199 of 2000 tot 2699 en kunnen ook een naam hebben.
In een standaard ACL is de classificatie gebaseerd op het bron-IP-adres van het verkeer. Daarom kunt u bij het gebruik van een dergelijke lijst het verkeer dat naar welke bron dan ook wordt geleid, niet beperken; u kunt alleen verkeer blokkeren dat afkomstig is van een apparaat.
Een uitgebreide ACL classificeert verkeer op bron-IP-adres, doel-IP-adres, gebruikt protocol en poortnummer. U kunt bijvoorbeeld alleen FTP-verkeer of alleen HTTP-verkeer blokkeren. Vandaag zullen we kijken naar de standaard ACL, en we zullen de volgende videoles wijden aan uitgebreide lijsten.
Zoals ik al zei, een ACL is een lijst met voorwaarden. Nadat u deze lijst op de inkomende of uitgaande interface van de router hebt toegepast, controleert de router het verkeer aan de hand van deze lijst en als hij aan de voorwaarden in de lijst voldoet, beslist hij of dit verkeer wordt toegestaan of geweigerd. Mensen vinden het vaak moeilijk om de invoer- en uitvoerinterfaces van een router te bepalen, hoewel hier niets ingewikkelds aan is. Als we het hebben over een inkomende interface, betekent dit dat alleen inkomend verkeer op deze poort wordt gecontroleerd en dat de router geen beperkingen oplegt aan uitgaand verkeer. Als we het hebben over een uitgaande interface, betekent dit dat alle regels alleen van toepassing zijn op uitgaand verkeer, terwijl inkomend verkeer op deze poort zonder beperkingen wordt geaccepteerd. Als de router bijvoorbeeld twee poorten heeft: f2/0 en f0/0, dan wordt de ACL alleen toegepast op verkeer dat de f1/0-interface binnenkomt, of alleen op verkeer dat afkomstig is van de f0/0-interface. Verkeer dat interface f1/0 binnenkomt of verlaat, wordt niet beïnvloed door de lijst.
Laat u daarom niet in de war brengen door de inkomende of uitgaande richting van de interface; deze hangt af van de richting van het specifieke verkeer. Nadat de router heeft gecontroleerd of het verkeer voldoet aan de ACL-voorwaarden, kan de router dus slechts twee beslissingen nemen: het verkeer toestaan of weigeren. U kunt bijvoorbeeld verkeer dat bestemd is voor 180.160.1.30 toestaan en verkeer dat bestemd is voor 192.168.1.10 weigeren. Elke lijst kan meerdere voorwaarden bevatten, maar elk van deze voorwaarden moet toestaan of weigeren.
Laten we zeggen dat we een lijst hebben:
Verbieden _______
Toestaan ________
Toestaan ________
Verbieden _________.
Eerst controleert de router het verkeer om te zien of het aan de eerste voorwaarde voldoet; als het niet overeenkomt, controleert het de tweede voorwaarde. Als het verkeer aan de derde voorwaarde voldoet, stopt de router met controleren en vergelijkt deze niet met de rest van de lijstvoorwaarden. Het voert de actie ‘toestaan’ uit en gaat verder met het controleren van het volgende deel van het verkeer.
In het geval dat u voor geen enkel pakket een regel hebt ingesteld en het verkeer door alle regels van de lijst gaat zonder aan een van de voorwaarden te voldoen, wordt het vernietigd, omdat elke ACL-lijst standaard eindigt met het commando deny any - dat wil zeggen, weggooien elk pakket, dat niet onder een van de regels valt. Deze voorwaarde wordt van kracht als er ten minste één regel in de lijst staat, anders heeft deze geen effect. Maar als de eerste regel de entry deny 192.168.1.30 bevat en de lijst geen voorwaarden meer bevat, dan zou er aan het einde een commando permit any moeten zijn, dat wil zeggen, elk verkeer toestaan, behalve dat wat door de regel verboden is. Hiermee moet u rekening houden om fouten te voorkomen bij het configureren van de ACL.
Ik wil dat u de basisregel voor het maken van een ASL-lijst onthoudt: plaats standaard ASL zo dicht mogelijk bij de bestemming, dat wil zeggen bij de ontvanger van het verkeer, en plaats uitgebreide ASL zo dicht mogelijk bij de bron, dat wil zeggen: naar de afzender van het verkeer. Dit zijn aanbevelingen van Cisco, maar in de praktijk zijn er situaties waarin het zinvoller is om een standaard ACL dicht bij de verkeersbron te plaatsen. Maar als u tijdens het examen een vraag tegenkomt over ACL-plaatsingsregels, volg dan de aanbevelingen van Cisco en antwoord ondubbelzinnig: standaard is dichter bij de bestemming, uitgebreid is dichter bij de bron.
Laten we nu eens kijken naar de syntaxis van een standaard ACL. Er zijn twee soorten opdrachtsyntaxis in de globale configuratiemodus van de router: klassieke syntaxis en moderne syntaxis.
Het klassieke opdrachttype is access-list <ACL-nummer> <deny/allow> <criteria>. Als u <ACL-nummer> instelt van 1 tot 99, begrijpt het apparaat automatisch dat dit een standaard ACL is, en als deze tussen 100 en 199 ligt, is het een uitgebreide ACL. Omdat we in de les van vandaag naar een standaardlijst kijken, kunnen we elk getal van 1 tot 99 gebruiken. Vervolgens geven we de actie aan die moet worden toegepast als de parameters voldoen aan het volgende criterium: verkeer toestaan of weigeren. We zullen het criterium later bekijken, omdat het ook in de moderne syntaxis wordt gebruikt.
Het moderne opdrachttype wordt ook gebruikt in de globale configuratiemodus Rx(config) en ziet er als volgt uit: ip access-list standard <ACL-nummer/naam>. Hier kunt u een nummer van 1 tot 99 gebruiken of de naam van de ACL-lijst, bijvoorbeeld ACL_Networking. Deze opdracht zet het systeem onmiddellijk in de subopdrachtmodus van de Rx-standaardmodus (config-std-nacl), waar u <deny/enable> <criteria> moet invoeren. Het moderne type teams heeft meer voordelen dan het klassieke.
Als u in een klassieke lijst access-list 10 deny ______ typt, en vervolgens de volgende opdracht van dezelfde soort voor een ander criterium typt, en u krijgt uiteindelijk 100 van dergelijke opdrachten, dan moet u om de ingevoerde opdrachten te wijzigen verwijder de volledige toegangslijstlijst 10 met het commando no access-list 10. Hierdoor worden alle 100 commando's verwijderd omdat er geen manier is om een individueel commando in deze lijst te bewerken.
In de moderne syntaxis is de opdracht verdeeld in twee regels, waarvan de eerste het lijstnummer bevat. Stel dat u een lijsttoegangslijst standaard 10 deny ________, toegangslijst standaard 20 deny ________ enzovoort hebt, dan heeft u de mogelijkheid om tussenlijsten in te voegen met andere criteria ertussen, bijvoorbeeld toegangslijst standaard 15 deny ________ .
Als alternatief kunt u eenvoudig de regels van de toegangslijst standaard 20 verwijderen en deze opnieuw typen met verschillende parameters tussen de regels van de toegangslijst standaard 10 en de toegangslijst standaard 30. Er zijn dus verschillende manieren om de moderne ACL-syntaxis te bewerken.
U moet heel voorzichtig zijn bij het maken van ACL's. Zoals u weet, worden lijsten van boven naar beneden gelezen. Als u bovenaan een regel plaatst die verkeer van een specifieke host toestaat, kunt u hieronder een regel plaatsen die verkeer verbiedt van het hele netwerk waar deze host deel van uitmaakt, en beide voorwaarden worden gecontroleerd: verkeer naar een specifieke host wordt worden doorgelaten en verkeer van alle andere hosts in dit netwerk wordt geblokkeerd. Plaats daarom specifieke vermeldingen altijd bovenaan de lijst en algemene vermeldingen onderaan.
Nadat u een klassieke of moderne ACL heeft gemaakt, moet u deze dus toepassen. Om dit te doen, moet u naar de instellingen van een specifieke interface gaan, bijvoorbeeld f0/0 met behulp van de opdrachtinterface <type en slot>, naar de interface-subopdrachtmodus gaan en het commando ip access-group <ACL-nummer/ invoeren naam> . Let op het verschil: bij het samenstellen van een lijst wordt gebruik gemaakt van een toegangslijst, en bij het toepassen daarvan wordt gebruik gemaakt van een toegangsgroep. U moet bepalen op welke interface deze lijst wordt toegepast: de inkomende interface of de uitgaande interface. Als de lijst een naam heeft, bijvoorbeeld Netwerk, wordt dezelfde naam herhaald in de opdracht om de lijst op deze interface toe te passen.
Laten we nu een specifiek probleem nemen en proberen dit op te lossen met behulp van het voorbeeld van ons netwerkdiagram met behulp van Packet Tracer. We hebben dus 4 netwerken: verkoopafdeling, boekhoudafdeling, management en serverruimte.
Taak nr. 1: al het verkeer dat van de verkoop- en financiële afdelingen naar de beheerafdeling en de serverruimte wordt geleid, moet worden geblokkeerd. De blokkeerlocatie is interface S0/1/0 van router R2. Eerst moeten we een lijst maken met de volgende vermeldingen:
Laten we de lijst "Management and Server Security ACL" noemen, afgekort als ACL Secure_Ma_And_Se. Dit wordt gevolgd door het verbieden van verkeer van het netwerk van de financiële afdeling 192.168.1.128/26, het verbieden van verkeer van het netwerk van de verkoopafdeling 192.168.1.0/25 en het toestaan van ander verkeer. Aan het einde van de lijst wordt aangegeven dat deze wordt gebruikt voor de uitgaande interface S0/1/0 van router R2. Als we geen Permit Any-item aan het einde van de lijst hebben, wordt al het andere verkeer geblokkeerd omdat de standaard ACL altijd is ingesteld op een Deny Any-item aan het einde van de lijst.
Kan ik deze ACL toepassen op interface G0/0? Natuurlijk kan dat, maar in dit geval wordt alleen het verkeer van de boekhoudafdeling geblokkeerd en wordt het verkeer van de verkoopafdeling op geen enkele manier beperkt. Op dezelfde manier kunt u een ACL toepassen op de G0/1-interface, maar in dit geval wordt het verkeer van de financiële afdeling niet geblokkeerd. Natuurlijk kunnen we voor deze interfaces twee afzonderlijke bloklijsten maken, maar het is veel efficiënter om ze in één lijst te combineren en deze toe te passen op de uitvoerinterface van router R2 of de invoerinterface S0/1/0 van router R1.
Hoewel de regels van Cisco bepalen dat een standaard ACL zo dicht mogelijk bij de bestemming moet worden geplaatst, zal ik deze dichter bij de bron van het verkeer plaatsen omdat ik al het uitgaande verkeer wil blokkeren, en het is logischer om dit dichter bij de bron te doen. zodat dit verkeer het netwerk tussen twee routers niet verspilt.
Ik vergat je te vertellen over de criteria, dus laten we snel teruggaan. U kunt elk gewenst criterium opgeven. In dit geval wordt elk verkeer van elk apparaat en elk netwerk geweigerd of toegestaan. U kunt ook een host opgeven met zijn ID. In dit geval is de invoer het IP-adres van een specifiek apparaat. Ten slotte kunt u een heel netwerk opgeven, bijvoorbeeld 192.168.1.10/24. In dit geval betekent /24 de aanwezigheid van een subnetmasker 255.255.255.0, maar het is onmogelijk om het IP-adres van het subnetmasker in de ACL op te geven. Voor dit geval heeft ACL een concept genaamd Wildcart Mask, of “omgekeerd masker”. Daarom moet u het IP-adres en het retourmasker opgeven. Het omgekeerde masker ziet er als volgt uit: u moet het directe subnetmasker aftrekken van het algemene subnetmasker, dat wil zeggen dat het getal dat overeenkomt met de octetwaarde in het voorwaartse masker wordt afgetrokken van 255.
Daarom moet u de parameter 192.168.1.10 0.0.0.255 als criterium in de ACL gebruiken.
Hoe het werkt? Als er een 0 in het retourmaskeroctet staat, wordt aangenomen dat het criterium overeenkomt met het overeenkomstige octet van het subnet-IP-adres. Als er een nummer in het backmask-octet staat, wordt de overeenkomst niet gecontroleerd. Voor een netwerk van 192.168.1.0 en een retourmasker van 0.0.0.255 wordt dus al het verkeer van adressen waarvan de eerste drie octetten gelijk zijn aan 192.168.1, ongeacht de waarde van het vierde octet, geblokkeerd of toegestaan, afhankelijk van de opgegeven actie.
Het gebruik van een omgekeerd masker is eenvoudig, en in de volgende video komen we terug op het Wildcart-masker, zodat ik kan uitleggen hoe ik ermee kan werken.
28:50 min
Bedankt dat je bij ons bent gebleven. Vind je onze artikelen leuk? Wil je meer interessante inhoud zien? Steun ons door een bestelling te plaatsen of door vrienden aan te bevelen, 30% korting voor Habr-gebruikers op een unieke analoog van instapservers, die door ons voor u is uitgevonden: (beschikbaar met RAID1 en RAID10, tot 24 cores en tot 40GB DDR4).
Dell R730xd 2 keer goedkoper? Alleen hier in Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - vanaf $99! Lees over
Bron: www.habr.com