I dag vil vi begynne å lære om ACL-tilgangskontrolllisten, dette emnet vil ta 2 videoleksjoner. Vi vil se på konfigurasjonen av en standard ACL, og i neste videoopplæring vil jeg snakke om den utvidede listen.
I denne leksjonen vil vi dekke 3 emner. Den første er hva en ACL er, den andre er hva som er forskjellen mellom en standard og en utvidet tilgangsliste, og på slutten av leksjonen vil vi som en lab se på å sette opp en standard ACL og løse mulige problemer.
Så hva er en ACL? Hvis du studerte kurset fra den aller første videotimen, så husker du hvordan vi organiserte kommunikasjonen mellom ulike nettverksenheter.
Vi studerte også statisk ruting over ulike protokoller for å få ferdigheter i å organisere kommunikasjon mellom enheter og nettverk. Vi har nå nådd det læringsstadiet hvor vi bør være bekymret for å sikre trafikkkontroll, det vil si å hindre «skurker» eller uautoriserte brukere fra å infiltrere nettverket. Dette kan for eksempel gjelde personer fra salgsavdelingen SALG, som er avbildet i dette diagrammet. Her viser vi også økonomiavdelingen REGNSKAP, forvaltningsavdelingen LEDELSE og serverrommet SERVERROM.
Så salgsavdelingen kan ha hundre ansatte, og vi vil ikke at noen av dem skal kunne nå serverrommet over nettverket. Det gjøres unntak for salgssjefen som jobber på en Laptop2-datamaskin - han kan ha tilgang til serverrommet. En ny ansatt som jobber på Laptop3 skal ikke ha slik tilgang, det vil si at hvis trafikk fra datamaskinen hans når ruter R2, skal den droppes.
Rollen til en ACL er å filtrere trafikk i henhold til de angitte filtreringsparametrene. De inkluderer kilde-IP-adressen, destinasjons-IP-adressen, protokollen, antall porter og andre parametere, takket være hvilke du kan identifisere trafikken og utføre noen handlinger med den.
Så ACL er en lag 3-filtreringsmekanisme av OSI-modellen. Dette betyr at denne mekanismen brukes i rutere. Hovedkriteriet for filtrering er identifiseringen av datastrømmen. For eksempel, hvis vi vil blokkere fyren med Laptop3-datamaskinen fra å få tilgang til serveren, må vi først og fremst identifisere trafikken hans. Denne trafikken beveger seg i retning av Laptop-Switch2-R2-R1-Switch1-Server1 gjennom de tilsvarende grensesnittene til nettverksenheter, mens G0/0-grensesnittene til rutere ikke har noe med det å gjøre.
For å identifisere trafikk, må vi identifisere veien. Etter å ha gjort dette, kan vi bestemme hvor nøyaktig vi trenger å installere filteret. Ikke bekymre deg for selve filtrene, vi vil diskutere dem i neste leksjon, for nå må vi forstå prinsippet for hvilket grensesnitt filteret skal brukes på.
Hvis du ser på en ruter, kan du se at hver gang trafikken beveger seg, er det et grensesnitt der dataflyten kommer inn, og et grensesnitt som denne flyten kommer ut gjennom.
Det er faktisk 3 grensesnitt: inngangsgrensesnittet, utgangsgrensesnittet og ruterens eget grensesnitt. Bare husk at filtrering bare kan brukes på inngangs- eller utgangsgrensesnittet.
Prinsippet for ACL-drift ligner på et pass til et arrangement som bare kan delta på de gjestene hvis navn er på listen over inviterte personer. En ACL er en liste over kvalifikasjonsparametere som brukes til å identifisere trafikk. For eksempel indikerer denne listen at all trafikk er tillatt fra IP-adressen 192.168.1.10, og trafikk fra alle andre adresser nektes. Som jeg sa, kan denne listen brukes på både inngangs- og utgangsgrensesnittet.
Det finnes 2 typer ACLer: standard og utvidet. En standard ACL har en identifikator fra 1 til 99 eller fra 1300 til 1999. Dette er ganske enkelt listenavn som ikke har noen fordeler i forhold til hverandre ettersom nummereringen øker. I tillegg til nummeret kan du tilordne ditt eget navn til ACL. Utvidede tilgangskontrollister er nummerert 100 til 199 eller 2000 til 2699 og kan også ha et navn.
I en standard ACL er klassifiseringen basert på kilde-IP-adressen til trafikken. Derfor, når du bruker en slik liste, kan du ikke begrense trafikk rettet til noen kilde, du kan bare blokkere trafikk som kommer fra en enhet.
En utvidet ACL klassifiserer trafikk etter kilde-IP-adresse, destinasjons-IP-adresse, protokoll som brukes og portnummer. For eksempel kan du blokkere bare FTP-trafikk, eller bare HTTP-trafikk. I dag skal vi se på standard ACL, og vi vil vie den neste videoleksjonen til utvidede lister.
Som jeg sa, en ACL er en liste over forhold. Etter at du har brukt denne listen på ruterens innkommende eller utgående grensesnitt, sjekker ruteren trafikken mot denne listen, og hvis den oppfyller betingelsene i listen, bestemmer den om den skal tillate eller nekte denne trafikken. Folk synes ofte det er vanskelig å bestemme inngangs- og utgangsgrensesnittene til en ruter, selv om det ikke er noe komplisert her. Når vi snakker om et innkommende grensesnitt betyr dette at kun innkommende trafikk vil bli kontrollert på denne porten, og ruteren vil ikke legge restriksjoner på utgående trafikk. På samme måte, hvis vi snakker om et utgangsgrensesnitt, betyr dette at alle regler vil gjelde kun for utgående trafikk, mens innkommende trafikk på denne porten vil bli akseptert uten begrensninger. For eksempel, hvis ruteren har 2 porter: f0/0 og f0/1, vil ACL bare brukes på trafikk som kommer inn i f0/0-grensesnittet, eller bare på trafikk som kommer fra f0/1-grensesnittet. Trafikk som går inn eller ut av grensesnitt f0/1 vil ikke bli påvirket av listen.
Vær derfor ikke forvirret av den innkommende eller utgående retningen til grensesnittet, det avhenger av retningen til den spesifikke trafikken. Så, etter at ruteren har sjekket trafikken for å samsvare med ACL-betingelsene, kan den bare ta to avgjørelser: tillate trafikken eller avvise den. Du kan for eksempel tillate trafikk destinert for 180.160.1.30 og avvise trafikk destinert for 192.168.1.10. Hver liste kan inneholde flere betingelser, men hver av disse betingelsene må tillate eller avvise.
La oss si at vi har en liste:
Forby _______
Tillat ________
Tillat ________
Forby _________.
Først vil ruteren sjekke trafikken for å se om den samsvarer med den første betingelsen; hvis den ikke samsvarer, vil den sjekke den andre betingelsen. Hvis trafikken samsvarer med den tredje betingelsen, vil ruteren slutte å sjekke og vil ikke sammenligne den med resten av listebetingelsene. Den vil utføre "tillat"-handlingen og gå videre til å sjekke neste del av trafikken.
I tilfelle du ikke har satt en regel for noen pakke og trafikken går gjennom alle linjene i listen uten å treffe noen av betingelsene, blir den ødelagt, fordi hver ACL-liste som standard ender med deny any-kommandoen - det vil si forkast enhver pakke som ikke faller inn under noen av reglene. Denne betingelsen trer i kraft hvis det er minst én regel i listen, ellers har den ingen effekt. Men hvis den første linjen inneholder oppføringen nekte 192.168.1.30 og listen ikke lenger inneholder noen betingelser, bør det på slutten være en kommandotillatelse, det vil si tillate all trafikk unntatt den som er forbudt av regelen. Du må ta hensyn til dette for å unngå feil når du konfigurerer tilgangskontrollisten.
Jeg vil at du skal huske den grunnleggende regelen for å lage en ASL-liste: plasser standard ASL så nær destinasjonen som mulig, det vil si mottakeren av trafikken, og plasser utvidet ASL så nær kilden som mulig, det vil si, til avsenderen av trafikken. Dette er Ciscos anbefalinger, men i praksis er det situasjoner hvor det er mer fornuftig å plassere en standard ACL nær trafikkkilden. Men hvis du kommer over et spørsmål om ACL-plasseringsregler under eksamen, følg Ciscos anbefalinger og svar utvetydig: standard er nærmere destinasjonen, utvidet er nærmere kilden.
La oss nå se på syntaksen til en standard ACL. Det er to typer kommandosyntaks i ruterens globale konfigurasjonsmodus: klassisk syntaks og moderne syntaks.
Den klassiske kommandotypen er tilgangsliste <ACL-nummer> <avslå/tillat> <kriterier>. Hvis du setter <ACL-nummer> fra 1 til 99, vil enheten automatisk forstå at dette er en standard ACL, og hvis det er fra 100 til 199, så er det en utvidet. Siden vi i dagens leksjon ser på en standardliste, kan vi bruke et hvilket som helst tall fra 1 til 99. Deretter angir vi handlingen som må utføres hvis parameterne samsvarer med følgende kriterium - tillat eller nekt trafikk. Vi vil vurdere kriteriet senere, siden det også brukes i moderne syntaks.
Den moderne kommandotypen brukes også i Rx(config) global konfigurasjonsmodus og ser slik ut: ip access-list standard <ACL nummer/navn>. Her kan du bruke enten et tall fra 1 til 99 eller navnet på ACL-listen, for eksempel ACL_Networking. Denne kommandoen setter systemet umiddelbart i Rx standard modus underkommando modus (config-std-nacl), hvor du må angi <deny/enable> <kriterier>. Den moderne typen lag har flere fordeler sammenlignet med den klassiske.
I en klassisk liste, hvis du skriver inn tilgangsliste 10 nekte ______, skriv inn neste kommando av samme type for et annet kriterium, og du ender opp med 100 slike kommandoer, så for å endre noen av kommandoene som er lagt inn, må du slett hele tilgangslistelisten 10 med kommandoen no access-list 10. Dette vil slette alle 100 kommandoene fordi det ikke er mulig å redigere noen individuelle kommandoer i denne listen.
I moderne syntaks er kommandoen delt inn i to linjer, hvorav den første inneholder listenummeret. Tenk deg at hvis du har en liste tilgangsliste standard 10 nekte ________, tilgangsliste standard 20 nekte ________ og så videre, så har du muligheten til å sette inn mellomlister med andre kriterier mellom dem, for eksempel tilgangsliste standard 15 nekte ________ .
Alternativt kan du ganske enkelt slette linjene for tilgangslistestandard 20 og skrive dem inn på nytt med forskjellige parametere mellom linjene med tilgangslistestandard 10 og tilgangslistestandard 30. Dermed er det forskjellige måter å redigere moderne ACL-syntaks på.
Du må være veldig forsiktig når du oppretter tilgangskontrollister. Som du vet leses lister fra topp til bunn. Hvis du plasserer en linje øverst som tillater trafikk fra en spesifikk vert, kan du nedenfor plassere en linje som forbyr trafikk fra hele nettverket som denne verten er en del av, og begge forholdene vil bli sjekket - trafikk til en spesifikk vert vil slippes gjennom, og trafikk fra alle andre verter dette nettverket vil bli blokkert. Plasser derfor alltid spesifikke oppføringer øverst på listen og generelle nederst.
Så, etter at du har laget en klassisk eller moderne ACL, må du bruke den. For å gjøre dette må du gå til innstillingene for et spesifikt grensesnitt, for eksempel f0/0 ved å bruke kommandogrensesnittet <type og spor>, gå til underkommandomodus for grensesnittet og angi kommandoen ip-tilgangsgruppe <ACL-nummer/ navn> . Vær oppmerksom på forskjellen: når du kompilerer en liste, brukes en tilgangsliste, og når du bruker den, brukes en tilgangsgruppe. Du må bestemme hvilket grensesnitt denne listen skal brukes på - det innkommende grensesnittet eller det utgående grensesnittet. Hvis listen har et navn, for eksempel Nettverk, gjentas det samme navnet i kommandoen for å bruke listen på dette grensesnittet.
La oss nå ta et spesifikt problem og prøve å løse det ved å bruke eksempelet på nettverksdiagrammet vårt med Packet Tracer. Så vi har 4 nettverk: salgsavdeling, regnskapsavdeling, ledelse og serverrom.
Oppgave nr. 1: all trafikk som ledes fra salgs- og økonomiavdelingen til forvaltningsavdelingen og serverrom skal blokkeres. Blokkeringsstedet er grensesnitt S0/1/0 til ruter R2. Først må vi lage en liste som inneholder følgende oppføringer:
La oss kalle listen "Management and Server Security ACL", forkortet til ACL Secure_Ma_And_Se. Dette etterfølges av å forby trafikk fra finansavdelingens nettverk 192.168.1.128/26, forby trafikk fra salgsavdelingens nettverk 192.168.1.0/25, og tillate all annen trafikk. På slutten av listen er det indikert at den brukes for det utgående grensesnittet S0/1/0 til ruter R2. Hvis vi ikke har en Permit Any-oppføring på slutten av listen, vil all annen trafikk bli blokkert fordi standard ACL alltid er satt til en Deny Any-oppføring på slutten av listen.
Kan jeg bruke denne tilgangskontrollisten på grensesnitt G0/0? Det kan jeg selvfølgelig, men i dette tilfellet vil kun trafikk fra regnskapsavdelingen bli blokkert, og trafikk fra salgsavdelingen vil ikke begrenses på noen måte. På samme måte kan du bruke en ACL til G0/1-grensesnittet, men i dette tilfellet vil ikke finansavdelingstrafikken bli blokkert. Selvfølgelig kan vi lage to separate blokkeringslister for disse grensesnittene, men det er mye mer effektivt å kombinere dem til én liste og bruke den på utgangsgrensesnittet til ruter R2 eller inngangsgrensesnitt S0/1/0 til ruter R1.
Selv om Cisco-reglene sier at en standard ACL skal plasseres så nær destinasjonen som mulig, vil jeg plassere den nærmere kilden til trafikken fordi jeg ønsker å blokkere all utgående trafikk, og det er mer fornuftig å gjøre dette nærmere kilde slik at denne trafikken ikke kaster bort nettverket mellom to rutere.
Jeg glemte å fortelle deg om kriteriene, så la oss gå raskt tilbake. Du kan spesifisere hvilken som helst som et kriterium - i dette tilfellet vil all trafikk fra enhver enhet og ethvert nettverk bli nektet eller tillatt. Du kan også spesifisere en vert med sin identifikator - i dette tilfellet vil oppføringen være IP-adressen til en bestemt enhet. Til slutt kan du spesifisere et helt nettverk, for eksempel 192.168.1.10/24. I dette tilfellet vil /24 bety tilstedeværelsen av en nettverksmaske på 255.255.255.0, men det er umulig å spesifisere IP-adressen til nettverksmasken i tilgangskontrollisten. For dette tilfellet har ACL et konsept kalt Wildcart Mask, eller "omvendt maske". Derfor må du spesifisere IP-adressen og returmasken. Den omvendte masken ser slik ut: du må trekke den direkte nettverksmasken fra den generelle nettverksmasken, det vil si at tallet som tilsvarer oktettverdien i forovermasken trekkes fra 255.
Derfor bør du bruke parameteren 192.168.1.10 0.0.0.255 som kriteriet i tilgangskontrollisten.
Hvordan det fungerer? Hvis det er en 0 i returmaskeoktetten, anses kriteriet å samsvare med den tilsvarende oktetten til subnettets IP-adresse. Hvis det er et tall i ryggmaskeoktetten, sjekkes ikke treffet. Således, for et nettverk på 192.168.1.0 og en returmaske på 0.0.0.255, vil all trafikk fra adresser hvis første tre oktetter er lik 192.168.1., uavhengig av verdien på den fjerde oktetten, bli blokkert eller tillatt avhengig av den angitte handlingen.
Det er enkelt å bruke en omvendt maske, og vi kommer tilbake til Wildcart-masken i neste video, slik at jeg kan forklare hvordan jeg jobber med den.
28:50 min
Takk for at du bor hos oss. Liker du artiklene våre? Vil du se mer interessant innhold? Støtt oss ved å legge inn en bestilling eller anbefale til venner, 30 % rabatt for Habr-brukere på en unik analog av inngangsnivåservere, som ble oppfunnet av oss for deg: (tilgjengelig med RAID1 og RAID10, opptil 24 kjerner og opptil 40 GB DDR4).
Dell R730xd 2 ganger billigere? Bare her i Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fra $99! Lese om
Kilde: www.habr.com