Dzisiaj zaczniemy uczyć się o liście kontroli dostępu ACL, ten temat zajmie 2 lekcje wideo. Przyjrzymy się konfiguracji standardowej listy ACL, a w następnym samouczku wideo opowiem o rozszerzonej liście.
W tej lekcji omówimy 3 tematy. Pierwsza dotyczy tego, czym jest lista ACL, druga to jaka jest różnica między standardową a rozszerzoną listą dostępu, a na koniec lekcji, w ramach laboratorium, przyjrzymy się konfigurowaniu standardowej listy ACL i rozwiązywaniu ewentualnych problemów.
Czym więc jest lista ACL? Jeśli przestudiowałeś kurs od pierwszej lekcji wideo, pamiętasz, jak zorganizowaliśmy komunikację między różnymi urządzeniami sieciowymi.
Badaliśmy także routing statyczny w różnych protokołach, aby zdobyć umiejętności organizowania komunikacji między urządzeniami i sieciami. Dotarliśmy już do etapu uczenia się, w którym powinniśmy zająć się zapewnieniem kontroli ruchu, czyli zapobieganiem przedostawaniu się do sieci „złych facetów” lub nieautoryzowanych użytkowników. Przykładowo może to dotyczyć osób z działu sprzedaży SPRZEDAŻ, co ilustruje ten diagram. Tutaj pokazujemy również dział finansowy RACHUNKI, dział zarządzania ZARZĄDZANIE i serwerownię SERWEROWNIA.
Tak więc dział sprzedaży może liczyć stu pracowników, a my nie chcemy, żeby którykolwiek z nich miał możliwość dotarcia do serwerowni przez sieć. Wyjątek stanowi menadżer sprzedaży pracujący na komputerze Laptop2 - może on mieć dostęp do serwerowni. Nowy pracownik pracujący na Laptopie3 nie powinien mieć takiego dostępu, czyli jeśli ruch z jego komputera dotrze do routera R2, powinien zostać porzucony.
Rolą listy ACL jest filtrowanie ruchu zgodnie z określonymi parametrami filtrowania. Obejmują one źródłowy adres IP, docelowy adres IP, protokół, liczbę portów i inne parametry, dzięki którym można zidentyfikować ruch i podjąć z nim pewne działania.
Zatem lista ACL jest mechanizmem filtrującym warstwy 3 modelu OSI. Oznacza to, że ten mechanizm jest stosowany w routerach. Głównym kryterium filtrowania jest identyfikacja strumienia danych. Na przykład, jeśli chcemy zablokować dostęp do serwera facetowi z komputerem Laptop3, musimy przede wszystkim zidentyfikować jego ruch. Ruch ten przemieszcza się w kierunku Laptop-Switch2-R2-R1-Switch1-Server1 poprzez odpowiednie interfejsy urządzeń sieciowych, natomiast interfejsy G0/0 routerów nie mają z tym nic wspólnego.
Aby zidentyfikować ruch, musimy określić jego ścieżkę. Po wykonaniu tej czynności możemy zdecydować, gdzie dokładnie chcemy zainstalować filtr. Nie martw się o same filtry, omówimy je w następnej lekcji, na razie musimy zrozumieć zasadę, do jakiego interfejsu należy zastosować filtr.
Jeśli spojrzysz na router, zobaczysz, że za każdym razem, gdy przesyłany jest ruch, istnieje interfejs, przez który przepływ danych wchodzi, i interfejs, przez który ten przepływ wychodzi.
W rzeczywistości istnieją 3 interfejsy: interfejs wejściowy, interfejs wyjściowy i własny interfejs routera. Pamiętaj tylko, że filtrowanie można zastosować tylko do interfejsu wejściowego lub wyjściowego.
Zasada działania ACL przypomina przepustkę na wydarzenie, na które mogą wejść tylko ci goście, których nazwisko znajduje się na liście zaproszonych osób. Lista ACL to lista parametrów kwalifikacyjnych używanych do identyfikacji ruchu. Na przykład ta lista wskazuje, że cały ruch z adresu IP 192.168.1.10 jest dozwolony, a ruch ze wszystkich pozostałych adresów jest zabroniony. Jak powiedziałem, tę listę można zastosować zarówno do interfejsu wejściowego, jak i wyjściowego.
Istnieją 2 typy list ACL: standardowe i rozszerzone. Standardowa lista ACL ma identyfikatory od 1 do 99 lub od 1300 do 1999. Są to po prostu nazwy list, które w miarę wzrostu numeracji nie mają względem siebie żadnej przewagi. Oprócz numeru możesz przypisać do listy ACL własną nazwę. Rozszerzone listy ACL są ponumerowane od 100 do 199 lub od 2000 do 2699 i mogą mieć również nazwę.
W standardowej liście ACL klasyfikacja opiera się na źródłowym adresie IP ruchu. Dlatego korzystając z takiej listy nie można ograniczać ruchu kierowanego do żadnego źródła, można jedynie blokować ruch pochodzący z urządzenia.
Rozszerzona lista ACL klasyfikuje ruch według źródłowego adresu IP, docelowego adresu IP, używanego protokołu i numeru portu. Na przykład możesz blokować tylko ruch FTP lub tylko ruch HTTP. Dzisiaj przyjrzymy się standardowej liście ACL, a następną lekcję wideo poświęcimy listom rozszerzonym.
Jak powiedziałem, lista ACL to lista warunków. Po zastosowaniu tej listy do interfejsu przychodzącego lub wychodzącego routera, router sprawdza ruch zgodnie z tą listą i jeśli spełnia warunki określone na liście, decyduje, czy zezwolić na ten ruch, czy go zabronić. Ludziom często trudno jest określić interfejsy wejściowe i wyjściowe routera, chociaż nie ma tu nic skomplikowanego. Kiedy mówimy o interfejsie przychodzącym, oznacza to, że na tym porcie kontrolowany będzie tylko ruch przychodzący, a router nie będzie nakładał ograniczeń na ruch wychodzący. Podobnie, jeśli mówimy o interfejsie wyjściowym, oznacza to, że wszystkie reguły będą dotyczyć tylko ruchu wychodzącego, natomiast ruch przychodzący na tym porcie będzie akceptowany bez ograniczeń. Na przykład, jeśli router ma 2 porty: f0/0 i f0/1, wówczas lista ACL będzie stosowana tylko do ruchu wchodzącego do interfejsu f0/0 lub tylko do ruchu pochodzącego z interfejsu f0/1. Lista nie będzie miała wpływu na ruch wchodzący lub wychodzący z interfejsu f0/1.
Dlatego nie należy mylić kierunku przychodzącego lub wychodzącego interfejsu, zależy to od kierunku konkretnego ruchu. Zatem po sprawdzeniu, czy ruch spełnia warunki listy ACL, router może podjąć tylko dwie decyzje: zezwolić na ruch lub go odrzucić. Na przykład możesz zezwolić na ruch przeznaczony dla 180.160.1.30 i odrzucić ruch przeznaczony dla 192.168.1.10. Każda lista może zawierać wiele warunków, ale każdy z tych warunków musi zezwalać lub odrzucać.
Powiedzmy, że mamy listę:
Zabroń ________
Umożliwić ________
Umożliwić ________
Zabroń __________.
Najpierw router sprawdzi, czy ruch spełnia pierwszy warunek, a jeśli nie, sprawdzi drugi warunek. Jeżeli ruch spełnia trzeci warunek, router przestanie sprawdzać i nie będzie go porównywał z resztą warunków z listy. Wykona akcję „zezwól” i przejdzie do sprawdzania kolejnej porcji ruchu.
W przypadku, gdy nie ustawiłeś reguły dla żadnego pakietu, a ruch przejdzie przez wszystkie linie listy bez spełnienia żadnego z warunków, zostanie zniszczony, ponieważ każda lista ACL domyślnie kończy się poleceniem deny any - czyli odrzuć dowolny pakiet, niepodlegający żadnej z zasad. Warunek ten ma zastosowanie, jeśli na liście znajduje się co najmniej jedna reguła, w przeciwnym razie nie ma on żadnego efektu. Jeśli jednak w pierwszym wierszu znajduje się wpis odmowy 192.168.1.30, a lista nie zawiera już żadnych warunków, to na końcu powinno znajdować się polecenie zezwolenie na dowolny, czyli zezwolenie na dowolny ruch poza tym, który jest zabroniony przez regułę. Należy to wziąć pod uwagę, aby uniknąć błędów podczas konfigurowania listy ACL.
Chcę, żebyś pamiętał o podstawowej zasadzie tworzenia listy ASL: umieść standardowy ASL jak najbliżej celu, czyli odbiorcy ruchu, a rozszerzony ASL jak najbliżej źródła, czyli do nadawcy ruchu. Są to zalecenia Cisco, ale w praktyce zdarzają się sytuacje, w których bardziej sensowne jest umieszczenie standardowej listy ACL blisko źródła ruchu. Jeśli jednak na egzaminie spotkasz się z pytaniem o zasady umieszczania list ACL, postępuj zgodnie z zaleceniami Cisco i odpowiadaj jednoznacznie: standard jest bliżej miejsca docelowego, rozszerzony jest bliżej źródła.
Przyjrzyjmy się teraz składni standardowej listy ACL. Istnieją dwa typy składni poleceń w trybie globalnej konfiguracji routera: składnia klasyczna i składnia nowoczesna.
Klasycznym typem polecenia jest lista dostępu <numer ACL> <deny/allow> <kryteria>. Jeśli ustawisz <Numer ACL> od 1 do 99, urządzenie automatycznie zrozumie, że jest to standardowa lista ACL, a jeśli będzie wynosić od 100 do 199, to będzie to lista rozszerzona. Ponieważ na dzisiejszej lekcji patrzymy na listę standardową, możemy użyć dowolnej liczby od 1 do 99. Następnie wskazujemy akcję, którą należy zastosować, jeśli parametry spełniają następujące kryterium - zezwól lub zablokuj ruch. Kryterium to rozważymy później, ponieważ jest ono również używane we współczesnej składni.
Nowoczesny typ polecenia jest również używany w trybie konfiguracji globalnej Rx(config) i wygląda następująco: ip access-list standard <numer/nazwa listy ACL>. Tutaj możesz użyć liczby od 1 do 99 lub nazwy listy ACL, na przykład ACL_Networking. To polecenie natychmiast przełącza system w tryb podkomendy trybu standardowego Rx (config-std-nacl), w którym należy wprowadzić <deny/enable> <kryteria>. Nowoczesny typ zespołów ma więcej zalet w porównaniu do klasycznego.
Na liście klasycznej, jeśli wpiszesz access-list 10 deny ______, następnie wpisz następne polecenie tego samego rodzaju dla innego kryterium i otrzymasz 100 takich poleceń, a następnie aby zmienić którekolwiek z wprowadzonych poleceń, będziesz musiał usuń całą listę kontroli dostępu 10 za pomocą polecenia no access-list 10. Spowoduje to usunięcie wszystkich 100 poleceń, ponieważ nie ma możliwości edycji żadnego pojedynczego polecenia na tej liście.
We współczesnej składni polecenie jest podzielone na dwie linie, z których pierwsza zawiera numer listy. Załóżmy, że jeśli masz listę dostępu o standardzie 10 odmów ________, listę dostępu o standardzie 20 odmów ________ itd., to masz możliwość wstawienia między nimi list pośrednich z innymi kryteriami, na przykład lista dostępu o standardzie 15 odmów ________ .
Alternatywnie możesz po prostu usunąć standardowe 20 linii listy dostępu i wpisać je ponownie z różnymi parametrami pomiędzy standardowymi liniami listy dostępu 10 a standardowymi liniami listy dostępu 30. Zatem istnieją różne sposoby edycji współczesnej składni ACL.
Tworząc listy ACL, należy zachować szczególną ostrożność. Jak wiadomo, listy czyta się od góry do dołu. Jeśli u góry umieścisz linię zezwalającą na ruch z konkretnego hosta, to poniżej możesz umieścić linię zakazującą ruchu z całej sieci, której ten host jest częścią, i zostaną sprawdzone oba warunki - ruch do konkretnego hosta będzie będzie dozwolone, a ruch ze wszystkich innych hostów w tej sieci zostanie zablokowany. Dlatego zawsze umieszczaj konkretne wpisy na górze listy, a ogólne na dole.
Zatem po utworzeniu klasycznej lub nowoczesnej listy ACL należy ją zastosować. W tym celu należy przejść do ustawień konkretnego interfejsu, np. f0/0 za pomocą komendy interfejs <typ i gniazdo>, przejść do podkomendy interfejsu i wpisać komendę ip access-group <numer ACL/ imię> . Proszę zwrócić uwagę na różnicę: podczas kompilowania listy używana jest lista dostępu, a podczas jej stosowania używana jest grupa dostępu. Musisz określić, do którego interfejsu ta lista zostanie zastosowana - do interfejsu przychodzącego czy wychodzącego. Jeśli lista ma nazwę, na przykład Sieć, ta sama nazwa zostanie powtórzona w poleceniu zastosowania listy w tym interfejsie.
Weźmy teraz konkretny problem i spróbujmy go rozwiązać na przykładzie naszego diagramu sieciowego za pomocą Packet Tracer. Mamy więc 4 sieci: dział sprzedaży, dział księgowości, zarządzanie i serwerownię.
Zadanie nr 1: należy zablokować cały ruch kierowany z działu sprzedaży i finansów do działu zarządzania i serwerowni. Miejsce blokowania to interfejs S0/1/0 routera R2. Najpierw musimy stworzyć listę zawierającą następujące wpisy:
Nazwijmy tę listę „ACL zarządzania i bezpieczeństwa serwera”, w skrócie ACL Secure_Ma_And_Se. Następnie następuje zakaz ruchu z sieci działu finansowego 192.168.1.128/26, zakaz ruchu z sieci działu sprzedaży 192.168.1.0/25 i zezwolenie na każdy inny ruch. Na końcu listy wskazano, że jest ona używana dla interfejsu wychodzącego S0/1/0 routera R2. Jeśli na końcu listy nie ma wpisu Zezwalaj na dowolne, cały pozostały ruch zostanie zablokowany, ponieważ domyślna lista ACL jest zawsze ustawiona na wpis Zabroń dowolnego na końcu listy.
Czy mogę zastosować tę listę ACL do interfejsu G0/0? Oczywiście, że mogę, ale w tym przypadku blokowany będzie jedynie ruch z działu księgowości, a ruch z działu sprzedaży nie będzie w żaden sposób ograniczany. W ten sam sposób możesz zastosować listę ACL do interfejsu G0/1, ale w tym przypadku ruch działu finansowego nie będzie blokowany. Oczywiście możemy utworzyć dwie osobne listy bloków dla tych interfejsów, ale znacznie efektywniej jest połączyć je w jedną listę i zastosować ją do interfejsu wyjściowego routera R2 lub interfejsu wejściowego S0/1/0 routera R1.
Chociaż zasady Cisco stanowią, że standardową listę ACL należy umieścić jak najbliżej miejsca docelowego, ja umieściłem ją bliżej źródła ruchu, ponieważ chcę zablokować cały ruch wychodzący, a rozsądniej jest to zrobić bliżej miejsca docelowego. source, aby ruch ten nie marnował sieci pomiędzy dwoma routerami.
Zapomniałem powiedzieć o kryteriach, więc szybko wróćmy. Możesz określić dowolne kryterium - w tym przypadku wszelki ruch z dowolnego urządzenia i dowolnej sieci będzie zabroniony lub dozwolony. Możesz także podać hosta wraz z jego identyfikatorem – w tym przypadku wpisem będzie adres IP konkretnego urządzenia. Na koniec możesz określić całą sieć, na przykład 192.168.1.10/24. W tym przypadku /24 będzie oznaczać obecność maski podsieci 255.255.255.0, ale nie jest możliwe określenie adresu IP maski podsieci na liście ACL. W tym przypadku ACL ma koncepcję zwaną Wildcart Mask lub „maską odwrotną”. Dlatego musisz podać adres IP i zwrócić maskę. Maska odwrotna wygląda następująco: od ogólnej maski podsieci należy odjąć bezpośrednią maskę podsieci, to znaczy liczbę odpowiadającą wartości oktetu w masce do przodu odejmuje się od 255.
Dlatego należy użyć parametru 192.168.1.10 0.0.0.255 jako kryterium na liście ACL.
Jak to działa? Jeżeli w oktecie maski zwrotnej znajduje się 0, uznaje się, że kryterium odpowiada odpowiadającemu oktetowi adresu IP podsieci. Jeśli w oktecie maski tylnej znajduje się liczba, dopasowanie nie jest sprawdzane. Zatem dla sieci 192.168.1.0 i maski zwrotnej 0.0.0.255 cały ruch z adresów, których pierwsze trzy oktety są równe 192.168.1., niezależnie od wartości czwartego oktetu, będzie blokowany lub dozwolony w zależności od określoną akcję.
Używanie odwróconej maski jest łatwe. Do maski Wildcart wrócimy w następnym filmie, aby wyjaśnić, jak z nią pracować.
28:50 min
Dziękujemy za pobyt z nami. Podobają Ci się nasze artykuły? Chcesz zobaczyć więcej ciekawych treści? Wesprzyj nas składając zamówienie lub polecając znajomym, 30% zniżki dla użytkowników Habr na unikalny odpowiednik serwerów klasy podstawowej, który został przez nas wymyślony dla Ciebie: (dostępne z RAID1 i RAID10, do 24 rdzeni i do 40 GB DDR4).
Dell R730xd 2 razy tańszy? Tylko tutaj w Holandii! Dell R420 — 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2x960 GB SSD 1 Gb/s 100 TB — od 99 USD! Czytać o
Źródło: www.habr.com