Astăzi vom începe să învățăm despre lista de control al accesului ACL, acest subiect va dura 2 lecții video. Ne vom uita la configurația unui ACL standard, iar în următorul tutorial video voi vorbi despre lista extinsă.
În această lecție vom acoperi 3 subiecte. Primul este ce este un ACL, al doilea este diferența dintre o listă de acces standard și o listă extinsă, iar la sfârșitul lecției, ca laborator, ne vom uita la configurarea unui ACL standard și la rezolvarea posibilelor probleme.
Deci, ce este un ACL? Dacă ați studiat cursul încă de la prima lecție video, atunci vă amintiți cum am organizat comunicarea între diferite dispozitive din rețea.
De asemenea, am studiat rutarea statică prin diferite protocoale pentru a dobândi abilități în organizarea comunicațiilor între dispozitive și rețele. Am ajuns acum în stadiul de învățare în care ar trebui să fim preocupați de asigurarea controlului traficului, adică de a împiedica „băieții răi” sau utilizatorii neautorizați să se infiltreze în rețea. De exemplu, acest lucru poate viza oameni din departamentul de vânzări, care este prezentat în această diagramă. Aici aratam si departamentul financiar CONTURI, departamentul de management MANAGEMENT si camera serverului SERVER ROOM.
Deci, departamentul de vânzări poate avea o sută de angajați și nu dorim ca niciunul dintre ei să poată ajunge în camera serverului prin rețea. Se face o excepție pentru managerul de vânzări care lucrează pe un computer Laptop2 - acesta poate avea acces la camera serverului. Un nou angajat care lucrează pe Laptop3 nu ar trebui să aibă un astfel de acces, adică dacă traficul de pe computerul său ajunge la routerul R2, acesta ar trebui să fie abandonat.
Rolul unui ACL este de a filtra traficul în funcție de parametrii de filtrare specificați. Acestea includ adresa IP sursă, adresa IP destinație, protocolul, numărul de porturi și alți parametri, datorită cărora puteți identifica traficul și puteți lua unele acțiuni cu acesta.
Deci, ACL este un mecanism de filtrare de nivel 3 al modelului OSI. Aceasta înseamnă că acest mecanism este utilizat în routere. Principalul criteriu de filtrare este identificarea fluxului de date. De exemplu, dacă vrem să îl blocăm pe tipul cu computerul Laptop3 să acceseze serverul, în primul rând trebuie să îi identificăm traficul. Acest trafic se deplasează în direcția Laptop-Switch2-R2-R1-Switch1-Server1 prin interfețele corespunzătoare ale dispozitivelor de rețea, în timp ce interfețele G0/0 ale routerelor nu au nimic de-a face cu asta.
Pentru a identifica traficul, trebuie să îi identificăm traseul. După ce am făcut acest lucru, putem decide unde exact trebuie să instalăm filtrul. Nu vă faceți griji în privința filtrelor în sine, le vom discuta în lecția următoare, deocamdată trebuie să înțelegem principiul căruia interfață trebuie aplicat filtrul.
Dacă te uiți la un router, poți vedea că de fiecare dată când traficul se mișcă, există o interfață în care intră fluxul de date și o interfață prin care iese acest flux.
Există de fapt 3 interfețe: interfața de intrare, interfața de ieșire și interfața proprie a routerului. Nu uitați doar că filtrarea poate fi aplicată numai interfeței de intrare sau de ieșire.
Principiul funcționării ACL este similar cu o trecere la un eveniment la care pot participa doar acei invitați al căror nume se află pe lista persoanelor invitate. Un ACL este o listă de parametri de calificare care sunt utilizați pentru a identifica traficul. De exemplu, această listă indică faptul că tot traficul este permis de la adresa IP 192.168.1.10, iar traficul de la toate celelalte adrese este refuzat. După cum am spus, această listă poate fi aplicată atât interfeței de intrare, cât și de ieșire.
Există 2 tipuri de ACL: standard și extins. Un ACL standard are un identificator de la 1 la 99 sau de la 1300 la 1999. Acestea sunt pur și simplu nume de listă care nu au niciun avantaj unul față de celălalt pe măsură ce numerotarea crește. În plus față de număr, puteți atribui propriul nume ACL. ACL-urile extinse sunt numerotate de la 100 la 199 sau de la 2000 la 2699 și pot avea, de asemenea, un nume.
Într-un ACL standard, clasificarea se bazează pe adresa IP sursă a traficului. Prin urmare, atunci când utilizați o astfel de listă, nu puteți restricționa traficul direcționat către nicio sursă, puteți bloca doar traficul care provine de la un dispozitiv.
Un ACL extins clasifică traficul după adresa IP sursă, adresa IP destinație, protocolul utilizat și numărul de port. De exemplu, puteți bloca numai traficul FTP sau numai traficul HTTP. Astăzi ne vom uita la ACL standard și vom dedica următoarea lecție video listelor extinse.
După cum am spus, un ACL este o listă de condiții. După ce aplicați această listă la interfața de intrare sau de ieșire a routerului, routerul verifică traficul față de această listă și, dacă îndeplinește condițiile stabilite în listă, decide dacă permite sau interzice acest trafic. Oamenilor le este adesea dificil să determine interfețele de intrare și ieșire ale unui router, deși nu este nimic complicat aici. Când vorbim despre o interfață de intrare, aceasta înseamnă că numai traficul de intrare va fi controlat pe acest port, iar routerul nu va aplica restricții la traficul de ieșire. În mod similar, dacă vorbim despre o interfață de ieșire, aceasta înseamnă că toate regulile se vor aplica numai traficului de ieșire, în timp ce traficul de intrare pe acest port va fi acceptat fără restricții. De exemplu, dacă routerul are 2 porturi: f0/0 și f0/1, atunci ACL-ul va fi aplicat numai traficului care intră în interfața f0/0 sau numai traficului care provine din interfața f0/1. Traficul care intră sau iese din interfața f0/1 nu va fi afectat de listă.
Prin urmare, nu vă confundați cu direcția de intrare sau de ieșire a interfeței, aceasta depinde de direcția traficului specific. Deci, după ce routerul a verificat traficul pentru a se potrivi cu condițiile ACL, poate lua doar două decizii: permite traficul sau respinge. De exemplu, puteți permite traficul destinat 180.160.1.30 și respinge traficul destinat 192.168.1.10. Fiecare listă poate conține mai multe condiții, dar fiecare dintre aceste condiții trebuie să permită sau să respingă.
Să presupunem că avem o listă:
interzice _______
Permite ________
Permite ________
Interzice _________.
În primul rând, routerul va verifica traficul pentru a vedea dacă se potrivește cu prima condiție; dacă nu se potrivește, va verifica a doua condiție. Dacă traficul se potrivește cu a treia condiție, routerul va opri verificarea și nu o va compara cu restul condițiilor din listă. Acesta va efectua acțiunea „permite” și va trece la verificarea următoarei porțiuni de trafic.
În cazul în care nu ați setat o regulă pentru niciun pachet și traficul trece prin toate liniile listei fără a atinge niciuna dintre condiții, acesta este distrus, deoarece fiecare listă ACL se termină implicit cu comanda deny any - adică aruncați orice pachet, care nu se încadrează în niciuna dintre reguli. Această condiție are efect dacă există cel puțin o regulă în listă, în caz contrar, nu are efect. Dar dacă prima linie conține intrarea deny 192.168.1.30 și lista nu mai conține nicio condiție, atunci la sfârșit ar trebui să existe o comandă permit any, adică permite orice trafic cu excepția celui interzis de regulă. Trebuie să țineți cont de acest lucru pentru a evita greșelile atunci când configurați ACL.
Vreau să vă amintiți regula de bază a creării unei liste ASL: plasați ASL standard cât mai aproape de destinație, adică de destinatarul traficului, și plasați ASL extins cât mai aproape de sursă, adică către expeditorul traficului. Acestea sunt recomandări Cisco, dar în practică există situații în care este mai logic să plasați un ACL standard aproape de sursa de trafic. Dar dacă întâlniți o întrebare despre regulile de plasare ACL în timpul examenului, urmați recomandările Cisco și răspundeți fără ambiguitate: standardul este mai aproape de destinație, extins este mai aproape de sursă.
Acum să ne uităm la sintaxa unui ACL standard. Există două tipuri de sintaxă de comandă în modul de configurare globală a routerului: sintaxă clasică și sintaxă modernă.
Tipul de comandă clasic este access-list <număr ACL> <deny/allow> <criterii>. Dacă setați <Numărul ACL> de la 1 la 99, dispozitivul va înțelege automat că acesta este un ACL standard, iar dacă este de la 100 la 199, atunci este unul extins. Deoarece în lecția de astăzi ne uităm la o listă standard, putem folosi orice număr de la 1 la 99. Apoi indicăm acțiunea care trebuie aplicată dacă parametrii corespund următorului criteriu - permite sau refuza traficul. Vom lua în considerare criteriul mai târziu, deoarece este folosit și în sintaxa modernă.
Tipul modern de comandă este folosit și în modul de configurare globală Rx(config) și arată astfel: ip access-list standard <ACL number/name>. Aici puteți utiliza fie un număr de la 1 la 99, fie numele listei ACL, de exemplu, ACL_Networking. Această comandă pune imediat sistemul în modul de subcomandă Rx standard (config-std-nacl), unde trebuie să introduceți <deny/enable> <criteria>. Echipele de tip modern au mai multe avantaje față de cea clasică.
Într-o listă clasică, dacă tastați access-list 10 deny ______, apoi introduceți următoarea comandă de același fel pentru un alt criteriu și ajungeți cu 100 de astfel de comenzi, atunci pentru a modifica oricare dintre comenzile introduse, va trebui să ștergeți întreaga listă de acces 10 cu comanda no access-list 10. Aceasta va șterge toate cele 100 de comenzi deoarece nu există nicio modalitate de a edita orice comandă individuală în această listă.
În sintaxa modernă, comanda este împărțită în două linii, prima dintre care conține numărul listei. Să presupunem că dacă aveți o listă access-list standard 10 deny ________, access-list standard 20 deny ________ și așa mai departe, atunci aveți posibilitatea de a introduce liste intermediare cu alte criterii între ele, de exemplu, access-list standard 15 deny ________ .
Alternativ, puteți pur și simplu să ștergeți liniile standard ale listei de acces 20 și să le reintroduceți cu parametri diferiți între standardul listei de acces 10 și liniile standard al listei de acces 30. Astfel, există diferite moduri de a edita sintaxa ACL modernă.
Trebuie să fiți foarte atenți când creați ACL-uri. După cum știți, listele sunt citite de sus în jos. Dacă plasați o linie în partea de sus care permite traficul de la o anumită gazdă, atunci dedesubt puteți plasa o linie care interzice traficul din întreaga rețea din care face parte această gazdă și ambele condiții vor fi verificate - traficul către o anumită gazdă va să fie permis să treacă, iar traficul de la toate celelalte gazde din această rețea va fi blocat. Prin urmare, plasați întotdeauna intrări specifice în partea de sus a listei și cele generale în partea de jos.
Deci, după ce ați creat un ACL clasic sau modern, trebuie să îl aplicați. Pentru a face acest lucru, trebuie să accesați setările unei interfețe specifice, de exemplu, f0/0 utilizând interfața de comandă <tip și slot>, accesați modul subcomandă interfață și introduceți comanda ip access-group <număr ACL/ nume> . Vă rugăm să rețineți diferența: atunci când compilați o listă, se folosește o listă de acces, iar atunci când o aplicați, se folosește un grup de acces. Trebuie să determinați la care interfață se va aplica această listă - interfața de intrare sau interfața de ieșire. Dacă lista are un nume, de exemplu, Networking, același nume este repetat în comanda pentru a aplica lista pe această interfață.
Acum să luăm o problemă specifică și să încercăm să o rezolvăm folosind exemplul diagramei noastre de rețea folosind Packet Tracer. Deci, avem 4 rețele: departamentul de vânzări, departamentul de contabilitate, managementul și camera serverului.
Sarcina nr. 1: tot traficul direcționat de la departamentele de vânzări și financiare către departamentul de management și camera de server trebuie blocat. Locația de blocare este interfața S0/1/0 a routerului R2. Mai întâi trebuie să creăm o listă care să conțină următoarele intrări:
Să numim lista „Management and Server Security ACL”, prescurtată ca ACL Secure_Ma_And_Se. Aceasta este urmată de interzicerea traficului din rețeaua departamentului financiar 192.168.1.128/26, interzicerea traficului din rețeaua departamentului de vânzări 192.168.1.0/25 și permiterea oricărui alt trafic. La sfârșitul listei se indică faptul că este utilizat pentru interfața de ieșire S0/1/0 a routerului R2. Dacă nu avem o intrare Permit Any la sfârșitul listei, atunci tot restul traficului va fi blocat deoarece ACL implicit este întotdeauna setat la o intrare Deny Any la sfârșitul listei.
Pot aplica acest ACL la interfața G0/0? Bineînțeles că pot, dar în acest caz doar traficul de la departamentul de contabilitate va fi blocat, iar traficul de la departamentul de vânzări nu va fi limitat în niciun fel. În același mod, puteți aplica un ACL la interfața G0/1, dar în acest caz traficul departamentului financiar nu va fi blocat. Desigur, putem crea două liste de blocuri separate pentru aceste interfețe, dar este mult mai eficient să le combinăm într-o singură listă și să o aplicăm la interfața de ieșire a routerului R2 sau la interfața de intrare S0/1/0 a routerului R1.
Deși regulile Cisco prevăd că un ACL standard ar trebui plasat cât mai aproape de destinație posibil, îl voi plasa mai aproape de sursa traficului, deoarece vreau să blochez tot traficul de ieșire și este mai logic să fac acest lucru mai aproape de sursă astfel încât acest trafic să nu irosească rețeaua dintre două routere.
Am uitat să vă spun despre criterii, așa că să revenim repede înapoi. Puteți specifica oricare ca criteriu - în acest caz, orice trafic de pe orice dispozitiv și orice rețea va fi refuzat sau permis. De asemenea, puteți specifica o gazdă cu identificatorul său - în acest caz, intrarea va fi adresa IP a unui anumit dispozitiv. În cele din urmă, puteți specifica o întreagă rețea, de exemplu, 192.168.1.10/24. În acest caz, /24 va însemna prezența unei măști de subrețea 255.255.255.0, dar este imposibil să specificați adresa IP a măștii de subrețea în ACL. Pentru acest caz, ACL are un concept numit Wildcart Mask sau „mască inversă”. Prin urmare, trebuie să specificați adresa IP și masca de returnare. Masca inversă arată astfel: trebuie să scădeți masca de subrețea directă din masca de subrețea generală, adică numărul corespunzător valorii octetului din masca înainte este scăzut din 255.
Prin urmare, ar trebui să utilizați parametrul 192.168.1.10 0.0.0.255 ca criteriu în ACL.
Cum functioneaza? Dacă există un 0 în octetul măștii de returnare, se consideră că criteriul se potrivește cu octetul corespunzător al adresei IP a subrețelei. Dacă există un număr în octetul backmask, potrivirea nu este verificată. Astfel, pentru o rețea de 192.168.1.0 și o mască de retur de 0.0.0.255, tot traficul de la adrese ale căror primii trei octeți sunt egali cu 192.168.1., indiferent de valoarea celui de-al patrulea octet, va fi blocat sau permis în funcție de acțiunea specificată.
Utilizarea unei măști inversate este ușoară și vom reveni la Wildcart Mask în următorul videoclip, astfel încât să pot explica cum să lucrez cu ea.
28:50 min
Vă mulțumim că ați rămas cu noi. Vă plac articolele noastre? Vrei să vezi mai mult conținut interesant? Susține-ne plasând o comandă sau recomandând prietenilor, Reducere de 30% pentru utilizatorii Habr la un analog unic de servere entry-level, care a fost inventat de noi pentru tine: (disponibil cu RAID1 și RAID10, până la 24 de nuclee și până la 40 GB DDR4).
Dell R730xd de 2 ori mai ieftin? Numai aici in Olanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - de la 99 USD! Citește despre
Sursa: www.habr.com