Danes se bomo začeli učiti o seznamu za nadzor dostopa ACL, ta tema bo trajala 2 video lekciji. Ogledali si bomo konfiguracijo standardnega ACL, v naslednji video vadnici pa bom govoril o razširjenem seznamu.
V tej lekciji bomo obravnavali 3 teme. Prvi je, kaj je ACL, drugi, kakšna je razlika med standardnim in razširjenim dostopnim seznamom, na koncu lekcije pa si bomo kot laboratorij ogledali nastavitev standardnega ACL in reševanje morebitnih težav.
Kaj je torej ACL? Če ste preučevali tečaj od prve video lekcije, potem se spomnite, kako smo organizirali komunikacijo med različnimi omrežnimi napravami.
Preučevali smo tudi statično usmerjanje prek različnih protokolov, da bi pridobili veščine organiziranja komunikacij med napravami in omrežji. Zdaj smo dosegli stopnjo učenja, ko bi nas moralo skrbeti zagotavljanje nadzora prometa, to je preprečevanje "slabim fantom" ali nepooblaščenim uporabnikom, da bi vdrli v omrežje. Na primer, to lahko zadeva ljudi iz prodajnega oddelka SALES, ki je prikazan v tem diagramu. Tukaj prikazujemo še finančno službo RAČUNI, poslovodno službo VODSTVO in strežniško sobo SERVER ROOM.
Torej ima lahko prodajni oddelek sto zaposlenih in ne želimo, da bi kdo od njih dosegel strežniško sobo prek omrežja. Izjema je za vodjo prodaje, ki dela na računalniku Laptop2 - ima lahko dostop do strežniške sobe. Nov uslužbenec, ki dela na Laptop3, ne bi smel imeti takega dostopa, to pomeni, da če promet z njegovega računalnika doseže usmerjevalnik R2, bi moral biti opuščen.
Vloga ACL je filtriranje prometa glede na določene parametre filtriranja. Vključujejo izvorni naslov IP, ciljni naslov IP, protokol, število vrat in druge parametre, zahvaljujoč katerim lahko prepoznate promet in izvedete nekaj dejanj z njim.
ACL je torej mehanizem filtriranja plasti 3 modela OSI. To pomeni, da se ta mehanizem uporablja v usmerjevalnikih. Glavno merilo za filtriranje je identifikacija podatkovnega toka. Na primer, če želimo tipu z računalnikom Laptop3 preprečiti dostop do strežnika, moramo najprej identificirati njegov promet. Ta promet poteka v smeri Laptop-Switch2-R2-R1-Switch1-Server1 prek ustreznih vmesnikov omrežnih naprav, medtem ko vmesniki G0/0 usmerjevalnikov s tem nimajo nič.
Da prepoznamo promet, moramo prepoznati njegovo pot. Ko to storimo, se lahko odločimo, kam točno moramo namestiti filter. Ne skrbite za same filtre, o njih bomo razpravljali v naslednji lekciji, zdaj pa moramo razumeti načelo, na katerem vmesniku naj bo filter uporabljen.
Če pogledate usmerjevalnik, lahko vidite, da vsakič, ko se promet premakne, obstaja vmesnik, kamor prihaja tok podatkov, in vmesnik, skozi katerega ta tok prihaja ven.
Dejansko obstajajo 3 vmesniki: vhodni vmesnik, izhodni vmesnik in lastni vmesnik usmerjevalnika. Samo zapomnite si, da je filtriranje mogoče uporabiti samo za vhodni ali izhodni vmesnik.
Načelo delovanja ACL je podobno vstopnici na dogodek, ki se ga lahko udeležijo le tisti gostje, katerih ime je na seznamu povabljenih. ACL je seznam kvalifikacijskih parametrov, ki se uporabljajo za prepoznavanje prometa. Ta seznam na primer kaže, da je ves promet dovoljen z naslova IP 192.168.1.10, promet z vseh drugih naslovov pa je zavrnjen. Kot sem rekel, je ta seznam mogoče uporabiti tako za vhodni kot izhodni vmesnik.
Obstajata dve vrsti ACL: standardni in razširjeni. Standardni ACL ima identifikator od 2 do 1 ali od 99 do 1300. To so preprosto imena seznamov, ki nimajo nobenih prednosti drug pred drugim, ko se oštevilčenje povečuje. Poleg številke lahko ACL dodelite svoje ime. Razširjeni ACL-ji so oštevilčeni od 1999 do 100 ali od 199 do 2000 in imajo lahko tudi ime.
V standardnem ACL razvrstitev temelji na izvornem naslovu IP prometa. Zato pri uporabi takega seznama ne morete omejiti prometa, usmerjenega na kateri koli vir, blokirate lahko le promet, ki izvira iz naprave.
Razširjeni ACL razvršča promet po izvornem naslovu IP, ciljnem naslovu IP, uporabljenem protokolu in številki vrat. Na primer, blokirate lahko samo promet FTP ali samo promet HTTP. Danes si bomo ogledali standardni ACL, naslednjo video lekcijo pa bomo posvetili razširjenim seznamom.
Kot sem rekel, je ACL seznam pogojev. Ko ta seznam uporabite za dohodni ali odhodni vmesnik usmerjevalnika, usmerjevalnik preveri promet glede na ta seznam in se, če izpolnjuje pogoje, določene na seznamu, odloči, ali bo ta promet dovolil ali zavrnil. Ljudje pogosto težko določijo vhodne in izhodne vmesnike usmerjevalnika, čeprav tukaj ni nič zapletenega. Ko govorimo o dohodnem vmesniku, to pomeni, da bo na teh vratih nadzorovan samo dohodni promet, usmerjevalnik pa ne bo uporabljal omejitev za odhodni promet. Podobno, če govorimo o izhodnem vmesniku, to pomeni, da bodo vsa pravila veljala samo za odhodni promet, medtem ko bo dohodni promet na teh vratih sprejet brez omejitev. Na primer, če ima usmerjevalnik 2 vrata: f0/0 in f0/1, bo ACL uporabljen samo za promet, ki vstopa v vmesnik f0/0, ali samo za promet, ki izvira iz vmesnika f0/1. Seznam ne bo vplival na promet, ki vstopa ali zapušča vmesnik f0/1.
Zato naj vas ne zmede dohodna ali odhodna smer vmesnika, odvisno je od smeri specifičnega prometa. Torej, potem ko je usmerjevalnik preveril, ali promet ustreza pogojem ACL, lahko sprejme samo dve odločitvi: dovoli promet ali ga zavrne. Na primer, lahko dovolite promet, namenjen 180.160.1.30, in zavrnete promet, namenjen 192.168.1.10. Vsak seznam lahko vsebuje več pogojev, vendar mora vsak od teh pogojev dovoliti ali zavrniti.
Recimo, da imamo seznam:
Prepovedati _______
Dovoli ________
Dovoli ________
Prepovedati _________.
Najprej bo usmerjevalnik preveril promet, ali se ujema s prvim pogojem; če se ne ujema, bo preveril drugi pogoj. Če se promet ujema s tretjim pogojem, bo usmerjevalnik prenehal preverjati in ga ne bo primerjal s preostalimi pogoji seznama. Izvedel bo dejanje »dovoli« in nadaljeval s preverjanjem naslednjega dela prometa.
V primeru, da za noben paket niste nastavili pravila in gre promet skozi vse vrstice seznama, ne da bi dosegel katerega koli od pogojev, se uniči, ker se vsak seznam ACL privzeto konča z ukazom deny any - to je zavrzi kateri koli paket, ki ne spada pod nobeno pravilo. Ta pogoj velja, če je na seznamu vsaj eno pravilo, sicer nima učinka. Če pa prva vrstica vsebuje zavrnitev vnosa 192.168.1.30 in seznam ne vsebuje več nobenih pogojev, mora biti na koncu ukaz permit any, to je dovoli kakršen koli promet, razen tistega, ki je prepovedan s pravilom. To morate upoštevati, da se izognete napakam pri konfiguriranju ACL.
Želim, da si zapomnite osnovno pravilo ustvarjanja seznama ASL: standardni ASL postavite čim bližje cilju, torej prejemniku prometa, razširjeni ASL pa postavite čim bližje viru, tj. pošiljatelju prometa. To so priporočila Cisca, vendar v praksi obstajajo situacije, ko je bolj smiselno postaviti standardni ACL blizu vira prometa. Če pa med izpitom naletite na vprašanje o pravilih postavitve ACL, sledite Ciscovim priporočilom in odgovorite nedvoumno: standardno je bližje cilju, razširjeno je bližje izvoru.
Zdaj pa poglejmo sintakso standardnega ACL. V načinu globalne konfiguracije usmerjevalnika obstajata dve vrsti sintakse ukazov: klasična sintaksa in sodobna sintaksa.
Klasična vrsta ukaza je access-list <ACL številka> <deny/allow> <criteria>. Če nastavite <ACL številko> od 1 do 99, bo naprava samodejno razumela, da je to standardni ACL, če pa je od 100 do 199, potem je razširjen. Ker v današnji lekciji gledamo na standardni seznam, lahko uporabimo katero koli številko od 1 do 99. Nato navedemo dejanje, ki ga je treba uporabiti, če parametri ustrezajo naslednjemu kriteriju - dovoli ali zavrni promet. Kriterij bomo obravnavali kasneje, saj se uporablja tudi v sodobni sintaksi.
Sodoben tip ukaza se uporablja tudi v načinu globalne konfiguracije Rx(config) in izgleda takole: ip access-list standard <ACL številka/ime>. Tu lahko uporabite številko od 1 do 99 ali ime seznama ACL, na primer ACL_Networking. Ta ukaz takoj postavi sistem v način podukaza standardnega načina Rx (config-std-nacl), kjer morate vnesti <deny/enable> <criteria>. Sodobni tip timov ima v primerjavi s klasičnim več prednosti.
Če na klasičnem seznamu vnesete access-list 10 deny ______, nato vnesete naslednji ukaz iste vrste za drugo merilo in na koncu dobite 100 takšnih ukazov, potem bi morali za spremembo katerega koli od vnesenih ukazov izbrisati celoten seznam seznama dostopa 10 z ukazom brez seznama dostopa 10. S tem boste izbrisali vseh 100 ukazov, ker na tem seznamu ni mogoče urediti nobenega posameznega ukaza.
V sodobni sintaksi je ukaz razdeljen na dve vrstici, od katerih prva vsebuje številko seznama. Recimo, da imate standard seznama za dostop do seznama 10 za zavrnitev ________, standard za seznam za dostop 20 za zavrnitev ________ in tako naprej, potem imate možnost vstaviti vmesne sezname z drugimi kriteriji med njimi, na primer standard za seznam za dostop 15 za zavrnitev ________ .
Druga možnost je, da preprosto izbrišete standardne vrstice dostopnega seznama 20 in jih znova vnesete z različnimi parametri med standardnimi vrsticami seznama dostopa 10 in standardnimi vrsticami seznama dostopa 30. Tako obstajajo različni načini za urejanje sodobne sintakse ACL.
Pri ustvarjanju ACL morate biti zelo previdni. Kot veste, se seznami berejo od zgoraj navzdol. Če postavite na vrh vrstico, ki dovoljuje promet iz določenega gostitelja, potem lahko spodaj postavite vrstico, ki prepoveduje promet iz celotnega omrežja, katerega del je ta gostitelj, in oba pogoja bosta preverjena - promet na določenega gostitelja bo in promet z vseh drugih gostiteljev tega omrežja bo blokiran. Zato posebne vnose vedno postavite na vrh seznama, splošne pa na dno.
Torej, ko ste ustvarili klasičen ali sodoben ACL, ga morate uporabiti. Če želite to narediti, morate iti v nastavitve določenega vmesnika, na primer f0/0 z ukaznim vmesnikom <type and slot>, pojdite v način podukaza vmesnika in vnesite ukaz ip access-group <ACL number/ ime> . Upoštevajte razliko: pri sestavljanju seznama se uporablja dostopni seznam, pri njegovi uporabi pa dostopna skupina. Določiti morate, za kateri vmesnik bo uporabljen ta seznam – za dohodni vmesnik ali za odhodni vmesnik. Če ima seznam ime, na primer Omrežje, se isto ime ponovi v ukazu za uporabo seznama na tem vmesniku.
Zdaj pa vzemimo specifično težavo in jo poskusimo rešiti z uporabo primera našega omrežnega diagrama s pomočjo Packet Tracerja. Imamo torej 4 mreže: prodajni oddelek, računovodski oddelek, vodstvo in strežniško sobo.
Naloga št. 1: blokirati je treba ves promet, usmerjen iz prodajnih in finančnih oddelkov v vodstveni oddelek in strežniško sobo. Lokacija blokiranja je vmesnik S0/1/0 usmerjevalnika R2. Najprej moramo ustvariti seznam, ki vsebuje naslednje vnose:
Poimenujmo seznam »ACL za upravljanje in varnost strežnika«, skrajšano kot ACL Secure_Ma_And_Se. Sledi prepoved prometa iz omrežja finančnega oddelka 192.168.1.128/26, prepoved prometa iz omrežja prodajnega oddelka 192.168.1.0/25 in dovoljenje morebitnega drugega prometa. Na koncu seznama je navedeno, da se uporablja za odhodni vmesnik S0/1/0 usmerjevalnika R2. Če na koncu seznama nimamo vnosa Permit Any, potem bo ves drug promet blokiran, ker je privzeti ACL vedno nastavljen na vnos Deny Any na koncu seznama.
Ali lahko uporabim ta ACL za vmesnik G0/0? Seveda lahko, vendar bo v tem primeru blokiran samo promet iz računovodstva, promet iz prodaje pa ne bo nikakor omejen. Na enak način lahko uporabite ACL za vmesnik G0/1, vendar v tem primeru promet finančnega oddelka ne bo blokiran. Seveda lahko ustvarimo dva ločena seznama blokov za te vmesnike, vendar je veliko bolj učinkovito, če ju združimo v en seznam in ga uporabimo za izhodni vmesnik usmerjevalnika R2 ali vhodni vmesnik S0/1/0 usmerjevalnika R1.
Čeprav Ciscova pravila določajo, da mora biti standardni ACL nameščen čim bližje cilju, ga bom postavil bližje viru prometa, ker želim blokirati ves odhodni promet, in bolj smiselno je, da to naredim bližje viru prometa. vir, tako da ta promet ne zapravlja omrežja med dvema usmerjevalnikoma.
Pozabil sem vam povedati o kriterijih, zato se vrnimo hitro nazaj. Kot merilo lahko določite katerega koli - v tem primeru bo vsak promet iz katere koli naprave in katerega koli omrežja zavrnjen ali dovoljen. Gostitelja lahko določite tudi z njegovim identifikatorjem - v tem primeru bo vnos naslov IP določene naprave. Končno lahko določite celotno omrežje, na primer 192.168.1.10/24. V tem primeru bo /24 pomenil prisotnost maske podomrežja 255.255.255.0, vendar je nemogoče podati naslov IP maske podomrežja v ACL. Za ta primer ima ACL koncept, imenovan Wildcart Mask ali "obratna maska". Zato morate določiti naslov IP in povratno masko. Obratna maska je videti takole: neposredno masko podomrežja morate odšteti od splošne maske podomrežja, to pomeni, da se število, ki ustreza vrednosti okteta v maski naprej, odšteje od 255.
Zato bi morali kot merilo v ACL uporabiti parameter 192.168.1.10 0.0.0.255.
Kako deluje? Če je v oktetu povratne maske 0, velja, da se kriterij ujema z ustreznim oktetom naslova IP podomrežja. Če je v oktetu povratne maske številka, ujemanje ni preverjeno. Tako bo za omrežje 192.168.1.0 in povratno masko 0.0.0.255 ves promet z naslovov, katerih prvi trije okteti so enaki 192.168.1., ne glede na vrednost četrtega okteta, blokiran ali dovoljen, odvisno od navedeno dejanje.
Uporaba vzvratne maske je enostavna in k maski Wildcart se bomo vrnili v naslednjem videoposnetku, da bom lahko razložil, kako delati z njo.
28:50 min
Hvala, ker ste ostali z nami. So vam všeč naši članki? Želite videti več zanimivih vsebin? Podprite nas tako, da oddate naročilo ali priporočite prijateljem, 30% popust za uporabnike Habr na edinstvenem analogu začetnih strežnikov, ki smo ga izumili za vas: (na voljo z RAID1 in RAID10, do 24 jeder in do 40 GB DDR4).
Dell R730xd 2-krat cenejši? Samo tukaj na Nizozemskem! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB - od 99 $! Preberite o
Vir: www.habr.com