Sot do të fillojmë të mësojmë për listën e kontrollit të aksesit ACL, kjo temë do të marrë 2 mësime video. Ne do të shikojmë konfigurimin e një ACL standarde, dhe në video tutorialin tjetër do të flas për listën e zgjeruar.
Në këtë mësim do të trajtojmë 3 tema. E para është se çfarë është një ACL, e dyta është ndryshimi midis një liste standarde dhe një liste aksesi të zgjeruar, dhe në fund të mësimit, si laborator, do të shikojmë vendosjen e një ACL standarde dhe zgjidhjen e problemeve të mundshme.
Pra, çfarë është një ACL? Nëse e keni studiuar kursin që në mësimin e parë të videos, atëherë ju kujtohet se si organizuam komunikimin midis pajisjeve të ndryshme të rrjetit.
Ne studiuam gjithashtu drejtimin statik mbi protokolle të ndryshme për të fituar aftësi në organizimin e komunikimeve midis pajisjeve dhe rrjeteve. Tani kemi arritur në fazën e të mësuarit ku duhet të shqetësohemi për sigurimin e kontrollit të trafikut, domethënë parandalimin e "djemve të këqij" ose përdoruesve të paautorizuar që të depërtojnë në rrjet. Për shembull, kjo mund të shqetësojë njerëz nga departamenti i shitjeve të SHITJEVE, i cili është paraqitur në këtë diagram. Këtu tregojmë gjithashtu LLOGARITË e departamentit financiar, departamentin e menaxhimit MENAXHIMI dhe dhomën e serverit DHOMA SERVER.
Pra, departamenti i shitjeve mund të ketë njëqind punonjës dhe ne nuk duam që asnjëri prej tyre të jetë në gjendje të arrijë dhomën e serverit përmes rrjetit. Një përjashtim është bërë për menaxherin e shitjeve që punon në një kompjuter Laptop2 - ai mund të ketë akses në dhomën e serverit. Një punonjës i ri që punon në Laptop3 nuk duhet të ketë një akses të tillë, domethënë nëse trafiku nga kompjuteri i tij arrin në ruterin R2, ai duhet të hiqet.
Roli i një ACL është të filtrojë trafikun sipas parametrave të specifikuar të filtrimit. Ato përfshijnë adresën IP të burimit, adresën IP të destinacionit, protokollin, numrin e porteve dhe parametra të tjerë, falë të cilëve mund të identifikoni trafikun dhe të ndërmerrni disa veprime me të.
Pra, ACL është një mekanizëm filtrues i shtresës 3 të modelit OSI. Kjo do të thotë që ky mekanizëm përdoret në ruter. Kriteri kryesor për filtrim është identifikimi i rrjedhës së të dhënave. Për shembull, nëse duam të bllokojmë djalin me kompjuterin Laptop3 nga aksesi në server, para së gjithash duhet të identifikojmë trafikun e tij. Ky trafik lëviz në drejtimin Laptop-Switch2-R2-R1-Switch1-Server1 përmes ndërfaqeve përkatëse të pajisjeve të rrjetit, ndërsa ndërfaqet G0/0 të ruterave nuk kanë asnjë lidhje me të.
Për të identifikuar trafikun, duhet të identifikojmë rrugën e tij. Pasi ta kemi bërë këtë, ne mund të vendosim se ku saktësisht duhet të instalojmë filtrin. Mos u shqetësoni për vetë filtrat, ne do t'i diskutojmë ato në mësimin tjetër, tani për tani duhet të kuptojmë parimin se në cilën ndërfaqe duhet të aplikohet filtri.
Nëse shikoni një ruter, mund të shihni se sa herë që lëviz trafiku, ekziston një ndërfaqe ku hyn rrjedha e të dhënave dhe një ndërfaqe përmes së cilës del ky rrjedhë.
Në fakt ekzistojnë 3 ndërfaqe: ndërfaqja hyrëse, ndërfaqja dalëse dhe ndërfaqja e vetë ruterit. Vetëm mos harroni se filtrimi mund të aplikohet vetëm në ndërfaqen hyrëse ose dalëse.
Parimi i funksionimit të ACL është i ngjashëm me një kalim në një ngjarje që mund të marrin pjesë vetëm nga ata të ftuar, emri i të cilëve është në listën e personave të ftuar. Një ACL është një listë e parametrave të kualifikimit që përdoren për të identifikuar trafikun. Për shembull, kjo listë tregon se i gjithë trafiku lejohet nga adresa IP 192.168.1.10 dhe trafiku nga të gjitha adresat e tjera është refuzuar. Siç thashë, kjo listë mund të aplikohet si për ndërfaqen hyrëse ashtu edhe për atë dalëse.
Ekzistojnë 2 lloje të ACL-ve: standarde dhe të zgjeruara. Një ACL standard ka një identifikues nga 1 në 99 ose nga 1300 në 1999. Këta janë thjesht emra të listuar që nuk kanë asnjë avantazh ndaj njëri-tjetrit ndërsa numri rritet. Përveç numrit, mund t'i caktoni emrin tuaj ACL. ACL-të e zgjeruara numërohen nga 100 në 199 ose nga 2000 në 2699 dhe mund të kenë gjithashtu një emër.
Në një ACL standarde, klasifikimi bazohet në adresën IP të burimit të trafikut. Prandaj, kur përdorni një listë të tillë, nuk mund të kufizoni trafikun e drejtuar në asnjë burim, mund të bllokoni vetëm trafikun që vjen nga një pajisje.
Një ACL i zgjeruar klasifikon trafikun sipas adresës IP të burimit, adresës IP të destinacionit, protokollit të përdorur dhe numrit të portit. Për shembull, mund të bllokoni vetëm trafikun FTP, ose vetëm trafikun HTTP. Sot do të shikojmë ACL standarde dhe mësimin e ardhshëm video do t'ia kushtojmë listave të zgjeruara.
Siç thashë, një ACL është një listë kushtesh. Pasi ta aplikoni këtë listë në ndërfaqen hyrëse ose dalëse të ruterit, ruteri kontrollon trafikun kundrejt kësaj liste dhe nëse plotëson kushtet e përcaktuara në listë, ai vendos nëse do ta lejojë apo ta refuzojë këtë trafik. Njerëzit shpesh e kanë të vështirë të përcaktojnë ndërfaqet hyrëse dhe dalëse të një ruteri, megjithëse nuk ka asgjë të komplikuar këtu. Kur flasim për një ndërfaqe hyrëse, kjo do të thotë që vetëm trafiku në hyrje do të kontrollohet në këtë portë dhe ruteri nuk do të zbatojë kufizime në trafikun dalës. Në mënyrë të ngjashme, nëse po flasim për një ndërfaqe daljeje, kjo do të thotë që të gjitha rregullat do të zbatohen vetëm për trafikun në dalje, ndërsa trafiku hyrës në këtë port do të pranohet pa kufizime. Për shembull, nëse ruteri ka 2 porte: f0/0 dhe f0/1, atëherë ACL do të aplikohet vetëm për trafikun që hyn në ndërfaqen f0/0, ose vetëm për trafikun me origjinë nga ndërfaqja f0/1. Trafiku që hyn ose del nga ndërfaqja f0/1 nuk do të ndikohet nga lista.
Prandaj, mos u ngatërroni nga drejtimi hyrës ose dalës i ndërfaqes, kjo varet nga drejtimi i trafikut specifik. Pra, pasi ruteri të ketë kontrolluar trafikun për përputhjen me kushtet ACL, ai mund të marrë vetëm dy vendime: të lejojë trafikun ose ta refuzojë atë. Për shembull, ju mund të lejoni trafikun e destinuar për 180.160.1.30 dhe të refuzoni trafikun e destinuar për 192.168.1.10. Çdo listë mund të përmbajë kushte të shumta, por secila prej këtyre kushteve duhet të lejojë ose mohojë.
Le të themi se kemi një listë:
Ndaloni _______
Lejo ________
Lejo ________
Ndaloni _________.
Së pari, ruteri do të kontrollojë trafikun për të parë nëse përputhet me kushtin e parë; nëse nuk përputhet, do të kontrollojë kushtin e dytë. Nëse trafiku përputhet me kushtin e tretë, ruteri do të ndalojë së kontrolluari dhe nuk do ta krahasojë atë me pjesën tjetër të kushteve të listës. Ai do të kryejë veprimin "lejo" dhe do të kalojë në kontrollimin e pjesës tjetër të trafikut.
Në rast se nuk keni vendosur një rregull për asnjë paketë dhe trafiku kalon nëpër të gjitha linjat e listës pa goditur asnjë prej kushteve, ai shkatërrohet, sepse çdo listë ACL sipas parazgjedhjes përfundon me komandën mohoni çdo - domethënë, hidhni çdo paketë, që nuk bie nën asnjë nga rregullat. Ky kusht hyn në fuqi nëse ka të paktën një rregull në listë, përndryshe nuk ka efekt. Por nëse rreshti i parë përmban refuzimin e hyrjes 192.168.1.30 dhe lista nuk përmban më asnjë kusht, atëherë në fund duhet të ketë një leje komandimi ndonjë, domethënë të lejojë çdo trafik përveç atij të ndaluar nga rregulli. Duhet ta merrni parasysh këtë për të shmangur gabimet kur konfiguroni ACL.
Unë dua që ju të mbani mend rregullin bazë të krijimit të një liste ASL: vendosni ASL standarde sa më afër destinacionit, domethënë marrësit të trafikut, dhe vendosni ASL të zgjeruar sa më afër burimit, d.m.th. tek dërguesi i trafikut. Këto janë rekomandime të Cisco-s, por në praktikë ka situata ku ka më shumë kuptim vendosja e një ACL standard afër burimit të trafikut. Por nëse hasni në një pyetje në lidhje me rregullat e vendosjes së ACL gjatë provimit, ndiqni rekomandimet e Cisco-s dhe përgjigjuni pa mëdyshje: standardi është më afër destinacionit, i zgjeruar është më afër burimit.
Tani le të shohim sintaksën e një ACL standarde. Ekzistojnë dy lloje të sintaksës së komandës në modalitetin e konfigurimit global të ruterit: sintaksë klasike dhe sintaksë moderne.
Lloji klasik i komandës është lista e aksesit <numri ACL> <moho/lejo> <kriteret>. Nëse vendosni <numrin ACL> nga 1 në 99, pajisja do të kuptojë automatikisht se ky është një ACL standard, dhe nëse është nga 100 në 199, atëherë është një i zgjeruar. Meqenëse në mësimin e sotëm po shohim një listë standarde, mund të përdorim çdo numër nga 1 deri në 99. Më pas tregojmë veprimin që duhet të zbatohet nëse parametrat përputhen me kriterin e mëposhtëm - lejo ose refuzo trafikun. Ne do ta shqyrtojmë kriterin më vonë, pasi përdoret edhe në sintaksën moderne.
Lloji modern i komandës përdoret gjithashtu në modalitetin e konfigurimit global Rx(config) dhe duket si ky: standardi i listës së aksesit ip <numri/emri ACL>. Këtu mund të përdorni ose një numër nga 1 në 99 ose emrin e listës ACL, për shembull, ACL_Networking. Kjo komandë e fut sistemin menjëherë në modalitetin e nënkomandimit të modalitetit standard Rx (config-std-nacl), ku duhet të futni <mono/enable> <kriteret>. Tipi modern i skuadrave ka më shumë përparësi në krahasim me atë klasik.
Në një listë klasike, nëse shkruani access-list 10 deny ______, pastaj shkruani komandën tjetër të të njëjtit lloj për një kriter tjetër, dhe përfundoni me 100 komanda të tilla, atëherë për të ndryshuar ndonjë nga komandat e futura, do t'ju duhet të fshini të gjithë listën e aksesit 10 me komandën no access-list 10. Kjo do të fshijë të gjitha 100 komandat sepse nuk ka asnjë mënyrë për të redaktuar ndonjë komandë individuale në këtë listë.
Në sintaksën moderne, komanda ndahet në dy rreshta, e para prej të cilave përmban numrin e listës. Supozoni nëse keni një standard të listës së aksesit 10 mohon ________, standardin e listës së aksesit 20 mohon ________ dhe kështu me radhë, atëherë ju keni mundësinë të futni lista të ndërmjetme me kritere të tjera midis tyre, për shembull, standardi i listës së aksesit 15 mohon ________ .
Përndryshe, ju thjesht mund të fshini linjat standarde të listës së aksesit 20 dhe t'i rishkruani ato me parametra të ndryshëm midis linjave standarde të listës së aksesit 10 dhe linjave standarde të listës së aksesit 30. Kështu, ka mënyra të ndryshme për të redaktuar sintaksën moderne ACL.
Duhet të jeni shumë të kujdesshëm kur krijoni ACL. Siç e dini, listat lexohen nga lart poshtë. Nëse vendosni një linjë në krye që lejon trafikun nga një host specifik, atëherë më poshtë mund të vendosni një linjë që ndalon trafikun nga i gjithë rrjeti në të cilin është pjesë ky host dhe të dy kushtet do të kontrollohen - trafiku drejt një hosti specifik do të të lejohet dhe trafiku nga të gjithë hostet e tjerë ky rrjet do të bllokohet. Prandaj, vendosni gjithmonë shënime specifike në krye të listës dhe ato të përgjithshme në fund.
Pra, pasi të keni krijuar një ACL klasik ose modern, duhet ta aplikoni atë. Për ta bërë këtë, duhet të shkoni te cilësimet e një ndërfaqeje specifike, për shembull, f0/0 duke përdorur ndërfaqen e komandës <type and slot>, shkoni në modalitetin e nënkomandës së ndërfaqes dhe futni komandën ip Access-group <ACL number/ emri> . Ju lutemi vini re ndryshimin: kur përpiloni një listë, përdoret një listë aksesi dhe kur e aplikoni atë, përdoret një grup aksesi. Ju duhet të përcaktoni se në cilën ndërfaqe do të aplikohet kjo listë - ndërfaqja hyrëse ose ndërfaqja dalëse. Nëse lista ka një emër, për shembull, Networking, i njëjti emër përsëritet në komandën për të aplikuar listën në këtë ndërfaqe.
Tani le të marrim një problem specifik dhe të përpiqemi ta zgjidhim duke përdorur shembullin e diagramit të rrjetit tonë duke përdorur Packet Tracer. Pra, ne kemi 4 rrjete: departamentin e shitjeve, departamentin e kontabilitetit, menaxhimin dhe dhomën e serverit.
Detyra nr. 1: i gjithë trafiku i drejtuar nga departamentet e shitjeve dhe financiare në departamentin e menaxhimit dhe dhomën e serverit duhet të bllokohet. Vendndodhja e bllokimit është ndërfaqja S0/1/0 e ruterit R2. Së pari ne duhet të krijojmë një listë që përmban shënimet e mëposhtme:
Le ta quajmë listën "Management and Server Security ACL", shkurtuar si ACL Secure_Ma_And_Se. Kjo pasohet nga ndalimi i trafikut nga rrjeti i departamentit financiar 192.168.1.128/26, ndalimi i trafikut nga rrjeti i departamentit të shitjeve 192.168.1.0/25 dhe lejimi i çdo trafiku tjetër. Në fund të listës tregohet se përdoret për ndërfaqen dalëse S0/1/0 të ruterit R2. Nëse nuk kemi një hyrje për Permit Any në fund të listës, atëherë i gjithë trafiku tjetër do të bllokohet sepse ACL e parazgjedhur është vendosur gjithmonë në një hyrje të refuzuar çdo në fund të listës.
A mund ta aplikoj këtë ACL në ndërfaqen G0/0? Sigurisht, mundem, por në këtë rast do të bllokohet vetëm trafiku nga departamenti i kontabilitetit, dhe trafiku nga departamenti i shitjeve nuk do të kufizohet në asnjë mënyrë. Në të njëjtën mënyrë, mund të aplikoni një ACL në ndërfaqen G0/1, por në këtë rast trafiku i departamentit të financave nuk do të bllokohet. Sigurisht, ne mund të krijojmë dy lista të veçanta blloku për këto ndërfaqe, por është shumë më efikase t'i kombinojmë ato në një listë dhe ta zbatojmë atë në ndërfaqen dalëse të ruterit R2 ose ndërfaqen hyrëse S0/1/0 të ruterit R1.
Megjithëse rregullat e Cisco-s thonë se një ACL standard duhet të vendoset sa më afër destinacionit, unë do ta vendos atë më afër burimit të trafikut sepse dua të bllokoj të gjithë trafikun në dalje dhe ka më shumë kuptim ta bëj këtë më afër burim në mënyrë që ky trafik të mos e harxhojë rrjetin ndërmjet dy ruterave.
Kam harruar t'ju tregoj për kriteret, kështu që le të kthehemi shpejt. Ju mund të specifikoni ndonjë si kriter - në këtë rast, çdo trafik nga çdo pajisje dhe çdo rrjet do të refuzohet ose lejohet. Ju gjithashtu mund të specifikoni një host me identifikuesin e tij - në këtë rast, hyrja do të jetë adresa IP e një pajisjeje specifike. Më në fund, mund të specifikoni një rrjet të tërë, për shembull, 192.168.1.10/24. Në këtë rast, /24 do të nënkuptojë praninë e një maskë nënrrjeti prej 255.255.255.0, por është e pamundur të specifikoni adresën IP të maskës së nënrrjetit në ACL. Për këtë rast, ACL ka një koncept të quajtur Wildcart Mask, ose "maskë e kundërt". Prandaj duhet të specifikoni adresën IP dhe maskën e kthimit. Maska e kundërt duket kështu: duhet të zbrisni maskën e drejtpërdrejtë të nënrrjetit nga maska e përgjithshme e nënrrjetit, domethënë, numri që korrespondon me vlerën e oktetit në maskën e përparme zbritet nga 255.
Prandaj, duhet të përdorni parametrin 192.168.1.10 0.0.0.255 si kriter në ACL.
Si punon? Nëse ka një 0 në oktetin e maskës kthyese, kriteri konsiderohet se përputhet me oktetin përkatës të adresës IP të nënrrjetit. Nëse ka një numër në oktetin e maskës së pasme, ndeshja nuk kontrollohet. Kështu, për një rrjet prej 192.168.1.0 dhe një maskë kthyese prej 0.0.0.255, i gjithë trafiku nga adresat, tre oktetet e para të të cilave janë të barabarta me 192.168.1., pavarësisht nga vlera e oktetit të katërt, do të bllokohet ose lejohet në varësi të veprimin e specifikuar.
Përdorimi i një maskë të kundërt është i lehtë dhe ne do të kthehemi te Maska e Wildcart në videon tjetër që të mund të shpjegoj se si të punoj me të.
28:50 min
Faleminderit që qëndruat me ne. A ju pëlqejnë artikujt tanë? Dëshironi të shihni përmbajtje më interesante? Na mbështesni duke bërë një porosi ose duke rekomanduar miqve, 30% zbritje për përdoruesit e Habr në një analog unik të serverëve të nivelit të hyrjes, i cili u shpik nga ne për ju: (e disponueshme me RAID1 dhe RAID10, deri në 24 bërthama dhe deri në 40 GB DDR4).
Dell R730xd 2 herë më lirë? Vetëm këtu në Holandë! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - nga 99 dollarë! Lexoni rreth
Burimi: www.habr.com