Данас ћемо почети да учимо о листи контроле приступа АЦЛ-у, ова тема ће трајати 2 видео лекције. Погледаћемо конфигурацију стандардног АЦЛ-а, ау следећем видео туторијалу говорићу о проширеној листи.
У овој лекцији ћемо обрадити 3 теме. Прво је шта је АЦЛ, друго у чему је разлика између стандардне и проширене приступне листе, а на крају лекције, као лабораторија, размотрићемо постављање стандардног АЦЛ-а и решавање могућих проблема.
Дакле, шта је АЦЛ? Ако сте учили курс од прве видео лекције, онда се сећате како смо организовали комуникацију између различитих мрежних уређаја.
Такође смо проучавали статичко рутирање преко различитих протокола да бисмо стекли вештине у организовању комуникација између уређаја и мрежа. Сада смо достигли фазу учења у којој би требало да се бринемо о обезбеђивању контроле саобраћаја, односно спречавању „лоших момака“ или неовлашћених корисника да се инфилтрирају у мрежу. На пример, ово се може односити на људе из одељења за ПРОДАЈУ, што је приказано на овом дијаграму. Овде такође приказујемо финансијско одељење РАЧУНИ, одељење менаџмента МЕНАЏМЕНТ и серверску собу СЕРВЕР СОБУ.
Дакле, одељење продаје може имати стотину запослених, а ми не желимо да било ко од њих може да дође до серверске собе преко мреже. Изузетак је направљен за менаџера продаје који ради на Лаптоп2 рачунару - он може имати приступ серверској соби. Нови запослени који ради на Лаптоп3 не би требало да има такав приступ, односно ако саобраћај са његовог рачунара стигне на рутер Р2, треба га одбацити.
Улога АЦЛ-а је да филтрира саобраћај према наведеним параметрима филтрирања. Они укључују изворну ИП адресу, одредишну ИП адресу, протокол, број портова и друге параметре, захваљујући којима можете идентификовати саобраћај и предузети неке радње са њим.
Дакле, АЦЛ је механизам за филтрирање слоја 3 ОСИ модела. То значи да се овај механизам користи у рутерима. Главни критеријум за филтрирање је идентификација тока података. На пример, ако желимо да блокирамо типа са Лаптоп3 рачунаром да приступи серверу, пре свега морамо да идентификујемо његов саобраћај. Овај саобраћај се креће у правцу Лаптоп-Свитцх2-Р2-Р1-Свитцх1-Сервер1 преко одговарајућих интерфејса мрежних уређаја, док Г0/0 интерфејси рутера немају никакве везе са тим.
Да бисмо идентификовали саобраћај, морамо идентификовати његову путању. Након што смо то урадили, можемо одлучити где тачно треба да инсталирамо филтер. Не брините о самим филтерима, о њима ћемо разговарати у следећој лекцији, за сада треба да разумемо принцип на који интерфејс филтер треба да се примени.
Ако погледате рутер, можете видети да сваки пут када се саобраћај креће, постоји интерфејс у који улази ток података и интерфејс кроз који овај ток излази.
Заправо постоје 3 интерфејса: улазни интерфејс, излазни интерфејс и сопствени интерфејс рутера. Само запамтите да се филтрирање може применити само на улазни или излазни интерфејс.
Принцип рада АЦЛ-а је сличан пропусници на догађај којем могу присуствовати само они гости чије се име налази на листи позваних особа. АЦЛ је листа квалификационих параметара који се користе за идентификацију саобраћаја. На пример, ова листа означава да је сав саобраћај дозвољен са ИП адресе 192.168.1.10, а саобраћај са свих осталих адреса је одбијен. Као што сам рекао, ова листа се може применити и на улазни и излазни интерфејс.
Постоје 2 типа АЦЛ-ова: стандардни и проширени. Стандардни АЦЛ има идентификатор од 1 до 99 или од 1300 до 1999. Ово су једноставно имена листа која немају никакве предности једна у односу на другу како се нумерација повећава. Поред броја, АЦЛ-у можете доделити своје име. Проширени АЦЛ-ови су нумерисани бројевима од 100 до 199 или 2000 до 2699 и могу имати и име.
У стандардном АЦЛ-у, класификација се заснива на изворној ИП адреси саобраћаја. Стога, када користите такву листу, не можете ограничити саобраћај усмерен на било који извор, можете блокирати само саобраћај који потиче са уређаја.
Проширени АЦЛ класификује саобраћај према изворној ИП адреси, одредишној ИП адреси, коришћеном протоколу и броју порта. На пример, можете блокирати само ФТП саобраћај или само ХТТП саобраћај. Данас ћемо погледати стандардни АЦЛ, а следећу видео лекцију посветићемо проширеним листама.
Као што сам рекао, АЦЛ је листа услова. Након што примените ову листу на долазни или одлазни интерфејс рутера, рутер проверава саобраћај према овој листи и ако испуњава услове наведене на листи, одлучује да ли ће дозволити или одбити овај саобраћај. Људима је често тешко одредити улазне и излазне интерфејсе рутера, иако овде нема ништа компликовано. Када говоримо о долазном интерфејсу, то значи да ће се на овом порту контролисати само долазни саобраћај, а рутер неће примењивати ограничења на одлазни саобраћај. Слично, ако говоримо о излазном интерфејсу, то значи да ће сва правила важити само за одлазни саобраћај, док ће долазни саобраћај на овом порту бити прихваћен без ограничења. На пример, ако рутер има 2 порта: ф0/0 и ф0/1, онда ће АЦЛ бити примењен само на саобраћај који улази у ф0/0 интерфејс, или само на саобраћај који потиче из ф0/1 интерфејса. Листа неће утицати на саобраћај који улази или излази из интерфејса ф0/1.
Зато немојте да вас збуни долазни или одлазни правац интерфејса, то зависи од правца конкретног саобраћаја. Дакле, након што рутер провери саобраћај да ли се подудара са АЦЛ условима, може донети само две одлуке: дозволити саобраћај или га одбити. На пример, можете дозволити саобраћај намењен 180.160.1.30 и одбити саобраћај намењен 192.168.1.10. Свака листа може да садржи више услова, али сваки од ових услова мора дозволити или одбити.
Рецимо да имамо листу:
Забранити _______
Дозволи ________
Дозволи ________
Забранити _________.
Прво, рутер ће проверити саобраћај да види да ли одговара првом услову; ако се не поклапа, провериће други услов. Ако саобраћај одговара трећем услову, рутер ће престати да проверава и неће га упоређивати са осталим условима листе. Он ће извршити акцију „дозволи“ и прећи на проверу следећег дела саобраћаја.
У случају да нисте поставили правило ни за један пакет и саобраћај пролази кроз све редове листе без испуњења било којег услова, он се уништава, јер се свака АЦЛ листа подразумевано завршава командом дени ани – односно одбаци било који пакет, који не потпада под ниједно од правила. Овај услов ступа на снагу ако постоји бар једно правило на листи, иначе нема ефекта. Али ако први ред садржи унос одбијања 192.168.1.30 и листа више не садржи никакве услове, онда на крају треба да стоји наредба дозволи било који, односно дозволи било какав саобраћај осим оног забрањеног правилом. Ово морате узети у обзир да бисте избегли грешке приликом конфигурисања АЦЛ-а.
Желим да запамтите основно правило креирања АСЛ листе: стандардни АСЛ поставите што ближе одредишту, односно примаоцу саобраћаја, а проширени АСЛ поставите што ближе извору, тј. пошиљаоцу саобраћаја. Ово су препоруке компаније Цисцо, али у пракси постоје ситуације у којима је логичније поставити стандардни АЦЛ близу извора саобраћаја. Али ако наиђете на питање о правилима постављања АЦЛ-а током испита, пратите Цисцо-ове препоруке и одговорите недвосмислено: стандард је ближе одредишту, проширен је ближе извору.
Сада погледајмо синтаксу стандардног АЦЛ-а. Постоје две врсте синтаксе команди у режиму глобалне конфигурације рутера: класична синтакса и модерна синтакса.
Класични тип команде је листа приступа <АЦЛ број> <одбиј/дозволи> <критеријум>. Ако поставите <АЦЛ број> од 1 до 99, уређај ће аутоматски схватити да је ово стандардни АЦЛ, а ако је од 100 до 199, онда је проширени. Пошто у данашњој лекцији гледамо стандардну листу, можемо користити било који број од 1 до 99. Затим указујемо на акцију коју треба применити ако се параметри поклапају са следећим критеријумом - дозволи или забрани саобраћај. Критеријум ћемо размотрити касније, пошто се користи и у модерној синтакси.
Модерни тип команде се такође користи у режиму глобалне конфигурације Рк(цонфиг) и изгледа овако: ип приступна листа стандард <АЦЛ број/име>. Овде можете користити или број од 1 до 99 или име листе АЦЛ, на пример, АЦЛ_Нетворкинг. Ова команда одмах ставља систем у режим подкоманде стандардног Рк режима (цонфиг-стд-нацл), где морате да унесете <дени/енабле> <критеријум>. Савремени тип тимова има више предности у односу на класичан.
У класичној листи, ако откуцате аццесс-лист 10 дени ______, а затим откуцате следећу команду исте врсте за други критеријум, и на крају добијете 100 таквих команди, а затим да бисте променили било коју од унетих команди, мораћете да избришите целу листу приступа 10 командом но аццесс-лист 10. Ово ће избрисати свих 100 команди јер не постоји начин да се уреди било која појединачна команда на овој листи.
У савременој синтакси, команда је подељена у два реда, од којих први садржи број листе. Претпоставимо да ако имате листу приступне листе стандард 10 дени ________, приступ листи стандард 20 дени ________ и тако даље, онда имате прилику да убаците међу-листе са другим критеријумима између њих, на пример, приступна листа стандард 15 дени ________ .
Алтернативно, можете једноставно да избришете стандардне линије приступне листе 20 и поново их откуцате са различитим параметрима између стандардних редова листе приступа 10 и стандардних редова листе приступа 30. Дакле, постоје различити начини за уређивање модерне АЦЛ синтаксе.
Морате бити веома опрезни када креирате АЦЛ-ове. Као што знате, листе се читају од врха до дна. Ако на врху поставите линију која дозвољава саобраћај са одређеног хоста, онда испод можете поставити линију која забрањује саобраћај са целе мреже чији је део овај хост, а оба услова ће бити проверена – саобраћај до одређеног хоста ће се бити дозвољено да прође, а саобраћај са свих осталих хостова ове мреже ће бити блокиран. Због тога увек постављајте одређене уносе на врх листе, а опште на дно.
Дакле, након што сте креирали класични или модерни АЦЛ, морате га применити. Да бисте то урадили, потребно је да одете у подешавања одређеног интерфејса, на пример, ф0/0 користећи командни интерфејс <тип и слот>, идите у режим поткоманде интерфејса и унесете команду ип приступна група <АЦЛ број/ име> . Имајте на уму разлику: при састављању листе користи се приступна листа, а при њеној примени користи се приступна група. Морате одредити на који интерфејс ће се ова листа применити - на долазни или одлазни интерфејс. Ако листа има име, на пример, Мрежа, исто име се понавља у команди за примену листе на овом интерфејсу.
Сада хајде да узмемо конкретан проблем и покушамо да га решимо користећи пример нашег мрежног дијаграма користећи Пацкет Трацер. Дакле, имамо 4 мреже: одељење продаје, рачуноводство, менаџмент и сервер соба.
Задатак бр. 1: сав саобраћај усмерен од одељења продаје и финансија ка одељењу менаџмента и серверској соби мора бити блокиран. Локација блокирања је интерфејс С0/1/0 рутера Р2. Прво морамо да направимо листу која садржи следеће уносе:
Назовимо листу „АЦЛ за управљање и безбедност сервера“, скраћено АЦЛ Сецуре_Ма_Анд_Се. Затим следи забрана саобраћаја из мреже финансијског одељења 192.168.1.128/26, забрана саобраћаја из мреже одељења продаје 192.168.1.0/25 и допуштање било каквог другог саобраћаја. На крају листе је назначено да се користи за одлазни интерфејс С0/1/0 рутера Р2. Ако немамо Дозволи било који унос на крају листе, онда ће сав остали саобраћај бити блокиран јер је подразумевани АЦЛ увек постављен на Дени Ани унос на крају листе.
Могу ли да применим овај АЦЛ на интерфејс Г0/0? Наравно да могу, али у овом случају ће бити блокиран само саобраћај из рачуноводства, а саобраћај из одељења продаје ни на који начин неће бити ограничен. На исти начин можете применити АЦЛ на Г0/1 интерфејс, али у овом случају саобраћај одељења финансија неће бити блокиран. Наравно, можемо креирати две одвојене листе блокова за ове интерфејсе, али је много ефикасније комбиновати их у једну листу и применити је на излазни интерфејс рутера Р2 или улазни интерфејс С0/1/0 рутера Р1.
Иако Цисцо правила наводе да стандардни АЦЛ треба да буде постављен што је могуће ближе одредишту, ја ћу га поставити ближе извору саобраћаја јер желим да блокирам сав одлазни саобраћај и има смисла да то урадим ближе извор тако да овај саобраћај не троши мрежу између два рутера.
Заборавио сам да вам кажем о критеријумима, па да се брзо вратимо. Можете да наведете било који као критеријум - у овом случају, било који саобраћај са било ког уређаја и било које мреже ће бити одбијен или дозвољен. Такође можете навести хост са његовим идентификатором - у овом случају, унос ће бити ИП адреса одређеног уређаја. Коначно, можете одредити целу мрежу, на пример, 192.168.1.10/24. У овом случају, /24 ће значити присуство маске подмреже 255.255.255.0, али је немогуће навести ИП адресу маске подмреже у АЦЛ-у. За овај случај, АЦЛ има концепт који се зове Вилдцарт Маск, или „обрнута маска“. Стога морате навести ИП адресу и повратну маску. Реверзна маска изгледа овако: морате одузети директну маску подмреже од опште маске подмреже, то јест, број који одговара вредности октета у унапред маски се одузима од 255.
Због тога би требало да користите параметар 192.168.1.10 0.0.0.255 као критеријум у АЦЛ-у.
Како то ради? Ако постоји 0 у октету повратне маске, сматра се да критеријум одговара одговарајућем октету ИП адресе подмреже. Ако постоји број у октету бекмаска, подударање се не проверава. Тако ће за мрежу од 192.168.1.0 и повратну маску 0.0.0.255 сав саобраћај са адреса чија су прва три октета једнака 192.168.1., без обзира на вредност четвртог октета, бити блокиран или дозвољен у зависности од наведену радњу.
Коришћење обрнуте маске је једноставно, а вратићемо се на маску Вилдцарт у следећем видеу да бих могао да објасним како да радим са њом.
28:50 мин
Хвала вам што сте остали са нама. Да ли вам се свиђају наши чланци? Желите да видите још занимљивијег садржаја? Подржите нас тако што ћете наручити или препоручити пријатељима, 30% попуста за кориснике Хабра на јединствени аналог сервера почетног нивоа, који смо ми измислили за вас: (доступно са РАИД1 и РАИД10, до 24 језгра и до 40 ГБ ДДР4).
Делл Р730кд 2 пута јефтинији? Само овде у Холандији! Делл Р420 - 2к Е5-2430 2.2Гхз 6Ц 128ГБ ДДР3 2к960ГБ ССД 1Гбпс 100ТБ - од 99 долара! Читали о
Извор: ввв.хабр.цом