Idag kommer vi att börja lära oss om ACL-åtkomstkontrolllistan, detta ämne kommer att ta 2 videolektioner. Vi kommer att titta på konfigurationen av en standard ACL, och i nästa videohandledning kommer jag att prata om den utökade listan.
I den här lektionen kommer vi att täcka 3 ämnen. Den första är vad en ACL är, den andra är vad som är skillnaden mellan en standard och en utökad åtkomstlista, och i slutet av lektionen kommer vi som ett labb att titta på att sätta upp en standard ACL och lösa eventuella problem.
Så vad är en ACL? Om du studerade kursen från den allra första videolektionen, kommer du ihåg hur vi organiserade kommunikationen mellan olika nätverksenheter.
Vi studerade också statisk routing över olika protokoll för att få färdigheter i att organisera kommunikation mellan enheter och nätverk. Vi har nu nått inlärningsstadiet där vi bör vara bekymrade över att säkerställa trafikkontroll, det vill säga förhindra "bad guys" eller obehöriga användare från att infiltrera nätverket. Det kan till exempel röra personer från försäljningsavdelningen FÖRSÄLJNING, vilket avbildas i detta diagram. Här visar vi även ekonomiavdelningen KONTO, förvaltningsavdelningen LEDNING och serverrummet SERVERRUM.
Så försäljningsavdelningen kan ha hundra anställda, och vi vill inte att någon av dem ska kunna nå serverrummet över nätverket. Ett undantag görs för försäljningschefen som arbetar på en Laptop2-dator - han kan ha tillgång till serverrummet. En ny anställd som arbetar på Laptop3 ska inte ha sådan åtkomst, det vill säga om trafik från hans dator når router R2 ska den släppas.
En ACLs roll är att filtrera trafik enligt de angivna filtreringsparametrarna. De inkluderar käll-IP-adressen, destinationens IP-adress, protokoll, antal portar och andra parametrar, tack vare vilka du kan identifiera trafiken och vidta några åtgärder med den.
Så, ACL är en lager 3-filtreringsmekanism av OSI-modellen. Det betyder att denna mekanism används i routrar. Huvudkriteriet för filtrering är identifieringen av dataströmmen. Till exempel, om vi vill blockera killen med Laptop3-datorn från att komma åt servern, måste vi först och främst identifiera hans trafik. Denna trafik rör sig i riktning mot Laptop-Switch2-R2-R1-Switch1-Server1 genom motsvarande gränssnitt för nätverksenheter, medan routrars G0/0-gränssnitt inte har något med det att göra.
För att identifiera trafik måste vi identifiera dess väg. Efter att ha gjort detta kan vi bestämma exakt var vi behöver installera filtret. Oroa dig inte för själva filtren, vi kommer att diskutera dem i nästa lektion, för nu måste vi förstå principen för vilket gränssnitt filtret ska tillämpas på.
Om du tittar på en router kan du se att varje gång trafik rör sig finns det ett gränssnitt där dataflödet kommer in och ett gränssnitt genom vilket detta flöde kommer ut.
Det finns faktiskt 3 gränssnitt: ingångsgränssnittet, utgångsgränssnittet och routerns eget gränssnitt. Kom bara ihåg att filtrering endast kan tillämpas på ingångs- eller utgångsgränssnittet.
Principen för ACL-drift liknar ett pass till ett evenemang som endast kan besökas av de gäster vars namn finns på listan över inbjudna personer. En ACL är en lista över kvalifikationsparametrar som används för att identifiera trafik. Till exempel indikerar den här listan att all trafik är tillåten från IP-adressen 192.168.1.10 och trafik från alla andra adresser nekas. Som jag sa, den här listan kan tillämpas på både ingångs- och utgångsgränssnittet.
Det finns två typer av ACL: standard och utökad. En standard ACL har en identifierare från 2 till 1 eller från 99 till 1300. Dessa är helt enkelt listnamn som inte har några fördelar gentemot varandra när numreringen ökar. Förutom numret kan du tilldela ditt eget namn till ACL. Utökade ACL:er är numrerade 1999 till 100 eller 199 till 2000 och kan även ha ett namn.
I en standard ACL baseras klassificeringen på källans IP-adress för trafiken. När du använder en sådan lista kan du därför inte begränsa trafik som riktas till någon källa, du kan bara blockera trafik som kommer från en enhet.
En utökad ACL klassificerar trafik efter käll-IP-adress, destinations-IP-adress, använt protokoll och portnummer. Du kan till exempel bara blockera FTP-trafik eller bara HTTP-trafik. Idag kommer vi att titta på standard ACL, och vi kommer att ägna nästa videolektion åt utökade listor.
En ACL är som sagt en lista över villkor. När du har tillämpat den här listan på routerns inkommande eller utgående gränssnitt kontrollerar routern trafiken mot denna lista, och om den uppfyller villkoren i listan bestämmer den om den ska tillåta eller neka denna trafik. Människor har ofta svårt att bestämma ingångs- och utgångsgränssnitten för en router, även om det inte är något komplicerat här. När vi pratar om ett inkommande gränssnitt betyder det att endast inkommande trafik kommer att styras på denna port, och routern kommer inte att tillämpa begränsningar för utgående trafik. På liknande sätt, om vi talar om ett utgående gränssnitt, betyder detta att alla regler endast kommer att gälla för utgående trafik, medan inkommande trafik på denna port kommer att accepteras utan begränsningar. Till exempel, om routern har 2 portar: f0/0 och f0/1, kommer ACL endast att tillämpas på trafik som kommer in i f0/0-gränssnittet, eller endast på trafik som kommer från f0/1-gränssnittet. Trafik som går in i eller lämnar gränssnitt f0/1 kommer inte att påverkas av listan.
Bli därför inte förvirrad av gränssnittets inkommande eller utgående riktning, det beror på riktningen för den specifika trafiken. Så efter att routern har kontrollerat trafiken för att matcha ACL-villkoren kan den bara fatta två beslut: tillåta trafiken eller avvisa den. Du kan till exempel tillåta trafik avsedd för 180.160.1.30 och avvisa trafik avsedd för 192.168.1.10. Varje lista kan innehålla flera villkor, men vart och ett av dessa villkor måste tillåta eller neka.
Låt oss säga att vi har en lista:
Förbjuda _______
Tillåt ________
Tillåt ________
Förbjuda _________.
Först kommer routern att kontrollera trafiken för att se om den matchar det första villkoret; om det inte matchar kommer den att kontrollera det andra villkoret. Om trafiken matchar det tredje villkoret kommer routern att sluta kontrollera och kommer inte att jämföra den med resten av listvillkoren. Den kommer att utföra åtgärden "tillåt" och gå vidare till att kontrollera nästa del av trafiken.
Om du inte har ställt in en regel för något paket och trafiken passerar genom alla rader i listan utan att träffa något av villkoren, förstörs den, eftersom varje ACL-lista som standard slutar med kommandot deny any - det vill säga kassera något paket som inte faller under någon av reglerna. Detta villkor träder i kraft om det finns minst en regel i listan, annars har det ingen effekt. Men om den första raden innehåller posten förneka 192.168.1.30 och listan inte längre innehåller några villkor, bör det i slutet finnas ett kommando tillstånd, det vill säga tillåta all trafik förutom den som är förbjuden enligt regeln. Du måste ta hänsyn till detta för att undvika misstag när du konfigurerar ACL.
Jag vill att du kommer ihåg den grundläggande regeln för att skapa en ASL-lista: placera standard ASL så nära destinationen som möjligt, det vill säga mottagaren av trafiken, och placera utökad ASL så nära källan som möjligt, det vill säga, till avsändaren av trafiken. Detta är Ciscos rekommendationer, men i praktiken finns det situationer där det är mer vettigt att placera en standard ACL nära trafikkällan. Men om du stöter på en fråga om ACL-placeringsregler under provet, följ Ciscos rekommendationer och svara entydigt: standard är närmare destinationen, extended är närmare källan.
Låt oss nu titta på syntaxen för en standard ACL. Det finns två typer av kommandosyntax i routerns globala konfigurationsläge: klassisk syntax och modern syntax.
Den klassiska kommandotypen är access-list <ACL-nummer> <deny/allow> <kriterier>. Om du ställer in <ACL-nummer> från 1 till 99 kommer enheten automatiskt att förstå att detta är en standard ACL, och om det är från 100 till 199 är det en utökad. Eftersom vi i dagens lektion tittar på en standardlista kan vi använda valfritt tal från 1 till 99. Sedan anger vi vilken åtgärd som måste tillämpas om parametrarna matchar följande kriterium - tillåt eller neka trafik. Vi kommer att överväga kriteriet senare, eftersom det också används i modern syntax.
Den moderna kommandotypen används också i det globala konfigurationsläget Rx(config) och ser ut så här: ip access-list standard <ACL nummer/namn>. Här kan du använda antingen ett nummer från 1 till 99 eller namnet på ACL-listan, till exempel ACL_Networking. Detta kommando sätter omedelbart systemet i Rx standardläge underkommandoläge (config-std-nacl), där du måste ange <deny/enable> <kriterier>. Den moderna typen av lag har fler fördelar jämfört med den klassiska.
I en klassisk lista, om du skriver access-list 10 deny ______, skriv sedan nästa kommando av samma slag för ett annat kriterium, och du slutar med 100 sådana kommandon, för att sedan ändra något av de angivna kommandona, måste du radera hela åtkomstlistan 10 med kommandot no access-list 10. Detta kommer att ta bort alla 100 kommandon eftersom det inte finns något sätt att redigera ett individuellt kommando i denna lista.
I modern syntax är kommandot uppdelat i två rader, varav den första innehåller listnumret. Anta att om du har en lista åtkomstlista standard 10 neka ________, åtkomstlista standard 20 neka ________ och så vidare, då har du möjlighet att infoga mellanliggande listor med andra kriterier mellan dem, till exempel åtkomstlista standard 15 neka ________ .
Alternativt kan du helt enkelt ta bort raderna för åtkomstlistans standard 20 och skriva om dem med olika parametrar mellan raderna för åtkomstlistans standard 10 och åtkomstlistans standard 30. Således finns det olika sätt att redigera modern ACL-syntax.
Du måste vara mycket försiktig när du skapar ACL:er. Som ni vet läses listor uppifrån och ner. Om du placerar en linje överst som tillåter trafik från en specifik värd, så nedan kan du placera en linje som förbjuder trafik från hela nätverket som denna värd är en del av, och båda villkoren kommer att kontrolleras - trafik till en specifik värd kommer att tillåtas genom, och trafik från alla andra värdar detta nätverk kommer att blockeras. Placera därför alltid specifika poster högst upp på listan och allmänna längst ner.
Så efter att du har skapat en klassisk eller modern ACL måste du tillämpa den. För att göra detta måste du gå till inställningarna för ett specifikt gränssnitt, till exempel f0/0 med kommandogränssnittet <typ och plats>, gå till gränssnittets underkommandoläge och ange kommandot ip access-group <ACL number/ namn> . Observera skillnaden: vid sammanställning av en lista används en åtkomstlista, och när den tillämpas används en åtkomstgrupp. Du måste bestämma vilket gränssnitt denna lista ska tillämpas på - det inkommande gränssnittet eller det utgående gränssnittet. Om listan har ett namn, till exempel Nätverk, upprepas samma namn i kommandot för att tillämpa listan på detta gränssnitt.
Låt oss nu ta ett specifikt problem och försöka lösa det med hjälp av exemplet på vårt nätverksdiagram med Packet Tracer. Så, vi har 4 nätverk: försäljningsavdelning, ekonomiavdelning, ledning och serverrum.
Uppgift nr 1: all trafik som leds från försäljnings- och ekonomiavdelningarna till förvaltningsavdelningen och serverrummet måste blockeras. Blockeringsplatsen är gränssnitt S0/1/0 för router R2. Först måste vi skapa en lista som innehåller följande poster:
Låt oss kalla listan "Management and Server Security ACL", förkortat ACL Secure_Ma_And_Se. Detta följs av att förbjuda trafik från ekonomiavdelningens nätverk 192.168.1.128/26, förbjuda trafik från försäljningsavdelningens nätverk 192.168.1.0/25 och tillåta all annan trafik. I slutet av listan anges att den används för det utgående gränssnittet S0/1/0 för router R2. Om vi inte har en Permit Any-post i slutet av listan, kommer all annan trafik att blockeras eftersom standard-ACL alltid är inställd på en Deny Any-post i slutet av listan.
Kan jag tillämpa denna ACL på gränssnitt G0/0? Det kan jag såklart, men i det här fallet kommer bara trafik från ekonomiavdelningen att blockeras, och trafik från försäljningsavdelningen kommer inte att begränsas på något sätt. På samma sätt kan du applicera en ACL på G0/1-gränssnittet, men i det här fallet kommer ekonomiavdelningens trafik inte att blockeras. Naturligtvis kan vi skapa två separata blocklistor för dessa gränssnitt, men det är mycket effektivare att kombinera dem till en lista och tillämpa den på utgångsgränssnittet för router R2 eller ingångsgränssnittet S0/1/0 på router R1.
Även om Ciscos regler säger att en standard ACL ska placeras så nära destinationen som möjligt, kommer jag att placera den närmare källan till trafiken eftersom jag vill blockera all utgående trafik, och det är mer meningsfullt att göra detta närmare källa så att denna trafik inte slösar nätverket mellan två routrar.
Jag glömde berätta om kriterierna, så låt oss snabbt gå tillbaka. Du kan ange vilken som helst som ett kriterium - i det här fallet kommer all trafik från alla enheter och alla nätverk att nekas eller tillåtas. Du kan också ange en värd med dess identifierare - i det här fallet kommer posten att vara IP-adressen för en specifik enhet. Slutligen kan du ange ett helt nätverk, till exempel 192.168.1.10/24. I det här fallet kommer /24 att betyda närvaron av en nätmask av 255.255.255.0, men det är omöjligt att ange IP-adressen för nätmasken i ACL. För det här fallet har ACL ett koncept som kallas Wildcart Mask, eller "omvänd mask". Därför måste du ange IP-adressen och returmasken. Den omvända masken ser ut så här: du måste subtrahera den direkta nätmasken från den allmänna nätmasken, det vill säga talet som motsvarar oktettvärdet i framåtmasken subtraheras från 255.
Därför bör du använda parametern 192.168.1.10 0.0.0.255 som kriterium i ACL.
Hur det fungerar? Om det finns en 0 i returmaskoktetten, anses kriteriet matcha motsvarande oktetten för subnätets IP-adress. Om det finns ett nummer i backmask-oktetten kontrolleras inte matchningen. För ett nätverk på 192.168.1.0 och en returmask på 0.0.0.255 kommer alltså all trafik från adresser vars tre första oktetter är lika med 192.168.1., oavsett värdet på den fjärde oktetten, att blockeras eller tillåtas beroende på den angivna åtgärden.
Det är enkelt att använda en omvänd mask, och vi kommer tillbaka till Wildcart-masken i nästa video så att jag kan förklara hur man arbetar med den.
28:50 min
Tack för att du stannar hos oss. Gillar du våra artiklar? Vill du se mer intressant innehåll? Stöd oss genom att lägga en beställning eller rekommendera till vänner, 30 % rabatt för Habr-användare på en unik analog av nybörjarservrar, som uppfanns av oss för dig: (tillgänglig med RAID1 och RAID10, upp till 24 kärnor och upp till 40 GB DDR4).
Dell R730xd 2 gånger billigare? Bara här i Nederländerna! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - från $99! Läs om
Källa: will.com