Ngayon ay magsisimula tayong matuto tungkol sa listahan ng ACL access control, ang paksang ito ay kukuha ng 2 video lesson. Titingnan natin ang pagsasaayos ng isang karaniwang ACL, at sa susunod na video tutorial ay magsasalita ako tungkol sa pinalawig na listahan.
Sa araling ito tatalakayin natin ang 3 paksa. Ang una ay kung ano ang isang ACL, ang pangalawa ay kung ano ang pagkakaiba sa pagitan ng isang pamantayan at isang pinahabang listahan ng access, at sa pagtatapos ng aralin, bilang isang lab, titingnan natin ang pag-set up ng isang karaniwang ACL at paglutas ng mga posibleng problema.
Kaya ano ang isang ACL? Kung pinag-aralan mo ang kurso mula sa pinakaunang aralin sa video, naaalala mo kung paano namin inayos ang komunikasyon sa pagitan ng iba't ibang mga aparato sa network.
Nag-aral din kami ng static na pagruruta sa iba't ibang protocol upang makakuha ng mga kasanayan sa pag-aayos ng mga komunikasyon sa pagitan ng mga device at network. Naabot na natin ngayon ang yugto ng pag-aaral kung saan dapat tayong mag-alala tungkol sa pagtiyak ng kontrol sa trapiko, iyon ay, pagpigil sa "masamang tao" o hindi awtorisadong mga user na makalusot sa network. Halimbawa, maaaring may kinalaman ito sa mga tao mula sa departamento ng pagbebenta ng SALES, na inilalarawan sa diagram na ito. Dito rin namin ipinapakita ang financial department ACCOUNTS, ang management department MANAGEMENT at ang server room SERVER ROOM.
Kaya, ang departamento ng pagbebenta ay maaaring mayroong isang daang empleyado, at hindi namin nais na maabot ng sinuman sa kanila ang silid ng server sa network. Isang pagbubukod ang ginawa para sa sales manager na nagtatrabaho sa isang Laptop2 computer - maaari siyang magkaroon ng access sa server room. Ang isang bagong empleyado na nagtatrabaho sa Laptop3 ay hindi dapat magkaroon ng ganoong pag-access, iyon ay, kung ang trapiko mula sa kanyang computer ay umabot sa router R2, dapat itong i-drop.
Ang tungkulin ng isang ACL ay i-filter ang trapiko ayon sa tinukoy na mga parameter ng pag-filter. Kasama sa mga ito ang pinagmulang IP address, patutunguhang IP address, protocol, bilang ng mga port at iba pang mga parameter, salamat sa kung saan maaari mong matukoy ang trapiko at gumawa ng ilang mga aksyon dito.
Kaya, ang ACL ay isang layer 3 filtering mechanism ng OSI model. Nangangahulugan ito na ang mekanismong ito ay ginagamit sa mga router. Ang pangunahing criterion para sa pag-filter ay ang pagkakakilanlan ng stream ng data. Halimbawa, kung gusto nating harangan ang taong may Laptop3 na computer mula sa pag-access sa server, una sa lahat dapat nating kilalanin ang kanyang trapiko. Ang trapikong ito ay gumagalaw sa direksyon ng Laptop-Switch2-R2-R1-Switch1-Server1 sa pamamagitan ng kaukulang mga interface ng mga network device, habang ang G0/0 na mga interface ng mga router ay walang kinalaman dito.
Upang matukoy ang trapiko, dapat nating tukuyin ang landas nito. Kapag nagawa na ito, maaari na tayong magpasya kung saan eksaktong kailangan nating i-install ang filter. Huwag mag-alala tungkol sa mga filter mismo, tatalakayin natin ang mga ito sa susunod na aralin, sa ngayon kailangan nating maunawaan ang prinsipyo kung saang interface dapat ilapat ang filter.
Kung titingnan mo ang isang router, makikita mo na sa tuwing gumagalaw ang trapiko, mayroong isang interface kung saan pumapasok ang daloy ng data, at isang interface kung saan lumalabas ang daloy na ito.
Mayroong talagang 3 mga interface: ang input interface, ang output interface at ang sariling interface ng router. Tandaan lamang na ang pag-filter ay maaari lamang ilapat sa input o output interface.
Ang prinsipyo ng pagpapatakbo ng ACL ay katulad ng isang pass sa isang kaganapan na maaari lamang daluhan ng mga bisita na ang pangalan ay nasa listahan ng mga inimbitahang tao. Ang ACL ay isang listahan ng mga parameter ng kwalipikasyon na ginagamit upang matukoy ang trapiko. Halimbawa, ang listahang ito ay nagpapahiwatig na ang lahat ng trapiko ay pinapayagan mula sa IP address na 192.168.1.10, at ang trapiko mula sa lahat ng iba pang mga address ay tinanggihan. Tulad ng sinabi ko, ang listahang ito ay maaaring ilapat sa parehong input at output interface.
Mayroong 2 uri ng ACL: standard at extended. Ang isang karaniwang ACL ay may isang identifier mula 1 hanggang 99 o mula 1300 hanggang 1999. Ito ay mga listahan lamang ng mga pangalan na walang anumang pakinabang sa bawat isa habang tumataas ang pagnunumero. Bilang karagdagan sa numero, maaari mong italaga ang iyong sariling pangalan sa ACL. Ang mga pinahabang ACL ay may bilang na 100 hanggang 199 o 2000 hanggang 2699 at maaari ding magkaroon ng pangalan.
Sa isang karaniwang ACL, ang pag-uuri ay batay sa pinagmulang IP address ng trapiko. Samakatuwid, kapag gumagamit ng ganoong listahan, hindi mo maaaring paghigpitan ang trapikong nakadirekta sa anumang pinagmulan, maaari mo lamang i-block ang trapiko na nagmumula sa isang device.
Inuuri ng pinahabang ACL ang trapiko ayon sa pinagmulang IP address, patutunguhang IP address, protocol na ginamit, at numero ng port. Halimbawa, maaari mong i-block lamang ang trapiko ng FTP, o trapiko lamang ng HTTP. Ngayon ay titingnan natin ang karaniwang ACL, at ilalaan natin ang susunod na aralin sa video sa mga pinahabang listahan.
Gaya ng sinabi ko, ang ACL ay isang listahan ng mga kundisyon. Pagkatapos mong ilapat ang listahang ito sa papasok o papalabas na interface ng router, susuriin ng router ang trapiko laban sa listahang ito, at kung natutugunan nito ang mga kundisyong itinakda sa listahan, magpapasya ito kung papayagan o tatanggihan ang trapikong ito. Kadalasang nahihirapan ang mga tao na matukoy ang input at output interface ng isang router, kahit na walang kumplikado dito. Kapag pinag-uusapan natin ang tungkol sa isang papasok na interface, nangangahulugan ito na ang papasok na trapiko lamang ang makokontrol sa port na ito, at ang router ay hindi maglalapat ng mga paghihigpit sa papalabas na trapiko. Katulad nito, kung pinag-uusapan natin ang isang interface ng paglabas, nangangahulugan ito na ang lahat ng mga patakaran ay malalapat lamang sa papalabas na trapiko, habang ang papasok na trapiko sa port na ito ay tatanggapin nang walang mga paghihigpit. Halimbawa, kung ang router ay may 2 port: f0/0 at f0/1, ang ACL ay ilalapat lamang sa trapikong pumapasok sa f0/0 interface, o sa trapiko lang na nagmumula sa f0/1 interface. Ang trapiko na pumapasok o umaalis sa interface f0/1 ay hindi maaapektuhan ng listahan.
Samakatuwid, huwag malito sa papasok o papalabas na direksyon ng interface, depende ito sa direksyon ng partikular na trapiko. Kaya, pagkatapos suriin ng router ang trapiko para sa pagtutugma sa mga kundisyon ng ACL, maaari lamang itong gumawa ng dalawang desisyon: payagan ang trapiko o tanggihan ito. Halimbawa, maaari mong payagan ang trapikong nakalaan para sa 180.160.1.30 at tanggihan ang trapikong nakalaan para sa 192.168.1.10. Ang bawat listahan ay maaaring maglaman ng maraming kundisyon, ngunit dapat payagan o tanggihan ng bawat isa sa mga kundisyong ito.
Sabihin nating mayroon tayong listahan:
Ipagbawal ang _______
Payagan ________
Payagan ________
Ipagbawal ang _________.
Una, susuriin ng router ang trapiko upang makita kung tumutugma ito sa unang kundisyon; kung hindi tumugma, susuriin nito ang pangalawang kundisyon. Kung tumugma ang trapiko sa ikatlong kundisyon, hihinto ang router sa pagsuri at hindi ito ihahambing sa iba pang kundisyon ng listahan. Gagawin nito ang pagkilos na "payagan" at magpapatuloy sa pagsuri sa susunod na bahagi ng trapiko.
Kung sakaling hindi ka nagtakda ng panuntunan para sa anumang packet at ang trapiko ay dumaan sa lahat ng mga linya ng listahan nang hindi naabot ang alinman sa mga kundisyon, ito ay nawasak, dahil ang bawat listahan ng ACL bilang default ay nagtatapos sa pagtanggi sa anumang utos - iyon ay, itapon anumang packet, hindi nahuhulog sa ilalim ng alinman sa mga patakaran. Magkakabisa ang kundisyong ito kung mayroong kahit isang panuntunan sa listahan, kung hindi, wala itong epekto. Ngunit kung ang unang linya ay naglalaman ng entry deny 192.168.1.30 at ang listahan ay hindi na naglalaman ng anumang mga kundisyon, pagkatapos ay sa dulo ay dapat mayroong command permit anuman, iyon ay, payagan ang anumang trapiko maliban sa ipinagbabawal ng panuntunan. Dapat mong isaalang-alang ito upang maiwasan ang mga pagkakamali kapag kino-configure ang ACL.
Nais kong tandaan mo ang pangunahing tuntunin ng paglikha ng isang listahan ng ASL: ilagay ang karaniwang ASL nang mas malapit hangga't maaari sa patutunguhan, iyon ay, sa tatanggap ng trapiko, at ilagay ang pinahabang ASL nang mas malapit hangga't maaari sa pinagmulan, iyon ay, sa nagpadala ng trapiko. Ito ang mga rekomendasyon ng Cisco, ngunit sa pagsasagawa, may mga sitwasyon kung saan mas makatuwirang maglagay ng karaniwang ACL malapit sa pinagmumulan ng trapiko. Ngunit kung makatagpo ka ng tanong tungkol sa mga panuntunan sa paglalagay ng ACL sa panahon ng pagsusulit, sundin ang mga rekomendasyon ng Cisco at sagutin nang malinaw: ang pamantayan ay mas malapit sa patutunguhan, ang pinalawig ay mas malapit sa pinagmulan.
Ngayon tingnan natin ang syntax ng isang karaniwang ACL. Mayroong dalawang uri ng command syntax sa router global configuration mode: classic syntax at modernong syntax.
Ang klasikong uri ng command ay access-list <ACL number> <deny/allow> <criteria>. Kung itatakda mo ang <ACL number> mula 1 hanggang 99, awtomatikong mauunawaan ng device na ito ay isang karaniwang ACL, at kung ito ay mula 100 hanggang 199, ito ay pinalawig. Dahil sa aralin ngayon ay tumitingin tayo sa isang karaniwang listahan, maaari tayong gumamit ng anumang numero mula 1 hanggang 99. Pagkatapos ay ipinapahiwatig namin ang pagkilos na kailangang ilapat kung tumutugma ang mga parameter sa sumusunod na pamantayan - payagan o tanggihan ang trapiko. Isasaalang-alang namin ang criterion sa ibang pagkakataon, dahil ginagamit din ito sa modernong syntax.
Ang modernong uri ng command ay ginagamit din sa Rx(config) global configuration mode at ganito ang hitsura: ip access-list standard <ACL number/name>. Dito maaari mong gamitin ang alinman sa isang numero mula 1 hanggang 99 o ang pangalan ng listahan ng ACL, halimbawa, ACL_Networking. Agad na inilalagay ng command na ito ang system sa Rx standard mode subcommand mode (config-std-nacl), kung saan dapat mong ilagay ang <deny/enable> <criteria>. Ang modernong uri ng mga koponan ay may higit na mga pakinabang kumpara sa klasiko.
Sa isang klasikong listahan, kung nag-type ka ng access-list 10 deny ______, pagkatapos ay i-type ang susunod na command ng parehong uri para sa isa pang criterion, at magkakaroon ka ng 100 ganoong command, pagkatapos ay upang baguhin ang alinman sa mga command na ipinasok, kakailanganin mong tanggalin ang buong listahan ng access-list 10 gamit ang command na walang access-list 10. Tatanggalin nito ang lahat ng 100 command dahil walang paraan upang i-edit ang anumang indibidwal na command sa listahang ito.
Sa modernong syntax, ang command ay nahahati sa dalawang linya, ang una ay naglalaman ng listahan ng numero. Ipagpalagay na kung mayroon kang listahan ng access-list standard 10 deny ________, access-list standard 20 deny ________ at iba pa, pagkatapos ay may pagkakataon kang magpasok ng mga intermediate list na may iba pang pamantayan sa pagitan nila, halimbawa, access-list standard 15 deny ________ .
Bilang kahalili, maaari mo lamang tanggalin ang access-list standard na 20 na linya at muling i-type ang mga ito gamit ang iba't ibang mga parameter sa pagitan ng access-list standard 10 at access-list standard na 30 na linya. Kaya, mayroong iba't ibang paraan upang i-edit ang modernong ACL syntax.
Kailangan mong maging maingat sa paggawa ng mga ACL. Tulad ng alam mo, ang mga listahan ay binabasa mula sa itaas hanggang sa ibaba. Kung maglalagay ka ng linya sa itaas na nagbibigay-daan sa trapiko mula sa isang partikular na host, pagkatapos ay sa ibaba ay maaari kang maglagay ng linya na nagbabawal sa trapiko mula sa buong network kung saan bahagi ang host na ito, at ang parehong mga kundisyon ay susuriin - ang trapiko sa isang partikular na host ay papayagan, at ang trapiko mula sa lahat ng iba pang mga host ay maba-block ang network na ito. Samakatuwid, palaging ilagay ang mga partikular na entry sa itaas ng listahan at mga pangkalahatan sa ibaba.
Kaya, pagkatapos mong lumikha ng isang klasiko o modernong ACL, dapat mong ilapat ito. Upang gawin ito, kailangan mong pumunta sa mga setting ng isang partikular na interface, halimbawa, f0/0 gamit ang command interface <type and slot>, pumunta sa interface subcommand mode at ipasok ang command ip access-group <ACL number/ pangalan> . Pakitandaan ang pagkakaiba: kapag nag-compile ng isang listahan, isang access-list ang ginagamit, at kapag inilalapat ito, isang access-group ang ginagamit. Dapat mong matukoy kung sa aling interface ilalapat ang listahang ito - ang papasok na interface o ang papalabas na interface. Kung ang listahan ay may pangalan, halimbawa, Networking, ang parehong pangalan ay inuulit sa command para ilapat ang listahan sa interface na ito.
Ngayon ay kumuha tayo ng isang partikular na problema at subukang lutasin ito gamit ang halimbawa ng aming network diagram gamit ang Packet Tracer. Kaya, mayroon kaming 4 na network: sales department, accounting department, management at server room.
Gawain Blg. 1: lahat ng trapikong nakadirekta mula sa mga departamento ng pagbebenta at pananalapi patungo sa departamento ng pamamahala at silid ng server ay dapat na harangan. Ang lokasyon ng pagharang ay interface S0/1/0 ng router R2. Una kailangan naming lumikha ng isang listahan na naglalaman ng mga sumusunod na entry:
Tawagan natin ang listahan na "Pamamahala at Seguridad ng Server ACL", dinaglat bilang ACL Secure_Ma_And_Se. Sinusundan ito ng pagbabawal sa trapiko mula sa network ng departamento ng pananalapi 192.168.1.128/26, pagbabawal sa trapiko mula sa network ng departamento ng pagbebenta 192.168.1.0/25, at pagpapahintulot sa anumang iba pang trapiko. Sa dulo ng listahan ay ipinahiwatig na ito ay ginagamit para sa papalabas na interface S0/1/0 ng router R2. Kung wala kaming Permit Any entry sa dulo ng listahan, maba-block ang lahat ng iba pang trapiko dahil palaging nakatakda ang default na ACL sa Deny Any entry sa dulo ng listahan.
Maaari ko bang ilapat ang ACL na ito sa interface G0/0? Siyempre, kaya ko, ngunit sa kasong ito, ang trapiko lamang mula sa departamento ng accounting ay haharangan, at ang trapiko mula sa departamento ng pagbebenta ay hindi limitado sa anumang paraan. Sa parehong paraan, maaari kang maglapat ng ACL sa interface ng G0/1, ngunit sa kasong ito ang trapiko ng departamento ng pananalapi ay hindi mai-block. Siyempre, maaari tayong lumikha ng dalawang magkahiwalay na listahan ng block para sa mga interface na ito, ngunit mas mahusay na pagsamahin ang mga ito sa isang listahan at ilapat ito sa output interface ng router R2 o sa input interface na S0/1/0 ng router R1.
Bagama't ang mga panuntunan ng Cisco ay nagsasaad na ang isang karaniwang ACL ay dapat ilagay nang mas malapit sa destinasyon hangga't maaari, ilalagay ko ito nang mas malapit sa pinagmumulan ng trapiko dahil gusto kong harangan ang lahat ng papalabas na trapiko, at mas makatuwirang gawin ito nang mas malapit sa source upang hindi masayang ng trapikong ito ang network sa pagitan ng dalawang router.
Nakalimutan kong sabihin sa iyo ang tungkol sa pamantayan, kaya mabilis tayong bumalik. Maaari mong tukuyin ang anuman bilang isang pamantayan - sa kasong ito, ang anumang trapiko mula sa anumang device at anumang network ay tatanggihan o papayagan. Maaari mo ring tukuyin ang isang host kasama ang identifier nito - sa kasong ito, ang entry ay ang IP address ng isang partikular na device. Sa wakas, maaari mong tukuyin ang isang buong network, halimbawa, 192.168.1.10/24. Sa kasong ito, ang /24 ay mangangahulugan ng pagkakaroon ng subnet mask na 255.255.255.0, ngunit imposibleng tukuyin ang IP address ng subnet mask sa ACL. Para sa kasong ito, ang ACL ay may konsepto na tinatawag na Wildcart Mask, o "reverse mask". Samakatuwid dapat mong tukuyin ang IP address at return mask. Ganito ang hitsura ng reverse mask: dapat mong ibawas ang direktang subnet mask mula sa pangkalahatang subnet mask, iyon ay, ang numero na tumutugma sa halaga ng octet sa forward mask ay ibawas mula sa 255.
Samakatuwid, dapat mong gamitin ang parameter na 192.168.1.10 0.0.0.255 bilang criterion sa ACL.
Paano ito gumagana? Kung mayroong 0 sa return mask octet, ang criterion ay itinuturing na tumutugma sa kaukulang octet ng subnet IP address. Kung mayroong isang numero sa backmask octet, ang tugma ay hindi nasuri. Kaya, para sa isang network na 192.168.1.0 at isang return mask na 0.0.0.255, ang lahat ng trapiko mula sa mga address na ang unang tatlong octet ay katumbas ng 192.168.1., anuman ang halaga ng ikaapat na octet, ay haharangan o papayagan depende sa ang tinukoy na aksyon.
Ang paggamit ng reverse mask ay madali, at babalik tayo sa Wildcart Mask sa susunod na video para maipaliwanag ko kung paano ito gagawin.
28:50 min
Salamat sa pananatili sa amin. Gusto mo ba ang aming mga artikulo? Gustong makakita ng mas kawili-wiling nilalaman? Suportahan kami sa pamamagitan ng pag-order o pagrekomenda sa mga kaibigan, 30% na diskwento para sa mga gumagamit ng Habr sa isang natatanging analogue ng mga entry-level na server, na inimbento namin para sa iyo: (magagamit sa RAID1 at RAID10, hanggang 24 na core at hanggang 40GB DDR4).
Dell R730xd 2 beses na mas mura? Dito lang sa Netherlands! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - mula $99! Basahin ang tungkol sa
Pinagmulan: www.habr.com