Bugün ACL erişim kontrol listesini öğrenmeye başlayacağız, bu konu 2 video dersi alacak. Standart bir ACL'nin konfigürasyonuna bakacağız ve bir sonraki video eğitiminde genişletilmiş listeden bahsedeceğim.
Bu dersimizde 3 konuyu ele alacağız. Birincisi ACL'nin ne olduğu, ikincisi standart erişim listesi ile genişletilmiş erişim listesi arasındaki farkın ne olduğu ve dersin sonunda laboratuvar olarak standart bir ACL kurmaya ve olası sorunları çözmeye bakacağız.
Peki ACL nedir? Kursu ilk video dersinden itibaren okuduysanız, çeşitli ağ cihazları arasındaki iletişimi nasıl düzenlediğimizi hatırlarsınız.
Ayrıca cihazlar ve ağlar arasındaki iletişimi organize etme becerisi kazanmak için çeşitli protokoller üzerinden statik yönlendirme üzerinde de çalıştık. Artık trafik kontrolünün sağlanması, yani "kötü adamların" veya yetkisiz kullanıcıların ağa sızmasının önlenmesi konusunda endişelenmemiz gereken öğrenme aşamasına ulaştık. Örneğin bu durum, bu diyagramda gösterilen SATIŞ satış departmanındaki kişileri ilgilendirebilir. Burada ayrıca HESAPLAR finans departmanını, YÖNETİM yönetim departmanını ve sunucu odası SUNUCU ODASI'nı da gösteriyoruz.
Yani satış departmanının yüz çalışanı olabilir ve biz bunların hiçbirinin ağ üzerinden sunucu odasına ulaşmasını istemiyoruz. Laptop2 bilgisayarında çalışan satış müdürü için bir istisna yapılmıştır; sunucu odasına erişebilir. Laptop3 üzerinde çalışan yeni bir çalışanın böyle bir erişimi olmamalıdır, yani bilgisayarından gelen trafik R2 yönlendiricisine ulaşırsa bırakılmalıdır.
ACL'nin rolü, trafiği belirtilen filtreleme parametrelerine göre filtrelemektir. Trafiği tanımlayabileceğiniz ve onunla bazı eylemler gerçekleştirebileceğiniz kaynak IP adresini, hedef IP adresini, protokolü, bağlantı noktası sayısını ve diğer parametreleri içerir.
Yani ACL, OSI modelinin 3. katman filtreleme mekanizmasıdır. Bu, yönlendiricilerde bu mekanizmanın kullanıldığı anlamına gelir. Filtrelemenin ana kriteri veri akışının tanımlanmasıdır. Örneğin, Laptop3 bilgisayarı olan adamın sunucuya erişimini engellemek istiyorsak, öncelikle onun trafiğini tanımlamamız gerekir. Bu trafik, ağ cihazlarının ilgili arayüzleri üzerinden Laptop-Switch2-R2-R1-Switch1-Server1 yönünde hareket ederken, yönlendiricilerin G0/0 arayüzlerinin bununla hiçbir ilgisi yoktur.
Trafiği tanımlamak için yolunu tanımlamalıyız. Bunu yaptıktan sonra filtreyi tam olarak nereye kurmamız gerektiğine karar verebiliriz. Filtrelerin kendisi hakkında endişelenmeyin, onları bir sonraki derste ele alacağız, şimdilik filtrenin hangi arayüze uygulanması gerektiği ilkesini anlamamız gerekiyor.
Bir yönlendiriciye baktığınızda, trafik her hareket ettiğinde veri akışının geldiği bir arayüz ve bu akışın çıktığı bir arayüz olduğunu görebilirsiniz.
Aslında 3 arayüz vardır: giriş arayüzü, çıkış arayüzü ve yönlendiricinin kendi arayüzü. Filtrelemenin yalnızca giriş veya çıkış arayüzüne uygulanabileceğini unutmayın.
ACL'nin çalışma prensibi, yalnızca davetliler listesinde adı bulunan misafirlerin katılabileceği bir etkinliğe geçişe benzer. ACL, trafiği tanımlamak için kullanılan nitelik parametrelerinin bir listesidir. Örneğin bu liste, 192.168.1.10 IP adresinden gelen tüm trafiğe izin verildiğini ve diğer tüm adreslerden gelen trafiğin reddedildiğini gösterir. Dediğim gibi bu liste hem giriş hem de çıkış arayüzüne uygulanabilir.
2 tür ACL vardır: standart ve genişletilmiş. Standart bir ACL'nin 1'den 99'a veya 1300'den 1999'a kadar bir tanımlayıcısı vardır. Bunlar, numaralandırma arttıkça birbirlerine hiçbir üstünlüğü olmayan basit liste adlarıdır. Numaraya ek olarak ACL'ye kendi adınızı da atayabilirsiniz. Genişletilmiş ACL'ler 100'den 199'a veya 2000'den 2699'a kadar numaralandırılır ve ayrıca bir isme sahip olabilirler.
Standart bir ACL'de sınıflandırma, trafiğin kaynak IP adresine dayanır. Dolayısıyla böyle bir listeyi kullanırken herhangi bir kaynağa yönlendirilen trafiği kısıtlayamazsınız, yalnızca bir cihazdan kaynaklanan trafiği engelleyebilirsiniz.
Genişletilmiş bir ACL, trafiği kaynak IP adresine, hedef IP adresine, kullanılan protokole ve bağlantı noktası numarasına göre sınıflandırır. Örneğin, yalnızca FTP trafiğini veya yalnızca HTTP trafiğini engelleyebilirsiniz. Bugün standart ACL'ye bakacağız ve bir sonraki video dersini genişletilmiş listelere ayıracağız.
Söylediğim gibi ACL bir koşullar listesidir. Bu listeyi yönlendiricinin gelen veya giden arayüzüne uyguladıktan sonra yönlendirici, trafiği bu listeye göre kontrol eder ve listede belirtilen koşulları karşılıyorsa bu trafiğe izin verip vermeyeceğine karar verir. Burada karmaşık bir şey olmamasına rağmen insanlar genellikle bir yönlendiricinin giriş ve çıkış arayüzlerini belirlemekte zorluk çekerler. Gelen bir arayüzden bahsettiğimizde bu, bu portta yalnızca gelen trafiğin kontrol edileceği ve yönlendiricinin giden trafiğe kısıtlama uygulamayacağı anlamına gelir. Benzer şekilde bir çıkış arayüzünden bahsediyorsak bu, tüm kuralların yalnızca giden trafiğe uygulanacağı, bu porta gelen trafiğin ise kısıtlama olmaksızın kabul edileceği anlamına gelir. Örneğin, yönlendiricinin 2 bağlantı noktası varsa: f0/0 ve f0/1, bu durumda ACL yalnızca f0/0 arayüzüne giren trafiğe veya yalnızca f0/1 arayüzünden kaynaklanan trafiğe uygulanacaktır. F0/1 arayüzüne giren veya çıkan trafik listeden etkilenmeyecektir.
Bu nedenle arayüzün gelen veya giden yönü karıştırılmamalıdır, belirli trafiğin yönüne bağlıdır. Dolayısıyla, yönlendirici trafiğin ACL koşullarıyla eşleşip eşleşmediğini kontrol ettikten sonra yalnızca iki karar verebilir: trafiğe izin vermek veya trafiği reddetmek. Örneğin, 180.160.1.30'a yönelik trafiğe izin verebilir ve 192.168.1.10'a yönelik trafiği reddedebilirsiniz. Her liste birden fazla koşul içerebilir ancak bu koşulların her birinin izin vermesi veya reddetmesi gerekir.
Diyelim ki elimizde bir liste var:
_______ yasakla
İzin vermek ________
İzin vermek ________
_________ yasakla.
İlk olarak, yönlendirici ilk koşula uyup uymadığını görmek için trafiği kontrol edecektir; eğer eşleşmiyorsa ikinci koşulu kontrol edecektir. Trafik üçüncü koşulla eşleşirse, yönlendirici kontrolü durduracak ve bunu listenin geri kalan koşullarıyla karşılaştırmayacaktır. "İzin ver" eylemini gerçekleştirecek ve trafiğin bir sonraki bölümünü kontrol etmeye geçecektir.
Herhangi bir paket için bir kural belirlemediyseniz ve trafiğin hiçbir koşula uymadan listenin tüm satırlarından geçmesi durumunda, her ACL listesi varsayılan olarak herhangi bir reddetme komutuyla (yani, at) bittiği için yok edilir. hiçbir kurala uymayan herhangi bir paket. Bu koşul, listede en az bir kural varsa geçerli olur, aksi takdirde hiçbir etkisi olmaz. Ancak ilk satırda reddetme 192.168.1.30 girişi varsa ve liste artık herhangi bir koşul içermiyorsa, o zaman sonunda bir komut izin ver, yani kural tarafından yasaklananlar dışında her türlü trafiğe izin ver. ACL'yi yapılandırırken hataları önlemek için bunu dikkate almalısınız.
ASL listesi oluşturmanın temel kuralını hatırlamanızı istiyorum: Standart ASL'yi hedefe, yani trafiğin alıcısına mümkün olduğunca yakın yerleştirin ve genişletilmiş ASL'yi kaynağa, yani, mümkün olduğunca yakına yerleştirin. trafiği gönderene. Bunlar Cisco önerileridir ancak pratikte standart bir ACL'yi trafik kaynağının yakınına yerleştirmenin daha anlamlı olduğu durumlar vardır. Ancak sınav sırasında ACL yerleştirme kurallarıyla ilgili bir soruyla karşılaşırsanız Cisco'nun önerilerini izleyin ve net bir şekilde yanıtlayın: standart hedefe daha yakın, genişletilmiş ise kaynağa daha yakın.
Şimdi standart bir ACL'nin sözdizimine bakalım. Yönlendiricinin genel yapılandırma modunda iki tür komut sözdizimi vardır: klasik sözdizimi ve modern sözdizimi.
Klasik komut türü erişim listesi <ACL numarası> <reddet/izin ver> <kriter>'dir. <ACL numarası>'nı 1'den 99'a kadar ayarlarsanız cihaz otomatik olarak bunun standart bir ACL olduğunu anlayacaktır; 100'den 199'a kadarsa genişletilmiş bir ACL olduğunu anlayacaktır. Bugünkü derste standart bir listeye baktığımız için 1'den 99'a kadar herhangi bir sayıyı kullanabiliriz. Ardından, parametreler aşağıdaki kriterle eşleşiyorsa uygulanması gereken eylemi belirtiriz - trafiğe izin verme veya reddetme. Modern sözdiziminde de kullanıldığı için kriteri daha sonra ele alacağız.
Modern komut türü aynı zamanda Rx(config) genel yapılandırma modunda da kullanılır ve şuna benzer: ip erişim listesi standardı <ACL numarası/ad>. Burada 1'den 99'a kadar bir sayı veya ACL listesinin adını kullanabilirsiniz, örneğin ACL_Networking. Bu komut, sistemi hemen Rx standart mod alt komut moduna (config-std-nacl) geçirir; burada <deny/enable> <kriter> girmeniz gerekir. Modern takım tipinin klasik takıma göre daha fazla avantajı vardır.
Klasik bir listede, erişim listesi 10 reddet ______ yazarsanız, ardından başka bir kriter için aynı türde bir sonraki komutu yazarsanız ve bu tür 100 komutla karşılaşırsanız, girilen komutlardan herhangi birini değiştirmek için şunları yapmanız gerekir: erişim listesi listesinin tamamını 10 no erişim listesi 10 komutuyla silin. Bu, 100 komutun tamamını silecektir çünkü bu listedeki herhangi bir komutu tek tek düzenlemenin bir yolu yoktur.
Modern sözdiziminde komut, ilki liste numarasını içeren iki satıra bölünmüştür. Diyelim ki, erişim listesi standardı 10 reddet ________, erişim listesi standardı 20 reddet _________ vb. bir listeniz varsa, o zaman aralarına diğer ölçütleri içeren ara listeler ekleme fırsatınız var, örneğin erişim listesi standardı 15 reddet ________ .
Alternatif olarak, erişim listesi standart 20 satırını basitçe silebilir ve bunları erişim listesi standardı 10 ile erişim listesi standardı 30 satır arasında farklı parametrelerle yeniden yazabilirsiniz.Böylece, modern ACL sözdizimini düzenlemenin çeşitli yolları vardır.
ACL'leri oluştururken çok dikkatli olmanız gerekir. Bildiğiniz gibi listeler yukarıdan aşağıya doğru okunur. En üste, belirli bir ana bilgisayardan gelen trafiğe izin veren bir çizgi yerleştirirseniz, aşağıya bu ana bilgisayarın parçası olduğu tüm ağın trafiğini yasaklayan bir çizgi yerleştirebilirsiniz ve her iki koşul da kontrol edilecektir - belirli bir ana bilgisayara giden trafik, geçişine izin verilecek ve bu ağdaki diğer tüm ana bilgisayarlardan gelen trafik engellenecektir. Bu nedenle, her zaman belirli girişleri listenin en üstüne, genel girişleri ise en altına yerleştirin.
Yani klasik veya modern bir ACL oluşturduktan sonra onu uygulamanız gerekir. Bunu yapmak için, belirli bir arayüzün ayarlarına gitmeniz gerekir; örneğin, arayüz <tür ve slot> komutunu kullanarak f0/0, arayüz alt komut moduna gidin ve ip erişim grubu <ACL numarası/ komutunu girin. isim> . Lütfen farka dikkat edin: Bir liste derlerken bir erişim listesi kullanılır ve bunu uygularken bir erişim grubu kullanılır. Bu listenin hangi arayüze uygulanacağını belirlemelisiniz; gelen arayüze mi yoksa giden arayüze mi? Listenin bir adı varsa, örneğin Ağ İletişimi, listeyi bu arayüze uygulamak için komutta aynı ad tekrarlanır.
Şimdi belirli bir sorunu ele alalım ve bunu Packet Tracer kullanarak ağ diyagramımız örneğini kullanarak çözmeye çalışalım. Yani 4 ağımız var: satış departmanı, muhasebe departmanı, yönetim ve sunucu odası.
Görev No. 1: Satış ve finans departmanlarından yönetim departmanına ve sunucu odasına yönlendirilen tüm trafik engellenmelidir. Engelleme konumu R0 yönlendiricisinin S1/0/2 arayüzüdür. Öncelikle aşağıdaki girdileri içeren bir liste oluşturmalıyız:
Listeye ACL Secure_Ma_And_Se olarak kısaltılan "Yönetim ve Sunucu Güvenliği ACL" adını verelim. Bunu, 192.168.1.128/26 numaralı finans departmanı ağından gelen trafiğin yasaklanması, 192.168.1.0/25 numaralı satış departmanı ağından gelen trafiğin yasaklanması ve diğer tüm trafiğe izin verilmesi takip eder. Listenin sonunda R0 yönlendiricisinin S1/0/2 giden arayüzü için kullanıldığı belirtilmektedir. Listenin sonunda Herhangi Birine İzin Ver girişi yoksa, varsayılan ACL her zaman listenin sonundaki Herhangi Birini Reddet girişi olarak ayarlandığından diğer tüm trafik engellenecektir.
Bu ACL'yi G0/0 arayüzüne uygulayabilir miyim? Elbette yapabilirim ama bu durumda yalnızca muhasebe departmanından gelen trafik engellenecek ve satış departmanından gelen trafik hiçbir şekilde sınırlandırılmayacak. Aynı şekilde G0/1 arayüzüne de ACL uygulayabilirsiniz ancak bu durumda finans departmanının trafiği engellenmeyecektir. Elbette bu arayüzler için iki ayrı blok listesi oluşturabiliriz, ancak bunları tek bir listede birleştirip R2 yönlendiricisinin çıkış arayüzüne veya R0 yönlendiricisinin S1/0/1 giriş arayüzüne uygulamak çok daha verimli olur.
Her ne kadar Cisco kuralları standart bir ACL'nin hedefe mümkün olduğunca yakın yerleştirilmesi gerektiğini belirtse de, ben onu trafiğin kaynağına daha yakın yerleştireceğim çünkü tüm giden trafiği engellemek istiyorum ve bunu hedefe daha yakın yapmak daha mantıklı. Böylece bu trafik iki yönlendirici arasındaki ağı boşa harcamaz.
Kriterleri size söylemeyi unuttum o yüzden hemen geri dönelim. Kriter olarak herhangi birini belirtebilirsiniz; bu durumda, herhangi bir cihazdan ve herhangi bir ağdan gelen tüm trafik reddedilecek veya buna izin verilecektir. Ayrıca bir ana bilgisayarı tanımlayıcısıyla da belirtebilirsiniz; bu durumda giriş, belirli bir cihazın IP adresi olacaktır. Son olarak, bir ağın tamamını belirtebilirsiniz, örneğin 192.168.1.10/24. Bu durumda /24, 255.255.255.0 alt ağ maskesinin varlığı anlamına gelecektir ancak alt ağ maskesinin IP adresini ACL'de belirtmek imkansızdır. Bu durum için ACL'nin Wildcart Mask veya "ters maske" adı verilen bir konsepti vardır. Bu nedenle IP adresini ve dönüş maskesini belirtmeniz gerekir. Ters maske şuna benzer: doğrudan alt ağ maskesini genel alt ağ maskesinden çıkarmalısınız, yani ileri maskedeki sekizli değerine karşılık gelen sayı 255'ten çıkarılır.
Bu nedenle ACL'de kriter olarak 192.168.1.10 0.0.0.255 parametresini kullanmalısınız.
Nasıl çalışır? Dönüş maskesi sekizlisinde 0 varsa, kriterin alt ağ IP adresinin karşılık gelen sekizlisiyle eşleştiği kabul edilir. Arka maske sekizlisinde bir sayı varsa eşleşme kontrol edilmez. Böylece, 192.168.1.0 ağı ve 0.0.0.255 dönüş maskesi için, dördüncü sekizlinin değeri ne olursa olsun, ilk üç sekizlisi 192.168.1.'e eşit olan adreslerden gelen tüm trafik, bağlı olarak engellenecek veya izin verilecektir. belirtilen eylem.
Ters maske kullanmak kolaydır ve bir sonraki videoda Wildcart Maskesine geri döneceğiz, böylece onunla nasıl çalışılacağını açıklayabilirim.
28:50 dk.
Bizimle kaldığın için teşekkürler. Yazılarımızı beğeniyor musunuz? Daha ilginç içerik görmek ister misiniz? Sipariş vererek veya arkadaşlarınıza tavsiye ederek bize destek olun, Habr kullanıcıları için, bizim tarafımızdan sizin için icat ettiğimiz benzersiz bir giriş seviyesi sunucu analogunda %30 indirim: (RAID1 ve RAID10, 24 adede kadar çekirdek ve 40 GB'a kadar DDR4 ile mevcuttur).
Dell R730xd 2 kat daha mı ucuz? Sadece burada Hollanda'da! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99$'dan! Hakkında oku
Kaynak: habr.com