Сьогодні ми почнемо вивчення списку керування доступом ACL, ця тема займе 2 відеоуроки. Ми розглянемо конфігурацію стандартного списку ACL, а наступного відеоуроку я розповім про розширений список.
На цьому уроці ми розглянемо 3 теми. Перша – що таке ACL, друга – у чому полягає різниця між стандартним та розширеним списком доступу, а наприкінці уроку як лабораторна робота ми розглянемо налаштування стандартного ACL та вирішення можливих проблем.
Отже, що таке ACL? Якщо ви вивчали курс з першого відеоуроку, то пам'ятайте, як ми організовували зв'язок між різними мережевими пристроями.
Ми також вивчили статичну маршрутизацію з різних протоколів з метою набуття навичок організації зв'язку між пристроями та мережами. Зараз ми досягли етапу навчання, на якому слід потурбуватися про забезпечення контролю трафіку, тобто перешкодити «поганим хлопцям» або неавторизованим користувачам проникнути в мережу. Наприклад, це може стосуватися людей з відділу продажу SALES, що зображений на цій схемі. Тут у нас показані також фінансовий відділ ACCOUNTS, відділ управління MANAGEMENT та серверна SERVER ROOM.
Так от, у відділі продажів може працювати сотня співробітників, і ми не хочемо, щоб хтось із них зміг би дістатися серверної мережі. Виняток зроблений для менеджера відділу продажів, який працює за комп'ютером Laptop2 – він може мати доступ до серверної. Новий співробітник, що працює за комп'ютером Laptop3, не повинен мати такого доступу, тобто якщо трафік з комп'ютера досягне роутера R2, він повинен бути відкинутий.
Роль ACL полягає в тому, щоб фільтрувати трафік згідно з заданими параметрами фільтрації. Вони включають IP-адресу джерела, IP-адресу призначення, протокол, кількість портів та інші параметри, завдяки яким можна ідентифікувати трафік і зробити з ним якісь дії.
Отже, ACL є механізмом фільтрації 3-го рівня моделі OSI. Це означає, що цей механізм застосовується у роутерах. Основним критерієм фільтрації є ідентифікація потоку даних. Наприклад, якщо ми хочемо заблокувати хлопцю з комп'ютером Laptop3 доступ до сервера, ми повинні ідентифікувати його трафік. Цей трафік переміщається у напрямку Laptop-Switch2-R2-R1-Switch1-Server1 через відповідні інтерфейси мережевих пристроїв, при цьому інтерфейси G0/0 роутерів не мають до нього жодного відношення.
Щоб ідентифікувати трафік, ми маємо ідентифікувати його шлях. Зробивши це, ми зможемо вирішити, де потрібно встановити фільтр. Можете не турбуватися про самі фільтри, ми обговоримо їх на наступному уроці, поки що нам потрібно зрозуміти принцип, до якого інтерфейсу слід застосувати фільтр.
Якщо розглянути роутер, можна побачити, що кожного разу під час руху трафіку є інтерфейс, куди надходить потік даних, та інтерфейс, через який цей потік виходить.
Фактично існують 3 інтерфейси: вхідний інтерфейс, вихідний інтерфейс та власний інтерфейс роутера. Просто запам'ятайте, що фільтрація може бути застосована лише до вхідного або вихідного інтерфейсу.
Принцип роботи ACL нагадує перепустку на захід, який можуть відвідати лише ті гості, чиє ім'я є у списку запрошених осіб. ACL є список кваліфікаційних параметрів, які служать для ідентифікації трафіку. Наприклад, цей список вказує на те, що з IP-адреси 192.168.1.10 дозволено будь-який трафік, а трафік з усіх інших адрес заборонено. Як я вже сказав, цей список може бути використаний як для вхідного, так і для вихідного інтерфейсу.
Існує 2 види списків ACL: стандартні та розширені. Стандартний ACL має ідентифікатор від 1 до 99 або від 1300 до 1999. Це просто назви списків, які не мають жодних переваг один перед одним у міру зростання нумерації. Крім номера, списку ACL можна надати власне ім'я. Розширені списки ACL мають нумерацію від 100 до 199 або від 2000 до 2699 і можуть мати назву.
У стандартному ACL класифікація ґрунтується на IP-адресі джерела трафіку. Тому при використанні такого списку ви не можете обмежити трафік, спрямований на будь-яке джерело, можна лише заблокувати трафік, що виходить з якогось пристрою.
Розширений ACL класифікує трафік за IP-адресою джерела, IP-адресою призначення, за протоколом, що застосовується, і за номером порту. Наприклад, ви можете заблокувати лише FTP-трафік, або лише HTTP-трафік. Сьогодні ми розглянемо стандартний ACL, а розширеним спискам присвятимо наступний відеоурок.
Як я вже сказав, ACL є список умов. Після того, як ви застосували цей список до вхідного або вихідного інтерфейсу роутера, роутер звіряє трафік із цим списком, і якщо він відповідає викладеним у списку умовам, приймає рішення, дозволити чи заборонити цей трафік. Часто люди вагаються у визначенні вхідного та вихідного інтерфейсів роутера, хоча тут немає нічого складного. Коли ми говоримо про вхідний інтерфейс, це означає, що на даному порту контролюватиметься лише вхідний трафік, а по відношенню до вихідного трафіку роутер не застосовуватиме обмежень. Аналогічно, якщо йдеться про вихідний інтерфейс, це означає, що всі правила будуть застосовуватися тільки до вихідного трафіку, при цьому вхідний трафік на даному порту прийматиметься без обмежень. Наприклад, якщо роутер має 2 порти: f0/0 і f0/1, то список ACL буде застосовуватися тільки для трафіку, що входить до інтерфейсу f0/0, або тільки для трафіку, що виходить з інтерфейсу f0/1. На трафік, що входить до інтерфейсу f0/1 або з порту f0/0, дія списку поширюватися не буде.
Тому нехай вас не бентежить вхідний або вихідний напрямок інтерфейсу, він залежить від напрямку руху конкретного трафіку. Отже, після того, як роутер перевірив трафік на збіг умов ACL, він може прийняти тільки два варіанти рішень: пропустити трафік або відхилити його. Наприклад, ви можете дозволити трафік, направлений на адресу 180.160.1.30 та відхилити трафік, призначений для адреси 192.168.1.10. Кожен список може містити велику кількість умов, але кожна з цих умов повинна дозволяти або забороняти.
Припустимо, є список:
Заборонити _______
Дозволити ________
Дозволити ________
Заборонити _________.
Спочатку роутер перевірить трафік на збіг з першою умовою, якщо вона не збігається – з другою умовою. Якщо трафік збігається з третьою умовою, роутер припинить перевірку і не порівнюватиме його з іншими умовами списку. Він виконає дію «дозволити» та перейде до перевірки наступної порції трафіку.
На той випадок, якщо ви не встановили правило для будь-якого пакету і трафік пройшов усі рядки списку, не потрапивши під жодну з умов, він знищується, тому що кожен список ACL за замовчуванням закінчується командою deny any – тобто відкинути будь-який пакет, не потрапив під жодне з правил. Ця умова набирає чинності, якщо в списку є хоча б одне правило, інакше вона не діє. Але якщо в першому рядку буде запис deny 192.168.1.30 і список більше не міститиме жодних умов, то наприкінці має бути команда permit any, тобто дозволити будь-який трафік, крім забороненого правилом. Ви повинні врахувати цю обставину, щоб не допускати помилок під час налаштування списку ACL.
Я хочу, щоб ви запам'ятали основне правило формування списку ASL: стандартний ASL розміщуйте якомога ближче до призначення, тобто до одержувача трафіку, а розширений ASL максимально близький до джерела, тобто до відправника трафіку. Такі рекомендації Cisco, проте на практиці зустрічаються ситуації, коли розумніше розміщувати стандартний ACL поблизу джерела трафіку. Але якщо вам на іспиті трапиться питання про правила розміщення ACL, дотримуйтесь рекомендацій Cisco і відповідайте однозначно: стандартне – ближче до призначення, розширене – ближче до джерела.
Тепер розглянемо синтаксис стандартного ACL. Існують два типи синтаксису команд у режимі глобальної конфігурації роутера: класичний синтаксис та сучасний синтаксис.
Класичний тип команди це access-list <номер ACL> <заборонити/дозволити> <критерій>. Якщо ви поставите <номер ACL> від 1 до 99, пристрій автоматично зрозуміє, що це стандартний ACL, а якщо від 100 до 199 – то розширений. Оскільки на сьогоднішньому уроці ми розглядаємо стандартний список, то можемо використовувати будь-яке число від 1 до 99. Потім вказується дія, яку потрібно застосувати при збігу параметрів із зазначеним нижче критерієм – дозволити чи заборонити трафік. Критерій ми розглянемо пізніше, оскільки він використовується і в синтаксисі.
Сучасний тип команди також використовується в режимі глобальної конфігурації Rx(config) і так: ip access-list standard <номер/ім'я ACL>. Тут можна використовувати як номер від 1 до 99, так і назву списку ACL, наприклад, ACL_Networking. Ця команда негайно переводить систему в режим підкоманд стандартного режиму Rx(config-std-nacl), де вже необхідно ввести <заборонити/дозволити> <критерій>. Сучасний тип команд має більше переваг, порівняно з класичним.
У класичному списку, якщо ви набираєте access-list 10 deny ______, потім набираєте наступну команду такого ж роду для іншого критерію і в результаті у вас утвориться 100 таких команд, то для зміни будь-якої з введених команд вам доведеться видалити весь список access- list 10 командою no access-list 10. При цьому буде видалено всі 100 команд, тому що не існує способу відредагувати якусь окрему команду цього списку.
У сучасному синтаксисі команда поділена на два рядки, перший із яких містить номер списку. Припустимо, якщо у вас є список access-list standard 10 deny ________, access-list standard 20 deny ________ і так далі, то у вас є можливість вставити між ними проміжні списки з іншими критеріями, наприклад, access-list standard 15 deny ________.
Крім того, можна просто видалити рядки access-list standard 20 і набрати їх заново з іншими параметрами між рядками access-list standard 10 і access-list standard 30. Таким чином, існують різні способи редагування сучасного синтаксису ACL.
Вам потрібно дуже ретельно підходити до складання ACL-списків. Як відомо, списки читаються згори донизу. Якщо ви розмістите зверху рядок з дозволом трафіку якогось конкретного хоста, то нижче зможете розташувати рядок із забороною трафіку цілої мережі, до якого входить цей хост, при цьому перевірятимуться обидві умови – трафік до конкретного хоста пропускатиметься, а трафік всіх інших хостів цієї мережі блокуватись. Тому завжди розташовуйте конкретизовані записи вгорі списку, а загальні – внизу.
Отже, після того, як ви створили класичний або сучасний ACL, ви маєте його застосувати. Для цього потрібно зайти в установки конкретного інтерфейсу, наприклад, f0/0 за допомогою команди interface < тип і слот >, перейти до режиму підкоманд інтерфейсу і ввести команду ip access-group <номер/ім'я ACL> . Зверніть увагу на різницю: при складанні списку використовується access-list, а при його застосуванні – access-group. Ви повинні визначити, до якого інтерфейсу буде застосований цей список - до інтерфейсу вхідного або до вихідного інтерфейсу трафіку. Якщо список має ім'я, наприклад Networking, це ім'я повторюється в команді застосування списку на даному інтерфейсі.
Тепер давайте візьмемо конкретне завдання та спробуємо його вирішити на прикладі схеми нашої мережі з використанням Packet Tracer. Отже, у нас є 4 мережі: відділу продажу, бухгалтерії, менеджменту та серверної.
Завдання №1: весь трафік, що направляється з відділу продажу та фінансового відділу до відділу менеджменту та серверного, повинен блокуватися. Місцем блокування є інтерфейс S0/1/0 роутера R2. Спочатку ми повинні скласти список, у якому будуть такі записи:
Назвемо список "ACL безпеки менеджменту та серверної", скорочено ACL Secure_Ma_And_Se. Далі слідує заборона трафіку мережі фінансового відділу 192.168.1.128/26, заборона трафіку мережі відділу продажів 192.168.1.0/25 та дозвіл будь-якого іншого трафіку. Наприкінці списку зазначено, що він застосовується для вихідного інтерфейсу S0/1/0 роутера R2. Якщо у нас не буде запису Permit Any в кінці списку, то решта трафік буде заблокований, тому що за замовчуванням в кінці списку ACL завжди встановлюється запис Deny Any.
Чи можу я застосувати цей ACL до інтерфейсу G0/0? Звичайно, можу, але в цьому випадку заблокується лише трафік із бухгалтерії, а трафік відділу продажів нічим не буде обмежений. Також можна застосувати ACL до інтерфейсу G0/1, але в цьому випадку не буде блокуватися трафік фінансового відділу. Звичайно, ми можемо скласти для цих інтерфейсів два окремі списки блокування, але набагато ефективніше з'єднати їх в один список та застосувати його для вихідного інтерфейсу роутера R2 або вхідного інтерфейсу S0/1/0 роутера R1.
Хоча згідно з правилами Cisco, стандартний список ACL повинен розміщуватися якомога ближче до призначення, я все ж таки розташую його ближче до джерела трафіку, тому що хочу заблокувати весь вихідний трафік, а це доцільніше зробити ближче до джерела, щоб цей трафік даремно не займав мережу між двома роутерами.
Я забув розповісти вам про умови, так що давайте швидко повернемося назад. Як критерій ви можете вказати any – у цьому випадку будь-який трафік будь-якого пристрою та будь-якої мережі буде заборонено або дозволено. Можна також вказати хост з його ідентифікатором – у цьому випадку запис буде IP-адресою конкретного пристрою. Зрештою, можна вказати цілу мережу, наприклад, 192.168.1.10/24. При цьому /24 означатиме наявність маски підмережі 255.255.255.0, проте в ACL неможливо вказати IP-адресу маски підмережі. Для цього випадку ACL має концепт під назвою Wildcart Mask, або «зворотна маска». Тому ви повинні вказати IP-адресу та зворотну маску. Зворотна маска виглядає наступним чином: ви повинні відібрати із загальної маски підмережі пряму маску підмережі, тобто від 255 віднімається число, що відповідає значенню октету в прямій масці.
Таким чином, як критерій у списку ACL, ви повинні використовувати параметр 192.168.1.10 0.0.0.255.
Як це працює? Якщо в октеті зворотної маски розташовано 0, вважається, що критерій збігається з відповідним октетом IP-адреси підмережі. Якщо в октеті зворотної маски є якесь число, збіг не перевіряється. Таким чином, для мережі 192.168.1.0 і зворотної маски 0.0.0.255 весь трафік з адрес, три перших октету яких дорівнюють 192.168.1., незалежно від значення четвертого октету, буде блокуватися або вирішуватися в залежності від заданої дії.
Використання зворотної маски не є складними, і ми ще повернемося до Wildcart Mask в наступному відео, щоб я зміг пояснити, як з нею працювати.
28:50 хв
Дякую, що залишаєтеся з нами. Вам подобаються наші статті? Бажаєте бачити більше цікавих матеріалів? Підтримайте нас, оформивши замовлення або порекомендувавши знайомим, 30% знижка для користувачів Хабра на унікальний аналог entry-level серверів, який був винайдений нами для Вас: (Доступні варіанти з RAID1 і RAID10, до 24 ядер і до 40GB DDR4).
Dell R730xd у 2 рази дешевше? Тільки в нас у Нідерландах! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – від $99! Читайте про те
Джерело: habr.com