Hôm nay chúng ta sẽ bắt đầu tìm hiểu về danh sách kiểm soát truy cập ACL, chủ đề này sẽ có 2 video bài học. Chúng ta sẽ xem xét cấu hình của một ACL tiêu chuẩn và trong video hướng dẫn tiếp theo, tôi sẽ nói về danh sách mở rộng.
Trong bài học này chúng ta sẽ đề cập đến 3 chủ đề. Đầu tiên là ACL là gì, thứ hai là sự khác biệt giữa danh sách truy cập tiêu chuẩn và danh sách truy cập mở rộng và ở cuối bài học, với tư cách là phòng thí nghiệm, chúng ta sẽ xem xét việc thiết lập ACL tiêu chuẩn và giải quyết các vấn đề có thể xảy ra.
Vậy ACL là gì? Nếu bạn đã học khóa học ngay từ bài học video đầu tiên thì bạn sẽ nhớ cách chúng tôi tổ chức liên lạc giữa các thiết bị mạng khác nhau.
Chúng tôi cũng nghiên cứu định tuyến tĩnh qua nhiều giao thức khác nhau để đạt được kỹ năng tổ chức liên lạc giữa các thiết bị và mạng. Bây giờ chúng ta đã đến giai đoạn học tập mà chúng ta nên quan tâm đến việc đảm bảo kiểm soát lưu lượng, tức là ngăn chặn “kẻ xấu” hoặc người dùng trái phép xâm nhập vào mạng. Ví dụ: điều này có thể liên quan đến những người từ bộ phận bán hàng BÁN HÀNG, được mô tả trong sơ đồ này. Ở đây chúng tôi còn hiển thị bộ phận tài chính TÀI KHOẢN, bộ phận quản lý QUẢN LÝ và phòng máy chủ PHÒNG MÁY CHỦ.
Vì vậy, bộ phận bán hàng có thể có hàng trăm nhân viên và chúng tôi không muốn bất kỳ ai trong số họ có thể tiếp cận phòng máy chủ qua mạng. Một ngoại lệ được áp dụng cho người quản lý bán hàng làm việc trên máy tính Laptop2 - anh ta có thể có quyền truy cập vào phòng máy chủ. Một nhân viên mới làm việc trên Laptop3 không nên có quyền truy cập như vậy, nghĩa là nếu lưu lượng truy cập từ máy tính của anh ta đến bộ định tuyến R2 thì nó sẽ bị loại bỏ.
Vai trò của ACL là lọc lưu lượng theo các tham số lọc được chỉ định. Chúng bao gồm địa chỉ IP nguồn, địa chỉ IP đích, giao thức, số cổng và các tham số khác, nhờ đó bạn có thể xác định lưu lượng truy cập và thực hiện một số hành động với nó.
Vì vậy, ACL là cơ chế lọc lớp 3 của mô hình OSI. Điều này có nghĩa là cơ chế này được sử dụng trong các bộ định tuyến. Tiêu chí chính để lọc là xác định luồng dữ liệu. Ví dụ: nếu chúng ta muốn chặn anh chàng có máy tính Laptop3 truy cập vào máy chủ, trước hết chúng ta phải xác định lưu lượng truy cập của anh ta. Lưu lượng này di chuyển theo hướng Laptop-Switch2-R2-R1-Switch1-Server1 thông qua các giao diện tương ứng của các thiết bị mạng, trong khi giao diện G0/0 của bộ định tuyến không liên quan gì đến nó.
Để xác định lưu lượng truy cập, chúng ta phải xác định đường dẫn của nó. Sau khi thực hiện việc này, chúng ta có thể quyết định chính xác nơi chúng ta cần cài đặt bộ lọc. Đừng lo lắng về bản thân các bộ lọc, chúng ta sẽ thảo luận về chúng trong bài học tiếp theo, bây giờ chúng ta cần hiểu nguyên tắc mà bộ lọc sẽ được áp dụng cho giao diện nào.
Nếu nhìn vào bộ định tuyến, bạn có thể thấy rằng mỗi khi lưu lượng truy cập di chuyển, sẽ có một giao diện nơi luồng dữ liệu đi vào và một giao diện mà luồng dữ liệu này đi ra.
Thực tế có 3 giao diện: giao diện đầu vào, giao diện đầu ra và giao diện riêng của bộ định tuyến. Chỉ cần nhớ rằng tính năng lọc chỉ có thể được áp dụng cho giao diện đầu vào hoặc đầu ra.
Nguyên tắc hoạt động của ACL tương tự như vé tham dự một sự kiện chỉ những khách có tên trong danh sách được mời mới được tham dự. ACL là danh sách các tham số chất lượng được sử dụng để xác định lưu lượng truy cập. Ví dụ: danh sách này chỉ ra rằng tất cả lưu lượng truy cập được phép từ địa chỉ IP 192.168.1.10 và lưu lượng truy cập từ tất cả các địa chỉ khác đều bị từ chối. Như tôi đã nói, danh sách này có thể được áp dụng cho cả giao diện đầu vào và đầu ra.
Có 2 loại ACL: tiêu chuẩn và mở rộng. ACL tiêu chuẩn có mã định danh từ 1 đến 99 hoặc từ 1300 đến 1999. Đây chỉ đơn giản là những tên danh sách không có bất kỳ lợi thế nào so với nhau khi số lượng tăng lên. Ngoài số, bạn có thể gán tên riêng của mình cho ACL. ACL mở rộng được đánh số từ 100 đến 199 hoặc 2000 đến 2699 và cũng có thể có tên.
Trong ACL tiêu chuẩn, việc phân loại dựa trên địa chỉ IP nguồn của lưu lượng truy cập. Do đó, khi sử dụng danh sách như vậy, bạn không thể hạn chế lưu lượng truy cập hướng đến bất kỳ nguồn nào mà chỉ có thể chặn lưu lượng truy cập xuất phát từ một thiết bị.
ACL mở rộng phân loại lưu lượng truy cập theo địa chỉ IP nguồn, địa chỉ IP đích, giao thức được sử dụng và số cổng. Ví dụ: bạn chỉ có thể chặn lưu lượng FTP hoặc chỉ lưu lượng HTTP. Hôm nay chúng ta sẽ xem xét ACL tiêu chuẩn và chúng ta sẽ dành bài học video tiếp theo về danh sách mở rộng.
Như tôi đã nói, ACL là một danh sách các điều kiện. Sau khi bạn áp dụng danh sách này cho giao diện đến hoặc đi của bộ định tuyến, bộ định tuyến sẽ kiểm tra lưu lượng truy cập đối với danh sách này và nếu đáp ứng các điều kiện được đặt ra trong danh sách, nó sẽ quyết định cho phép hay từ chối lưu lượng này. Mọi người thường khó xác định giao diện đầu vào và đầu ra của bộ định tuyến, mặc dù ở đây không có gì phức tạp. Khi chúng ta nói về giao diện đến, điều này có nghĩa là chỉ lưu lượng truy cập đến mới được kiểm soát trên cổng này và bộ định tuyến sẽ không áp dụng các hạn chế đối với lưu lượng đi. Tương tự, nếu chúng ta đang nói về giao diện đầu ra, điều này có nghĩa là tất cả các quy tắc sẽ chỉ áp dụng cho lưu lượng đi ra, trong khi lưu lượng đến trên cổng này sẽ được chấp nhận mà không bị hạn chế. Ví dụ: nếu bộ định tuyến có 2 cổng: f0/0 và f0/1 thì ACL sẽ chỉ được áp dụng cho lưu lượng truy cập vào giao diện f0/0 hoặc chỉ cho lưu lượng truy cập bắt nguồn từ giao diện f0/1. Lưu lượng vào hoặc ra giao diện f0/1 sẽ không bị ảnh hưởng bởi danh sách.
Do đó, đừng nhầm lẫn giữa hướng đi vào hoặc đi của giao diện, nó phụ thuộc vào hướng của lưu lượng truy cập cụ thể. Vì vậy, sau khi bộ định tuyến kiểm tra lưu lượng xem có phù hợp với các điều kiện ACL hay không, nó chỉ có thể đưa ra hai quyết định: cho phép lưu lượng hoặc từ chối lưu lượng đó. Ví dụ: bạn có thể cho phép lưu lượng truy cập dành cho 180.160.1.30 và từ chối lưu lượng truy cập dành cho 192.168.1.10. Mỗi danh sách có thể chứa nhiều điều kiện, nhưng mỗi điều kiện phải cho phép hoặc từ chối.
Giả sử chúng ta có một danh sách:
Cấm _______
Cho phép ________
Cho phép ________
Cấm _________.
Đầu tiên, bộ định tuyến sẽ kiểm tra lưu lượng xem nó có phù hợp với điều kiện đầu tiên không, nếu không phù hợp thì nó sẽ kiểm tra điều kiện thứ hai. Nếu lưu lượng truy cập phù hợp với điều kiện thứ ba, bộ định tuyến sẽ ngừng kiểm tra và sẽ không so sánh nó với các điều kiện còn lại trong danh sách. Nó sẽ thực hiện hành động “cho phép” và chuyển sang kiểm tra phần lưu lượng truy cập tiếp theo.
Trong trường hợp bạn chưa đặt quy tắc cho bất kỳ gói nào và lưu lượng truy cập đi qua tất cả các dòng của danh sách mà không gặp bất kỳ điều kiện nào, nó sẽ bị hủy, bởi vì mỗi danh sách ACL theo mặc định kết thúc bằng lệnh từ chối bất kỳ - nghĩa là loại bỏ bất kỳ gói nào, không thuộc bất kỳ quy tắc nào. Điều kiện này có hiệu lực nếu có ít nhất một quy tắc trong danh sách, nếu không thì nó không có hiệu lực. Nhưng nếu dòng đầu tiên chứa mục từ chối 192.168.1.30 và danh sách không còn chứa bất kỳ điều kiện nào nữa thì ở cuối phải có lệnh cho phép bất kỳ điều kiện nào, tức là cho phép mọi lưu lượng truy cập ngoại trừ những lưu lượng truy cập bị quy tắc cấm. Bạn phải tính đến điều này để tránh nhầm lẫn khi định cấu hình ACL.
Tôi muốn bạn nhớ quy tắc cơ bản của việc tạo danh sách ASL: đặt ASL tiêu chuẩn càng gần đích càng tốt, nghĩa là với người nhận lưu lượng truy cập và đặt ASL mở rộng càng gần nguồn càng tốt, nghĩa là, tới người gửi lưu lượng. Đây là những khuyến nghị của Cisco, nhưng trong thực tế, có những tình huống sẽ hợp lý hơn khi đặt ACL tiêu chuẩn gần nguồn lưu lượng. Nhưng nếu bạn gặp câu hỏi về quy tắc sắp xếp ACL trong kỳ thi, hãy làm theo khuyến nghị của Cisco và trả lời rõ ràng: tiêu chuẩn gần đích hơn, mở rộng gần nguồn hơn.
Bây giờ hãy xem cú pháp của ACL tiêu chuẩn. Có hai loại cú pháp lệnh trong chế độ cấu hình toàn cầu của bộ định tuyến: cú pháp cổ điển và cú pháp hiện đại.
Loại lệnh cổ điển là danh sách truy cập <số ACL> <từ chối/cho phép> <tiêu chí>. Nếu bạn đặt <ACL number> từ 1 đến 99, thiết bị sẽ tự động hiểu đây là ACL tiêu chuẩn, còn nếu từ 100 đến 199 thì là ACL mở rộng. Vì trong bài học hôm nay chúng ta đang xem xét một danh sách tiêu chuẩn, chúng ta có thể sử dụng bất kỳ số nào từ 1 đến 99. Sau đó, chúng ta chỉ ra hành động cần áp dụng nếu các tham số phù hợp với tiêu chí sau - cho phép hoặc từ chối lưu lượng truy cập. Chúng ta sẽ xem xét tiêu chí này sau vì nó cũng được sử dụng trong cú pháp hiện đại.
Loại lệnh hiện đại cũng được sử dụng trong chế độ cấu hình toàn cầu Rx(config) và trông giống như sau: tiêu chuẩn danh sách truy cập ip <số/tên ACL>. Tại đây, bạn có thể sử dụng số từ 1 đến 99 hoặc tên của danh sách ACL, ví dụ: ACL_Networking. Lệnh này ngay lập tức đưa hệ thống vào chế độ lệnh phụ chế độ tiêu chuẩn Rx (config-std-nacl), trong đó bạn phải nhập <deny/enable> <criteria>. Loại đội hiện đại có nhiều ưu điểm hơn so với loại cổ điển.
Trong danh sách cổ điển, nếu bạn nhập danh sách truy cập 10 từ chối ______, sau đó nhập lệnh tiếp theo cùng loại cho tiêu chí khác và kết thúc bằng 100 lệnh như vậy, thì để thay đổi bất kỳ lệnh nào đã nhập, bạn sẽ cần phải xóa toàn bộ danh sách truy cập 10 bằng lệnh no access-list 10. Thao tác này sẽ xóa tất cả 100 lệnh vì không có cách nào để chỉnh sửa bất kỳ lệnh riêng lẻ nào trong danh sách này.
Trong cú pháp hiện đại, lệnh được chia thành hai dòng, dòng đầu tiên chứa số danh sách. Giả sử nếu bạn có danh sách tiêu chuẩn danh sách truy cập 10 từ chối ________, tiêu chuẩn danh sách truy cập 20 từ chối ________, v.v., thì bạn có cơ hội chèn danh sách trung gian với các tiêu chí khác giữa chúng, ví dụ: tiêu chuẩn danh sách truy cập 15 từ chối ________ .
Ngoài ra, bạn có thể chỉ cần xóa 20 dòng tiêu chuẩn của danh sách truy cập và nhập lại chúng với các tham số khác nhau giữa dòng tiêu chuẩn danh sách truy cập 10 và tiêu chuẩn danh sách truy cập 30. Do đó, có nhiều cách khác nhau để chỉnh sửa cú pháp ACL hiện đại.
Bạn cần hết sức cẩn thận khi tạo ACL. Như bạn đã biết, danh sách được đọc từ trên xuống dưới. Nếu bạn đặt một dòng ở trên cùng cho phép lưu lượng truy cập từ một máy chủ cụ thể thì bên dưới bạn có thể đặt một dòng cấm lưu lượng truy cập từ toàn bộ mạng mà máy chủ này là một phần và cả hai điều kiện sẽ được kiểm tra - lưu lượng truy cập đến một máy chủ cụ thể sẽ được phép đi qua và lưu lượng truy cập từ tất cả các máy chủ khác mạng này sẽ bị chặn. Vì vậy, hãy luôn đặt các mục cụ thể ở đầu danh sách và các mục chung ở cuối danh sách.
Vì vậy, sau khi tạo ACL cổ điển hoặc hiện đại, bạn phải áp dụng nó. Để thực hiện việc này, bạn cần vào cài đặt của một giao diện cụ thể, ví dụ: f0/0 bằng lệnh giao diện <type and slot>, chuyển đến chế độ lệnh con giao diện và nhập lệnh ip access-group <ACL number/ tên> . Xin lưu ý sự khác biệt: khi biên soạn danh sách, danh sách truy cập sẽ được sử dụng và khi áp dụng danh sách đó, nhóm truy cập sẽ được sử dụng. Bạn phải xác định danh sách này sẽ được áp dụng cho giao diện nào - giao diện đến hoặc giao diện đi. Nếu danh sách có tên, ví dụ Networking, tên đó sẽ được lặp lại trong lệnh áp dụng danh sách trên giao diện này.
Bây giờ, hãy xem xét một vấn đề cụ thể và cố gắng giải quyết nó bằng ví dụ về sơ đồ mạng của chúng tôi bằng Packet Tracer. Vì vậy, chúng tôi có 4 mạng: bộ phận bán hàng, bộ phận kế toán, quản lý và phòng máy chủ.
Nhiệm vụ số 1: tất cả lưu lượng truy cập từ bộ phận bán hàng và tài chính đến bộ phận quản lý và phòng máy chủ phải bị chặn. Vị trí chặn là giao diện S0/1/0 của bộ định tuyến R2. Đầu tiên chúng ta phải tạo một danh sách chứa các mục sau:
Hãy gọi danh sách này là “Quản lý và bảo mật máy chủ ACL”, viết tắt là ACL Secure_Ma_And_Se. Tiếp theo là cấm lưu lượng truy cập từ mạng bộ phận tài chính 192.168.1.128/26, cấm lưu lượng truy cập từ mạng bộ phận bán hàng 192.168.1.0/25 và cho phép bất kỳ lưu lượng truy cập nào khác. Ở cuối danh sách có ghi rằng nó được sử dụng cho giao diện đầu ra S0/1/0 của bộ định tuyến R2. Nếu chúng ta không có mục Permit Any ở cuối danh sách thì tất cả lưu lượng truy cập khác sẽ bị chặn vì ACL mặc định luôn được đặt thành mục Deny Any ở cuối danh sách.
Tôi có thể áp dụng ACL này cho giao diện G0/0 không? Tất nhiên là tôi có thể, nhưng trong trường hợp này chỉ có lưu lượng truy cập từ bộ phận kế toán sẽ bị chặn và lưu lượng truy cập từ bộ phận bán hàng sẽ không bị hạn chế dưới bất kỳ hình thức nào. Theo cách tương tự, bạn có thể áp dụng ACL cho giao diện G0/1, nhưng trong trường hợp này lưu lượng của bộ phận tài chính sẽ không bị chặn. Tất nhiên, chúng ta có thể tạo hai danh sách khối riêng biệt cho các giao diện này, nhưng sẽ hiệu quả hơn nhiều khi kết hợp chúng thành một danh sách và áp dụng nó cho giao diện đầu ra của bộ định tuyến R2 hoặc giao diện đầu vào S0/1/0 của bộ định tuyến R1.
Mặc dù các quy tắc của Cisco quy định rằng ACL tiêu chuẩn phải được đặt càng gần đích càng tốt, tôi sẽ đặt nó gần nguồn lưu lượng hơn vì tôi muốn chặn tất cả lưu lượng đi và sẽ hợp lý hơn nếu thực hiện điều này gần nguồn hơn. nguồn để lưu lượng này không làm lãng phí mạng giữa hai bộ định tuyến.
Tôi quên nói với bạn về tiêu chí, vì vậy hãy nhanh chóng quay lại. Bạn có thể chỉ định bất kỳ tiêu chí nào làm tiêu chí - trong trường hợp này, mọi lưu lượng truy cập từ bất kỳ thiết bị nào và bất kỳ mạng nào sẽ bị từ chối hoặc cho phép. Bạn cũng có thể chỉ định máy chủ bằng mã định danh của nó - trong trường hợp này, mục nhập sẽ là địa chỉ IP của một thiết bị cụ thể. Cuối cùng, bạn có thể chỉ định toàn bộ mạng, ví dụ: 192.168.1.10/24. Trong trường hợp này, /24 sẽ có nghĩa là sự hiện diện của mặt nạ mạng con 255.255.255.0, nhưng không thể chỉ định địa chỉ IP của mặt nạ mạng con trong ACL. Đối với trường hợp này, ACL có một khái niệm gọi là Wildcart Mask, hay “mặt nạ đảo ngược”. Vì vậy, bạn phải chỉ định địa chỉ IP và mặt nạ trả về. Mặt nạ ngược trông như thế này: bạn phải trừ mặt nạ mạng con trực tiếp khỏi mặt nạ mạng con chung, nghĩa là số tương ứng với giá trị octet trong mặt nạ chuyển tiếp bị trừ đi 255.
Vì vậy, bạn nên sử dụng tham số 192.168.1.10 0.0.0.255 làm tiêu chí trong ACL.
Làm thế nào nó hoạt động? Nếu có 0 trong octet mặt nạ trả về thì tiêu chí được coi là khớp với octet tương ứng của địa chỉ IP mạng con. Nếu có một số trong octet mặt sau thì kết quả khớp sẽ không được kiểm tra. Do đó, đối với mạng 192.168.1.0 và mặt nạ trả về 0.0.0.255, tất cả lưu lượng truy cập từ các địa chỉ có ba octet đầu tiên bằng 192.168.1., bất kể giá trị của octet thứ tư, sẽ bị chặn hoặc được phép tùy thuộc vào hành động được chỉ định.
Sử dụng mặt nạ đảo ngược rất dễ dàng và chúng ta sẽ quay lại Mặt nạ Wildcart trong video tiếp theo để tôi có thể giải thích cách sử dụng nó.
28:50 phút
Cảm ơn bạn đã ở với chúng tôi. Bạn có thích bài viết của chúng tôi? Bạn muốn xem nội dung thú vị hơn? Hỗ trợ chúng tôi bằng cách đặt hàng hoặc giới thiệu cho bạn bè, Giảm giá 30% cho người dùng Habr trên một máy chủ tương tự duy nhất của máy chủ cấp đầu vào do chúng tôi phát minh ra dành cho bạn: (có sẵn với RAID1 và RAID10, tối đa 24 lõi và tối đa 40GB DDR4).
Dell R730xd rẻ gấp 2 lần? Chỉ ở đây ở Hà Lan! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - từ $99! Đọc về
Nguồn: www.habr.com