今天我們將開始學習ACL存取控制列表,這個主題將需要2個影片課程。 我們將了解標準 ACL 的配置,在下一個影片教學中我將討論擴充清單。
在本課中,我們將討論 3 個主題。 第一個是 ACL 是什麼,第二個是標準存取清單和擴展存取清單之間的區別,在本課結束時,作為實驗,我們將研究設定標準 ACL 並解決可能的問題。
那什麼是ACL? 如果您從第一堂視訊課程開始學習了該課程,那麼您就會記得我們如何組織各種網路設備之間的通訊。
我們也研究了各種協定上的靜態路由,以獲得組織設備和網路之間通訊的技能。 我們現在已經到了學習階段,我們應該專注於確保流量控制,即防止「壞人」或未經授權的用戶滲透網路。 例如,這可能涉及 SALES 銷售部門的人員,如下圖所示。 這裡我們也展示了財務部門ACCOUNTS、管理部門MANAGEMENT和伺服器機房SERVER ROOM。
因此,銷售部門可能有一百名員工,我們不希望他們中的任何人能夠透過網路到達伺服器機房。 使用 Laptop2 電腦工作的銷售經理是一個例外 - 他可以訪問伺服器機房。 在 Laptop3 上工作的新員工不應具有此類存取權限,也就是說,如果來自他的電腦的流量到達路由器 R2,則應將其丟棄。
ACL的作用是根據指定的過濾參數對流量進行過濾。 它們包括來源 IP 位址、目標 IP 位址、協定、連接埠數和其他參數,透過這些參數,您可以識別流量並對其採取一些操作。
因此,ACL是OSI模型的第3層過濾機制。 這意味著這種機制被用在路由器裡。 過濾的主要標準是資料流的識別。 例如,如果我們想要阻止擁有Laptop3電腦的人存取伺服器,首先我們必須識別他的流量。 此流量透過網路設備對應介面向Laptop-Switch2-R2-R1-Switch1-Server1方向移動,而路由器的G0/0介面與之無關。
為了識別流量,我們必須識別其路徑。 完成此操作後,我們可以決定需要在何處安裝過濾器。 不用擔心過濾器本身,我們將在下一課中討論它們,現在我們需要了解過濾器應該應用於哪個介面的原理。
如果您查看路由器,您會發現每次流量移動時,都會有一個資料流流入的接口,以及該資料流流出的接口。
其實有3個介面:輸入介面、輸出介面和路由器本身的介面。 請記住,過濾只能應用於輸入或輸出介面。
ACL的運作原理類似一個活動的通行證,只有受邀者名單上的客人才能參加。 ACL 是用於識別流量的資格參數清單。 例如,此清單指示允許來自 IP 位址 192.168.1.10 的所有流量,並拒絕所有其他位址的流量。 正如我所說,這個列表可以應用於輸入和輸出介面。
ACL 有 2 種類型:標準 ACL 和擴充 ACL。 標準 ACL 具有從 1 到 99 或從 1300 到 1999 的識別碼。這些只是清單名稱,隨著編號的增加,它們之間沒有任何優勢。 除了號碼之外,您還可以將自己的名稱指派給 ACL。 擴充 ACL 的編號為 100 到 199 或 2000 到 2699,也可能有一個名稱。
在標準 ACL 中,分類基於流量的來源 IP 位址。 因此,使用此類清單時,您無法限制定向到任何來源的流量,只能阻止源自設備的流量。
擴展 ACL 依來源 IP 位址、目標 IP 位址、使用的協定和連接埠號碼對流量進行分類。 例如,您可以僅封鎖 FTP 流量或僅封鎖 HTTP 流量。 今天我們將了解標準 ACL,下一個視訊課程將專門討論擴展列表。
正如我所說,ACL 是一個條件清單。 將此清單套用至路由器的傳入或傳出介面後,路由器會根據此清單檢查流量,如果符合清單中規定的條件,則決定是允許或拒絕此流量。 人們常常發現很難確定路由器的輸入和輸出接口,儘管這裡並不複雜。 當我們談論傳入介面時,這意味著僅在該連接埠上控制傳入流量,路由器不會對傳出流量施加限制。 同樣,如果我們談論出口接口,這意味著所有規則將僅適用於傳出流量,而該端口上的傳入流量將不受限制地被接受。 例如,如果路由器有 2 個連接埠:f0/0 和 f0/1,則 ACL 將僅套用於進入 f0/0 介面的流量,或僅套用於源自 f0/1 介面的流量。 進入或離開介面 f0/1 的流量不會受到該清單的影響。
因此,不要混淆介面的傳入或傳出方向,這取決於特定流量的方向。 因此,在路由器檢查流量是否符合 ACL 條件後,它只能做出兩個決定:允許流量或拒絕流量。 例如,您可以允許發送至 180.160.1.30 的流量並拒絕發送至 192.168.1.10 的流量。 每個清單可以包含多個條件,但每個條件都必須允許或拒絕。
假設我們有一個列表:
禁止_______
允許 ________
允許 ________
禁止_________。
首先,路由器會檢查流量是否符合第一個條件;如果不符合,則檢查第二個條件。 如果流量符合第三個條件,路由器將停止檢查,並且不會將其與清單中的其餘條件進行比較。 它將執行“允許”操作並繼續檢查下一部分流量。
如果您沒有為任何資料包設定規則,並且流量通過清單中的所有行而沒有滿足任何條件,則該清單將被銷毀,因為預設情況下每個 ACL 清單均以拒絕任何命令結束 - 即丟棄任何數據包,不屬於任何規則。 如果清單中至少有一條規則,則此條件生效,否則無效。 但如果第一行包含拒絕 192.168.1.30 條目,並且清單中不再包含任何條件,那麼最後應該有一個命令 Permit Any,即允許除規則禁止之外的任何流量。 配置 ACL 時必須考慮到這一點,以避免錯誤。
我希望您記住創建 ASL 清單的基本規則:將標準 ASL 放置在盡可能靠近目的地(即流量接收者)的位置,並將擴展 ASL 放置在盡可能靠近來源(即流量的接收者)的位置到流量的發送者。 這些是 Cisco 的建議,但在實務中,在某些情況下,將標準 ACL 放置在靠近流量來源的位置更有意義。 但是,如果您在考試期間遇到有關 ACL 放置規則的問題,請遵循 Cisco 的建議並明確回答:標準更接近目的地,擴展更接近來源。
現在讓我們來看看標準 ACL 的語法。 路由器全域設定模式下的指令語法有兩種:經典語法和現代語法。
經典的指令類型是 access-list <ACL 編號> <拒絕/允許> <條件>。 如果將<ACL編號>設定為1到99,設備將自動識別這是標準ACL,如果它是100到199,則它是擴充ACL。 由於在今天的課程中我們正在查看標準列表,因此我們可以使用 1 到 99 之間的任何數字。然後,我們指示如果參數符合以下條件(允許或拒絕流量)則需要應用的操作。 我們稍後會考慮該標準,因為它也用於現代語法。
現代指令類型也用於 Rx(config) 全域設定模式,如下所示:ip access-list standard <ACL 編號/名稱>。 這裡可以使用 1 到 99 之間的數字或 ACL 清單的名稱,例如 ACL_Networking。 此指令立即將系統置於 Rx 標準模式子指令模式 (config-std-nacl),您必須在其中輸入 <deny/enable> <criteria>。 與經典團隊相比,現代類型的團隊具有更多優勢。
在經典清單中,如果您鍵入 access-list 10 deny ______,然後鍵入另一個條件的下一個同類命令,最終會得到 100 個這樣的命令,然後要更改輸入的任何命令,您將需要使用命令no access -list 10 刪除整個存取清單list 10。這將刪除所有100 個命令,因為無法編輯此清單中的任何單一命令。
在現代語法中,此指令分為兩行,第一行包含列表編號。 假設您有一個列表 access-list standard 10 deny ________、access-list standard 20 deny ________ 等,那麼您有機會在它們之間插入具有其他條件的中間列表,例如 access-list standard 15 deny ________ 。
或者,您可以簡單地刪除 access-list standard 20 行,然後使用 access-list standard 10 和 access-list standard 30 行之間的不同參數重新鍵入它們。因此,有多種方法可以編輯現代 ACL 語法。
建立 ACL 時需要非常小心。 如您所知,清單是從上到下閱讀的。 如果您在頂部放置一條線允許來自特定主機的流量,那麼您可以在下方放置一條線禁止來自該主機所屬的整個網路的流量,並且將檢查這兩個條件 - 流向特定主機的流量將被檢查。被允許通過,並且來自該網路的所有其他主機的流量將被阻止。 因此,始終將特定條目放在清單頂部,將一般條目放在底部。
因此,在創建經典或現代 ACL 後,您必須套用它。 為此,您需要進入特定介面的設置,例如使用命令interface <type and slot>的f0/0,進入interface子命令模式並輸入命令ip access-group <ACL number/名稱> 。 請注意區別:編譯列表時,使用訪問列表,而應用它時,使用訪問組。 您必須確定此清單將套用於哪個介面 - 傳入介面或傳出介面。 如果清單有名稱,例如 Networking,則命令中會重複相同的名稱以在此介面上套用清單。
現在,讓我們考慮一個具體問題,並嘗試使用 Packet Tracer 的網路圖範例來解決它。 所以,我們有4個網路:銷售部、會計部、管理部和伺服器機房。
任務1:所有從銷售部門、財務部門流向管理部門、機房的流量必須被阻斷。 阻塞位置是路由器 R0 的介面 S1/0/2。 首先,我們必須建立一個包含以下條目的清單:
我們將該清單稱為“管理和伺服器安全 ACL”,縮寫為 ACL Secure_Ma_And_Se。 接下來禁止來自財務部網路192.168.1.128/26的流量,禁止來自銷售部網路192.168.1.0/25的流量,並允許任何其他流量。 列表末尾顯示它用於路由器 R0 的出局介面 S1/0/2。 如果清單末尾沒有允許任何條目,則所有其他流量都將被阻止,因為預設 ACL 始終設定為清單末尾的拒絕任何條目。
我可以將此 ACL 套用到介面 G0/0 嗎? 當然可以,但這種情況只會屏蔽來自會計部門的流量,而不會限制來自銷售部門的流量。 同樣,可以在G0/1介面上套用ACL,但財務部門的流量不會被阻塞。 當然,我們可以為這些介面建立兩個單獨的封鎖列表,但將它們組合成一個列表並將其應用於路由器 R2 的輸出介面或路由器 R0 的輸入介面 S1/0/1 會更有效。
儘管Cisco 規則規定標準ACL 應盡可能靠近目的地放置,但我會將其放置在更靠近流量源的位置,因為我想阻止所有傳出流量,而且將其放置在更靠近流量源的位置更有意義。來源,以便該流量不會浪費兩個路由器之間的網路。
我忘了告訴你標準,所以我們趕快回去吧。 您可以指定任何作為條件 - 在這種情況下,來自任何設備和任何網路的任何流量都將被拒絕或允許。 您也可以指定主機及其識別碼 - 在這種情況下,該條目將是特定裝置的 IP 位址。 最後,您可以指定整個網絡,例如 192.168.1.10/24。 在這種情況下,/24 將表示存在子網路遮罩 255.255.255.0,但無法在 ACL 中指定子網路遮罩的 IP 位址。 對於這種情況,ACL 有一個稱為 Wildcart Mask 或「反向掩碼」的概念。 因此,您必須指定 IP 位址和返回遮罩。 反向遮罩看起來像這樣:必須從通用子網路遮罩中減去直接子網路遮罩,也就是從255中減去正向遮罩中的八位元組值對應的數字。
因此,ACL中應使用參數192.168.1.10 0.0.0.255作為判斷條件。
怎麼運作的? 如果回傳遮罩八位元組中有 0,則認為該標準與子網路 IP 位址的對應八位元組相符。 如果後掩碼八位元組中有數字,則不檢查匹配。 因此,對於網路192.168.1.0 和返回遮罩0.0.0.255,來自前三個八位元組等於192.168.1 的位址的所有流量,無論第四個八位元組的值如何,都將被阻止或允許,取決於指定的動作。
使用反向蒙版很簡單,我們將在下一個影片中回到 Wildcart 蒙版,以便我可以解釋如何使用它。
28:50 分鐘
感謝您與我們在一起。 你喜歡我們的文章嗎? 想看更多有趣的內容? 通過下訂單或推薦給朋友來支持我們, 在我們為您發明的獨特的入門級服務器模擬上,Habr 用戶可享受 30% 的折扣: (適用於 RAID1 和 RAID10,最多 24 個內核和最多 40GB DDR4)。
戴爾R730xd便宜2倍? 只有這裡 在荷蘭! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 美元起! 閱讀
來源: www.habr.com