Для обеспечения фильтрации пакетов, на маршрутизаторах Cisco настраивают списки контроля доступа. Это набор параметров и фильтров, которые позволяют гибко настраивать параметры безопасности. Системный администратор получает возможность выбирать, какой входящий и исходящий трафик пропускать, используя большое число доступных критериев.
Сейчас мы более подробно познакомимся со списками контроля доступа ACL, и научимся их настраивать .
Введение
Итак представим, что наша небольшая локальная сеть создана, и в ней в качестве активного оборудования используется маршрутизатор Cisco. Через него проходит большое количество самого разного трафика. И сетевому инженеру необходимо его фильтровать. Здесь и начинается знакомство со списками управления доступом.
Это одно из основных средств обеспечения сетевой безопасности. Суть заключается в блокировке или предотвращения доступа как трафику в определенный сегмент сети, так и пользователю к определенному типу трафика.
ACL разделяют на стандартные и расширенные.
Основные особенности
- Фильтрация трафика возможно как на входе, так и на выходе трафика из выбранного интерфейса
- Для данных, которые должны быть допущены, применяется атрибут permit . Для тех, которые следует отбросить - deny
- Списки управления доступом настраиваются таким образом, что если трафик не попадает не под одно правило, указанное в списке, он автоматически будет запрещен
На рисунке ниже указана логика фильтрации пакетов, относительно расположения ACL на маршрутизаторе.
Таким образом, когда трафик начинает свое движение, маршрутизатор проверяет поля пакета, на соответствие списку правил из ACL. Если они будут найдены, то применится действие, настроенное для такого типа пакета - разрешить или запретить. Если соответствие не будет найдено - трафик автоматически заблокируется.
Стандартные списки ACL
Команда для настройки на маршрутизаторах Cisco имеет следующий синтаксис.
access-list номер-списка {deny | permit} отправитель [инвертированная маска отправителя ]Вы можете последовательно указывать несколько правил, для одного ACL, указывая его номер в соответствующем месте.
Обратите внимание . Нумерация стандартных списков ACL доступна в диапазоне 1-99 и 1300-1999.
Таким образом, алгоритм настройки можно описать следующим образом:
- Определяем место расположения списка ACL - интерфейс и направленность данных
- В режиме глобальной конфигурации указываем правила, используя команду access-list . Используйте справку "? ", для просмотра доступных параметров.
- В режиме конфигурацирования интерфейса назначаем для него соответствующий список - ip access-group number {in | out}
Расширенные ACL
Данный тип фильтрации позволяет проверять трафик на большое количество параметров. Доступны следующие критерии:
Настройка
Общий принцип не изменился. Вам нужно определить интерфейс и направление трафика, затем задать список параметров фильтрации. Сам список создается и настраивается следующим образом:
IP access-list access-list-number ] {deny | permit} protocol source source-wildcard destination destination-wildcard ICMP access-list access-list-number ] {deny | permit} icmp source source-wildcard destination destination-wildcard | ] TCP access-list access-list-number ] {deny | permit} tcp source source-wildcard ] destination destination-wildcard ] UDP access-list access-list-number ] {deny | permit} udp source source-wildcard ] destination destination-wildcard ] cisco.com
Видео к статье :
Заключение
Списки контроля доступа ACL Cisco - мощное средство обеспечения безопасности в сети. Используйте его, чтобы фильтровать ваш трафик. Но помните про особенности. Если вы некорректно укажите параметры фильтрации, "правильный" трафик может не попасть к адресату.
Зачем искать информацию на других сайтах, если все собрано у нас?
Создадим именованный ACL-список и пропишем правила для него:
ip access-list extended HTTP_ONLY – создаемсписок.
permittcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eqwww – настраиваем фильтрацию трафика www.
permiticmp 172.22.34.96 0.0.0.15 host 172.22.34.62 – разрешаем передачу трафика ICMP от PC2 на Сервер.
interfacegigabitEthernet 0/1
ipaccess-groupHTTP_ONLYin – размещениесписканаинтерфейсе.
Для проверки работы примененного списка отправляем эхо-запрос от PC2 на сервер Server (рисунок 4.4).Далее выполняется неуспешноеFTP-подключение от PC2 к серверу Server (рисунок 4.4). Затем необходимо открыть веб-браузер на PC2 и введите IP-адрес сервера Server в виде URL-адреса. Подключение должно быть успешным (рисунок 4.5).
Рисунок 4.4 – Эхо-запрос и FTP-подключение к серверу от РС2
Рисунок 4.5 – Подключение к серверу через веб-браузер
5 Настройка расширенныхACL-списков. Сценарий 2
В этом сценарии устройствам в одной сети LAN разрешается удалённый доступ к устройствам другой LAN через протокол Telnet. За исключением ICMP, весь трафик от других сетей запрещён. Схема сети представлена на рисунке 5.1.
Рисунок 5.1 – Схема сети
Настраиваем расширенный нумерованный ACL-список следующими командами:
accesslist 199 permittcp 10.101.117.32 0.0.0.15 10.101.117.0 0.0.0.31 eqtelnet– трафик по протоколу Telnet в сети 10.101.117.32/28 разрешён для передачи на устройства в сетях 10.100.117.0/27.
access-list 199 permiticmpanyany – трафик ICMP разрешён от любого устройства и в любом направлении.
Остальной трафик запрещён по умолчанию.
interface gigabitethernet0/2
ipaccess-group 199 out – размещениесписканаинтерфейсе.
Для проверки работы расширенного списка сначала необходимо отправить эхо-запросыот компьютера PCB на все остальные IP-адреса в сети (рисунок 5.2). Далее отправляютсяэхо-запросы от компьютера PCA на все остальные IP-адреса в сети (рисунок 5.3).
Рисунок 5.2–Эхо-запрос от РСВ
Рисунок 5.3 – Эхо-запрос от РСА
6 Настройка расширенных ACL-списков. Сценарий 3
В этом сценарии конкретным устройствам сети LAN разрешается доступ к нескольким службам серверов, размещённых в сети Интернет. Используемая сеть представлена на рисунке 6.1.
Рисунок 6.1 – Схема сети
Необходимо использовать один именованный ACL-список для реализации следующих правил:
1 Запретить доступ через протоколы HTTP и HTTPS с PC1 на серверы Server1 и Server2. Эти серверы находятся внутри облака, известны только их IP-адреса.
2Заблокировать FTP-доступ с PC2 к серверам Server1 и Server2.
3Заблокировать ICMP-доступ с PC3 к серверам Server1 и Server2.
Настройка расширенного именованного ACL-списка осуществлялась следующими командами:
ip access-list extended ACL – создаемсписок.
denytcphost 172.31.1.101 host 64.101.255.254 eqwww– правило, запрещающее доступ с PC1 к серверу Server1, только для HTTP.
denytcphost 172.31.1.101 host 64.101.255.254 eq 443 – правило, запрещающее доступ с PC1 к серверу Server1, только для HTTPS.
denytcphost 172.31.1.101 host 64.103.255.254 eqwww– правило, запрещающее доступ с PC1 к серверу Server2, только для HTTP.
denytcphost 172.31.1.101 host 64.103.255.254 eq 443 – правило, запрещающее доступ с PC1 к серверу Server2, только для HTTPS.
denytcphost 172.31.1.102 host 64.101.255.254 eqftp– правило, запрещающее доступ с PC2 к серверу Server1, только для FTP.
denytcphost 172.31.1.102 host 64.103.255.254 eqftp – правило, запрещающее доступ с PC2 к серверу Server2, только для FTP.
denyicmphost 172.31.1.103 host 64.101.255.254 – правило, запрещающее ICMP-доступ с PC3 к серверу Server1.
denyicmphost 172.31.1.103 host 64.103.255.254 – правило, запрещающее ICMP-доступ с PC3 к серверу Server2.
permitipanyany – разрешение остальногоIP-трафика.
interfacegigabitEthernet 0/0
ipaccess-groupACLin – применениеACL-списка на соответствующем интерфейсе и направлении.
Проверка расширенного ACL-списка заключается в следующем: проверяется доступ к веб-сайтам на серверах Server1 и Server2, используя веб-браузер PC1, а также протоколы HTTP и HTTPS (рисунок 6.2), проверяется FTP-доступ к серверам Server1 и Server2 с компьютера PC1 (рисунок 6.3),выполняются эхо-запросы на серверы Server1 и Server2 от PC1 (рисунок 6.4). Аналогично поверяются РС2 и РС3. Удачный доступ к веб-сайтам на серверах от РС2 и РС3 – на рисунке 6.5. Неудачный FTP-доступ к серверам от РС2 – на рисунке 6.6. Неудачные эхо-запросы от РС3 к серверам представлены на рисунке 6.7.
Рисунок 6.2 – Проверка доступа через HTTP и HTTPS
Рисунок 6.3 - FTP-доступ к серверам Server1 и Server2 с PC1
Рисунок 6.4 - Эхо-запросы на серверы Server1 и Server2 от PC1
Рисунок 6.5 - Удачный доступ к веб-сайтам на серверах от РС2 и РС3
Рисунок 6.6 - Неудачный FTP-доступ к серверам от РС2
Рисунок 6.7 - Неудачные эхо-запросы от РС3 к серверам
7 Отработка комплексных практических навыков
В рамках этого задания повышенной сложности необходимо завершить схему адресации, настроить маршрутизацию и применить именованные списки контроля доступа. Схема используемой сети представлена на рисунке 7.1.
Рисунок 7.1 – Схема сети
В ходе выполнения лабораторной работы были выполнены следующие требования:
1 Сеть 172.16.128.0/19 разделена на две равные подсети для использования в маршрутизаторе Branch.Последний доступный для использования адрес второй подсети назначен в интерфейс GigabitEthernet 0/0.Последний доступный для использования адрес первой подсети назначен в интерфейс GigabitEthernet 0/1. Задокументированная таблица адресации – в таблице 1.
Таблица 1 – Таблица адресации
Продолжение таблицы 1
| Branch | G0/0 | 172.16.159.254 | 255.255.240.0 | Недоступно |
| G0/1 | 172.16.143.254 | 255.255.240.0 | Недоступно | |
| S0/0/0 | 192.168.0.2 | 255.255.255.252 | Недоступно | |
| HQ1 | Сетевой адаптер | 172.16.64.1 | 255.255.192.0 | 172.16.127.254 |
| HQ2 | Сетевой адаптер | 172.16.0.2 | 255.255.192.0 | 172.16.63.254 |
| HQServer.pka | Сетевой адаптер | 172.16.0.1 | 255.255.192.0 | 172.16.63.254 |
| B1 | Сетевой адаптер | 172.16.144.1 | 255.255.240.0 | 172.16.159.254 |
| B2 | Сетевой адаптер | 172.16.128.2 | 255.255.240.0 | 172.16.143.254 |
| BranchServer.pka | Сетевой адаптер | 172.16.128.1 | 255.255.240.0 | 172.16.143.254 |
Назначение адресов на интерфейсы осуществляется командамина маршрутизаторе Branch:
interface gigabitEthernet0/0
ip address 172.16.159.254 255.255.240.0
interface gigabitEthernet0/1
ipaddress 172.16.143.254 255.255.240.0
2На B1 настроена соответствующая адресация, был использован первый свободный адрес сети, к которой он подключён. Настройка представлена на рисунке 7.2.
Рисунок 7.2 – Настройка адресации на В1
3 Был настроен маршрутизатор Branch с усовершенствованным протоколом внутренней маршрутизации между шлюзами (EIGRP) в соответствии со следующими критериями:
a) объявлены все три подключённые сети;
b) отключено автоматическое объединение;
c) настроены соответствующие интерфейсы как пассивные;
d) объединены 172.16.128.0/19 на последовательном интерфейсе Serial 0/0/0 с административной дистанцией 5.
Настройка осуществлялась следующими командами:
network 168.0.0.0 0.0.0.3
network 172.16.128.0 0.0.15.255
network 172.16.144.0 0.0.15.255
passive-interface gigabitethernet0/0
passive-interface gigabitethernet0/1
interface serial0/0/0
ipsummary-addresseigrp 1 172.16.128.0 255.255.224.0 5
4 Настроен на маршрутизаторе HQ маршрут по умолчанию, направляющий трафик на интерфейс S0/0/1. Перераспределен маршрут к маршрутизатору Branch. Для этого использовались следующие команды:
ip route 0.0.0.0 0.0.0.0 serial0/0/1
redistributestatic
5 Объединены подсети локальной сети HQ на последовательном интерфейсе Serial 0/0/0 с административной дистанцией 5. Команды:
interfaceserial0/0/0
ipsummaryaddresseigrp 1 172.16.0.0 255.255.128.0 5
6 Создан именованный список доступа HQServer, чтобы запретить для всех компьютеров, подключённых к интерфейсу GigabitEthernet 0/0 маршрутизатора Branch, доступ к HQServer.pka. Весь остальной трафик разрешён. Настроен список доступа на соответствующем маршрутизаторе, назначен подходящему интерфейсу на подходящем направлении. Для этого использовали следующие команды:
ipaccess-listextendedHQServer
denyipanyhost 172.16.0.1
permitip any any
interface gigabitethernet0/0
ip access-group HQServer in
7 Создан именованный список доступа BranchServer, чтобы запретить всем компьютерам, подключённым к интерфейсу GigabitEthernet 0/0 маршрутизатораHQ, доступкслужбамHTTPиHTTPSсервераBranch. Весь остальной трафик разрешён. Настроен список доступа на соответствующем маршрутизаторе, он назначен подходящему интерфейсу на подходящем направлении.
ip access-list extended BranchServer
denytcp any host 172.16.128.1 eq 80
denytcp any host 172.16.128.1 eq 443
permitip any any
interface gigabitethernet0/0
ipaccess-groupBranchServerin
Для проверки отправлялись эхо-запросы от В1 к HQServer.pka (неудачно, рисунок 7.3). Веб-доступ к серверу BranchServer.pka с HQ1 также неудачен (рисунок 7.4).
Рисунок 7.3 - Эхо-запрос от В1 к HQServer.pka
Рисунок 7.4 - Веб-доступ к серверу BranchServer.pka с HQ1
©2015-2019 сайт
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-08-20
Теоретическая часть.
Список управления доступом (access control list ACL) это последовательный список правил, которые используются для разрешения или запрета потока пакетов внутри сети на основании информации, приведенной внутри списка. Без списка доступа все пакеты внутри сети разрешаются без ограничений для всех частей сети. Список доступа может быть использован для контроля распространения и получения информации об изменении таблиц маршрутов и, главное, для обеспечения безопасности . Политика безопасности в частности включает защиту от внешних атак, ограничения доступа между отделами организации и распределение загрузки сети.
Список доступа позволяет использовать маршрутизатор как межсетевой экран, брандмауэр, для запрета или ограничения доступа к внутренней сети из внешней сети, например, Интернет. Брандмауэр, как правило, помещается в точках соединения между двумя сетями.
Стандартный ACL
При использовании стандартных ACL, единственным критерием для определения того, что пакет разрешен или запрещён, является IP адрес источника этого пакета. Формат элемента списка доступа следующий
Router(config)#access-list № permit | deny source-address source-mask,
где № – целое число – номер списка доступа, source-address обозначает адрес источника пакета, source-mask – маска в инверсной форме, накладываемая на адрес, permit – разрешить прохождение пакета, deny – запретить прохождение пакета. Число № определяет принадлежность элемента списка доступа к определённому списку доступа с номером №. Первая команда access-list определяет первый элемент списка доступа, вторая команда определяет второй элемент списка доступа и т.д. Маршрутизатор обрабатывает каждый определённый в нём список доступа по элементам сверху вниз. То есть, если адрес source-address пакета с учётом маски удовлетворяет условию элемента списка, то дальнейшие элементы списка маршрутизатор не обрабатывает. Следовательно, для избежания лишней обработки, элементы, определяющие более общие условия, следует помещать в начале списка. Внутри маршрутизатора может быть определено несколько списков доступа. Номер стандартного списка должен лежать в диапазоне 1 – 99. Маска в списке доступа задаётся в инверсной форме, например маска 255.255.0.0 выглядит как 0.0.255.255.
Маршрутизаторы Cisco предполагают, что все адреса, не упомянутые в списке доступа в явном виде, запрещены. То есть в конце списка доступа присутствует невидимый элемент
Router(config)#access-list # deny 0.0.0.0 255.255.255.255
Так, если мы хотим разрешить только трафик от адреса 1.1.1.1 и запретить весь остальной трафик достаточно в список доступа поместить один элемент
Router(config)#access-list 77 permit 1.1.1.1 0.0.0.0.
Здесь предполагается, что мы организовали список доступа с номером 77.
Рассмотрим возможность применения стандартных списков доступа для диапазона адресов. Возьмём к примеру диапазон 10.3.16.0 – 10.3.31.255. Для получения инверсной маски можно вычесть из старшего адреса младший и получить 0.0.15.255. Тогда пример элемента списка можно задать командой
Router(config)#access-list 100 permit 10.3.16.0 0.0.15.255
Для того, чтобы список доступа начал выполнять свою работу он должен быть применен к интерфейсу с помощью команды
Router(config-if)#ip access-group номер-списка-доступа in либо out
Cписок доступа может быть применён либо как входной (in) либо как выходной (out). Когда вы применяете список доступа как входной, то маршрутизатор получает входной пакет и сверяет его входной адрес с элементами списка. Маршрутизатор разрешает пакету маршрутизироваться на интерфейс назначения, если пакет удовлетворяет разрешающим элементам списка либо отбрасывает пакет, если он соответствует условиям запрещающих элементов списка. Если вы применяете список доступа как выходной, то роутер получает входной пакет, маршрутизирует его на интерфейс назначения и только тогда обрабатывает входной адрес пакета согласно элементам списка доступа этого интерфейса. Далее маршрутизатор либо разрешает пакету покинуть интерфейс либо отбрасывает его согласно разрешающим и запрещающим элементам списка соответственно. Так, созданный ранее список с номером 77 применяется к интерфейсу Ethernet 0 маршрутизатора как входной список командами
Router(config)#int Ethernet 0
Router(config-if)#ip access-group 77 in
Этот же список применяется к интерфейсу Ethernet 0 маршрутизатора как выходной список с помощью команд
Router(config-if)#ip access-group 77 out
Отменяется список на интерфейсе с помощью команды no
Router(config-if)# no ip access-group 77 out
Приступим к созданию более сложных списков доступа. Рассмотрим сеть на рисунке 1. Разрешим все пакеты, исходящие из сети 10.1.1.0 /25 (10.1.1.0 255.255.255.128) , но запретим все пакеты, исходящие из сети 10.1.1.128 /25 (10.1.1.128 255.255.255.128). Мы также хотим запретить все пакеты, исходящие из сети 15.1.1.0 /24 (15.1.1.0 255.255.255.0), за исключением пакетов от единственного хоста с адресом 15.1.1.5. Все остальные пакеты мы разрешаем. Списку дадим номер 2. Последовательность команд для выполнения поставленной задачи будет следующая
Router(config)#
Router(config)#access-list 2 permit 15.1.1.5 0.0.0.0
Router(config)#
Router(config)#
Отметим отсутсвие разрешающего элемента для сети 10.1.1.0 255.255.255.128. Его роль выполняет последний элемент access-list 2 permit 0.0.0.0 255.255.255.255.
Удостоверимся, что мы выполнили поставленную задачу.
1. Разрешить все пакеты, исходящие из сети 10.1.1.0 255.255.255.128.
Последняя строка в списке доступа удовлетворяет этому критерию. Нет необходимости в явном виде разрешать эту сеть в нашем списке доступа так, как в списке нет строк, соответствующей этой сети за исключением последней разрешающей строки permit 0.0.0.0 255.255.255.255.
Первая строка в списке выполняет этот критерий. Важно отметить вид инверсной маски 0.0.0.127 для этой сети. Эта маска указывает, что мы не должны брать в рассмотрение последние семь бит четвертого октета адреса, которые назначены для адресации в данной подсети. Маска для этой сети 255.255.255.128, которая говорит, что последние семь бит четвертого октета определяют адресацию в данной сети.
3. Запретить все пакеты, исходящие из сети 15.1.1.0 255.255.255.0, за исключением пакетов от единственного хоста с адресом 15.1.1.5
Рисунок 9.1.
Это требование удовлетворяется второй и третьей строкой нашего списка доступа. Важно отметить, что список доступа осуществляет это требование не в том порядке как оно определено. Обязательно следует помнить, что список доступа обрабатывается сверху вниз и при первом совпадении обработка пакетов прекращается. Мы вначале требуем запретить все пакеты, исходящие из сети 15.1.1.0 255.255.255.0 и лишь затем разрешить пакеты с адресом 15.1.1.5. Если в командах, определяющих список доступа мы, переставим вторую и третью команды, то вся сеть 15.1.1.0 будет запрещена до разрешения хоста 15.1.1.5. То есть, адрес 15.1.1.5 сразу же в начале будет запрещён более общим критерием deny 15.1.1.0 0.0.0.255.
4. Разрешить все остальные пакеты
Последняя команда разрешает все адреса, которые не соответствуют первым трем командам.
Таким образом, имеем следующую последовательность действий для воплощения списка доступа.
1. Определить критерии и ограничения для доступа.
2. Воплотить их с помощью команд аccess-list, создав список доступа с определённым номером.
3. Применить список к определённому интерфейсу либо как входящий, либо как исходящий.
Остановимся на последнем пункте. В общем случае стандартный список доступа следует помещать как можно ближе к точке назначения, а не к источнику пакетов. Хотя могут быть исключения. Так как стандартный список доступа работает только с исходными адресами, то не всегда возможна детальная конфигурация. Требуется приложить усилия, чтобы избежать возникновения не желаемых конфигураций доступа. Если список помещён вблизи источника пакетов, то очень вероятно, что доступ к устройствам, на которых не осуществляется никакая конфигурация доступа, будет затруднён.
Конкретизируем политику безопасности для сети на рисунке 1. Наша цель создать политику для компьютера А (адрес 1.1.1.2 сеть 1.1.1.0/24), которая изо всех устройств локальной сети 15.1.1.0 /24 в которую входит компьютер С (15.1.1.5) разрешит доступ к компьютеру А лишь самого компьютера С. Мы также хотим создать политику, запрещающую удалённый доступ к компьютеру А из любого устройства локальной сети 10.1.1.128 / 25 компьютера D (10.1.1.133). Весь остальной трафик мы разрешаем. На рисунке 1 компьютер PC5 (15.1.1.5) играет роль произвольного отличного от компьютера С представителя локальной сети 15.1.1.0/24.
Размещение списка критично для воплощения такой политики. Возьмём созданный ранее список с номером 2. Если список сделать выходным на последовательном интерфейсе маршрутизатора 2, то задача для компьютера А будет выполнена, однако возникнут ограничения на трафик между другими локальными сетями. Аналогичную ситуацию получим, если сделаем этот список входным на последовательном интерфейсе маршрутизатора 1. Если мы поместим этот список как выходной на Ethernet A интерфейс маршрутизатора 1, то задача будет выполнена безо всяких побочных эффектов.
Расширенные ACL
Со стандартным ACL вы можете указывать только адрес источника, а маска не обязательна. В расширенных ACL вы должны указать и адрес приёмника и адрес источника с масками. Можете добавить дополнительную протокольную информацию для источника и назначения. Например, для TCP и UDP разрешено указывать номер порта, а для ICMP разрешено указывать тип сообщения. Как и для стандартных ACL, можно с помощью опции log осуществлять лог.
Общая форма команды для формирования строки списка расширенного доступа
access-list access-list-number {permit | deny} protocol source source-wildcard destination destination-wildcard ,
где access-list-number -100-199|2000-2699, protocol - ip, icmp, tcp, gre, udp, igrp, eigrp, igmp, ipinip, nos и ospf. Для порта source-port или destination-port можно использовать номер порта или его обозначение bgp, chargen, daytime, discard, domain, echo, finger, ftp, ftp-data, gopher, hostname, irc, klogin, kshell, lpd, nntp, pop2, pop3, smtp, sunrpc, syslog, tacacs-ds, talk, telnet, time, uucp, whois и www. Operator это eq (равно), neq (не равно), gt (больше чем), lt (меньше чем), range (указывается два порта для определения диапазона).
Как и для стандартных ACL расширенный ACL следует привязать к интерфейсу либо для входящего на интерфейс трафика
Router(config-if)# ip access-group №ACL in
либо для выходящего из интерфейса трафика
Router(config-if)# ip access-group №ACL оut
здесь №ACL - номер списка.
Примеры элементов расширенного ACL
Разрешить SMTP отовсюду на хост
Router(config)# access-list 111 permit tcp any host 172.17.11.19 eq 25
Разрешить телнет отовсюду на хост
Router(config)# access-list 111 permit tcp any host 172.17.11.19 eq 23
Расширенный ACL позволяет очень тонко настроить права доступа.
Именованные ACL
К именованным ACL обращаются по имени, а не по номеру, что даёт наглядность и удобство для обращения. Для создания именованного ACL имеется команда
Router(config)# ip access-list extended ACL_name
Router(config-ext-nacl)# permit|deny IP_protocol source_IP_address wildcard_mask destination_IP_address wildcard_mask
Для завершения создания списка следует дать команду exit.
Имя именованного списка чувствительно к регистру. Команды для создания неименованного списка аналогичные командам для создания элементов нумерованного списка, но сам процесс создания отличен. Вы должны использовать ключевое слово ip перед главным ACL оператором и тем самым войти в режим конфигурации именно для этого именованного списка. В этом режиме вы начинаете с ключевых слов permit или deny и не должны вводить access-list в начале каждой строки.
Привязка именованных ACL к интерфейсу осуществляется командой
Router(config)# interface type port_№
Router(config-if)# ip access-group ACL_name in|out
ACL обрабатываются сверху вниз. Наиболее часто повторяющийся трафик должен быть обработан в начале списка. Как только обрабатываемый списком пакет удовлетворяет элементу списка, обработка этого пакета прекращается. Стандартные ACLs следует помещать ближе к точке назначения, где трафик должен фильтроваться. Выходные (out) расширенные ACLs следует помещать как можно ближе к источнику фильтруемых пакетов, а входные следует помещать ближе к точке назначения, где трафик должен фильтроваться.
Именованный ACLs разрешает вам себя редактировать. Для этого надо набрать команду, которая была использована для его создания
Router(config)# ip access-list extended ACL_name
С помощью клавиш с вертикальными стрелками найти строку списка, которую вы хотите изменить. Изменить её, используя горизонтальные стрелки. Нажать ввод. Новая строка добавится в конец списка. Старая не уничтожится. Для её уничтожения следует ввести no в начале строки.
Для редактирования числовых ACLs следует его уничтожить и создать заново или изменить список офлайн и загрузить в устройство с помощью.
Практическая часть.
1. Загрузим в симулятор топологию, изображённую на рисунке 2.
Рисунок 9.2.
Назначим адреса интерфейсам (маска 255.255.255.240) согласно таблице. Не забудьте на DCE устройстве последовательного соединения задать синхронизацию.
| Router2 | Router1 | Router4 | |
| Ethernet | 24.17.2.2 | 24.17.2.1 | |
| Serial | 24.17.2.17 | 24.17.2.18 |
Осуществим конфигурацию RIP маршрутизации
Router1(config)#router rip
Router1(config- router)#version 2
Router1(config- router)#network 24.0.0.0
Router2(config)#router rip
Router1(config- router)#version 2
Router2(config- router)#network 24.0.0.0
Router4(config)#router rip
Router1(config- router)#version 2
Router4(config- router)#network 24.0.0.0
Проверьте свою сеть с помощью команды ping и, в частности, что вы можете пинговать интерфейс Ethernet0 (24.17.2.2) маршрутизатора 2 из маршрутизатора 4
Router4#ping 24.17.2.2
Создадим стандартный список доступа, который не позволит пинговать маршрутизатор 2 из маршрутизатора 4. Для этого блокируем единственный адресс 24.17.2.18 маршрутизатора 4 и разрешим остальной трафик. Список создадим на маршрутизаторе 2 командами
Router2(config)#access-list 1 deny 24.17.2.18 0.0.0.0
Router2(config)#access-list 1 permit 0.0.0.0 255.255.255.255
Router2(config)#interface FastEthernet0/0
Router2(config-if)#ip access-group 1 in
Проверим, что список доступа запущен. Для этого просмотрим работающую конфигурацию
Router2#show running-config
Мы также можем видеть, что список применён к интерфейсу, используя команду “show ip interface”. Найдите в выводимой информации с строку “Innbound access list is 1”.
Router2#show ip interface
Команда “show access-lists” покажет нам содержимое созданного списка доступа.
Router2#show access-lists
Отметим, что host 24.17.2.18 равносильно 24.17.2.18 0.0.0.0. Теперь при попытке пинговать интерфейс Ethernet0 (24.17.2.2) роутера 2 из роутера 4
Router4#ping 24.17.2.2
Получим строку “UUUUU”, которая означает, что список доступа работает корректно.
- Создадим и загрузим в симулятор топологию на рисунке 2,
Рисунок 9.3.
Назначим адреса интерфейсам (маска 255.255.255.0) согласно таблице
| Router2 | Router1 | Router3 | Router4 | |
| Ethernet 0 | 160.10.1.2 | 160.10.1.1 | 175.10.1.2 | 180.10.1.2 |
| Ethernet 1 | 175.10.1.1 | 180.10.1.1 |
Осуществим конфигурацию OSPF маршрутизации
Router1(config)#router ospf 1
Router1(config- router)#
Router1(config- router)#
Router2(config)#router ospf 1
Router2(config- router)#network 160.10.1.0 0.0.0.255 area 0
Router3(config) #router ospf 1
Router3(config- router)#network 175.10.1.0 0.0.0.255 area 0
Router3(config- router)#
Router4(config)#router ospf 1
Router4(config- router)#network 180.10.1.0 0.0.0.255 area 0
Для проверки пропингуйте крайние точки
router2#ping 180.10.1.2
router4#ping 160.10.1.2
Создадим стандартный список доступа для фильтрации трафика, приходящего на интерфейс ethernet0 1-го маршрутизатора router1 и разрешает трафик от подсети 175.10.1.0 (router3) и блокирует трафик от других устройств.
router1(config)#access-list 1 permit 175.10.1.0 0.0.0.255
Проверьте, что он создался
router1#show access-list
router1(config)#interface FastEthernet1/0
router1(config-if)#ip access-group 1 in
router1#show running-config
Проверьте связь между 3 и 2 маршрутизаторами и между 4 и 2 .
router3# ping 160.10.1.2
router4# ping 160.10.1.2
Связь между 3 и 2-м роутерами должна быть, а между 4 и 2 - нет.
Изменим список доступа и разрешим трафик от подсети 180.10.1.0 (router4) и блокируем трафик от других устройств.
router1(config)# no access-list 2
router1(config)# access-list 2 permit 180.10.1.0 0.0.0.255
Проверьте, что он изменился
router1#show access-list
Присоедините список как входной к интерфейсу Ethernet 1
router1(config)#interface FastEthernet1/0
router1(config-if)#ip access-group 1 in
Проверьте присоединение командой
router1#show running-config
Проверьте связь между 3 и 2 маршрутизаторами и между 4 и 2.
router3# ping 160.10.1.2
router4# ping 160.10.1.2
Связь между 4 и 2-м роутерами должна быть, а между 3 и 2 - нет.
3. Осуществите и проверьте конфигурацию IP для сети на рисунке 1 и примените OSPF для организации динамической маршрутизации.
Для маршрутизатора router 1
router1(config)#router ospf 1
router1(config-router)#
router1(config-router)#network 1.1.1.0 0.0.0.255 area 0
router1(config-router)#network 10.1.1.0 0.0.0.127 area 0
Для маршрутизатора router 2
Router2(config)#router ospf 1
Router2(config-router)#network 10.1.1.128 0.0.0.127 area 0
Router2(config-router)#network 15.1.1.0 0.0.0.255 area 0
Router2(config-router)#network 2.2.2.0 0.0.0.255 area 0
Проверте работоспособность сети: вы должны из любого устройства пинговать любой интерфейс. Или проще: все компьютеры A, B, C, D, PC5 должны взаимно попарно пинговаться.
Создадим список доступа из теоретической части
3.1 На маршрутизаторе router 1 создадим список доступа
router1(config)#access-list 2 deny 10.1.1.128 0.0.0.127
router1(config)#access-list 2 permit host 15.1.1.5
router1(config)#access-list 2 deny 15.1.1.0 0.0.0.255
router1(config)#access-list 2 permit 0.0.0.0 255.255.255.255
и применим его к интерфейсу Ethernet0 как выходной
router1(config)#interface FastEthernet0/0
router1(config-if)#ip access-group 2 out
Создать скриншот результата выполнения команды
router1#show access-list
| Из\В | A | B | C | E | D |
| A | + | + | + | - | - |
| B | + | + | + | + | + |
| C | + | + | + | + | + |
| E | - | + | + | + | + |
| D | - | + | + | + | + |
Таблица 1
Видим, что политика безопасности из теоретической части полностью реализована.
3.2 Удалим ACL c интерфейса е0 и применим как входной к интерфейсу s0
router1(config)#interface fa0/0
router1(config-if)#no ip access-group 2 out
router1(config-if)#int s2/0
router1(config-if)#ip access-group 2 in
Попарно пропингуем A, B, C, PC5, D. В результате должна получиться следующая матрица доступа
| Из\В | A | B | C | E | D |
| A | + | + | + | - | - |
| B | + | + | + | - | - |
| C | + | + | + | + | + |
| E | - | - | + | + | + |
| D | - | - | + | + | + |
Таблица 2
Видим, что теперь трафик между сетями 10.1.1.0/25 и 10.1.1.128/25 запрещен. Невозможен также трафик между сетью 10.1.1.0/25 и сетью 15.1.1.0/24 за исключением компьютера С с адресом 15.1.1.5.
4. Используем топологию и конфигурацию пункта 1 этой лабораторной работы
Отменим конфигурацию доступа, сделанную в пункте 1
Router2(config)#no access-list 1 deny 24.17.2.18 0.0.0.0
Router2(config)#no access-list 1 permit 0.0.0.0 255.255.255.255
Применим список к интерфейсу Ethernet маршрутизаторе 2
Router2(config)#interface fa0/0
Router2(config-if)#no ip access-group 1 in
Разрешим заходить на router1 телнетом на его два интерфейса с паролем router1
Router1(config)#line vty 0 4
Router1(config-line)#login
Router1(config-line)#password router1
Наши EACL будут делать пару различных вещей. Первое мы разрешим только телнет из подсети последовательного соединения 24.17.2.16/240 для входа на router1
router1(conf)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any eq telnet log
Опция log заставит маршрутизатор показывать выход при срабатывании списка доступа.
Разрешим на маршрутизаторе router1 весь трафик из Ethernet 0 подсети 24.17.2.0/240
router1(conf)#access-list 102 permit ip 24.17.2.0 0.0.0.15 any
Проверим установку списков
router1#show access-list
Теперь применим списки к интерфейсам для входящих пакетов
router1(conf)# interface Serial2/0
router1(conf-if)# ip access-group 101 in
router1(conf-if)# interface fa0/0
router1(conf-if)# ip access-group 102 in
Для проверки, что EACL присутствуют на интерфейсах, используйте команду
router1#show running-config
router1#show ip interface
Проверим функционирования EACL. Присоединимся к router4 и попытаемся безуспешно пропинговать интерфейс Serial2/0 на router1
router4#ping 24.17.2.17
EACL номер 101 блокировал ping. Но должен разрешить telnet
router4#telnet 24.17.2.17
Успешно. Введём пароль router1. Промпт router4# изменился на router1>. Нажав одновременно ctrl-shift-6 и затем 6, вернёмся на router4. О срабатывании EACL 101 на router1 нам укажет лог
Посмотрим номер сессии и убьём телнет соединение
router4#show sess
router4# disconnect 1
Присоединимся к router2 и посмотрим, можем ли мы пропинговать интерфейс Serial0 на router4.
Router2# ping 24.17.2.18
Почему неудачно? Пакет стартует в Router2, идёт через Router1 (о срабатывании EACL 102 на router1 нам укажет лог
) и приходит на Router4. На Router4 он переформируется и отсылается обратно к Router1. Когда Router4 переформирует пакет, адрес источника становится адресом приёмника и адрес приёмника становится адресом источника. Когда пакет приходит на интерфейс Serial0 на router1 он отвергается, так как его адрес источника равен IP адресу интерфейса Serial0 на router4 24.17.2.17, а здесь разрешён лишь tcp.
Присоединимся к router2 и посмотрим, можем ли мы пропинговать интерфейс Ethernet0 на router1.
router2#ping 24.17.2.1
Успешно. Аналогично и для телнета
router2#telnet 24.17.2.1
EACL работают успешно. О срабатывании EACL 102 на router1 нам укажет лог.
Заметим, что лог так же постоянно показывает RIP обновления
5. Именованные ACL
Отменим на router1 привязку EACL к интерфейсам
router1(conf)# interface Serial0
router1(conf-if)# no ip access-group 101 in
router1(conf-if)# interface Ethernet0
router1(conf-if)#no ip access-group 102 in
и отменим на router1 EACL
router1(conf)#no access-list 101
router1(conf)#no access-list 102
Поставим задачу запретить по всей сети лишь пинги от router4 на router2. Список доступа можно расположить и на router1 и на router2. Хотя рекомендуют располагать ACL ближе к источнику (для сокоащения трафика), в этом примере расположим именованный список с именем deny_ping на router2.
router2(config)#ip access-list extended deny_ping
router2(config-ext-nacl)#deny icmp 24.17.2.18 0.0.0.0 24.17.2.2 0.0.0.0 log
router2(config- ext-nacl)# permit ip any any log
Первая команда указывает, что мы создаём именованный расширенный список доступа с именем deny_ping. Вторая команда указывает на запрещение ICMP трафика с адресом источника строго 24.17.2.18 и адресом приёмника строго 24.17.2.2. Третья команда разрешает остальной IP трафик.
Проверим создание списка
router2#show access-list
Всё правильно, мы видим в первой строке просто другую форму представления команды deny icmp 24.17.2.18 0.0.0.0 24.17.2.2 0.0.0.0 log.
Применим список для входного трафика интерфейса Ethernet0 на router2
Router2(conf)#interface Ethernet0
Router2(conf-if)#ip access-group deny_ping in
Присоединимся к router4 и пропингуем роутер2
router4#ping 24.17.2.2
Неудача. Присоединимся к router1 и пропингуем роутер2
Router1#ping 24.17.2.2
Успех. Присоединимся к router2 и посмотрим на два отдельных лог-сообщения: первое о запрещении пинга от router4 и второе о разрешении пинга от router1
6. Рассмотрим более сложные вопросы расширенных списков доступа. Создадим топологию
.
Рисунок 9.4.
Используйте коммутаторы модели 1912. Маршрутизатор Router1 - модели 805. Маршрутизатор Router2 - модели 1605.
Назначим IP адреса маршрутизаторам
На Router1 и Router2 конфигурируем RIP
Router(config)#router rip
Router(config-router)#network 1.0.0.0
Интерфейсы всех устойств должны пинговаться со всех устройств.
6.1. Список доступа сеть-сеть.
Создадим список, который разрешает трафик от локальной сети компьютеров PC4 и PC5 в локальную сеть компьютера PC1 и запрещает трафик от локальной сети компьютеров PC2 и PC3 в локальную сеть компьютера PC1. Так как трафик приходит от router2 к router1 , то следует поместить список доступа на интерфейс serial2/0 router1 для входного трафика
Router1(conf)#access-list 100 permit ip 1.1.1.0 0.0.0.127 1.1.3.0 0.0.0.255 log
Router1(conf)#access-list 100 permit ip 1.1.2.0 0.0.0.255 any log
Первая команда непосредственно решает поставленную задачу, а вторая разрешает широковещание RIP протоколов. Проверим создание
Router1#show access-list
Применим список доступа к интерфейсу.
Router1(conf)# interface Serial2/0
Router1(conf-if)# ip access-group 100 in
Для тестирования списка доступа, попытайтесь пропинговать PC1 от PC2, PC3, PC4 и PC5.
PC#Ping 1.1.3.2
Для PC2 и PC3 пинги не пойдут. Для PC4 и PC5 пинги пойдут. Список доступа работает. Посмотрите логи на router1
6.2. Список доступа хост-хост.
Создадим на router2 список доступа, который блокирует доступ к PC5 только с PC2. Контролировать попытки доступа можно по логам на router2.
Router2(conf)#access-list 101 deny ip 1.1.1.130 0.0.0.0 1.1.1.3 0.0.0.0 log
Router2(conf)# access-list 101 permit ip any any
Проверим создание
Router2#show access-list
Применим список доступа к fast Ethernet интерфейсу router2
Router2(conf)#interface FastEthernet0/0
Router2(conf-if)#ip access-group 101 in
Присоединитесь к PC2 и проверьте, что вы не можете пиновать PC5
PC2# Ping 1.1.1.3
На router2 появится лог
Присоединитесь к PC3 и проверьте, что вы можете пиновать PC5.
PC3# Ping 1.1.1.3
На router2 появится лог
6.3. Список доступа сеть-хост.
Вначале удалим предыдущие списки доступа с интерфейсов Router1 и Router2.
Router1(conf)#interface Serial2/0
Router1(conf-if)#no ip access-group 100 in
Router2(conf)#interface FastEthernet0/0
Router2(conf-if)#no ip access-group 101 in
Создадим расширенный список доступа, который блокирует весь трафик к PC1 из локальной сети компьютеров PC2 и PC3. Так как мы блокируем весь трафик, то будем использовать IP протокол.
Router2(conf)#access-list 102 deny ip 1.1.1.128 0.0.0.127 1.1.3.2 0.0.0.0 log
Router2(conf)#access-list 102 permit ip any any
Проверим создание
Router2#show access-list
Применим список к исходящему трафику на интерфейсе Serial2/0 Router2
Router2(conf)#interface Serial2/0
Router2(conf-if)#ip access-group 102 out
Для проверки списка попытайтесь пропинговать PC1 (1.1.3.2) из PC2 и PC3. Пинги не пройдут. Симулятор почему-то не даёт лог на консоли Router2. Но эффект выможете увидеть так
Вы видите после каждого неудачного пинга количество отслеженных (matches) пакетов возрастает.
Контрольные вопросы
1. Что такое ACL?
2. Какой адрес является критерием для разрешения/запрещения пакета?
3. Где применяются ACL?
4. Как задать элемент ACL и что такое инверсная маска?
5. Как роутер обрабатывает элементы ACL?
6. Какой элемент всегда неявно присутствует в ACL?
7. Как ACL применить к интерфейсу и затем его отменить?
8. Чем отличается входной ACL от выходного?
10. Какими тремя командами можно проверить содержимое ACL и привязку к интерфейсу.
11. Что фильтруют расширенные ACL?
12. Какую дополнительную функциональность имеютрасширенные ACL по сравнению со стандартными?
13. Можно ли, используя расширенные ACL, наложить ограничения на трафик к определённой TCP/IP службе?
14. Опишите процедуру создания именованного ACL.
15. Как отредактировать конкретную строку в числовом ACL?
16. Как отредактировать конкретную строку в именованном ACL?
17. Чем отличается форматы команд для ввода элементов числового и именованного ACL?
Похожая информация.
Сегодня я расскажу вам о том, как отфильтровать трафик в сети с помощью списков контроля доступа. Рассмотрим как они работают соответственно, что собой представляют, для чего предназначены. Позже я покажу как они настраиваются в Cisco IOS и выложу архив с лабораторными работами для закрепления ваших знаний.
Введение
ACL (Access Control List) - это набор текстовых выражений, которые что-то разрешают, либо что-то запрещают. Обычно ACL разрешает или запрещает IP-пакеты, но помимо всего прочего он может заглядывать внутрь IP-пакета, просматривать тип пакета, TCP и UDP порты. Также ACL существует для различных сетевых протоколов (IP, IPX, AppleTalk и так далее). В основном применение списков доступа рассматривают с точки зрения пакетной фильтрации, то есть пакетная фильтрация необходима в тех ситуациях, когда у вас стоит оборудование на границе Интернет и вашей частной сети и нужно отфильтровать ненужный трафик.Вы размещаете ACL на входящем направлении и блокируете избыточные виды трафика.
Теория
Функционал ACL состоит в классификации трафика, нужно его проверить сначала, а потом что-то с ним сделать в зависимости от того, куда ACL применяется. ACL применяется везде, например:- На интерфейсе: пакетная фильтрация
- На линии Telnet: ограничения доступа к маршрутизатору
- VPN: какой трафик нужно шифровать
- QoS: какой трафик обрабатывать приоритетнее
- NAT: какие адреса транслировать
Из вашей частной сети приходит пакет на интерфейс маршрутизатора fa0/1, маршрутизатор проверяет есть ли ACL на интерфейсе или нет, если он есть, то дальше обработка ведется по правилам списка доступа строго в том порядке, в котором записаны выражения
, если список доступа разрешает проходить пакету, то в данном случае маршрутизатор отправляет пакет провайдеру через интерфейс fa0/0, если список доступа не разрешает проходить пакету, пакет уничтожается. Если списка доступа нет - пакет пролетает без всяких ограничений. Перед тем как отправить пакет провайдеру, маршрутизатор ещё проверяет интерфейс fa0/0 на наличие исходящего ACL. Дело в том, что ACL может быть прикреплен на интерфейсе как входящий или исходящий. К примеру у нас есть ACL с правилом запретить всем узлам в Интернете посылать в нашу сеть пакеты.
Так на какой интерфейс прикрепить данную ACL? Если мы прикрепим ACL на интерфейс fa0/1 как исходящий, это будет не совсем верно, хотя и ACL работать будет. На маршрутизатор приходит эхо-запрос для какого-то узла в частной сети, он проверяет на интерфейсе fa0/0 есть ли ACL, его нет, дальше проверяет интерфейс fa0/1, на данном интерфейсе есть ACL, он настроен как исходящий, всё верно пакет не проникает в сеть, а уничтожается маршрутизатором. Но если мы прикрепим ACL за интерфейсом fa0/0 как входящий, то пакет будет уничтожатся сразу как пришел на маршрутизатор. Последнее решение является правильным, так как маршрутизатор меньше нагружает свои вычислительные ресурсы. Расширенные ACL нужно размещать как можно ближе к источнику, стандартные же как можно ближе к получателю
. Это нужно для того, чтобы не гонять пакеты по всей сети зря.
Сам же ACL представляет собой набор текстовых выражений, в которых написано permit
(разрешить) либо deny
(запретить), и обработка ведется строго в том порядке в котором заданы выражения. Соответственно когда пакет попадает на интерфейс он проверяется на первое условие, если первое условие совпадает с пакетом, дальнейшая его обработка прекращается. Пакет либо перейдет дальше, либо уничтожится.
Ещё раз, если пакет совпал с условием, дальше он не обрабатывается
. Если первое условие не совпало, идет обработка второго условия, если оно совпало, обработка прекращается, если нет, идет обработка третьего условия и так дальше пока не проверятся все условия, если никакое из условий не совпадает, пакет просто уничтожается
. Помните, в каждом конце списка стоит неявный deny any (запретить весь трафик). Будьте очень внимательны с этими правилами, которые я выделил, потому что очень часто происходят ошибки при конфигурации.
ACL разделяются на два типа:
- Стандартные (Standard): могут проверять только адреса источников
- Расширенные (Extended): могут проверять адреса источников, а также адреса получателей, в случае IP ещё тип протокола и TCP/UDP порты
- Стандартные: от 1 до 99
- Расширенные: от 100 до 199
Для фильтрации адресов в ACL используется WildCard-маска. Это обратная маска. Берем шаблонное выражение: 255.255.255.255 и отнимаем от шаблона обычную маску.
255.255.255.255-255.255.255.0, у нас получается маска 0.0.0.255, что является обычной маски 255.255.255.0, только 0.0.0.255 является WildCard маской.
Виды ACL
Динамический (Dynamic ACL)
Позволяет сделать следующее, например у вас есть маршрутизатор, который подключен к какому-то серверу и нам нужно закрыть доступ к нему из внешнего мира, но в тоже время есть несколько человек, которые могут подключаться к серверу.Мы настраиваем динамический список доступа, прикрепляем его на входящем направлении, а дальше людям, которым нужно подключиться, подключаться через Telnet к данному устройству, в результате динамический ACL открывает проход к серверу, и уже человек может зайти скажем через HTTP попасть на сервер. По умолчанию через 10 минут этот проход закрывается и пользователь вынужден ещё раз выполнить Telnet чтобы подключиться к устройству.
Рефлексивный (Reflexive ACL)
Здесь ситуация немножко отличается, когда узел в локальной сети отправляет TCP запрос в Интернет, у нас должен быть открытый проход, чтобы пришел TCP ответ для установки соединения. Если прохода не будет - мы не сможем установить соединение, и вот этим проходом могут воспользоваться злоумышленники, например проникнуть в сеть. Рефлексивные ACL работают таким образом, блокируется полностью доступ (deny any) но формируется ещё один специальный ACL, который может читать параметры пользовательских сессий, которые сгенерированны из локальной сети и для них открывать проход в deny any, в результате получается что из Интернета не смогут установить соединение. А на сессии сгенерированны из локальной сети будут приходить ответы.Ограничение по времени (Time-based ACL)
Обычный ACL, но с ограничением по времени, вы можете ввести специальное расписание, которое активирует ту или иную запись списка доступа. И сделать такой фокус, например пишем список доступа, в котором запрещаем HTTP-доступ в течении рабочего дня и вешаем его на интерфейс маршрутизатора, то есть, сотрудники предприятия пришли на работу, им закрывается HTTP-доступ, рабочий день закончился, HTTP-доступ открывается,пожалуйста, если хотите - сидите в Интернете.
Настройка
Сами ACL создаются отдельно, то есть это просто некий список, который создается в глобальном конфиге, потом он присваивается к интерфейсу и только тогда он и начинает работать. Необходимо помнить некоторые моменты, для того, чтобы правильно настроить списки доступа:- Обработка ведется строго в том порядке, в котором записаны условия
- Если пакет совпал с условием, дальше он не обрабатывается
- В конце каждого списка доступа стоит неявный deny any (запретить всё)
- Расширенные ACL нужно размещать как можно ближе к источнику, стандартные же как можно ближе к получателю
- Нельзя разместить более 1 списка доступа на интерфейс, на протокол, на направление
- ACL не действует на трафик, сгенерированный самим маршрутизатором
- Для фильтрации адресов используется WildCard маска
Стандартный список доступа
Router(config)#access-list <номер списка от 1 до 99> {permit | deny | remark} {address | any | host}- permit: разрешить
- deny: запретить
- remark: комментарий о списке доступа
- address: запрещаем или разрешаем сеть
- any: разрешаем или запрещаем всё
- host: разрешаем или запрещаем хосту
- source-wildcard: WildCard маска сети
- log: включаем логгирование пакеты проходящие через данную запись ACL
Расширенный список доступа
Router(config)#access-list <номер списка от 100 до 199> {permit | deny | remark} protocol source [operator operand] [port <порт или название протокола>- protocol source: какой протокол будем разрешать или закрывать (ICMP, TCP, UDP, IP, OSPF и т.д)
- deny: запретить
- operator:
A.B.C.D - адрес получателя
any - любой конечный хост
eq - только пакеты на этом порте
gt - только пакеты с большим номером порта
host - единственный конечный хост
lt - только пакеты с более низким номером порта
neq - только пакеты не на данном номере порта
range - диапазон портов - port: номер порта (TCP или UDP), можно указать имя
- established: разрешаем прохождение TCP-сегментов, которые являются частью уже созданной TCP-сессии
Прикрепляем к интерфейсу
Router(config-if)#ip access-group <номер списка или имя ACL> {in | out}- in: входящее направление
- out: исходящее направление
Именованные списки доступа
Router(config)#ip access-list {standard | extended} {<номер ACL> | <имя ACL>}Router(config-ext-nacl)# {default | deny | exit | no | permit | remark}
- standard: стандартный ACL
- extended: расширенный ACL
- default: установить команду в значение по умолчанию
Ограничение доступа к маршрутизатору
R(config)#line vty 0 4 - переходим в режим настройки виртуальных линий.R(config-line)#password <пароль>
R(config-line)#login
R(config-line)#access-class 21 in - настраиваем логин и пароль, а также закрепляем список доступа с разрешенными IP-адресами.
Динамические списки доступа
R3(config)#username
Student password
0
cisco - создаем пользователей для подключения через Telnet.
R3(config)#access-list
101 permit tcp any host
10.2.2.2 eq telnet
R3(config)#access-list
101 dynamic testlist timeout 15 permit ip
192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 - разрешаем подключаться к серверу по Telnet всем узлам.
R3(config)#interface serial 0/0/1
R3(config-if)#ip access-group
101 in - закрепляем 101 ACL за интерфейсом в входящем направлении.
R3(config)#line vty
0 4
R3(config-line)#login local
R3(config-line)#autocommand access-enable host timeout
5 - как только пользователь аутентифицируеться, сеть 192.168.30.0 будет доступна, через 5 минут бездействия сеанс закроется.
Рефлексивные списки доступа
R2(config)#ip access-list extended OUTBOUNDFILTERS
R2(config-ext-nacl)#permit tcp 192.168.0.0 0.0.255.255 any reflect TCPTRAFFIC
R2(config-ext-nacl)#permit icmp 192.168.0.0 0.0.255.255 any reflect ICMPTRAFFIC - заставляем маршрутизатор отслеживать трафик, который инициировался изнутри.
R2(config)#ip access-list extended INBOUNDFILTERS
R2(config-ext-nacl)#evaluate TCPTRAFFIC
R2(config-ext-nacl)#evaluate ICMPTRAFFIC - создаем входящую политику, которая требует, чтобы маршрутизатор проверял входящий трафик, чтобы видеть инициировался ли изнутри и связываем TCPTRAFFIC к INBOUNDFILTERS.
R2(config)#interface serial 0/1/0
R2(config-if)#ip access-group INBOUNDFILTERS in
R2(config-if)#ip access-group OUTBOUNDFILTERS out - применяем входящий и исходящий ACL на интерфейс.
Ограничение по времени
R1(config)#time-range
EVERYOTHERDAY
R1(config-time-range)#periodic
Monday Wednesday Friday 8:00 to 17:00 - создаем список времени, в котором добавляем дни недели и время.
R1(config)#access-list
101 permit tcp
192.168.10.0 0.0.0.255 any eq telnet time-range
EVERYOTHERDAY - применяем time-range к ACL.
R1(config)#interface s0/0/0
R1(config-if)#ip access-group
101 out - закрепляем ACL за интерфейсом.
Поиск проблем
R#show access-lists {ACL номер | имя} - смотрим информацию о списке доступа.R#show access-lists - смотрим все списки доступа на маршрутизаторе.
Пример
Router#show access-listsExtended IP access list nick
permit ip host 172.168.1.1 host 10.0.0.5
deny ip any any (16 match(es))
Standard IP access list nick5
permit 172.16.0.0 0.0.255.255
Мы видим что у нас есть два ACL (стандартный и расширенный) под названиями nick и nick5. Первый список разрешает хосту 172.16.1.1 обращаться по IP (это значит что разрешены все протоколы работающие поверх IP) к хосту 10.0.0.5. Весь остальной трафик запрещен показывает команда deny ip any any. Рядом с этим условием в нашем примере пишет (16 match(es)). Это показывает что 16 пакетов попали под это условие.
Второй ACL разрешает проходить трафик от любого источника в сети 172.16.0.0/16.
Практика
Я собрал лабораторные работы для Packet Tracer с 5 главы курса CCNA 4 по теме ACL. Если у вас есть желание закрепить знания на практике, пожалуйста -Списки доступа (access-lists) используются в целом ряде случаев и являются механизмом задания условий, которые роутер проверяет перед выполнением каких-либо действий. Маршрутизатор проверяет каждый пакет и на основании вышеперечисленных критериев, указанных в ACL определяет, что нужно сделать с пакетом, пропустить или отбросить. Типичными критериями являются адреса отправителя и получателя пакета, тип протокола. Каждый критерий в списке доступа записывается отдельной строкой. Список доступа в целом представляет собой набор строк с критериями, имеющих один и тот же номер (или имя). Порядок задания критериев в списке существенен. Проверка пакета на соответствие списку производится последовательным применением критериев из данного списка (в том порядке, в котором они были введены). Пакет, который не соответствует ни одному из введенных критериев будет отвергнут. Для каждого протокола на интерфейс может быть назначен только один список доступа. Как пример ниже приведена таблица списка управления доступом по умолчанию:
Без ACL - по умолчанию при создании конечной точки ей все разрешено.
Разрешить - при добавлении одного или нескольких диапазонов "разрешения" все остальные диапазоны по умолчанию запрещаются. Только пакеты из разрешенного диапазона IP -адресов смогут достичь конечной точки виртуальной машины.
Запретить - при добавлении одного или нескольких диапазонов "запретить" все другие диапазоны трафика по умолчанию разрешаются.
Сочетание разрешения и запрета - можно использовать сочетание правил "разрешить" и "запретить", чтобы указать вложенный разрешенный или запрещенный диапазон IP -адресов.
Рассмотрим два примера стандартных списков:
# access-list 1 permithost 10.0.0.10 - разрешаем прохождение трафика от узла 10.0.0.10.
# access-list 2 deny 10.0.1.0 0.0.0.255 - запрещаем прохождение пакетов из подсети 10.0.1.0/24.
Практическая работа 9-1. Создание стандартного списка доступа
Списки доступа бывают нескольких видов: стандартные, расширенные, динамические и другие. В стандартных ACL есть возможность задать только IP адрес источника пакетов для их запретов или разрешений.
Рис. 9.2.
Соберем данную схему и настроим ее. Настройку PC0 и PC1 выполните самостоятельно.
Настройка R0
Интерфейс 0/0 маршрутизатора1841 настроим на адрес 192.168.0.1 и включим следующими командами:
Router>en Router#conf t Router (config)#int fa0/0 Router (config-if)#ip addr 192.168.0.1 255.255.255.0 Router (config-if)#no shut Router (config-if)#exit
Второй интерфейс маршрутизатора (порт 0/1) настроим на адресом 10.0.0.1 и так же включим:
Router (config)#intfa0/1 Router (config-if)#ip addr 10.0.0.1 255.255.255.0 Router (config-if)#no shut
Настройка сервера
Настройки сервера приведены на рис. 9.3 .
Рис. 9.3.
Диагностика сети
Проверяем связь ПК из разных сетей ( рис. 9.4).
Рис. 9.4.
Приступаем к решению задачи
Правило запрета и разрешения доступа будем составлять с использованием стандартных списков доступа (ACL). Пока не задан список доступа на интерфейсе всё разрешено (permit ). Но, стоит создать список, сразу действует механизм "Всё, что не разрешено, то запрещено". Поэтому нет необходимости что-то запрещать (deny ) – указываем что разрешено, а "остальным – запретить" подразумевается автоматически. По условиям задачи нам нужно на R0 пропустить пакеты с узла 192.168.0.12 на сервер ( рис. 9.5).
Рис. 9.5.
Применяется данное правило на интерфейс в зависимости от направления (PC1 расположен со стороны порта Fa0/0) – рис. 9.6 . Эта настройка означает, что список доступа (правило с номером 1) будет действовать на интерфейсе fa0/0 на входящем (in) от PC1 направлении.
Рис. 9.6.
Примечание
Входящий трафик (in) - этот тот, который приходит на интерфейс извне. Исходящий (out) - тот, который отправляется с интерфейса вовне. Список доступа вы можете применить либо на входящий трафик, тогда неугодные пакеты не будут даже попадать на маршрутизатор и соответственно, дальше в сеть, либо на исходящий, тогда пакеты приходят на маршрутизатор, обрабатываются им, доходят до целевого интерфейса и только на нём обрабатываются. Как правило, списки применяют на входящий трафик (in).