Списки контроля доступа Cisco (ACL)
-
Содержание Введение Маски
с подстановочными знаками
Примеры подстановочных знаков с классом
Примеры подстановочных
знаков без класса Стандартный нумерованный ACL
Стандартный именованный ACL
Расширенный нумерованный пример 1
Расширенный нумерованный пример 2
Расширенный нумерованный пример 3
Расширенный нумерованный пример 4
Расширенный нумерованный пример 5
Расширенный нумерованный пример 6
Расширенный нумерованный пример 7
Расширенный нумерованный пример 8
Расширенные операторы ACL Пример 9
Расширенные операторы ACL Пример 10
Расширенный ACL с именами IPv4 Пример 1 Расширенный ACL
с именами IPv4 Пример 2 Расширенный ACL
с именами IPv6 Введение ACL Cisco — это одиночные или множественные операторы разрешения/запрета, которые фильтруют входящие или исходящие пакеты на сетевом интерфейсе. На каждый сетевой интерфейс и протокол допускается только два ACL. Например, один IP ACL, применяемый к входящему трафику, и один IP ACL, применяемый к исходящему трафику. Существует множество типов ACL, которые настраиваются в зависимости от требований безопасности. Рекомендации Cisco по созданию и применению ACL: Применяйте расширенный ACL рядом с источником
Применяйте стандартный ACL рядом с пунктом назначения
Упорядочивайте ACL с несколькими операторами от наиболее конкретных к наименее конкретным.
К сетевому интерфейсу Cisco можно применить максимум два ACL.
На каждый интерфейс для протокола уровня 3 можно применить только один ACL для входящего или исходящего трафика. Существуют некоторые рекомендуемые методы при создании и применении списков контроля доступа (ACL). Сетевой администратор должен применять стандартный ACL, наиболее близкий к месту назначения. Стандартное утверждение ACL состоит из IP-адреса источника и маски подстановочных знаков. Существует общий номер или имя, которое присваивает несколько утверждений одному и тому же ACL. Стандартные ACL являются более старым типом и очень общими. В результате они могут непреднамеренно неправильно фильтровать трафик. Для предотвращения возможной чрезмерной фильтрации рекомендуется применять стандартный ACL ближе к месту назначения. Расширенный ACL следует применять ближе к источнику. Расширенные ACL являются более детализированными (конкретными) и предоставляют больше возможностей для фильтрации. Они включают исходный адрес, адрес назначения, протоколы и номера портов. Применение расширенных ACL ближе к источнику предотвращает прохождение трафика, который должен быть отфильтрован, через сеть. Это позволяет сэкономить пропускную способность и дополнительную обработку, необходимую на каждом маршрутизаторе от исходного до конечного пункта назначения. Некоторые списки контроля доступа состоят из нескольких операторов. Порядок операторов имеет ключевое значение для обработки ACL. Маршрутизатор начинает с верхнего (первого) и проходит по всем операторам, пока не найдет подходящий. Если совпадения нет, пакет отбрасывается. Упорядочьте все операторы ACL от наиболее конкретных к наименее конкретным. Назначение наименее конкретных операторов в первую очередь иногда приводит к ложному совпадению. В результате совпадение с предполагаемым оператором ACL никогда не происходит. Более конкретное утверждение ACL характеризуется адресами источника и назначения с более короткими масками подстановочных знаков (больше нулей). Это настраивает конкретные подсети для сопоставления. Кроме того, также указываются протоколы приложений или номера портов. Первое утверждение ACL более конкретно, чем второе утверждение ACL. access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 10.10.64.1 eq 23
access-list 100 deny tcp any any eq 23 Динамический ACL предоставляет удаленному пользователю временный доступ к сети. Настроенный ACL определяет тип разрешенного доступа и исходный IP-адрес. Кроме того, существует значение таймаута, которое ограничивает время доступа к сети. Удаленный пользователь может войти в систему с помощью настроенного имени пользователя и пароля. Маски подстановочных знаков ACL Маска подстановочного знака — это метод сопоставления конкретного IP-адреса или диапазона IP-адресов. Списки контроля доступа Cisco (ACL) фильтруют на основе диапазона IP-адресов, настроенного с помощью маски подстановочного знака. Маска подстановочного знака — это инвертированная маска, в которой сопоставление IP-адреса или диапазона основано на 0 битах. Дополнительные биты устанавливаются в 1, так как сопоставление не требуется. Подстановочный знак 0.0.0.0 используется для сопоставления одного IP-адреса. Подстановочная маска для 255.255.224.0 — 0.0.31.255 (инвертируйте биты, чтобы ноль = 1, а один = 0), как показано в следующем примере. 11111111.11111111.111
00000.00000000 = маска подсети (255.255.224.0)
00000000.00000000.000
11111.11111111 = маска подстановочного знака (0.0.31.255) Все хосты и сетевые устройства имеют сетевые интерфейсы, которым присвоен IP-адрес. Каждая подсеть имеет диапазон IP-адресов хостов, которые могут быть присвоены сетевым интерфейсам. Подстановочные знаки ACL настраиваются для фильтрации (разрешения/запрета) на основе диапазона адресов. Это могут быть хосты, подсети или несколько подсетей. Существуют маски подсетей с классом и без класса, а также связанные с ними маски подстановочных знаков. Маски подстановочных знаков с классом основаны на маске по умолчанию для определенного класса адресов. Всякий раз, когда к классу адресов применяется маска подстановочных знаков (или маска подсети), не являющаяся маской по умолчанию, это является адресацией без класса. Пример 1: Классическая маска подстановочных знаков Следующий подстановочный символ
0.0.0.255
будет соответствовать только подсети 192.168.3.0 и не будет соответствовать всему остальному. Это может быть использовано, например, с ACL для разрешения или запрета подсети. 192 . 168 . 3 . 0
11000000.10101000.00000011.00000000
00000000.00000000.00000000
.11111111 = 0.0.0.255
192.168.3
.0
0.0.0
.255 = совпадение только с подсетью 192.168.3.0 Пример 2: Маска с подстановочным символом класса Следующий подстановочный знак
0.0.0.255
будет соответствовать только подсети 200.200.1.0 и не будет соответствовать всему остальному. Это можно использовать, например, с ACL для разрешения или запрета публичного адреса хоста или подсети. 200 . 200 . 1 . 0
11001000.11001000.00000001.00000000
00000000.00000000.00000000
.11111111 = 0.0.0.255
200.200.1
.0
0.0.0
.255 = совпадение только с подсетью 200.200.1.0 Пример 3: Маска с подстановочным символом класса Следующий подстановочный знак
0.0.255.255
будет соответствовать всем подсетям 172.16.0.0 и не будет соответствовать всему остальному. Это можно использовать, например, с ACL для разрешения или запрета нескольких подсетей. 172 . 16 . 0 . 0
10101100.00010000.00000000.00000000
00000000.00000000
.11111111.11111111 = 0.0.255.255
172.16
.0.0
0.0
.255.255 = совпадение только с подсетью 172.16.0.0 Пример 1: Маска без классов с подстановочным символом Всякий раз, когда вы применяете нестандартный подстановочный знак, это называется адресацией без классов. В этом примере 192.168.1.0 является сетевым адресом класса C. Все адреса класса C имеют маску подсети по умолчанию 255.255.255.0 (/24). И наоборот, маска подстановочного знака по умолчанию для адреса класса C составляет 0.0.0.255. Для разрешения или запрета диапазона адресов хостов в 4-м октете требуется маска без классов. В этом примере маска
0.0.0.15
будет соответствовать диапазону адресов хостов от 192.168.1.1 до 192.168.1.14 и не будет соответствовать всему остальному. Именно первые четыре бита четвертого октета составляют 14 адресов хостов. Сетевой и широковещательный адреса не могут быть назначены сетевому интерфейсу. Это может быть использовано, например, с ACL для разрешения или запрета только определенных адресов хостов. 192 . 168 . 1 . 0
11000000.10101000.00000001.0000 0000
00000000.00000000.00000000.0000
1111 = 0.0.0.15
192.168.1.0 0.0.0.15
= совпадение 192.168.1.1/28 -> 192.168.1.14/28 Пример 2: Маска без классов Следующая маска с подстановочным знаком
0.0.0.3
будет соответствовать диапазону адресов хостов от 192.168.4.1 до 192.168.4.2 и не будет соответствовать всему остальному. Это первые два бита четвертого октета, которые составляют 2 адреса хостов. Сетевой и широковещательный адреса не могут быть назначены сетевому интерфейсу. Это может быть использовано, например, для разрешения или запрета определенных адресов хостов в точечном соединении WAN. 192 . 168 . 4 . 0
11000000.10101000.00000100.000000 00
00000000.00000000.00000000.000000
11 = 0.0.0.3
192.168.4.0 0.0.0.3
= совпадает с 192.168.4.1/30 и 192.168.4.2/30 Пример 3: Маска без классов с подстановочным символом Сетевой администратор должен настроить ACL, разрешающий трафик только из диапазона хостов 172.16.1.32–172.16.1.39. Какие ACL и маска с подстановочным знаком позволят это сделать? Ответ Следующая маска подстановки
0.0.0.7
будет соответствовать диапазону адресов хостов от 172.16.1.33 до 172.16.1.38 и не будет соответствовать всему остальному. Это первые три бита четвертого октета, которые в сумме дают 6 адресов хостов. Сетевой адрес и широковещательный адрес не могут быть назначены сетевому интерфейсу. Это может быть использовано, например, для разрешения или запрета определенных адресов хостов в подсети. 172 . 16 . 1 . 32
10101100.00010000.00000001.00100 000
00000000.00000000.00000000.00000
111 = 0.0.0.7
172.16.1.0 0.0.0.7
= совпадение с 172.16.1.33/29 -> 172.16.1.38/29 Следующий стандартный ACL разрешит трафик из диапазона IP-адресов хоста 172.16.1.33/29 до 172.16.1.38/29. Инвертируйте маску подстановочного знака, чтобы вычислить маску подсети (0.0.0.7 = 255.255.255.248 (/29) или посчитайте все нули. access-list 10 permit 172.16.1.32 0.0.0.7 Стандартный нумерованный ACL Стандартный список доступа имеет диапазон номеров от 1 до 99 и от 1300 до 1999. Он определяет разрешение/запрет трафика только от источника с опциональной маской подстановочного знака. Маска подстановочных знаков используется для фильтрации диапазонов подсетей. По умолчанию в любом ACL в качестве последнего оператора присутствует неявная клаузула
deny all
.
Она запрещает весь трафик
,
который явно не разрешен
. Стандартный ACL требует добавления обязательного оператора
permit any
в качестве последнего оператора. access-list 99 deny host 172.33.1.1
access-list 99 permit any Это позволяет пропускать все пакеты, которые не соответствуют ни одному из предыдущих положений в ACL. Лучшая практика Cisco заключается в том, чтобы упорядочивать операторы в последовательности от наиболее конкретных к наименее конкретным. Стандартный ACL с именем Это ACL, который настраивается с помощью имени вместо номера. Он имеет те же правила, что и стандартный пронумерованный ACL. Следующий ACL с именем
internet
будет запрещать весь трафик со всех хостов в подсети 192.168.1.0/24. Кроме того, он будет регистрировать все пакеты, которые были запрещены. ip access-list internet log
deny 192.168.1.0 0.0.0.255
permit any Именованные ACL позволяют динамически добавлять или удалять операторы ACL без необходимости удаления и перезаписи всех строк. Конечно, это также требует меньшего использования ресурсов ЦП. Они проще в управлении и позволяют устранять неполадки в сети. Расширенный нумерованный ACL Диапазон номеров составляет от 100 до 199 и от 2000 до 2699. Он поддерживает несколько операторов разрешения и запрета с IP-адресом источника и/или назначения. Кроме того, вы можете фильтровать по IP, протоколу на основе приложения TCP или UDP или номеру порта. В конец любого расширенного ACL добавляется неявная скрытая клаузула «запретить все». Вы должны включить
«разрешить ip любой любой»
в качестве последней инструкции во все расширенные ACL. Это эффективно разрешает все пакеты, которые не соответствуют ни одной из предыдущих клаузул в ACL. Некоторые ACL также состоят из всех инструкций «запретить», поэтому без последней инструкции «разрешить» все пакеты будут отброшены. Рисунок 1
Расширенный ACL [![acl.png] Пример 1: Расширенный нумерованный ACL Следующая команда IOS разрешает http-трафик от хоста 10.1.1.1 к хосту 10.1.2.1. access-list 100 permit tcp host 10.1.1.1 host 10.1.2.1 eq 80 Оператор списка контроля доступа (ACL) читается слева направо как «
разрешить весь трафик tcp от исходного хоста только к хосту назначения, который является http (80)
». TCP относится к приложениям, основанным на TCP. Ключевое слово UDP используется для приложений, основанных на UDP, таких как, например, SNMP. Эта статья является выдержкой из моего курса CCNA 200-301 Masterclass.
-
Отличное введение в ACL, особенно для будущих кандидатов на получение сертификата CCNA. Вопросы и ответы помогут вам осмыслить содержание.
-
Спасибо! Отличная информация.
-
Отличный контент!
-
![cenario matriz.PNG]
У меня есть вопрос по ответу в тесте по оценке знаний по курсу «ЗАЩИТА СЕТИ» в главе 4 ACLs, номер 4.5.11 сценарий 2 (см. фото). Я прошел тест здесь в симуляции packet track и получил ответ, противоположный тому, что было оценено. в упражнении источник 192.168.1.66 и назначение 192.168.3.200 порт 80 указаны как разрешенные, но когда я применяю ACL в симуляции, которую я создал, он отказывает, учитывая первый ACE из ACL 104, который запрещает доступ. Я хотел бы знать, не ошибся ли я в чем-то в моей симуляции. Ссылка на мою симуляцию packet track:
https://drive.google.com/file/d/1GVbw13aSV9PXC58Z7Ss6i6rivlLUfVGc/view?usp=sharing ![ACL TESTE 2.PNG]
-
Спасибо за эту невероятную и познавательную статью, она очень помогла мне понять ACL, я начинаю изучать эту тему.
-
Отличная информация
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти