Что такое списки контроля доступа ACL. Настраиваем стандартные и расширенные списки ACL на маршрутизаторах Cisco. Настройка, применение и проверка расширенного именованного ACL-списка
Рассмотрим создание и использование списков доступа (access lists ) на примере схемы подключения малого офиса к сети Интернет с помощью маршрутизатора Cisco 881 . Команды для настройки маршрутизаторов других серий (1841, 2800, 3825…) или коммутаторов 3 уровня (серии 3500, 4800…) будут аналогичными. Различия могут быть лишь в настройках интерфейсов.
В распоряжении имеем:
Задача: ограничить соединения, проходящие через маршрутизатор.
Списки доступа (access lists ) сами по себе не являются какими-то правилами, ограничивающими доступ. Эти строки лишь указывают определенный трафик. Эффект от них появляется тогда, когда в настройках определенной функции маршрутизатора указывается ссылка на соответствующий список доступа.
Логика устройства такова, что сначала мы показываем маршрутизатору трафик, который нам интересен, а затем указываем что маршрутизатор должен с ним сделать. Например, в одном случае список доступа будет указывать адрес, с которого возможен удаленный доступ к маршрутизатору по протоколу SSH , а в другом будет указывать маршрут, который будет распространен с помощью протокола динамической маршрутизации.
Ограничение удаленного доступа к маршрутизатору
Пример access list
, который используется для ограничения удаленного доступа к консоли маршрутизатора только с определенных ip
адресов. В нашем случае – адрес рабочей станции администратора.
Создаем список доступа ACL_REMOTE_ACCESS
R-DELTACONFIG(config)#
ip access-list standard ACL_REMOTE_ACCESS
permit ip host 192.168.0.100
Привязываем access list
для ограничения доступа к удаленному управлению маршрутизатором только с адреса 192.168.0.100
R-DELTACONFIG(config)#
line vty 0 4
access-class ACL_REMOTE_ACCESS
in
Важно!
Будьте осторожны и внимательно все проверьте перед применением. Ошибку можно будет исправить только
подключившись или сбросив настройки маршрутизатора до заводских.
Ограничение доступа в Интернет
Для ограничения доступа из локальной сети офиса в Интернет необходим соответствующий список доступа, а также привязка его к одному из интерфейсов маршрутизатора.
Допустим, что нужно ограничить выход пользователей в сеть Интернет следующим образом:
Создаем следующий список доступа ACL_INSIDE_IN
и последовательно вводим правила доступа:
R-DELTACONFIG(config)#
ip access-list extended ACL_INSIDE_IN
доступ DNS
сервера в Интернет
permit udp host 192.168.0.201 any
eq 53
permit tcp host 192.168.0.201 any
eq 53
доступ Прокси
сервера в Интернет
permit tcp
host 192.168.0.202 any
eq 80
permit tcp host 192.168.0.202 any
eq 443
полный доступ администратора
permit ip
host 192.168.0.100 any
разрешение Ping
для всей локальной сети
permit icmp
192.168.0.0 0.0.0.255 any
запрет иных подключений
deny ip
any any
log
Важно!
Обратите внимание на то, как записана строчка правила для протокола ICMP
(Ping
). В списках доступа на маршрутизаторах Cisco
маска подсети пишется в обратном виде: не 255.255.255.0, а 0.0.0.255
После привязываем список доступа ко внутреннему интерфейсу Vlan 1
в направлении «внутрь маршрутизатора» (параметр in
). Собственно, направление привязки всегда считается относительно устройства Cisco
. Для удобства интерфейс и направление трафика указано в названии самого списка доступа: ACL_INSIDE_IN
— фильтр трафика, входящего
во внутренний
интерфейс.
R-DELTACONFIG(config)#
interface Vlan 1
ip access-group ACL_INSIDE_IN in
С этого момента доступ наружу будет осуществляться в соответствии с примененным access list при условии, что корректно настроена трансляция адресов (NAT
). Как это делается описано в про настройку доступа в интернет с помощью маршрутизатора Cisco.
Проверка работы access list
Проверить работу списка доступа можно посмотрев статистику срабатываний правил. После привязки списка доступа ACL_INSIDE_IN
к интерфейсу Vlan 1
запустите Ping
с любой из рабочих станций сети до любого адреса в Интернет (например до www.yandex.ru
), а затем выполните из привилегированного режима (знак #
рядом с названием устройства) команду show access-lists
. Результат должен показывать количество срабатываний каждой из строк списка доступа:
sh access-lists
Extended IP access list ACL_INSIDE_IN
…
60 permit icmp any any (4 estimate matches)
70 deny ip any any log
Важные аспекты использования списков доступа (access list
)
- Список доступа состоит из строк – правил, показывающих определенный трафик
- Список доступа, привязанный к интерфейсу, ограничивает проходящие через этот интерфейс пакеты.
- Список доступа может быть привязан к интерфейсу в одном из направлений: входящем или исходящем.
- В списках доступа может быть указан или только источник соединения (standard, пример ограничения доступа по SSH ) или источник и назначение соединения(extended, пример ограничения доступа в Интернет).
- Не может быть привязано более одного списка доступа к одному интерфейсу в одном направлении. Все необходимые правила должны быть указаны только в одном привязанном списке доступа.
Ограничение доступа из сети Интернет
Создаем список доступа ACL_OUTSIDE_IN
для внешнего
интерфейса. В нем указываем лишь то, что внешний интерфейс должен отвечать на ping
, а все остальные запросы отклонять.
R-DELTACONFIG(config)#
permit icmp any interface
//разрешение Ping
deny
ip any any log //запрет иных подключений
Привязываем список доступа ко внешнему интерфейсу.
R-DELTACONFIG(config)#
interface FastEthernet 4
ip access-group ACL_OUTSIDE_IN in
Важно!
Все новые правила, которые потребуются для доступа изнутри или снаружи, следует добавлять в соответствующие списки доступа ДО
строчки
deny ip any any log
Если какая-то строчка с разрешением окажется в списке после запрещающей, то она не будет хоть как-то влиять на трафик, так как маршрутизатор обрабатывает строки access list
последовательно
до первого совпадения.
Для изменения access list
удобно зайти в сам список доступа, добавить все нужные разрешения, а после этого удалить последнюю строку (deny ip any any log
) и тут же ее добавить. Выполняя это нехитрое правило запрещающая строка всегда будет в самом конце списка, а все правила будут идти в порядке добавления снизу вверх. Для наглядности разрешим доступ к маршрутизатору извне по протоколу http (TCP порт 80)
R-DELTACONFIG(config)#
ip access-list extended ACL_OUTSIDE_IN
permit tcp any interface eq 80
no deny ip any any log
deny ip any any log
Разрешение ответного трафика
После привязки списка доступа ACL_OUTSIDE_IN
пропадает весь доступ из локальной сети ко всем ресурсам по любым протоколам кроме Ping
. Это происходит из-за того, что фильтрующие трафик правила применяются и на внутреннем (ACL_INSIDE_IN
) и на внешнем (ACL_OUTSIDE_IN
) интерфейсах.
Для того, чтобы проходили все обратные
пакеты на запросы из локальной сети указываем протоколы для функции Inspect
.
R-DELTACONFIG(config)#
ip inspect name Internet http
ip inspect name Internet https
ip inspect name Internet dns
ip inspect name Internet icmp
Привязываем правило инспектирования ко внешнему
интерфейсу.
R-DELTACONFIG(config)#
interface FastEthernet 4
ip inspect Internet out
Список разрешенных для инспекции служб можно расширить в будущем.
Надеюсь, что статья поможет Вам лучше понять принцип работы списков доступа. К сожалению эту достаточно простую тему очень сложно описать простым языком. Если у Вас возникли вопросы или какой-то момент остался неясным, напишите мне на адрес [email protected] или оставьте свой вопрос в комментариях.
ACL - списки контроля доступа.
Можно назначить по одному списку на:
- каждый протокол
- каждый интерфейс
- входящий и исходящий трафик
ACL не оказывает никакого влияния на трафик, генерируемый самим маршрутизатором.
Бывают:
Стандартные ACL - фильтруют пакеты только по IP адресу источника
Расширенные ACL - фильтруют по:
- IP адресу источника
- IP адресу назначения
- TCP или UDP портам источника
- TCP или UDP портам назначения
- типу протокола (названию или номеру)
А также:
1. Нумерованные ACL:
- от 1 до 99 и от 1300 до 2000 - стандартные IP ACL
- от 100 до 199 и от 2000 до 2699 - расширенные IP ACL
2. Именованные - их более удобно применять, т.к. можно указать их назначение. Требования к именам:
- могут содержать буквы и цифры
- предполагается, что имена будут писаться заглавными буквами
- имена не могут содержать пробелы и знаки пунктуации
В именованные ACL можно добавлять и удалять записи.
Как применяются ACL
1. Создать ACL, указав номер или имя и указать условия.
2. Назначить ACL на интерфейс или терминальную линию.
Как работает стандартный ACL
1. На интерфейс поступает пакет
2. Проверяется, есть ли на входе интерфейса ACL.
3. Проверяется, стандартный ли ACL.
4. Сравнивается адрес источника с первой записью.
5. Если не совпадает, сравнивается со следующей записью.
6. Если не совпадает ни с одной записью, то отбрасывается.
7. Если совпадает с какой-то записью, пропускает или отбрасывает согласно правилу.
8. Если пропускает, ищет адрес назначения в таблице маршрутизации.
9. Если есть, отправляет на нужный интерфейс.
10. Если нет - отбрасывает.
Правила размещения ACL:
- Стандартные ACL надо располагать ближе к сети назначения
- Расширенные ACL- ближе к сети источника.
Создание нумерованного стандартного ACL
Router(config)#access-list access-list-number
source
Например:
R1(config)#
access-list 10 remark Permit for 192.168.0.0 LAN -
описываем ACL или каждую запись в ACL
R1(config)#
access-list 10 permit
192.168.0.0
- для классовой сети
R1(config)#
access-list 10 permit
192.168.5.0 0.0.0.128
- для бесклассовой сети
Удаление ACL
R1(config)#
no access-list 10
wildcard маска образуется путе вычитания маски необходимой сети из маски 255.255.255.0, например
255.255.255.255
-
255.255.15.0
=
0.0.240.255
В ACL вместо адреса источника можно указывать:
- вместо 0.0.0.0 255.255.255.255 - any
- вместо конкретного адреса хоста типа 192.168.5.12 0.0.0.0 - host 192.168.5.12
Применение нумерованного стандартного ACL на интерфейс
Router(config-if)#ip access-group {access-list-number | access-list-name}
{in | out}
Например, ACL 10:
R1(config)#
access-list 10 permit
192.168.0.0
R1(config)#
access-list 10 permit
192.168.5.0 0.0.0.128
применяем на входе интерфейса Fastethernet 0/1
R1(config)# interface f0/1
R1(config-if)#
ip access-group 10 in
Hастройка ACL для виртуальных терминальных линий
(вместо параметра access-group
используется access-class
):
R1(config-line)# access-class access-list-number
{in | out}
Например
R1(config)#
access-list 22 permit
192.168.1.0
R1(config)#
access-list 22 permit
192.168.2.0
R1(config)# line vty 0 4
- надо назначать на все vty, т.к. пользователь может подключиться к любому из них
R1(config-line)# login local
R1(config-line)#
transport input telnet
R1(config-line)# ip access-class 22 in
Редактирование нумерованных ACL
При редактировании нумерованных ACL записи вставляются в порядке ввода. Нельзя вставить новую запись между двумя уже введенными. Если это все-таки надо сделать, то:
- Копируем все правила из конфигурации в блокнот.
- Вставляем необходимые записи.
- Удаляем весь AC
- Копируем все записи из блокнота
- Вставляем в конфигурацию.
Именованные стандартные ACL
R1(config)#
ip access-list standard NAME
- объявляем именованный стандартный ACL
R1(config-std-nacl)#
remark Deny for host 192.168.0.13
- описываем ACL
R1(config-std-nacl)# deny
192.168.0.13
- создаем правила
R1(config-std-nacl)# permit
192.168.0.0 0.0.0.255
R1(config-std-nacl)# interface Fa0/0
R1(config-if)#
ip access-group NAME out
- привязываем ACL к интерфейсу
Называть ACL заглавными буквами не обязательно. Это делается для удобства.
Просмотр и проверка ACL
Используется команда:
Router# show access-lists {access-list-mumber | name}
Например,
R1# show access-lists
- выводит все ACL
R1# show access-lists 10
- выводит ACL с номером 10
R1# show access-lists NAM
- выводит ACL с именем NAM
Редактирование именованных ACL
У именованных ACL есть преимущество перед нумерованными. Их проще редактировать. Все записи правил в именованных ACL имеют порядковый номер с шагом 10. Т.е. первое правило имеет номер 10, второе - 20 и т.д.
Поэтому у именованных ACL можно удалять конкретные запис, а также добавлять записи между имеющимися правилами с присвоением им номера между номерами правил, между которыми добавляется новое правило.
Например, у нас есть ACL с темя записями:
R1# show access-lists
10 permit 192.168.10.10
Нам надо добавить еще одно правило:
R1(config)#
access-list standard WEBSERVER
R1(config-std-nacl)# 15 permit
192.168.10.13
Вот, что получилось:
R1# show access-lists
Standard IP access-list WEBSERVER
10 permit 192.168.10.10
15 permit 192.168.10.13
20 deny 192.168.10.0, wildcard bits 0.0.0.255
30 deny 192.168.12.0, wildcard bits 0.0.0.255
Расшр\иренные ACL
Расширенные списки доступа дают возможность более точно фильтровать трафик, поэтому и используются они чаще. Помимо адреса источника они еще проверяют:
- протокол (IP, ICMP, TCP, UDP и др)
- адрес назначения
- номер порта (не интерфейса)
Синтаксис команды расширенного нумерованного ACL
Router(config)#access-list access-list-number
protocol
source
destination
где:
access-list-number
- номер ACL (100-199 и 2000-2699)
deny
- запретить трафик
permit
- разрешить трафик
remark
- описание правила или ACL
protocol
- имя или номер протокола. В основном это - IP, ICMP, TCP, UDP.
source
- адрес источника
source-wildcard
- обратная маска источника
destination
- адрес назначения
destination-wildcard
- обратная маска назначения
operator
- сравнивает номера портов. Может быть: lt-меньше чем, gt-больше чем, eq-равно, neq-не равно, range
-включает диапазон.
port
- номер порта
established
- только для TCP - указывает установленное соединение.
Пример
R1(config)#access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 80
- резрешаем доступ по 80 порту от сети 192.168.10.0
R1(config)#access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 443
- резрешаем доступ по 443 порту от сети 192.168.10.0
R1(config)#access-list 104 permit tcp any 192.168.10.0 0.0.0.255 established
- разрешаем установленные tcp соединения к сети 192.168.10.0.
Расширенные ACL назначаются на интерфейсы так же, как и стандартные. Например:
R1(config)# interface f0/1
R1(config-if)#
ip access-group 103 out
R1(config-if)#
ip access-group 104 in
Создание именованного расширенного ACL
R1(config)#
ip access-list extended SURFING
- объявляем именованный расширенный ACL для исходящего трафика
R1(config-ext-nacl)#
pernit tcp 192.168.10.0 0.0.0.255 any eq 80 -
создаем правила
R1(config-ext-nacl)#
pernit tcp 192.168.10.0 0.0.0.255 any eq 443
R1(config)#
access-list extended BROWSING
- объявляем именованный расширенный ACL для входящего трафика
R1(config-ext-nacl)#
pernit tcp
any
192.168.10.0 0.0.0.255
established
-
создаем правила
Комплексные ACL
Стандартные и расширенные ACL могут быть основой для комплексных ACL для улучшения функциональности. Бывают:
- Динамические
- Рефлексивные
- С ограничением по времени
Динамические ACL
- если пользователю необходимо получить доступ к какому-либо устройству, находящемуся за маршрутизатором, он сначала должен аутентифицироваться на маршрутизаторе через Telnet. После этого маршрутизатор на определенное время дает доступ, по истечении которого опять надо будет аутентифицироваться.
R1(config)#username Student password 0 cisco
— создаем пользователей для подключения через Telnet без привелегий.
R3(config)#access-list 101 permit tcp any host 10.2.2.2 eq telnet
- разрешаем отовсюду подключаться к маршрутизатору
R3(config)#access-list 101 dynamic testlist timeout 15 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
- добавляем динамическую запись с именем testlist, которая будет работать только после установления связи через Telnet в течении 15 минут, а затем будет отключаться. Это правило открывает доступ из сети 192.168.10.0 в сеть 192.168.30.0.
R3(config)#interface serial 0/0/1
R3(config-if)#ip access-group 101 in
— закрепляем ACL 101 за интерфейсом во входящем направлении.
R3(config)#line vty 0 4
R3(config-line)#login local
R3(config-line)#autocommand access-enable host timeout 5
— как только пользователь залогинится на маршрутизатор, выолнится автокоманда, которая даст доступ к сети 192.168.30.0. Сессия Telnet после этого закроется. Доступ к сети сохраниться и будет закрыт после 5 минут ожидания.
Рефлексивные ACL
- разрешают трафик извне сети только в случае, если он был инициирован изнутри. Изначально весть трафик извне закрыт. Список доступа запоминает параметры пользовательских сессий, которые дают запрос наружу. Ответ на эти запросы проверяется на соответствие параметрам пользовательской сессии. Рефлексивные ACL имеют только временные записи, которые создаются автоматически с каждой сессией. Рефлексивные ACL не применяются непосредственно на интерфейс, но вкладываются в расширенный ACL , который применяется на интерфейс. Рефлексивные ACL могут быть определены только в расширенных именованных ACL, а использоваться могут с любими ACL.
R2(config)#ip access-list extended OUTBOUNDFILTERS
- объявляем именованный расширенный ACL для исходящего трафика.
R2(config-ext-nacl)#permit tcp 192.168.0.0 0.0.255.255 any reflect TCPTRAFFIC
- заставляем маршрутизатор отслеживать tcp трафик, который инициировался изнутри, и сохранять в переменной TCPTRAFFIC.
R2(config-ext-nacl)#permit icmp 192.168.0.0 0.0.255.255 any reflect ICMPTRAFFIC
— заставляем маршрутизатор отслеживать icmp трафик, который инициировался изнутри, и сохранять в переменной ICMPTRAFFIC .
R2(config)#ip access-list extended INBOUNDFILTERS
- объявляем именованный расширенный ACL для входящего трафика.
R2(config-ext-nacl)#evaluate TCPTRAFFIC
- заставляем маршрутизатор сравнивать параметры входящего tcp трафика с переменной TCPTRAFFIC, созданной правилом OUTBOUNDFILTERS.
R2(config-ext-nacl)#evaluate ICMPTRAFFIC
— заставляем маршрутизатор сравнивать параметры входящего icmp трафика с переменной ICMPTRAFFIC, созданной правилом OUTBOUNDFILTERS.
R2(config)#interface serial 0/1/0
R2(config-if)#ip access-group INBOUNDFILTERS in
- применяем ACL для входящего трафика на интерфейс.
R2(config-if)#ip access-group OUTBOUNDFILTERS out
- применяем ACL для исходящего трафика на интерфейс.
ACL с ограничением по времени
- определяет время, когда в расширенном ACL работает конкретная запись.
R1(config)#time-range EVERYOTHERDAY
- обьявляем переменную времени EVERYOTHERDAY.
R1(config-time-range)#periodic Monday Wednesday Friday 8:00 to 17:00
— присваиваем список времени для этой переменной, в котором добавляем дни недели и время.
R1(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq telnet time-range EVERYOTHERDAY
— применяем переменную к правилу.
R1(config)#interface s0/0/0
R1(config-if)#ip access-group 101 out
— закрепляем ACL за интерфейсом.
Для обеспечения фильтрации пакетов, на маршрутизаторах Cisco настраивают списки контроля доступа. Это набор параметров и фильтров, которые позволяют гибко настраивать параметры безопасности. Системный администратор получает возможность выбирать, какой входящий и исходящий трафик пропускать, используя большое число доступных критериев.
Сейчас мы более подробно познакомимся со списками контроля доступа ACL, и научимся их настраивать .
Введение
Итак представим, что наша небольшая локальная сеть создана, и в ней в качестве активного оборудования используется маршрутизатор Cisco. Через него проходит большое количество самого разного трафика. И сетевому инженеру необходимо его фильтровать. Здесь и начинается знакомство со списками управления доступом.
Это одно из основных средств обеспечения сетевой безопасности. Суть заключается в блокировке или предотвращения доступа как трафику в определенный сегмент сети, так и пользователю к определенному типу трафика.
ACL разделяют на стандартные и расширенные.
Основные особенности
- Фильтрация трафика возможно как на входе, так и на выходе трафика из выбранного интерфейса
- Для данных, которые должны быть допущены, применяется атрибут permit . Для тех, которые следует отбросить - deny
- Списки управления доступом настраиваются таким образом, что если трафик не попадает не под одно правило, указанное в списке, он автоматически будет запрещен
На рисунке ниже указана логика фильтрации пакетов, относительно расположения ACL на маршрутизаторе.
Таким образом, когда трафик начинает свое движение, маршрутизатор проверяет поля пакета, на соответствие списку правил из ACL. Если они будут найдены, то применится действие, настроенное для такого типа пакета - разрешить или запретить. Если соответствие не будет найдено - трафик автоматически заблокируется.
Стандартные списки ACL
Команда для настройки на маршрутизаторах Cisco имеет следующий синтаксис.
access-list номер-списка {deny | permit} отправитель [инвертированная маска отправителя ]Вы можете последовательно указывать несколько правил, для одного ACL, указывая его номер в соответствующем месте.
Обратите внимание . Нумерация стандартных списков ACL доступна в диапазоне 1-99 и 1300-1999.
Таким образом, алгоритм настройки можно описать следующим образом:
- Определяем место расположения списка ACL - интерфейс и направленность данных
- В режиме глобальной конфигурации указываем правила, используя команду access-list . Используйте справку "? ", для просмотра доступных параметров.
- В режиме конфигурацирования интерфейса назначаем для него соответствующий список - ip access-group number {in | out}
Расширенные ACL
Данный тип фильтрации позволяет проверять трафик на большое количество параметров. Доступны следующие критерии:
Настройка
Общий принцип не изменился. Вам нужно определить интерфейс и направление трафика, затем задать список параметров фильтрации. Сам список создается и настраивается следующим образом:
IP access-list access-list-number ] {deny | permit} protocol source source-wildcard destination destination-wildcard ICMP access-list access-list-number ] {deny | permit} icmp source source-wildcard destination destination-wildcard | ] TCP access-list access-list-number ] {deny | permit} tcp source source-wildcard ] destination destination-wildcard ] UDP access-list access-list-number ] {deny | permit} udp source source-wildcard ] destination destination-wildcard ] cisco.com
Видео к статье :
Заключение
Списки контроля доступа ACL Cisco - мощное средство обеспечения безопасности в сети. Используйте его, чтобы фильтровать ваш трафик. Но помните про особенности. Если вы некорректно укажите параметры фильтрации, "правильный" трафик может не попасть к адресату.
Зачем искать информацию на других сайтах, если все собрано у нас?
Списки доступа (access-lists) используются в целом ряде случаев и являются механизмом задания условий, которые роутер проверяет перед выполнением каких-либо действий. Маршрутизатор проверяет каждый пакет и на основании вышеперечисленных критериев, указанных в ACL определяет, что нужно сделать с пакетом, пропустить или отбросить. Типичными критериями являются адреса отправителя и получателя пакета, тип протокола. Каждый критерий в списке доступа записывается отдельной строкой. Список доступа в целом представляет собой набор строк с критериями, имеющих один и тот же номер (или имя). Порядок задания критериев в списке существенен. Проверка пакета на соответствие списку производится последовательным применением критериев из данного списка (в том порядке, в котором они были введены). Пакет, который не соответствует ни одному из введенных критериев будет отвергнут. Для каждого протокола на интерфейс может быть назначен только один список доступа. Как пример ниже приведена таблица списка управления доступом по умолчанию:
Без ACL - по умолчанию при создании конечной точки ей все разрешено.
Разрешить - при добавлении одного или нескольких диапазонов "разрешения" все остальные диапазоны по умолчанию запрещаются. Только пакеты из разрешенного диапазона IP -адресов смогут достичь конечной точки виртуальной машины.
Запретить - при добавлении одного или нескольких диапазонов "запретить" все другие диапазоны трафика по умолчанию разрешаются.
Сочетание разрешения и запрета - можно использовать сочетание правил "разрешить" и "запретить", чтобы указать вложенный разрешенный или запрещенный диапазон IP -адресов.
Рассмотрим два примера стандартных списков:
# access-list 1 permithost 10.0.0.10 - разрешаем прохождение трафика от узла 10.0.0.10.
# access-list 2 deny 10.0.1.0 0.0.0.255 - запрещаем прохождение пакетов из подсети 10.0.1.0/24.
Практическая работа 9-1. Создание стандартного списка доступа
Списки доступа бывают нескольких видов: стандартные, расширенные, динамические и другие. В стандартных ACL есть возможность задать только IP адрес источника пакетов для их запретов или разрешений.
Рис. 9.2.
Соберем данную схему и настроим ее. Настройку PC0 и PC1 выполните самостоятельно.
Настройка R0
Интерфейс 0/0 маршрутизатора1841 настроим на адрес 192.168.0.1 и включим следующими командами:
Router>en Router#conf t Router (config)#int fa0/0 Router (config-if)#ip addr 192.168.0.1 255.255.255.0 Router (config-if)#no shut Router (config-if)#exit
Второй интерфейс маршрутизатора (порт 0/1) настроим на адресом 10.0.0.1 и так же включим:
Router (config)#intfa0/1 Router (config-if)#ip addr 10.0.0.1 255.255.255.0 Router (config-if)#no shut
Настройка сервера
Настройки сервера приведены на рис. 9.3 .
Рис. 9.3.
Диагностика сети
Проверяем связь ПК из разных сетей ( рис. 9.4).
Рис. 9.4.
Приступаем к решению задачи
Правило запрета и разрешения доступа будем составлять с использованием стандартных списков доступа (ACL). Пока не задан список доступа на интерфейсе всё разрешено (permit ). Но, стоит создать список, сразу действует механизм "Всё, что не разрешено, то запрещено". Поэтому нет необходимости что-то запрещать (deny ) – указываем что разрешено, а "остальным – запретить" подразумевается автоматически. По условиям задачи нам нужно на R0 пропустить пакеты с узла 192.168.0.12 на сервер ( рис. 9.5).
Рис. 9.5.
Применяется данное правило на интерфейс в зависимости от направления (PC1 расположен со стороны порта Fa0/0) – рис. 9.6 . Эта настройка означает, что список доступа (правило с номером 1) будет действовать на интерфейсе fa0/0 на входящем (in) от PC1 направлении.
Рис. 9.6.
Примечание
Входящий трафик (in) - этот тот, который приходит на интерфейс извне. Исходящий (out) - тот, который отправляется с интерфейса вовне. Список доступа вы можете применить либо на входящий трафик, тогда неугодные пакеты не будут даже попадать на маршрутизатор и соответственно, дальше в сеть, либо на исходящий, тогда пакеты приходят на маршрутизатор, обрабатываются им, доходят до целевого интерфейса и только на нём обрабатываются. Как правило, списки применяют на входящий трафик (in).
В этой статье речь пойдёт об списках аксес листах (списки листов доступа, ACL, NACL, access lists, access control list - все эти слова - синонимы, пусть вас не пугает их разнообразие). Далее в статье, для краткости я буду пользоваться термином ACL .
В этой статье мы поговорим об общих принципах создания ACL, о применении ACL на интерфейсах, о правилах просмотра ACL. Конкретно же о создании самих ACL рассказывается в статьях « », и « ». В любом случае, рекомендую начать изучение с этой статьи, чтобы было понятно, о чём вообще идёт речь.
Итак, ACL (access control list) - это строго говоря, механизм для выбора из всего потока трафика какой-то части, по заданным критериям. Например, через маршрутизатор проходит множество пакетов, и вот такой ACL выбирает из множества только те пакеты, которые идут из подсети 192.168.1.0/24:
access-list 1 permit 192.168.1.0
Что дальше делать с этим трафиком - пока неизвестно. Например, трафик, попавший под ACL может заворачиваться в VPN тоннель, или, подвергаться трансляции адресов (NAT). В курсе CCNA рассматривается два способа использования ACL: основной - это фильтрация трафика, второй - использование ACL при настройке NAT. Важно следующее: не имеет значения, где и для каких целей мы будем использовать ACL, правила написания ACL от этого не меняются. Кроме того, если мы только создали ACL, то он пока ни на что не влияет. ACL - это просто несколько неработающих строчек в конфиге, пока мы его не применим, например, на интерфейс, для фильтрации трафика.
