اليوم سنبدأ دراسة قائمة التحكم في الوصول إلى ACL ، سيأخذ هذا الموضوع درسين فيديو. سننظر في تكوين قائمة ACL القياسية ، وفي البرنامج التعليمي التالي للفيديو ، سأتحدث عن القائمة الموسعة.
في هذا الدرس سوف نغطي 3 مواضيع. الأول - ما هو ACL ، والثاني - ما هو الفرق بين المعيار وقائمة الوصول الموسعة ، وفي نهاية الدرس كعمل مخبري ، سننظر في إعداد ACL قياسي وحل المشكلات المحتملة.
إذن ما هو دوري أبطال آسيا؟ إذا درست الدورة التدريبية من أول درس فيديو ، فتذكر كيف نظمنا التواصل بين أجهزة الشبكة المختلفة.
درسنا أيضًا التوجيه الثابت عبر بروتوكولات مختلفة بهدف اكتساب مهارات الاتصال بين الأجهزة والشبكات. لقد وصلنا الآن إلى مرحلة التدريب ، حيث ينبغي أن نحرص على ضمان التحكم في حركة المرور ، أي لمنع "الأشرار" أو المستخدمين غير المصرح لهم من اختراق الشبكة. على سبيل المثال ، قد يتعلق الأمر بأشخاص من قسم المبيعات SALES ، وهو موضح في هذا المخطط. نعرض هنا أيضًا قسم الشؤون المالية وقسم إدارة الإدارة وغرفة خادم الخادم.
لذلك ، يمكن لمائة موظف العمل في قسم المبيعات ، ولا نريد أن يتمكن أي منهم من الوصول إلى الخادم عبر الشبكة. يتم استثناء مدير المبيعات الذي يعمل على الكمبيوتر المحمول 2 - قد يكون لديه حق الوصول إلى غرفة الخادم. لا ينبغي أن يحصل الموظف الجديد الذي يعمل على Laptop3 على هذا الوصول ، أي إذا وصلت حركة المرور من جهاز الكمبيوتر الخاص به إلى جهاز التوجيه R2 ، فيجب إسقاطه.
دور ACL هو تصفية حركة المرور وفقًا لمعايير التصفية المحددة. وهي تشمل عنوان IP المصدر ، وعنوان IP الوجهة ، والبروتوكول ، وعدد المنافذ والمعلمات الأخرى ، وبفضل ذلك يمكنك تحديد حركة المرور وتنفيذ بعض الإجراءات معها.
لذلك ، ACL هي آلية تصفية للمستوى الثالث من نموذج OSI. هذا يعني أن هذه الآلية تستخدم في أجهزة التوجيه. المعيار الرئيسي للتصفية هو تحديد دفق البيانات. على سبيل المثال ، إذا كنا نرغب في حظر الرجل الذي لديه كمبيوتر Laptop3 من الوصول إلى الخادم ، فيجب علينا أولاً تحديد حركة المرور الخاصة به. تتحرك حركة المرور هذه في اتجاه Laptop-Switch2-R2-R1-Switch1-Server1 من خلال واجهات أجهزة الشبكة المقابلة ، في حين أن واجهات G0 / 0 لأجهزة التوجيه لا علاقة لها بها.
لتحديد حركة المرور ، يجب علينا تحديد مسارها. بعد القيام بذلك ، يمكننا أن نقرر بالضبط مكان تثبيت الفلتر. لا داعي للقلق بشأن الفلاتر نفسها ، فسنناقشها في الدرس التالي ، حيث نحتاج الآن إلى فهم المبدأ الذي يجب تطبيقه على الواجهة.
إذا نظرت إلى جهاز التوجيه ، يمكنك أن ترى أنه في كل مرة تنتقل فيها حركة المرور ، هناك واجهة يدخل فيها دفق البيانات ، وواجهة تأتي من خلالها مجموعة البث هذه.
في الواقع ، هناك 3 واجهات: واجهة الإدخال ، واجهة الإخراج وواجهة جهاز التوجيه الخاصة. فقط تذكر أنه لا يمكن تطبيق التصفية إلا على واجهة الإدخال أو الإخراج.
يشبه مبدأ عملية ACL القبول في حدث لا يمكن زيارته إلا من قبل الضيوف المدرج اسمه في قائمة الأشخاص المدعوين. قائمة ACL هي قائمة بمعلمات التأهيل التي يتم استخدامها لتحديد حركة المرور. على سبيل المثال ، تشير هذه القائمة إلى أن أي حركة مرور مسموح بها من عنوان IP 192.168.1.10 ، وحركة المرور من جميع العناوين الأخرى محظورة. كما قلت ، يمكن تطبيق هذه القائمة على كل من واجهات المدخلات والمخرجات.
هناك نوعان من قوائم ACL: قياسية ومتطورة. يحتوي ACL القياسي على معرف من 1 إلى 99 أو من 1300 إلى 1999. هذه هي ببساطة أسماء القوائم التي ليس لها مزايا على بعضها البعض مع زيادة الترقيم. بالإضافة إلى الرقم ، يمكن تعيين قائمة ACL باسمها. ترقيم قوائم ACL الممتدة من 100 إلى 199 أو من 2000 إلى 2699 وقد يكون لها أيضًا اسم.
في ACL القياسي ، يعتمد التصنيف على عنوان IP لمصدر الحركة. لذلك ، عند استخدام هذه القائمة ، لا يمكنك تقييد حركة المرور الموجهة إلى أي مصدر ، يمكنك فقط حظر حركة المرور القادمة من بعض الأجهزة.
تصنف قائمة ACL المتقدمة حركة المرور حسب عنوان IP المصدر وعنوان IP المقصود والبروتوكول المستخدم ورقم المنفذ. على سبيل المثال ، يمكنك حظر حركة مرور FTP فقط أو حركة مرور HTTP فقط. سننظر اليوم إلى قائمة ACL القياسية ، وسيخصص البرنامج التعليمي التالي للقوائم الموسعة.
كما قلت ، قائمة ACL هي قائمة بالشروط. بعد قيامك بتطبيق هذه القائمة على الواجهة الداخلية أو الخارجية للموجه ، يقوم الموجه بفحص حركة المرور بهذه القائمة ، وإذا كان يفي بالشروط المنصوص عليها في القائمة ، يقرر ما إذا كان يجب السماح بحركة المرور هذه أم حظرها. غالبًا ما يجد الأشخاص صعوبة في تحديد واجهات الإدخال والإخراج لجهاز التوجيه ، على الرغم من عدم وجود شيء معقد. عندما نتحدث عن الواجهة الواردة ، فهذا يعني أنه سيتم مراقبة حركة المرور الواردة فقط على هذا المنفذ ، ولن يطبق جهاز التوجيه قيودًا على حركة المرور الصادرة. وبالمثل ، عندما يتعلق الأمر بواجهة الإخراج ، فإن هذا يعني أن جميع القواعد سوف تطبق فقط على حركة المرور الصادرة ، في حين سيتم قبول حركة المرور الواردة على هذا المنفذ دون قيود. على سبيل المثال ، إذا كان للموجه منفذين: f0 / 0 و f0 / 1 ، فسيتم استخدام ACL فقط لحركة المرور التي تدخل واجهة f0 / 0 ، أو فقط لحركة المرور القادمة من واجهة f0 / 1. لن تتأثر القائمة بحركة المرور التي تدخل واجهة f0 / 1 أو القادمة من منفذ f0 / 0.
لذلك ، لا تخلط بين الاتجاه الوارد أو الصادر للواجهة ، ذلك يعتمد على اتجاه حركة حركة محددة. لذلك ، بعد فحص جهاز التوجيه لحركة المرور للتأكد من توافقها مع شروط ACL ، يمكن أن يستغرق حلين فقط: تخطي حركة المرور أو رفضه. على سبيل المثال ، يمكنك السماح لحركة المرور الموجهة إلى عنوان 180.160.1.30 ورفض حركة المرور الموجهة إلى العنوان 192.168.1.10. يمكن أن تحتوي كل قائمة على العديد من الشروط ، ولكن يجب أن يسمح كل من هذه الشروط أو يرفضها.
لنفترض أن هناك قائمة:
رفض _______
اسمح ________
اسمح ________
رفض _________.
أولاً ، سيتحقق الموجه من المرور بحثًا عن المصادفة مع الشرط الأول ، إذا كان غير متطابق ، مع الشرط الثاني. إذا تطابقت حركة المرور مع الشرط الثالث ، فسيتوقف جهاز التوجيه عن التحقق ولن يقارنه بالشروط الأخرى في القائمة. سوف يقوم بتنفيذ الإجراء "السماح" والمتابعة للتحقق من الجزء التالي من حركة المرور.
في حالة عدم تعيين قاعدة لأي رزمة وحركة المرور عبر جميع أسطر القائمة دون الوقوع تحت أي من الشروط ، يتم إتلافها ، لأن كل قائمة ACL بشكل افتراضي تنتهي برفض أي أمر - أي ، إسقاط أي حزمة ، لا تندرج تحت أي من القواعد. يسري هذا الشرط إذا كانت القائمة تحتوي على قاعدة واحدة على الأقل ، وإلا فإنها لا تنطبق. ولكن إذا كان السطر الأول يحتوي على رفض الإدخال 192.168.1.30 ولم تعد القائمة تحتوي على أي شروط ، فإن إذن أي أمر يجب أن يكون في النهاية ، أي السماح لأي حركة مرور باستثناء تلك المحظورة بموجب القاعدة. يجب أن تأخذ ذلك في الاعتبار لتفادي الأخطاء عند تكوين قائمة التحكم في الوصول (ACL).
أريدك أن تتذكر القاعدة الأساسية لإنشاء قائمة التحكم في الوصول (ACL): ضع قائمة التحكم في الوصول (ACL) القياسية على مقربة من الوجهة قدر الإمكان ، أي لمستلم حركة المرور ، و ACL الممتد في أقرب وقت ممكن من المصدر ، أي إلى مرسل الحركة. هذه هي توصيات Cisco ، لكن في الممارسة العملية توجد مواقف يكون فيها من المنطقي وضع قائمة ACL قياسية بالقرب من مصدر حركة المرور. ولكن إذا تلقيت سؤالًا حول قواعد موضع ACL في الامتحان ، فاتبع توصيات Cisco والإجابة بشكل لا لبس فيه: قياسي - أقرب إلى الوجهة ، متقدم - أقرب إلى المصدر.
الآن دعونا نلقي نظرة على بناء جملة ACL قياسي. هناك نوعان من بناء جملة الأوامر في وضع التكوين العام للموجه: بناء الجملة الكلاسيكي والبناء الحديث.
نوع الأمر الكلاسيكي هو قائمة الوصول <رقم قائمة التحكم في الوصول (ACL)> <تعطيل / السماح> <المعايير>. إذا حددت <رقم ACL> من 1 إلى 99 ، فسوف يفهم الجهاز تلقائيًا أنه ACL قياسي ، وإذا كان من 100 إلى 199 ، فسيتم تمديده. نظرًا لأننا نفكر في درس اليوم في قائمة قياسية ، يمكننا استخدام أي رقم من 1 إلى 99. ثم نشير إلى الإجراء الذي يجب تطبيقه عندما تتطابق المعلمات مع المعايير المحددة أدناه - للسماح بحركة المرور أو تعطيلها. سننظر في المعيار لاحقًا ، نظرًا لأنه يستخدم أيضًا في بناء الجملة الحديث.
يُستخدم نوع الأمر الحديث أيضًا في وضع التكوين العام Rx (config) ويبدو كما يلي: معيار قائمة الوصول إلى IP <رقم / اسم قائمة ACL>. هنا يمكنك استخدام إما رقم من 1 إلى 99 ، أو اسم قائمة ACL ، على سبيل المثال ، ACL_Networking. يضع هذا الأمر على الفور النظام في وضع أمر فرعي لوضع Rx القياسي (config-std-nacl) ، حيث يكون من الضروري بالفعل إدخال <محظور / السماح> <المعايير>. يتميز النوع العصري من الفرق بمزايا أكثر من الكلاسيكية.
في القائمة الكلاسيكية ، إذا قمت بكتابة قائمة الوصول 10 ، رفض ______ ، ثم اكتب الأمر التالي من نفس النوع لمعيار مختلف ونتيجة لذلك تحصل على 100 أمر من هذه الأوامر ، ثم لتغيير أي من الأوامر التي تم إدخالها ، ستحتاج إلى حذف قائمة الوصول بالكامل list 10 مع الأمر no access-list 10. سيؤدي ذلك إلى حذف جميع أوامر 100 ، لأنه لا توجد وسيلة لتحرير أي أمر واحد من هذه القائمة.
في بناء الجملة الحديث ، ينقسم الأمر إلى سطرين ، يحتوي أولهما على رقم قائمة. افترض إذا كان لديك معيار قائمة الوصول 10 رفض ________ ، معيار رفض الوصول 20 ________ ، وهكذا ، يمكنك إدراج قوائم وسيطة بينها مع معايير أخرى ، على سبيل المثال ، معيار قائمة الوصول 15 رفض ________.
بدلاً من ذلك ، يمكنك ببساطة حذف أسطر 20 من قائمة الوصول القياسية وإعادة كتابتها بمعلمات أخرى بين الأسطر 10 من قائمة الوصول القياسية وقوائم الوصول القياسية 30. وبالتالي ، هناك طرق عديدة لتحرير بناء جملة ACL الحديث.
يجب أن تكون حذرًا جدًا في تجميع قوائم ACL. كما تعلم ، تتم قراءة القوائم من أعلى إلى أسفل. إذا وضعت خطًا بإذن لحركة مرور مضيف معين في الأعلى ، فبإمكانك أدناه وضع خط مع حظر حركة مرور الشبكة بالكامل والذي يعد هذا المضيف جزءًا منه ، وسيتم التحقق من كلا الشرطين - سيتم تمرير حركة المرور إلى مضيف محدد ، وحركة المرور لجميع المضيفين الآخرين تم حظر هذه الشبكة. لذلك ، ضع دائمًا سجلات محددة في أعلى القائمة ، وسجلات عامة في الأسفل.
لذلك ، بعد قيامك بإنشاء ACL كلاسيكي أو حديث ، يجب عليك تطبيقه. للقيام بذلك ، انتقل إلى إعدادات واجهة معينة ، على سبيل المثال ، f0 / 0 باستخدام الأمر واجهة <type و slot> ، وانتقل إلى وضع أوامر subcommand للواجهة وأدخل مجموعة الوصول إلى IP <اسم / اسم قائمة ACL> <in / out> الأمر. لاحظ الفرق: عند تجميع قائمة ، يتم استخدام قائمة الوصول ، وعندما يتم استخدامها ، يتم استخدام مجموعة الوصول. يجب عليك تحديد الواجهة التي سيتم تطبيقها على القائمة - واجهة الوارد أو واجهة حركة المرور الصادرة. إذا كانت القائمة لها اسم ، على سبيل المثال ، الشبكات ، فيتم تكرار نفس الاسم في أمر تطبيق القائمة على هذه الواجهة.
الآن ، لنأخذ مهمة محددة ونحاول حلها باستخدام مثال مخطط الشبكة الخاص بنا باستخدام Packet Tracer. لذلك ، لدينا 4 شبكات: المبيعات والمحاسبة والإدارة والخادم.
المهمة رقم 1: يجب حظر كل حركة المرور المرسلة من إدارات المبيعات والمالية إلى إدارات الإدارة والخوادم. نقطة القفل هي واجهة S0 / 1/0 لجهاز التوجيه R2. أولاً ، يتعين علينا إنشاء قائمة تحتوي على هذه الإدخالات:
سوف نسمي قائمة "ACL لإدارة الأمن وخادم ACL" ، اختصار ACL Secure_Ma_And_Se. فيما يلي فرض حظر على حركة مرور شبكة الإدارة المالية 192.168.1.128/26 ، وفرض حظر على حركة مرور شبكة إدارة المبيعات 192.168.1.0/25 وإذن أي حركة مرور أخرى. في نهاية القائمة ، يشار إلى أنه يستخدم للواجهة الصادرة S0 / 1/0 من جهاز التوجيه R2. إذا لم يكن لدينا تصريح "إدخال أي تصريح" في نهاية القائمة ، فسيتم حظر كل حركة المرور الأخرى ، لأنه بشكل افتراضي ، يتم دائمًا تعيين "رفض أي إدخال" في نهاية قائمة ACL.
هل يمكنني تطبيق ACL على واجهة G0 / 0؟ بالطبع يمكنني ذلك ، ولكن في هذه الحالة سيتم حظر حركة المرور من المحاسبة فقط ، ولن يتم تقييد حركة مرور قسم المبيعات بأي شيء. وبالمثل ، يمكنك تطبيق ACL على واجهة G0 / 1 ، ولكن في هذه الحالة لن يتم حظر حركة مرور قسم الشؤون المالية. بالطبع ، يمكننا إنشاء قائمتين منفصلتين للحجب لهذه الواجهات ، لكن من الأكثر فعالية دمجها في قائمة واحدة وتطبيقها على واجهة الإخراج لجهاز التوجيه R2 أو واجهة الإدخال S0 / 1/0 لجهاز التوجيه R1.
على الرغم من أنه وفقًا لقواعد Cisco ، يجب وضع قائمة ACL قياسية في أقرب وقت ممكن من الوجهة ، لكنني ما زلت أضعها بالقرب من مصدر الحركة ، لأنني أريد حظر كل حركة المرور الصادرة ، ومن المستحسن جعلها أقرب إلى المصدر بحيث لا تشغل حركة المرور هذه الشبكة بين اثنين من أجهزة التوجيه.
لقد نسيت إخبارك بالمعايير ، لذلك دعونا نعود بسرعة. كمعيار ، يمكنك تحديد أي - في هذه الحالة ، سيتم حظر أو السماح بأي حركة مرور من أي جهاز وأي شبكة. يمكنك أيضًا تحديد المضيف بمعرفه - في هذه الحالة ، سيكون السجل هو عنوان IP لجهاز معين. أخيرًا ، يمكنك تحديد الشبكة بالكامل ، على سبيل المثال ، 192.168.1.10/24. في هذه الحالة ، سوف يشير / 24 إلى وجود قناع شبكة فرعية بقيمة 255.255.255.0 ، ومع ذلك ، لا يمكن تحديد عنوان IP لقناع الشبكة الفرعية في قائمة التحكم في الوصول (ACL). لهذه الحالة ، لدى ACL مفهوم يسمى Wildcart Mask ، أو "القناع العكسي". لذلك ، يجب عليك تحديد عنوان IP والقناع العكسي. القناع العكسي هو كما يلي: يجب عليك طرح قناع الشبكة الفرعية المباشر من قناع الشبكة الفرعية العامة ، أي يتم طرح الرقم المقابل لقيمة الثمانية في القناع المباشر من 255.
وبالتالي ، كمعيار في قائمة التحكم في الوصول (ACL) ، يجب عليك استخدام المعلمة 192.168.1.10 0.0.0.255.
كيف يعمل؟ إذا كانت قيمة الثمانية العكسية تحتوي على 0 ، فسيتم اعتبار المعيار مطابقًا للثمانية المقابلة لعنوان IP للشبكة الفرعية. إذا كان هناك رقم في ثُماني القناع العكسي ، فلن يتم تحديد التطابق. وبالتالي ، بالنسبة للشبكة 192.168.1.0 والقناع العكسي 0.0.0.255 ، سيتم حظر أو السماح بجميع حركات المرور من العناوين التي تساوي الثمانيات الثلاث الأولى فيها 192.168.1. بغض النظر عن قيمة الثماني الرابع ، سيتم حظرها أو السماح بها اعتمادًا على الإجراء المحدد.
استخدام القناع العكسي ليس بالأمر الصعب ، وسوف نعود إلى قناع Wildcart في الفيديو التالي حتى أتمكن من شرح كيفية التعامل معه.
28:50 دقيقة
شكرا لك على البقاء معنا. هل تحب مقالاتنا؟ تريد أن ترى المزيد من المواد المثيرة للاهتمام؟ ادعمنا عن طريق تقديم طلب أو التوصية به لأصدقائك ،
خصم 30 ٪ لمستخدمي Habr على تناظرية فريدة من خوادم الدخول التي اخترعناها لك: الحقيقة الكاملة حول VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1 جيجابت في الثانية من 20 $ أو كيفية تقسيم الخادم؟ (تتوفر خيارات مع RAID1 و RAID10 ، ما يصل إلى 24 مركزًا وما يصل إلى 40 جيجابايت من ذاكرة DDR4).
ديل R730xd 2 مرات أرخص؟ فقط لدينا
2 من Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6 جيجا هرتز 14 جيجا بايت 64 جيجا بايت DDR4 4 × 960 جيجا بايت SSD 1 جيجابت في الثانية 100 TV من 199 دولار في هولندا! Dell R420 - 2x E5-2430 سعة 2 جيجا هرتز 6 جيجا بايت 128 جيجا بايت ذاكرة DDR3 2x960GB SSD بسرعة 1 جيجابت في الثانية 100 تيرابايت - من 99 دولارًا! اقرأ عن
كيفية بناء البنية التحتية فئة باستخدام خوادم V4 R730xd E5-2650d تكلف 9000 يورو عن بنس واحد؟