今天我们将开始研究ACL访问控制列表,本主题将带2个视频教程。 我们将研究标准ACL的配置,在下一个视频教程中,我将讨论扩展列表。
在本课程中,我们将涵盖3个主题。 第一个是什么是ACL,第二个是标准访问权限列表和扩展访问列表之间的区别是什么,在本课作为实验工作的最后,我们将考虑设置标准ACL并解决可能的问题。
那么什么是ACL? 如果您从第一堂视频课开始学习该课程,那么请记住我们是如何组织各种网络设备之间的通信的。
我们还研究了不同协议上的静态路由,目的是获得设备和网络之间的通信技能。 现在,我们已经进入培训阶段,在此阶段,我们应注意确保流量控制,即防止“坏蛋”或未经授权的用户渗透到网络中。 例如,此关系图可能与来自SALES销售部门的人员有关。 在这里,我们还显示了ACCOUNTS财务部门,Management管理部门和服务器SERVER ROOM。
因此,一百名员工可以在销售部门工作,我们不希望他们中的任何一个都能通过网络访问服务器。 在便携式计算机上工作的销售经理有一个例外-他可能有权访问服务器机房。 使用Laptop3的新员工不应具有此访问权限,也就是说,如果来自其计算机的流量到达路由器R2,则应将其丢弃。
ACL的作用是根据指定的过滤参数过滤流量。 它们包括源IP地址,目标IP地址,协议,端口数和其他参数,借助它们您可以识别流量并执行一些操作。
因此,ACL是OSI模型第三级的过滤机制。 这意味着在路由器中使用此机制。 过滤的主要标准是数据流的标识。 例如,如果我们要阻止使用Laptop3计算机的家伙访问服务器,则必须首先确定他的流量。 该流量通过网络设备的相应接口朝着Laptop-Switch2-R2-R1-Switch1-Server1的方向移动,而路由器的G0 / 0接口与此无关。
要确定流量,我们必须确定其路径。 完成此操作后,我们可以确定要在哪里安装过滤器。 您不必担心过滤器本身,我们将在下一课中讨论它们,因为现在我们需要了解将过滤器应用于哪个接口的原理。
如果看一下路由器,您会看到每次流量移动时,都有一个接口,数据流进入该接口,该数据流通过该接口进入。
实际上,有3个接口:输入接口,输出接口和路由器自己的接口。 请记住,过滤只能应用于输入或输出接口。
ACL操作的原理类似于只允许那些名字在被邀请者名单上的客人访问的事件。 ACL是用于识别流量的资格参数的列表。 例如,此列表表示允许来自IP地址192.168.1.10的任何流量,并且禁止来自所有其他地址的流量。 如我所说,该列表可以同时应用于输入和输出接口。
ACL有2种类型:标准和高级。 标准ACL的标识符从1到99或从1300到1999。这些只是列表的名称,随着编号的增加,它们彼此之间没有优势。 除了编号外,还可以为ACL分配自己的名称。 扩展ACL的编号为100到199或2000到2699,并且也可能有名称。
在标准ACL中,分类基于流量源的IP地址。 因此,使用此列表时,您不能限制流向任何源的流量,只能阻止来自某个设备的流量。
Advanced ACL按源IP地址,目标IP地址,使用的协议和端口号对流量进行分类。 例如,您只能阻止FTP流量,或者只能阻止HTTP流量。 今天,我们将看一下标准ACL,下面的视频教程将专门介绍这些扩展列表。
正如我所说,ACL是条件列表。 在将此列表应用于路由器的入站或出站接口后,路由器会使用此列表检查流量,如果满足列表中列出的条件,则决定是允许还是阻止此流量。 通常,人们发现确定路由器的输入和输出接口很困难,尽管并不复杂。 当我们谈论传入接口时,这意味着将仅在此端口上监视传入流量,并且路由器不会对传出流量施加限制。 同样,当涉及到输出接口时,这意味着所有规则将仅适用于传出流量,而该端口上的传入流量将不受限制地接受。 例如,如果路由器具有两个端口:f0 / 0和f0 / 1,则ACL仅用于进入f0 / 0接口的流量,或仅用于来自f0 / 1接口的流量。 进入f0 / 1接口或来自f0 / 0端口的流量将不受此列表的影响。
因此,不要被接口的传入或传出方向所迷惑,它取决于特定流量的移动方向。 因此,在路由器检查流量是否符合ACL条件之后,它只能采取两种解决方案:跳过流量或拒绝流量。 例如,您可以允许定向到地址180.160.1.30的流量,并拒绝发往地址192.168.1.10的流量。 每个列表可以包含许多条件,但是每个条件都必须允许或拒绝。
假设有一个列表:
拒绝_______
允许________
允许________
拒绝_________。
首先,路由器将检查流量是否符合第一个条件(如果不匹配)和第二个条件。 如果流量符合第三个条件,则路由器将停止检查,并且不会将其与列表中的其他条件进行比较。 他将执行“允许”操作,然后继续检查流量的下一部分。
如果您没有为任何数据包设置规则,并且流量在不影响任何条件的情况下通过了列表的所有行,则流量将被销毁,因为默认情况下,每个ACL均以deny any命令结尾-也就是说,丢弃任何数据包不属于任何规则。 如果列表包含至少一个规则,则此条件生效,否则不适用。 但是,如果第一行包含拒绝deny 192.168.1.30条目,并且列表将不再包含任何条件,那么allow any命令应位于末尾,即允许该规则禁止的流量以外的任何流量。 您必须考虑到这一点,以避免在配置ACL时出错。
我想让您记住生成ACL的基本规则:将标准ACL尽可能靠近目的地(即流量的接收者),并将扩展ACL尽可能靠近源(即流量的发送者)。 这些是思科的建议,但实际上,在某些情况下,将标准ACL放在流量源附近更为合理。 但是,如果您在考试中遇到有关ACL放置规则的问题,请遵循Cisco的建议并明确回答:标准-靠近目的地,高级-靠近来源。
现在让我们看一下标准ACL的语法。 路由器的全局配置模式下有两种类型的命令语法:经典语法和现代语法。
经典的命令类型是访问列表<ACL号> <禁用/允许> <条件>。 如果在1到99之间指定<ACL号>,则设备将自动理解它是标准ACL;如果在100到199之间进行扩展,它将被扩展。 由于在本课中,我们正在考虑一个标准列表,因此我们可以使用1到99之间的任何数字。然后,当参数符合以下指定的条件时,我们将指示应采取的操作-允许或禁止流量。 我们稍后将考虑该标准,因为该标准也用于现代语法中。
新型命令也用于全局配置模式Rx(config)中,如下所示:ip访问列表标准<ACL编号/名称>。 在这里,您可以使用1到99之间的数字,也可以使用ACL的名称,例如ACL_Networking。 此命令立即使系统进入标准Rx模式的子命令模式(config-std-nacl),在该子命令模式下,已经有必要输入<prohibit / allow> <criteria>。 现代团队比经典团队更具优势。
在经典列表中,如果您键入access-list 10 deny ______,然后为另一个条件键入以下相同类型的命令,结果得到了100条这样的命令,那么要更改任何输入的命令,您将需要删除整个access-list列表10和命令no access-list10。这将删除所有100个命令,因为无法编辑此列表中的任何单个命令。
在现代语法中,命令分为两行,第一行包含一个列表号。 假设您有一个访问列表标准10拒绝________,一个访问列表标准20拒绝________,依此类推,则可以在中间列表之间插入其他条件,例如访问列表标准15拒绝________。
或者,您可以简单地删除访问列表标准20行,然后在访问列表标准10行和访问列表标准30行之间用其他参数重新输入它们,因此,有多种方法可以编辑现代ACL语法。
您在编译ACL时需要非常小心。 如您所知,列表是从上到下读取的。 如果在顶部允许特定主机的流量通过,则可以在下面放置该主机所属的整个网络的流量禁止,这两种情况都将被检查-到该特定主机的流量将被通过,所有其他主机的流量将被通过。该网络被阻止。 因此,始终将特定记录放在列表的顶部,将常规记录放在列表的底部。
因此,在创建经典或现代ACL之后,必须应用它。 为此,请使用interface <type and slot>命令转到特定接口的设置,例如f0 / 0,切换到interface子命令模式,然后输入ip access-group <ACL编号/名称> <in / out>命令。 请注意区别:编译列表时,将使用访问列表,而在使用列表时,将使用访问组。 您必须确定列表将应用于哪个接口-传入流量的接口或传出流量的接口。 如果列表具有名称,例如“网络”,则此接口上的list application命令中将重复相同的名称。
现在,让我们执行一个特定的任务,并尝试使用Packet Tracer以我们的网络图示例解决此问题。 因此,我们有4个网络:销售,会计,管理和服务器。
任务1:应阻止从销售和财务部门发送到管理和服务器部门的所有流量。 锁定点是路由器R2的S0 / 1/0接口。 首先,我们必须制作一个包含此类条目的列表:
我们将列表称为“安全管理ACL和服务器ACL”,缩写为ACL Secure_Ma_And_Se。 以下是禁止来自财务部门192.168.1.128/26的网络流量,禁止来自销售部门192.168.1.0/25的网络流量以及任何其他流量的解决方案。 在列表的末尾,表明它用于路由器R2的传出接口S0 / 1/0。 如果列表末尾没有允许任何条目,则所有其他流量都将被阻止,因为默认情况下,始终在ACL的末尾设置拒绝任何条目。
我可以将此ACL应用于G0 / 0接口吗? 我当然可以,但是在这种情况下,只会阻止来自会计的流量,而销售部门的流量将不受任何限制。 同样,您可以将ACL应用于G0 / 1接口,但是在这种情况下,财务部门的流量不会被阻止。 当然,我们可以为这些接口创建两个单独的阻止列表,但是将它们组合为一个列表并将其应用于路由器R2的输出接口或路由器R1的输入接口S0 / 1/0效率要高得多。
尽管根据思科的规则,标准ACL应该放置在尽可能靠近目的地的位置,但我仍将其放置在靠近流量来源的位置,因为我想阻止所有传出的流量,并且更建议将其放置在离流量来源更近的位置,以使该流量不会占用流量之间的网络。两个路由器。
我忘了告诉您有关标准,所以让我们快速返回。 作为标准,您可以指定任何-在这种情况下,将禁止或允许来自任何设备和网络的任何流量。 您还可以使用其标识符指定主机-在这种情况下,记录将是特定设备的IP地址。 最后,您可以指定整个网络,例如192.168.1.10/24。 在这种情况下,/ 24表示存在子网掩码255.255.255.0,但是,无法在ACL中指定子网掩码的IP地址。 对于这种情况,ACL的概念称为Wildcart掩码或“反向掩码”。 因此,您必须指定IP地址和反向掩码。 反向掩码如下:必须从常规子网掩码中减去直接子网掩码,即,直接掩码中的八位位组值所对应的数字要减去255。
因此,作为ACL中的标准,您应该使用参数192.168.1.10 0.0.0.255。
如何运作? 如果反向掩码八位位组包含0,则认为该标准与子网IP地址的相应八位位组匹配。 如果逆掩码八位字节中有一个数字,则不检查匹配。 因此,对于网络192.168.1.0和反掩码0.0.0.255,来自前三个八位位组等于192.168.1的地址的所有流量,无论第四个八位位组的值如何,都将根据指定的操作被阻止或允许。
使用反向蒙版并不困难,我们将在下一个视频中返回Wildcart蒙版,以便我可以解释如何使用它。
28:50分钟
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的资料吗? 通过下订单或将其推荐给您的朋友来支持我们,
为我们为您发明的入门级服务器的独特模拟,为Habr用户提供
30%的折扣: 关于VPS(KVM)E5-2650 v4(6核)的全部真相10GB DDR4 240GB SSD 1Gbps从$ 20还是如何划分服务器? (RAID1和RAID10提供选件,最多24个内核和最大40GB DDR4)。
戴尔R730xd便宜2倍? 仅
在荷兰,我们有
2台Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100电视 ! 戴尔R420-2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB-$ 99起! 阅读有关
如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程?