Acl что это такое в роутере

Обновлено: 21.11.2024

Список управления доступом (ACL) содержит правила, которые разрешают или запрещают доступ к определенным цифровым средам. Существует два типа списков ACL:

  • Списки управления доступом файловой системы━фильтруют доступ к файлам и/или каталогам. ACL файловой системы сообщают операционным системам, какие пользователи могут получить доступ к системе и какие привилегии им разрешены.
  • Сетевые списки управления доступом━фильтруют доступ к сети. Сетевые ACL сообщают маршрутизаторам и коммутаторам, какой тип трафика может иметь доступ к сети и какие действия разрешены.

Изначально ACL были единственным способом обеспечить защиту брандмауэра. Сегодня существует множество типов брандмауэров и альтернатив ACL. Однако организации продолжают использовать списки управления доступом в сочетании с такими технологиями, как виртуальные частные сети (VPN), которые определяют, какой трафик следует шифровать и передавать через VPN-туннель.

Причины использования ACL:

  • Контроль трафика
  • Ограничение сетевого трафика для повышения производительности сети.
  • Уровень безопасности доступа к сети, указывающий, к каким областям сервера/сети/службы может получить доступ пользователь, а к каким нет
  • Тщательный мониторинг исходящего и входящего трафика в систему

Как работает ACL

ACL файловой системы — это таблица, которая информирует операционную систему компьютера о правах доступа пользователя к системному объекту, включая один файл или каталог файлов. У каждого объекта есть свойство безопасности, которое связывает его со своим списком управления доступом. В списке есть запись для каждого пользователя с правами доступа к системе.

Обычные привилегии включают право на чтение одного файла (или всех файлов) в каталоге, выполнение файла или запись в файл или файлы. К операционным системам, использующим ACL, относятся, например, Microsoft Windows NT/2000, Novell Netware, Digital OpenVMS и системы на базе UNIX.

Когда пользователь запрашивает объект в модели безопасности на основе ACL, операционная система изучает ACL для соответствующей записи и определяет, разрешена ли запрошенная операция.

Сетевые списки ACL устанавливаются на маршрутизаторы или коммутаторы, где они действуют как фильтры трафика. Каждый сетевой ACL содержит предопределенные правила, которые определяют, каким пакетам или обновлениям маршрутизации разрешается или запрещается доступ к сети.

Маршрутизаторы и коммутаторы со списками управления доступом работают как фильтры пакетов, которые пропускают или отклоняют пакеты на основе критериев фильтрации. Как устройство уровня 3, маршрутизатор с фильтрацией пакетов использует правила, чтобы определить, следует ли разрешить или запретить доступ к трафику. Решение принимается на основе IP-адресов источника и получателя, порта назначения и порта источника, а также официальной процедуры пакета.

Ключевые результаты исследования инсайдерских угроз Forrester за 2021 г.

Типы списков контроля доступа

Списки контроля доступа можно разделить на две основные категории:

Расширенный список управления доступом
Список доступа, который широко используется, поскольку он может различать IP-трафик. Он использует IP-адреса источника и получателя, а также номера портов для понимания IP-трафика. Вы также можете указать, какой IP-трафик следует разрешить или запретить. Они используют номера 100–199 и 2000–2699.

Linux ACL и Windows ACL

Linux позволяет вносить изменения в ядро, чего нельзя сделать в Windows. Однако, поскольку вы можете вносить изменения в ядро ​​Linux, вам может потребоваться специальный опыт для обслуживания производственной среды.

Windows предлагает преимущество стабильной платформы, но она не такая гибкая, как Linux. Что касается интеграции приложений, Windows проще, чем Linux.

Пользователь может установить механизмы управления доступом в Windows без добавления программного обеспечения.

Что касается исправлений, Microsoft является единственным источником, выпускающим исправления для Windows. В Linux вы можете подождать, пока коммерческий поставщик Linux не выпустит исправление, или вы можете использовать объект с открытым исходным кодом для исправлений.

Рекомендации по использованию ACL

При настройке списков управления доступом следует придерживаться нескольких рекомендаций, чтобы обеспечить надежную защиту и блокировку подозрительного трафика:

<р>1. ACL везде
ACL применяются на каждом интерфейсе, почти во всех механизмах безопасности или маршрутизации. Это уместно, поскольку у вас не может быть одинаковых правил для интерфейсов, обращенных наружу, и интерфейсов, которые формируют вашу кампусную сеть. Однако интерфейсы похожи, и вы не хотите, чтобы некоторые из них были защищены списками управления доступом, а некоторые — открытыми.

Практика ACL на всех интерфейсах важна для входящих ACL, особенно правил, которые определяют, какой адрес может передавать данные в вашу сеть. Эти правила имеют большое значение.

<р>2.ACL по порядку
Почти во всех случаях ядро, реализующее ACL, начинается сверху и перемещается вниз по списку. Это имеет значение для определения того, что ACL будет делать с конкретным потоком данных.

Одна из причин, по которой организации используют ACL, заключается в том, что они требуют меньше вычислительных ресурсов, чем брандмауэры с отслеживанием состояния, и работают на высоких скоростях. Это важно, когда вы пытаетесь реализовать безопасность для быстрых сетевых интерфейсов. Однако чем дольше пакет остается в системе, пока он проверяется на соответствие правилам в ACL, тем ниже производительность.

Хитрость заключается в том, чтобы поместить правила, которые, как вы ожидаете, будут срабатывать, в начало списка управления доступом. Работайте от общего к частному, следя за тем, чтобы правила были логически сгруппированы. Вы должны знать, что на каждый пакет будет воздействовать начальное правило, которое он запускает, вы можете в конечном итоге передать пакет по одному правилу, когда вы намереваетесь заблокировать его по другому. Подумайте, как вы хотите, чтобы цепочка событий происходила, в частности, при добавлении новых правил.

<р>3. Документируйте свою работу.
Добавляя правила ACL, документируйте, почему вы их добавляете, для чего они предназначены и когда вы их добавили.

Для каждого правила не обязательно иметь один комментарий. Вы можете сделать один комментарий для блока правил, сложное объяснение для одного правила или комбинацию обоих подходов.

Разработчики должны следить за тем, чтобы текущие правила были задокументированы, чтобы никому не приходилось догадываться, зачем они нужны.

RBAC и ACL

Разработчики могут использовать системы списков доступа на основе ролей (RBAC) для управления безопасностью на детальном уровне. Вместо того, чтобы подчеркивать личность пользователя и определять, разрешено ли ему видеть что-либо в приложении, RBAC управляет безопасностью на основе роли пользователя в организации.

Например, вместо того, чтобы давать разрешение Джону Смиту, архитектору из Нью-Йорка, RBAC дает разрешение на роль для архитекторов из США. Джон Смит может быть одним из многих пользователей с этой ролью. Таким образом, RBAC гарантирует регулирующим органам, что только определенные пользователи имеют доступ к конфиденциальной информации, так как он дает все утверждения на основе ролей.

RBAC обычно считается предпочтительным методом для бизнес-приложений. RBAC более эффективен, чем ACL, в отношении административных издержек и безопасности. ACL лучше всего использовать для обеспечения безопасности на уровне отдельных пользователей. Вы можете использовать RBAC для обслуживания системы безопасности всей компании, за которой следит администратор. Например, ACL может предоставлять доступ для записи к определенному файлу, но не может определять, как пользователь может изменять этот файл.

Пример системы управления доступом на основе ролей (RBAC)

Управление доступом на основе ролей с Imperva

Imperva позволяет контролировать привилегии пользователей с помощью гибкого управления доступом на основе ролей. Пользователям предоставляется доступ только для просмотра, редактирования или ограниченный доступ к функциям и объектам управления. Организации также могут иерархически группировать ИТ-активы и управлять ими по категориям для точного контроля доступа, даже в развертываниях Managed Security Service Provider (MSSP) и крупных предприятиях.

Определение списка контроля доступа может показаться сложной задачей, особенно тем, кто только что погрузился в мир компьютерных сетей и сетевой безопасности. Цель этой статьи — объяснить роль списков управления доступом и основные понятия, используемые для их понимания. В статье также рассказывается, как настроить их на маршрутизаторе Cisco.

Список управления доступом (далее: ACL) — это набор правил, которые контролируют сетевой трафик и нейтрализуют сетевые атаки. Точнее, целью ACL является фильтрация трафика на основе заданных критериев фильтрации на интерфейсе маршрутизатора или коммутатора.

Зачем использовать списки контроля доступа (ACL)

Изначально списки управления доступом были единственным средством защиты брандмауэра. Несмотря на то, что существует много других типов брандмауэров и альтернатив ACL, они все еще используются сегодня, даже в сочетании с другими технологиями (например, в виртуальных частных сетях, чтобы определить, какой трафик должен быть зашифрован и отправлен через VPN-туннель), и вы должны освойте их, чтобы добиться успеха на уровне CCNA и выше.

Причины, по которым вам следует использовать ACL:

  • Ограничьте сетевой трафик, чтобы повысить производительность сети.
  • Обеспечить контроль трафика.
  • Обеспечить базовый уровень безопасности доступа к сети, определив, к какой части сети/сервера/службы может получить доступ узел, а к какой нет.
  • Тщательный контроль входящего и существующего трафика в сети.

Типы списков контроля доступа

ACL в основном делятся на два типа: стандартные и расширенные. Мы также различаем нумерованные и именованные списки управления доступом.

Стандартные списки управления доступом позволяют фильтровать трафик исключительно на основе исходного адреса уровня 3, записанного в заголовке пакета IP (Интернет-протокол).
Синтаксис команды для настройки стандартного нумерованного ACL:

Первое значение 1–99 или 1300–1999> указывает стандартный диапазон номеров ACL.

Второе значение указывает, разрешить или запретить трафик настроенного исходного IP-адреса.

Третье значение — исходный IP-адрес, который должен совпадать.

Четвертое значение — это маска подстановочных знаков, которая применяется к ранее настроенному IP-адресу для указания диапазона.

Расширенные списки ACL фильтруют трафик на основе информации об источнике и получателе уровней 3 и 4, что обеспечивает большую гибкость и контроль над доступом к сети, чем стандартные списки ACL. Руководство по командам Cisco Extended ACL можно найти здесь.
Синтаксис команды для настройки расширенного нумерованного ACL:

Первое значение 100–199 или 2000–2699> указывает расширенный диапазон номеров ACL.

Второе значение указывает, разрешать или запрещать трафик в соответствии с приведенными ниже критериями.

Третье значение указывает тип протокола, то есть IP, TCP, UDP, ICMP или другой протокол IP-sub

Исходный и конечный IP-адреса и связанные с ними маски подстановочных знаков определяют, соответственно, источник трафика и его конечный пункт назначения.

Как уже упоминалось, также можно создать именованный ACL, который должен быть указан как стандартный или расширенный.
Синтаксис команды для настройки именованного стандартного или расширенного ACL:

После выполнения этой команды пользователь помещается в режим подконфигурации, где вводятся команды разрешения и запрета:

Расширенные именованные списки управления доступом предлагают дополнительные параметры:

После создания стандартного или расширенного ACL необходимо применить его к соответствующему интерфейсу (или к линии VTY). Команда для применения ACL к интерфейсу:

Руководство по настройке ACL

При работе с ACL или подготовке к экзамену CCNA важно помнить следующие правила:

  • Допускается только один ACL для каждого интерфейса, протокола и направления.
  • Списки управления доступом обрабатываются сверху вниз; наиболее конкретные утверждения должны идти вверху списка. Как только пакет соответствует критериям ACL, обработка ACL прекращается, и пакет либо разрешается, либо запрещается.
  • Списки управления доступом создаются глобально, а затем применяются к интерфейсам.
  • Список управления доступом может фильтровать трафик, проходящий через маршрутизатор, или трафик, поступающий и исходящий от маршрутизатора.
  • В конце всех ACL-списков есть неявная инструкция «запретить все». Таким образом, каждый ACL-список должен иметь по крайней мере один оператор разрешения, чтобы разрешить прохождение любого трафика.

Пример списка контроля доступа

Идея этого примера состоит в том, чтобы продемонстрировать использование стандартных и расширенных нумерованных списков ACL.

В этой сети вы хотите заблокировать любой удаленный доступ к маршрутизаторам, кроме ПК C2.
Во-первых, вы должны создать пронумерованный ACL-список на всех трех маршрутизаторах, а затем применить его к входящему трафику на линиях VTY следующим образом:

Предположим, что вы хотите заблокировать все пакеты, содержащие исходный IP-адрес из следующего пула адресов на маршрутизаторе R1: любые частные адреса RFC 1918 и 127.0.0.0/8. Решение следующее:

Надеюсь, этого было достаточно, чтобы вы начали работу со ACL или освежили в памяти некоторые важные понятия при подготовке к экзамену Cisco.

В мире компьютерных сетей списки управления доступом – один из важнейших компонентов безопасности.

Списки контроля доступа «ACL» — это функция, которая отслеживает входящий и исходящий трафик и сравнивает его с набором определенных операторов.

В этой статье мы углубимся в функциональность списков ACL и ответим на следующие распространенные вопросы о ACL?

  1. Что такое список контроля доступа?
  2. Зачем использовать ACL?
  3. Где разместить список управления доступом?
  4. Каковы компоненты ACL?
  5. Какие существуют типы списков управления доступом?
  6. Как реализовать ACL на маршрутизаторе?

Что такое список контроля доступа?

Списки контроля доступа «ACL» — это фильтры сетевого трафика, которые могут контролировать входящий или исходящий трафик.

ACL работают на основе набора правил, которые определяют, как пересылать или блокировать пакет на интерфейсе маршрутизатора.

ACL — это то же самое, что и брандмауэр без сохранения состояния, который только ограничивает, блокирует или разрешает пакеты, которые передаются от источника к получателю.

Когда вы определяете ACL на устройстве маршрутизации для определенного интерфейса, весь проходящий через него трафик будет сравниваться с инструкцией ACL, которая либо блокирует, либо разрешает его.

Критериями для определения правил ACL могут быть источник, пункт назначения, конкретный протокол или дополнительная информация.

Списки управления доступом обычно используются в маршрутизаторах или брандмауэрах, но их также можно настроить на любом устройстве, работающем в сети, на хостах, сетевых устройствах, серверах и т. д.

Зачем использовать ACL?

Основная идея использования ACL — обеспечить безопасность вашей сети. Без него любой трафик может либо входить, либо выходить, что делает его более уязвимым для нежелательного и опасного трафика.

Чтобы повысить безопасность с помощью ACL, вы можете, например, запретить определенные обновления маршрутизации или предоставить контроль над потоком трафика.

Как показано на рисунке ниже, у маршрутизирующего устройства есть ACL, который запрещает доступ к узлу C в финансовую сеть и в то же время разрешает доступ к узлу D.

С помощью ACL вы можете фильтровать пакеты для одного или группы IP-адресов или различных протоколов, таких как TCP или UDP.

Так, например, вместо того, чтобы блокировать только один хост в команде инженеров, вы можете запретить доступ ко всей сети и разрешить только один. Или вы также можете ограничить доступ к хосту C.

Если инженеру с хоста C требуется доступ к веб-серверу, расположенному в финансовой сети, вы можете разрешить только порт 80 и заблокировать все остальные.

Где разместить список управления доступом?

Устройства, подключенные к неизвестным внешним сетям, таким как Интернет, должны иметь способ фильтрации трафика. Таким образом, одно из лучших мест для настройки ACL — это пограничные маршрутизаторы.

Маршрутизирующее устройство со списком ACL можно разместить лицом к Интернету и подключить к DMZ (демилитаризованной зоне), которая представляет собой буферную зону, разделяющую общедоступный Интернет и частную сеть.

Дизайн демилитаризованной зоны зарезервирован для серверов, которым требуется доступ извне, таких как веб-серверы, серверы приложений, DNS-серверы, виртуальные частные сети и т. д.

Как показано на рисунке ниже, схема показывает демилитаризованную зону, разделенную двумя устройствами, одно из которых отделяет доверенную зону от демилитаризованной зоны, а другое — с Интернетом (общедоступной сетью).

Маршрутизатор, выходящий в Интернет, действует как шлюз для всех внешних сетей. Он обеспечивает общую безопасность, блокируя вход и выход из более крупных подсетей.

Вы также можете настроить ACL на этом маршрутизаторе для защиты от определенных известных портов (TCP или UDP).

Внутренний маршрутизатор, расположенный между демилитаризованной зоной и доверенной зоной, можно настроить с более строгими правилами для защиты внутренней сети. Тем не менее, это отличный способ выбрать брандмауэр с отслеживанием состояния, а не ACL.

Но почему для защиты демилитаризованной зоны лучше использовать ACL, а не брандмауэр с отслеживанием состояния?

Списки управления доступом настраиваются непосредственно в оборудовании переадресации устройства, поэтому они не влияют на конечную производительность.

Размещение брандмауэра с отслеживанием состояния для защиты демилитаризованной зоны может снизить производительность вашей сети.

Выбор маршрутизатора ACL для защиты высокопроизводительных ресурсов, таких как приложения или серверы, может быть лучшим вариантом. Хотя списки ACL могут не обеспечивать тот уровень безопасности, который предлагает брандмауэр с отслеживанием состояния, они оптимальны для конечных точек в сети, которым требуется высокая скорость и необходимая защита.

Каковы компоненты ACL?

Реализация списков ACL очень похожа на большинстве платформ маршрутизации, и все они имеют общие рекомендации по их настройке.

Помните, что ACL — это набор правил или записей.У вас может быть ACL с одной или несколькими записями, где каждая из них должна что-то делать, например, разрешать все или ничего не блокировать.

При определении записи ACL вам потребуется необходимая информация.

  1. Порядковый номер:
    идентифицируйте запись ACL с помощью номера.
  2. Имя ACL:
    Определите запись ACL, используя имя. Некоторые маршрутизаторы позволяют использовать не последовательность цифр, а комбинацию букв и цифр.
  3. Примечание.
    Некоторые маршрутизаторы позволяют добавлять комментарии в ACL, что может помочь вам добавить подробные описания.
  4. Утверждение:
    Запретить или разрешить определенный источник на основе адреса и маски с подстановочными знаками. Некоторые устройства маршрутизации, такие как Cisco, по умолчанию настраивают неявный оператор отказа в конце каждого ACL.
  5. Сетевой протокол:
    укажите, следует ли запрещать/разрешать IP, IPX, ICMP, TCP, UDP, NetBIOS и другие.
  6. Источник или пункт назначения.
    Определите источник или пункт назначения как один IP-адрес, диапазон адресов (CIDR) или все адреса.
  7. Журнал.
    Некоторые устройства могут вести журнал при обнаружении совпадений ACL.
  8. Другие критерии.
    Расширенные списки управления доступом позволяют использовать контроль трафика с помощью типа обслуживания (ToS), приоритета IP и приоритета кодовой точки дифференцированного обслуживания (DSCP).

Какие существуют типы списков ACL?

Существует четыре типа списков управления доступом, которые можно использовать для разных целей: стандартные, расширенные, динамические, рефлексивные и основанные на времени списки управления доступом.

1. Стандартный список контроля доступа

Стандартный ACL предназначен для защиты сети с использованием только исходного адреса.

Это самый простой тип, который можно использовать для простых развертываний, но, к сожалению, он не обеспечивает надежной защиты. Конфигурация стандартного ACL на маршрутизаторе Cisco выглядит следующим образом:

2. Расширенный список контроля доступа

С помощью расширенного ACL вы также можете заблокировать источник и место назначения для отдельных узлов или целых сетей.

Вы также можете использовать расширенный ACL для фильтрации трафика на основе информации о протоколе (IP, ICMP, TCP, UDP).

Конфигурация расширенного ACL в маршрутизаторе Cisco для TCP выглядит следующим образом:

3. Динамический ACL

Динамические списки управления доступом основаны на расширенных списках управления доступом, Telnet и аутентификации. Этот тип ACL часто называют «замком и ключом», и его можно использовать для определенных периодов времени.

Эти списки разрешают пользователю доступ к источнику или получателю только в том случае, если пользователь проходит аутентификацию на устройстве через Telnet.

Ниже приведена конфигурация динамического списка контроля доступа в маршрутизаторе Cisco.

4. Рефлексивный ACL

Рефлексивные списки управления доступом также называются списками управления доступом для IP-сеансов. Этот тип ACL фильтрует трафик на основе информации о сеансе верхнего уровня.

Они реагируют на сеансы, инициированные внутри маршрутизатора, чтобы разрешить исходящий трафик или ограничить входящий. Маршрутизатор распознает исходящий трафик ACL и создает новую запись ACL для входящего.

По завершении сеанса запись удаляется.

Конфигурация рефлексивного ACL в маршрутизаторе Cisco выглядит следующим образом:

Как реализовать ACL на маршрутизаторе?

Понимание входящего и исходящего трафика (или входящего и исходящего) в маршрутизаторе имеет решающее значение для правильной реализации ACL.

При настройке правил для ACL все потоки трафика основаны на точке зрения интерфейса маршрутизатора (а не других сетей).

Как видно из рисунка ниже, входящий трафик — это поток, поступающий из сети, внешней или внутренней, на интерфейс маршрутизатора. С другой стороны, исходящий трафик — это поток от интерфейса, выходящий в сеть.

Чтобы ACL работал, примените его к интерфейсу маршрутизатора. Поскольку все решения о маршрутизации и пересылке принимаются аппаратным обеспечением маршрутизатора, операторы ACL могут выполняться намного быстрее.

Когда вы создаете запись ACL, адрес источника идет первым, а адрес назначения идет после него. Возьмем пример расширенной конфигурации ACL для IP на маршрутизаторе Cisco. При создании правила «Запретить/разрешить» необходимо сначала определить исходный, а затем целевой IP-адрес.

Входящий поток — это источник всех хостов или сети, а исходящий — конечный пункт всех хостов и сетей.

Что является источником, если вы хотите заблокировать трафик, поступающий из Интернета?

Помните, что входящий трафик поступает из внешней сети на интерфейс вашего маршрутизатора.

Итак, источником является IP-адрес из Интернета (общедоступный IP-адрес веб-сервера) или все (маска подстановки 0.0.0.0), а пункт назначения — внутренний IP-адрес.

Наоборот, что, если вы хотите заблокировать определенный хост для подключения к Интернету?

Входящий трафик поступает из внутренней сети на интерфейс маршрутизатора и выходит в Интернет. Таким образом, источником является IP-адрес внутреннего хоста, а местом назначения — IP-адрес в Интернете.

Обзор

ACL — это фильтры пакетов в сети.

Они могут ограничивать, разрешать или запрещать трафик, необходимый для обеспечения безопасности. ACL позволяет контролировать поток пакетов для одного или группы IP-адресов или для разных протоколов, таких как TCP, UDP, ICMP и т. д.

Размещение ACL на неправильном интерфейсе или ошибочное изменение источника/назначения может отрицательно сказаться на сети. Одна инструкция ACL может оставить весь бизнес без Интернета.

Чтобы избежать отрицательной производительности, важно понимать потоки входящего и исходящего трафика, как работают списки управления доступом и где их размещать. Помните, что задача маршрутизатора состоит в том, чтобы перенаправлять трафик через правильный интерфейс, чтобы поток мог быть как входящим (входящим), так и исходящим (исходящим).

Хотя брандмауэр с отслеживанием состояния обеспечивает гораздо лучшую безопасность, он может поставить под угрозу производительность сети. Но списки управления доступом развернуты прямо на интерфейсе, и маршрутизатор использует свои аппаратные возможности для их обработки, что делает его намного быстрее и при этом обеспечивает хороший уровень безопасности.

Джеймс Кокс

Джеймс Кокс (James Cox) является редактором ITT Systems и имеет большой опыт работы в области ИТ и сетевой инженерии. Он может похвастаться длинным списком учетных данных, начиная от сертификатов CompTIA и заканчивая баллами Cisco и VMWare в его резюме.

В этой главе описывается, как настроить списки контроля доступа (ACL).

Эта глава содержит следующие темы:

Списки контроля доступа (ACL) представляют собой набор условий разрешения и запрета, называемых правилами, которые обеспечивают безопасность, блокируя неавторизованных пользователей и разрешая авторизованным пользователям доступ к определенным ресурсам.

Списки управления доступом также могут обеспечивать управление потоком трафика, ограничивать содержание обновлений маршрутизации и решать, какие типы трафика пересылать или блокировать. Обычно ACL-списки находятся в маршрутизаторе брандмауэра или в маршрутизаторе, соединяющем две внутренние сети.

Вы можете настроить списки управления доступом для управления трафиком на уровне 2, уровне 3 или уровне 4. Списки управления доступом для MAC-адресов работают на уровне 2. Списки управления доступом для IP-адресов работают на уровнях 3 и 4.

Возможности

Функции поддержки ACL включают зеркалирование на основе потоков и ведение журнала ACL.

    Зеркальное отображение на основе потоков — это возможность зеркалировать трафик, соответствующий правилу разрешения, на определенный физический порт или LAG. Зеркалирование на основе потока похоже на функцию перенаправления, за исключением того, что при зеркалировании на основе потока копия разрешенного трафика доставляется на зеркальный интерфейс, в то время как сам пакет обычно пересылается через устройство. Вы не можете настроить данное правило ACL с атрибутами зеркалирования и перенаправления.

Использование ACL для зеркалирования трафика называется зеркалированием на основе потока, поскольку поток трафика определяется правилами классификации ACL. Это отличается от зеркального отображения портов, когда весь трафик, встречающийся на определенном интерфейсе, реплицируется на другом интерфейсе.

Ограничения

К спискам управления доступом применяются следующие ограничения. Эти ограничения зависят от платформы.

    Максимум 100 ACL.

Списки контроля доступа MAC

Списки управления доступом MAC — это списки управления доступом 2 уровня. Вы можете настроить правила для проверки следующих полей пакета (ограничено платформой):

    Исходный MAC-адрес

Списки управления доступом L2 могут применяться к одному или нескольким интерфейсам.

К одному интерфейсу можно применить несколько списков доступа — порядковый номер определяет порядок выполнения.

Вы можете назначать пакеты очередям, используя параметр назначения очереди.

Списки контроля доступа IP

Списки управления доступом IP классифицируют уровни 3 и 4.

Каждый ACL представляет собой набор из десяти правил, применяемых к входящему трафику. Каждое правило указывает, следует ли использовать содержимое данного поля для разрешения или запрета доступа к сети, и может применяться к одному или нескольким из следующих полей в пакете:

    IP-адрес назначения с подстановочной маской

Настройка ACL

<р>1. Создайте список управления доступом MAC, указав имя.

<р>2. Создайте IP ACL, указав номер.

<р>3. Добавьте новые правила в ACL.

<р>4. Настройте критерии соответствия для правил.

<р>5. Примените ACL к одному или нескольким интерфейсам.

Настройка IP ACL через интерфейс командной строки

Сценарий в этом разделе показывает, как настроить IP ACL с двумя правилами: одно применимо к трафику TCP, а другое — к трафику UDP.Содержание двух правил одинаково. Пакеты TCP и UDP будут приниматься коммутатором Sun Netra CP3240 только в том случае, если исходная и целевая станции имеют IP-адреса, попадающие в определенные наборы.

РИСУНОК 22-1 Пример сетевой схемы IP ACL

Пример 1. Создание ACL 179 и определение правила ACL

После применения маски она разрешает пакеты, несущие TCP-трафик, соответствующий указанному исходному IP-адресу, и отправляет эти пакеты на указанный целевой IP-адрес.

Пример 2. Определение второго правила для ACL 179

Определите правило, чтобы задать такие же условия для трафика UDP, как и для трафика TCP.

Пример 3. Применение правила к входящему трафику через порт 1/0/2

Принимается только трафик, соответствующий критериям.

Настройка списка управления доступом MAC через CLI

Ниже приведены примеры команд, используемых для функции MAC ACL.

Пример 1. Настройка списка доступа по MAC-адресам

Пример 2: Указание атрибутов MAC ACL

Пример 3. Настройка группы доступа MAC

Пример 4. Настройка ACL с действием разрешения

Пример 5: Показать списки доступа MAC

Настройка ACL через веб-интерфейс

В функции ACL используются следующие веб-страницы.

РИСУНОК 22-2 Страница конфигурации MAC ACL — создание нового MAC ACL

РИСУНОК 22-3 Страница конфигурации MAC ACL

РИСУНОК 22-4. Сводка списка управления доступом MAC

РИСУНОК 22-5 Настройка правила MAC ACL — создание нового правила

РИСУНОК 22-6 Страница настройки правила MAC ACL — добавление MAC-адреса назначения и маски MAC-адреса

РИСУНОК 22-7 Страница настройки правила MAC ACL — просмотр текущих настроек

РИСУНОК 22-8 Страница настройки правила MAC ACL — добавление MAC-адреса назначения и маски MAC-адреса

РИСУНОК 22-9 Страница настройки правила MAC ACL — добавление MAC-адреса назначения и маски MAC-адреса

РИСУНОК 22-10 Конфигурация интерфейса ACL

РИСУНОК 22-11 Страница конфигурации IP ACL — создание нового IP ACL

РИСУНОК 22-12 Страница конфигурации IP ACL — создание правила и назначение идентификатора

РИСУНОК 22-13 IP ACL Настройка свойств правила IP ACL

РИСУНОК 22-14 Страница конфигурации правила IP ACL — правило с конфигурацией протокола и IP-адреса источника

Краткое определение. Список контроля доступа (ACL) — это упорядоченный список правил, используемых для фильтрации трафика. В каждом правиле указано, что разрешено, а что запрещено. Когда пакет пытается войти или выйти из маршрутизатора, он проверяется на соответствие каждому правилу в списке — от первого до последнего. Если пакет соответствует правилу, его результат определяется условиями оператора: если первое правило, которому соответствует пакет, является оператором разрешения, он разрешен; если это оператор отказа, он отклонен.

Тренер CBT Nuggets Джереми Сиоара рассказывает больше об этой теме в следующем MicroNugget:

Что такое ACL?

ACL – это список правил разрешения или запрета, в котором подробно описывается, что может или не может входить или выходить из интерфейса маршрутизатора. Каждый пакет, который пытается войти или выйти из маршрутизатора, должен проверяться на соответствие каждому правилу в ACL до тех пор, пока не будет найдено совпадение. Если совпадений не найдено, оно будет отклонено.

Обучение кибербезопасности от CBT Nuggets

Если говорить более подробно, то при отправке пакета необходимо знать, куда он направляется (назначение) и откуда пришел (источник). Таким образом, он содержит исходный и целевой IP-адреса. Маршрутизатор просматривает эту информацию, чтобы определить, соответствует ли она какому-либо правилу в своем ACL.

Если маршрутизатор не может найти соответствие между информацией в ACL и информацией в пакете, который пытается войти в него, пакет неявно отклоняется.

Как работает неявный запрет?

Последнее правило в каждом ACL-списке — это неявный оператор отказа. Поскольку это неявно, вы этого не увидите. Имейте в виду, что то, что вы этого не видите, не означает, что оно ничего не делает. Это правило очень сильное. Каждый бит трафика, не соответствующий правилу в ACL, будет отклонен.

Что такое стандартные списки управления доступом?

Существует два типа списков контроля доступа: стандартные и расширенные. Стандартные списки ACL являются самыми старыми, начиная с первых дней существования программного обеспечения Cisco IOS (выпуск 8.3). В отличие от расширенных ACL, стандартные ACL ограничиваются управлением трафиком на основе информации об исходном IP-адресе, а не на информации об исходном и целевом IP-адресе.

Как вы узнали выше, когда пакет пытается войти или выйти из маршрутизатора, его IP-информация проверяется на соответствие каждому правилу в ACL. Если пакет соответствует правилу, он разрешается или запрещается.

Прямо сейчас вам может быть интересно, что пакету разрешено или запрещено делать. Это зависит от того, где вы применяете ACL — входящее или исходящее направление.

В чем разница между входящим и исходящим трафиком?

Если список ACL является входящим, он применяется к пакетам, которые прибыли на интерфейс и пытаются пройти через маршрутизатор. Это относится к трафику, поступающему из Интернета и поступающему в вашу внутреннюю сеть. Если ACL исходящий, он применяется к пакетам, прошедшим через маршрутизатор и пытающимся покинуть интерфейс.

Например, это относится к трафику, покидающему вашу внутреннюю сеть и направляющемуся в Интернет.

Как настроить стандартные списки управления доступом?

Вы можете настроить ACL в режиме глобальной конфигурации:

В режиме глобальной конфигурации вам нужно будет указать, какой стандартный ACL вы хотите настроить, выбрав число от 1 до 99. В этом случае мы выберем один (но вы можете выбрать любое число между этот диапазон).

Каждое правило начинается с выбранного вами списка доступа, за которым следует команда разрешить или запретить и заканчиваться исходным IP-адресом:

Независимо от того, какой номер вы выберете для своего списка доступа, вы можете добавить бесконечное количество правил. Но при настройке списков управления доступом следует помнить о некоторых вещах, таких как маски с подстановочными знаками.

Что такое подстановочная маска?

Некоторые из вас, возможно, уже знают, как выглядят маски подсети, но для тех из вас, кто не знает, маска подсети начинается с самых больших чисел слева. Для маски подсети /16 это будет выглядеть так:

Однако маски для списков управления доступом IP, называемые подстановочными масками, имеют противоположное значение. Чтобы получить подстановочную маску, просто возьмите маску подсети и вычтите ее из следующего:

Если вы вычтете маску подсети /16 из приведенного выше адреса, у вас останется подстановочная маска:

Когда и как следует использовать подстановочную маску?

Если вы добавляете адрес с косой чертой — IP-адрес, за которым следует косая черта (/) и число от 1 до 32 — вы должны использовать подстановочный знак. Например, чтобы разрешить 172.30.0.0/16, вы можете использовать подстановочную маску:

A /16 равно 255.255.0.0

Вычтите это из 255.255.255.255

Осталось 0.0.255.255, что представляет маску подстановки. Вы можете указать подстановочную маску, добавив ее после IP-адреса:

Как вы назначаете ACL?

После того как вы настроили список управления доступом, вам необходимо назначить его интерфейсу. Вы также можете сделать это в режиме глобальной конфигурации, указав интерфейс, к которому вы хотите применить ACL:

Далее вам нужно будет указать, какой ACL вы хотите применить. С помощью этой команды вам также нужно будет определить, должен ли этот ACL применяться к входящим или исходящим:

Приведенный выше пример применит список доступа 1 (ACL, который мы настроили выше) к интерфейсу fa (fast ethernet) 0/0 в исходящем направлении.

Что такое стандартный именованный ACL?

Когда мы настроили приведенный выше ACL, мы обозначили ACL номером. Но число не всегда легко запомнить. Вот почему мы используем такие вещи, как доменные имена: запомнить Google намного проще, чем запомнить строку из единиц и нулей, представляющую IP-адрес Google.

Как вы настраиваете ACL со стандартными именами?

Вместо использования ip-группы доступа мы можем использовать ip-список доступа. Кроме того, вместо того, чтобы настраивать и назначать стандартные ACL с номером, мы можем использовать имя. Остальное аналогично нумерованной конфигурации ACL:

Как назначить стандартный именованный ACL?

Чтобы назначить вышеупомянутый ACL для определенного интерфейса, вы можете сделать то же самое, что и для нумерованного списка доступа. Но вместо номера вы бы использовали имя:

Обучение CBT Nuggets по ACL

Обучающая библиотека CBT Nuggets содержит широкий спектр обучающих материалов по работе в сети для устройств Cisco. Вы можете найти обучение, которое поможет вам настроить стандартные ACL, в следующих курсах:

    : видео 66 и 67.
  • Cisco CCNP Routing and Switching 300–101 МАРШРУТ: Видео 27: Видео 22, 23, 32 и 35

Не являетесь подписчиком CBT Nuggets? Начните бесплатную неделю прямо сейчас.

CBT Nuggets предлагает все необходимое для изучения новых ИТ-навыков и продвижения по карьерной лестнице – неограниченные видеообучения и практические экзамены, виртуальные лаборатории, подтвержденное обучение с видео-викторинами, коучинг по вопросам ответственности и доступ к нашему эксклюзивному сообществу. ИТ-специалистов.

Рекомендации

Cisco против Juniper: почему Cisco в 2022 году

Cisco против Juniper: почему Juniper в 2022 году

Cisco и Juniper: доля рынка в 2022 году

Популярное

Когда использовать 20 МГц, 40 МГц или 80 МГц

7 распространенных проблем с сетью и способы их быстрого решения

5 лучших сетевых симуляторов для экзаменов Cisco: CCNA, CCNP, CCIE

Бесплатная и платная версии VMware ESXi: обзор лицензионных ограничений

Сколько стоят ИТ-сертификаты?

Сертификаты Microsoft Office — они того стоят?

Что считается опытом управления проектами?

Основы работы в сети: что такое подсети IPv4?

Сопоставление индекса-соответствия: как сопоставлять строки и столбцы с индексом

Подсети: практический экзамен из 10 вопросов

Контент, посвященный помощи ИТ-специалистам.

Я прочитал и понял политику конфиденциальности и могу с ней согласиться.

Читайте также: