Těm z vás, kteří znají seznamy řízení přístupu, je pravděpodobně známo, že existuje mnoho různých typů seznamů řízení přístupu. Máme seznamy řízení přístupu pro IP verze 4, pro IP verze 6, pro IPX, pro DECnet, pro AppleTalk a seznam pokračuje dál a dál. Za co jste zodpovědní vy? V tuto chvíli jsme zodpovědní za IP verzi 4 a na tu se také zaměřujeme, na IP verzi 4. A seznamy řízení přístupu IP verze 4 můžeme rozdělit na dva různé typy, standardní a rozšířené. Jaký je mezi nimi rozdíl?

  • Standardní seznam ACL
    • Kontroluje zdrojovou adresu seznamu ACL
    • Povoluje nebo zamítá celou sadu protokolů
  • Rozšířený seznam ACL
    • Kontroluje. zdrojovou a cílovou adresu
    • Všeobecně povoluje nebo zamítá konkrétní protokoly a aplikace
      • Zdrojové a cílové porty TCP a UDP
      • Typ protokolu (IP, ICMP, UDP, TCP nebo číslo protokolu)

No to je, jaké parametry hledají, a chci, abyste si přečetli normu, co tady tato norma hledá? Co kontroluje? Chci, abyste si to přečetli. A já vám ukážu způsob, jak si to zapamatovat. Takže vidíte, že standard se nedívá na cíl, což prakticky vzato není příliš užitečné. Absence možnosti hledat cíl je dost omezující, obvykle chcete hledat, odkud to přichází a kam to směřuje. Ale standardní přístupový seznam má něco společného se zdrojovou adresou, že? Je to písmeno S, je to skvělý způsob, jak si zapamatovat, že standardní přístupové seznamy hledají pouze zdrojovou adresu.

Rozšířené seznamy řízení přístupu neboli rozšířené seznamy ACL jsou naopak mnohem výkonnější, mohou se dívat na zdrojovou i cílovou adresu, mohou se dívat na protokoly transportní vrstvy, jako je TCP a User Data Protocol neboli UDP. Mohou se podívat na protokoly aplikační vrstvy přes TCP a UDP, například HTTP, FTP, Trivial File Transport Protocol (TFTP), DNS, secure sockets layer a secure shell. To zní jako hodně, jak si tedy zapamatovat, že rozšířené seznamy přístupu mohou odpovídat mnohem více než standardní seznamy řízení přístupu? No, když jsme se zmiňovali o našich standardních seznamech řízení přístupu, zdůraznili jsme, že kontrolují pouze zdrojovou adresu. Standardní začíná písmenem S, zdrojové začíná také písmenem S.

Takže si to pamatuji jako standardní, pouze zdrojové, S a S, zatímco u rozšířených máme vše ostatní. E nám tedy pomáhá zapamatovat si vše. Nyní existují určité věci, které nemůžeme porovnávat. Nemůžeme porovnávat sekvenční čísla, čísla potvrzení, nemůžeme porovnávat mnoho příznaků například v TCP, můžeme porovnávat jeden z nich a poslat bit. Ale je to mnohem obsáhlejší, a tak jsme blíže všemu. Mějte na paměti, že při jejich zadávání máme dvě sady syntaxe, máme starou syntaxi a máme novou syntaxi. A my vám vystavíme obě.

Stará syntaxe je číslovaná, nová syntaxe je pojmenovaná a číslovaná syntaxe, to je trochu ošemetné. S číselnými jmény se nesetkáváme tak často. V číslovaném standardním přístupovém seznamu máme od 1 do 99. Existuje rozšířený rozsah, od kterého se držíme dál, už není důvod ho používat. Rozsah 1300 až 1999, ten nepoužíváme, dobře, vyhýbáme se mu. Ale jedna až 99 je standardní, 100 až 199 je rozšířený a způsob, jak si tento rozsah zapamatovat, je, že vždy končí na 99, každý jednotlivý rozsah končí 99 něco. A když rozšíříme na třímístnou hodnotu, když přeskočíme ze dvou číslic na tři číslice, rozšíříme, a proto dostaneme rozšířený rozsah přístupového seznamu IP.

Typ IPv4 ACL Číselný rozsah / identifikátor
Číselný standardní 1-99, 1300-1999
Číselný rozšířený 100-199, 2000-2699
Název (standardní a rozšířený) Název

Ale to je syntaxe, za kterou upřímně řečeno neseme větší zodpovědnost, ale již více než deset let máme pojmenované seznamy řízení přístupu. Ve skutečnosti je to už více než deset let, co spolu mluvíme. Jaký je přínos pojmenovaného seznamu řízení přístupu? No pojmenovaný seznam řízení přístupu nám především umožňuje poskytnout popisný název. Takže místo toho, aby se náš seznam řízení přístupu jmenoval 79, můžeme poskytnout popisný název a tento název nám pomůže pochopit, k čemu je seznam řízení přístupu určen. Ale to, co skutečně využíváme při použití pojmenovaných seznamů řízení přístupu, je možnost jejich editace, přidávání a odstraňování záznamů v rámci tohoto seznamu ACL.

Víte, u očíslovaných seznamů řízení přístupu, pokud potřebujete přidat záznam, když přejdete do rozhraní příkazového řádku a chcete přidat záznam, bude tento záznam prohlédnut před záznamem, který tam již máte. Teď tam prostě nemůžete jít a prostě to tam vložit, neexistuje žádný způsob, jak to udělat se syntaxí pro vytváření. Takže jste omezeni na možnost editace, co musíte udělat? Všechno to vymažte a vytvořte to znovu. Takže se hodí Poznámkový blok. Dobře, ale u pojmenovaného seznamu řízení přístupu máme možnost jít do syntaxe pojmenovaného seznamu řízení přístupu, přidávat, přesouvat, mazat, měnit tyto položky v seznamu řízení přístupu, jak uznáme za vhodné.

Takže mnohem mocnější, syntaxe pojmenovaného seznamu řízení přístupu. Ale nechápejte nás tu špatně. Číslovaná identifikace seznamu řízení přístupu, například 1, 2, 3, 4 nebo 100 či 150, to je stále název seznamu řízení přístupu. A uvidíte to později, využijte syntaxi pojmenovaného seznamu řízení přístupu k úpravě číslovaného seznamu řízení přístupu. Je to docela fajn a my vám dáme možnost upravovat a opravovat chyby v číslovaném seznamu řízení přístupu, aniž byste ho museli celý vyhodit a odstranit. Takže opravdu skvělá syntaxe a vy se ji naučíte a zamilujete si ji a uvidíme ji celou, celou syntaxi, jak budeme společně postupovat tímto kurzem.

Standardní číslované seznamy ACL

Standardní seznamy přístupu, co hledají? Ptám se vás, co hledají? Hledají zdrojový parametr a tady to vidíme. Takže se nebudou starat o záhlaví rámce 2. vrstvy, budou se dívat na záhlaví paketu, budou se dívat na zdrojové pole v záhlaví paketu a budou porovnávat výhradně na základě toho. Nebudou se tedy zabývat hlouběji transportní vrstvou. A žádný z nich nezasahuje do dat, dobře. K filtrování na základě dat byste museli použít nějaké pokročilé funkce firewallu.

Tady je to, na co jsme čekali, syntaxe, a není příliš složitá, to si zapamatujte. Není to příliš složité. V první řadě nakonfigurujeme číslované seznamy řízení přístupu v režimu globální konfigurace. Zadáme access-list a pak zadáme číslo seznamu přístupových práv. Jedná se tedy o standardní seznamy řízení přístupu IPv4, jaké jsou rozsahy čísel? 1 až 99 a 1300 až 1999. Když zadáme libovolné číslo z těchto možných hodnot, náš směrovač automaticky pozná, že vytváříme standardní seznam řízení přístupu IPv4, a nabídne vám správnou syntaxi, kterou máte použít:

Nedovolí vám zadat parametry, které nejsou pro standardní seznam řízení přístupu IP verze 4 přijatelné. Takže pokud zadáte špatné číslo, pokud zadáte 101, kde se snažíte vytvořit standardní seznam řízení přístupu IP verze 4, poskytne vám syntaxi pro rozšířený seznam řízení přístupu, že? Takže si dejte pozor na číslování, vyberte správná čísla a pak určete, co se má s tímto provozem dít. Chcete jej povolit? Chcete ho zakázat? Můžete také uvést poznámku, co je to poznámka? Je to jen popis. Můžete tedy tento seznam řízení přístupu popsat, takže až budete později seznam řízení přístupu prohlížet, budete vědět, k čemu slouží.

R1(config)#
R1(config)#access-list 1 ?
deny Určuje pakety k odmítnutí
permit Určuje pakety k předání
remark Komentář k položce přístupového seznamu
R1(config)#access-list 1 permit ?
Název hostitele nebo A.B.C.D Adresa, která má být porovnána
any Libovolný zdrojový hostitel
hostitel Adresa jednoho hostitele
R1(config)#access-list 1 permit 172.16.0.0 ?
/nn nebo A.B.C.D Zástupné bity
log Zaznamená shody s touto položkou
<cr>
R1(config)#access-list 1 permit 172.16.0.0 0.0.255.255 ?
log Loguje shody proti tomuto záznamu
<cr>
R1(config)#access-list 1 permit 172.16.0.0.0.255.255
R1(config)#

Tak máme náš zdroj, co je to zdroj? Vzpomeňte si, jak jsme se dříve zabývali adresami a kombinacemi zástupných masek… No, zdroj je zdrojová adresa, ten výchozí bod, který chceme použít pro toto porovnání rozsahu. Takže když se podíváme na náš příklad, máme adresu 172.16.0.0, zdroj a pak masku. Co je maska? Tady pozor, není to, opakuji, není to maska podsítě. Je to maska se zástupnými znaky. Zde zadáváme masku se zástupnými znaky. Takže v našem příkladu 0.0.255.255, takže jaký je rozsah adres, které tento seznam řízení přístupu, který jsme právě vytvořili, bude kontrolovat? 172.16.0.0 až 172.16.255.255.

Takže vidíte, jak důležitá je maska zástupných znaků, a pochopení toho, co dělá, vám pomůže při jejich vytváření a čtení. Píše se zde, že existuje výchozí maska zástupných znaků, berte to s rezervou, váš operační systém obecně řečeno již nebude akceptovat syntaxi, když vložíte jakoukoli položku uvnitř seznamu řízení přístupu, která postrádá masku zástupných znaků. Dobře, takže to je staré chování a nereprezentuje nic z poslední doby. Když vložíme takovou položku, jakou vidíme v globálním konfiguračním režimu u access-list, je to jen jedna položka. Mějte na paměti, že kdybychom chtěli přidat další položku, stále bychom měli access-list 1 a pak bychom sestavili další sekvenci povolení nebo odmítnutí. access-list 1 znovu, access-list 1 znovu, pokud bychom chtěli sestavit větší a větší seznam řízení přístupu. Jaká je minimální velikost seznamu řízení přístupu?“

Minimální velikost by byla jeden příkaz permit. Ano, myslím, že tam nemůže být jen jeden příkaz deny, to by bylo zbytečné, ledaže byste logovali, ale to by nepropustilo nic. A maximum je to, co si vymyslíš a na co máš výdrž. Jakmile zdokonalíte svůj seznam řízení přístupu v režimu globální konfigurace, jak vidíme zde, můžete ho ověřit. Ale zobrazit seznamy přístupu, příkaz a to by ve skutečnosti zobrazit všechny seznamy přístupu, IPv4, IPv6, Mac adresy přístupový seznam, IPX, AppleTalk, ale obvykle máme jen IPv4 a může být v dnešní době některé IPv6.

R1#show access-lists
Standardní IP access list 1
10 permit 172.16.0.0, wildcard bits 0.0.255.255

A vidíme jednu položku. Teď počkejte, počkejte, vložili jsme permit 172.16 s tou zástupnou maskou, co je tam 10? Co je ta desítka, která právě ožila v našem přístupovém seznamu? Desítka je automatické pořadové číslo, které se přidává do přístupového seznamu. Ve výchozím nastavení je to 10. Kdybychom vytvořili další položku… takže bychom zadali access-list 1 permit 192.168.1.0 0.0.0.255, bylo by mu automaticky přiděleno sekvenční číslo. A to by bylo 20, další v seznamu a další bude 30 a 40 a 50, to je způsob, jak je sledujeme, pořadové číslo, pořadí, v jakém jsme je vytvořili.

A to je důležité, pamatujete si, jak jsme říkali, že pokud budeme chtít upravit seznam řízení přístupu, možná budeme chtít přidat záznam sem a tam, ale to můžeme udělat pouze pomocí pojmenované syntaxe, tady s touto standardní syntaxí číslování to nejsme schopni udělat, ale tato pořadová čísla budou určujícím faktorem toho, kam se náš záznam dostane. Pokud přidáme nebo přesuneme nebo odstraníme nebo změníme, a to uvidíme později, uvidíme to později, až když vstoupíme do pojmenované syntaxe seznamu řízení přístupu, jak lze tato pořadová čísla použít a manipulovat s nimi v náš prospěch.

Odstranění seznamu přístupu je velmi snadné, pamatujte si, že silný příkaz no, zadejte no access-list a pak číslo seznamu přístupu, který chcete odstranit. Buďte opatrní, buďte opatrní. Řekněme, že jste zadali příkaz no access-list 1 permit 172.16.0.0 0.0.0.255.255. To znamená, že jste zadali příkaz no access-list. Chcete tedy odstranit standardní položku přístupového seznamu, kterou jste vytvořili dříve. Napíšete no a zadáte celý příkaz, který jste zadali předtím, odstraní to jen tuto jednu položku? Zopakuji to, odstraní to jen tu jednu položku? Na první pohled ano, to je na první pohled, ale když to vyzkoušíte a otestujete? Ne, to se nestane. Neodstraní to jen tu jednu položku, co to udělá? Zbaví se ho celého, takže někteří z vás se s tím už setkali. Je to opravdu bizarní chování systému IOS.

R1#config t
Zadejte konfigurační příkazy, jeden na řádek. Ukončete klávesou CNTL/Z.
R1(config)#no access-list 1
R1(config)#end
R1#sh access-lists
R1#

Normálně, když zadáme konkrétní příkaz a vložíme ho jako no, odstraní se pouze tento jeden příkaz. Zde musíme být velmi opatrní se syntaxí, ať už řeknete no access list, dejte mu číslo. Je mi jedno, co se stane potom, zničí to celý přístupový seznam a mnoho špatných dnů bylo způsobeno tímto chováním.

.

admin

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.

lg