Käytönvalvontaluettelot tunteville on varmaan tuttua, että niitä on monenlaisia. Meillä on pääsynvalvontalistoja IP-versiolle 4, IP-versiolle 6, IPX:lle, DECnetille, AppleTalkille ja lista jatkuu ja jatkuu ja jatkuu. Mistä sinä olet vastuussa? Olemme tällä hetkellä vastuussa IP-versiosta 4, ja keskitymme siihen, IP-versioon 4. IP-version 4:n pääsynvalvontaluettelot voidaan jakaa kahteen eri tyyppiin, vakiomuotoisiin ja laajennettuihin. Mitä eroa tässä on?
- Standard ACL
- Tarkistaa ACL:n lähdeosoitteen
- Sallii tai kieltää koko protokollasarjan
- Laajennettu ACL
- Tarkistaa mm. lähde- ja kohdeosoite
- Sallii tai kieltää yleisesti tietyt protokollat ja sovellukset
- Lähde- ja kohde TCP- ja UDP-portit
- Protokollatyyppi (IP, ICMP, UDP, TCP tai protokollan numero)
Niin, mitä parametreja he etsivät ja haluan sinun lukevan standardin, mitä tämä standardi etsii tässä? Mitä se tarkistaa? Haluan sinun lukevan sen. Ja aion näyttää tavan muistaa se. Näette siis, että standardi ei katso määränpäätä, mikä ei käytännössä ole kovin hyödyllistä. Määränpään puuttuminen on melko rajoittavaa, yleensä halutaan katsoa, mistä se on tulossa ja minne se on menossa. Mutta standardipääsylistalla on jotain yhteistä lähdeosoitteen kanssa, eikö niin? Se on S-kirjain, se on hyvä tapa muistaa, että tavalliset pääsyluettelot tarkastelevat vain lähdettä.
Laajennetut pääsynvalvontaluettelot eli laajennetut ACL:t ovat toisaalta paljon tehokkaampia, ne voivat tarkastella lähdettä ja määränpäätä, ne voivat tarkastella kuljetuskerroksen protokollia, kuten TCP:tä ja käyttäjätiedonsiirtoprotokollaa (User Data Protocol, UDP). Ne voivat tarkastella TCP:n ja UDP:n kautta sovelluskerroksen protokollia, kuten HTTP:tä, FTP:tä, TFTP:tä (Trivial File Transport Protocol), DNS:ää, Secure Sockets Layer -protokollaa ja Secure Shell -protokollaa. Tämä kuulostaa paljolta, joten miten muistamme, että laajennetut pääsyluettelot voivat sopia niin paljon muuhun kuin tavalliset pääsynvalvontaluettelot? Kun viittasimme tavallisiin pääsynvalvontaluetteloihin, huomautimme, että niissä tarkistetaan vain lähdeosoite. Standardi alkaa S:llä, lähde alkaa myös S:llä.
Muistan sen siis standardina, vain lähde, S ja S, kun taas laajennetussa meillä on kaikki muu. Joten E auttaa meitä muistamaan kaiken. Nyt on tiettyjä asioita, joita emme voi sovittaa yhteen. Emme voi sovittaa sekvenssinumeroita, kuittausnumeroita, emme voi sovittaa monia TCP:n lippuja esimerkiksi, voimme sovittaa yhden niistä ja lähettää bitin. Mutta se on paljon kattavampi, joten olemme lähempänä kaikkea. Kannattaa muistaa, että kun syötämme näitä, meillä on kaksi syntaksisarjaa, vanha ja uusi syntaksi. Ja aiomme altistaa teidät molemmille.
Vanha syntaksi on numeroitu, uusi syntaksi on nimetty, ja numeroitu syntaksi on aika hankala. Emme tapaa numeerisia nimiä kovinkaan usein. Numeroidussa tavallisessa käyttöoikeusluettelossa on yhdestä 99:ään. On olemassa laajennettu alue, josta pysymme kaukana, sitä ei ole enää syytä käyttää. 1300:sta 1999:ään, emme käytä sitä, okei, pysykää kaukana. Mutta yhdestä 99:ään on vakio, 100:sta 199:ään on laajennettu, ja nämä alueet kannattaa muistaa siten, että ne päättyvät aina 99:ään, kaikki alueet päättyvät 99 johonkin. Ja kun laajennamme kolmeen numeroon, kun hyppäämme kahdesta numerosta kolmeen numeroon, laajennamme ja siksi saamme laajennetun IP-yhteysluettelon alueen.
| IPv4 ACL Type | Number Range / Identifier |
|---|---|
| Numbered Standard | 1-99, 1300-1999 |
| Numbered Extended | 100-199, 2000-2699 |
| Nimetyt (Standard ja Extended) | Nimi |
Mutta tämä on syntaksi, josta suoraan sanottuna olemme enemmän vastuussa, mutta meillä on ollut jo lähes vuosikymmenen ajan nimettyjä pääsynvalvontalistoja. Itse asiassa siitä on jo yli kymmenen vuotta. Mitä hyötyä nimetystä pääsynvalvontalistasta on? Nimetty pääsynvalvontaluettelo mahdollistaa ensinnäkin kuvaavan nimen antamisen. Sen sijaan, että pääsynvalvontaluettelon nimi olisi 79, voimme antaa kuvaavan nimen, joka auttaa meitä ymmärtämään, mitä pääsynvalvontaluettelon tarkoituksena on saavuttaa. Mutta mitä me todella hyödymme käyttämällä nimettyjä pääsynvalvontalistoja, on kyky muokata niitä, lisätä ja poistaa merkintöjä ACL:n sisällä.
Numeroitujen pääsynvalvontalistojen kanssa, jos sinun täytyy lisätä merkintä, kun menet komentorivikäyttöliittymään ja haluat lisätä merkinnän, sitä tarkastellaan ennen merkintää, joka sinulla on jo siellä. Nyt et voi vain mennä sinne ja vain laittaa sitä sinne, ei ole mitään tapaa tehdä sitä syntaksilla, jolla se luodaan. Joten muokkauskykysi on rajoitettu, mitä sinun on tehtävä? Pyyhi kaikki pois ja luo se uudelleen. Joten Notepad on kätevä. Hyvä on, mutta nimetyn pääsynvalvontaluettelon avulla meillä on mahdollisuus mennä nimetyn pääsynvalvontaluettelon syntaksiin, lisätä, siirtää, poistaa, muuttaa näitä merkintöjä pääsynvalvontaluettelossa parhaaksi katsomallamme tavalla.
Nimetyn pääsynvalvontaluettelon syntaksi on siis paljon tehokkaampi. Mutta älkää käsittäkö meitä väärin. Numeroitu pääsynvalvontaluettelon tunniste, kuten 1, 2, 3, 4 tai 100 tai 150, on edelleen pääsynvalvontaluettelon nimi. Ja näet sen myöhemmin, käytä nimettyä pääsynvalvontaluettelon syntaksia muokataksesi numeroitua pääsynvalvontaluetteloa. Se on aika siistiä, ja me annamme sinulle mahdollisuuden muokata ja korjata virheitäsi numeroidun pääsynvalvontaluettelon kanssa ilman, että sinun tarvitsee tuhota koko luettelo ja poistaa se. Joten todella hieno syntaksi, ja opit sen ja tulet rakastamaan sitä, ja tulemme näkemään kaiken, kaiken syntaksin, kun etenemme tämän kurssin läpi yhdessä.
Standardinumeroidut ACL:t
Standardinumeroidut ACL:t
Standardinumeroidut pääsynvalvontaluettelot, mitä ne etsivät? Kysyn teiltä, mitä ne etsivät? Ne etsivät lähdeparametria ja tässä näemme sen. Ne eivät siis välitä layer 2 -kehyksen otsikosta, vaan ne katsovat paketin otsikkoa, ne katsovat paketin otsikon lähdekenttää ja vastaavat yksinomaan sen perusteella. He eivät siis aio mennä syvemmälle kuljetuskerrokseen. Ja mikään näistä ei mene dataan, okei. Sinun pitäisi käyttää joitain kehittyneitä palomuuriominaisuuksia suodattaa datan perusteella.
Tässä on se, mitä olemme odottaneet, syntaksi, eikä se ole liian monimutkainen, ota se huomioon. Se ei ole liian monimutkainen. Ensinnäkin määrittelemme numeroidut pääsynvalvontaluettelot globaalissa konfigurointitilassa. Kirjoitamme access-list ja sitten määrittelemme pääsylistan numeron. Nämä ovat siis tavallisia IPv4-käytönvalvontaluetteloita, mitkä ovat numeroalueet? 1-99 ja 1300-1999. Kun määrittelemme minkä tahansa numeron näistä mahdollisista arvoista, reitittimemme tietää automaattisesti, että luomme vakiomuotoisen IPv4-käytönvalvontaluettelon, ja se antaa sinulle oikean syntaksin käytettäväksi.
Se ei anna sinun syöttää parametreja, jotka eivät ole hyväksyttäviä vakiomuotoiselle IP-version 4:n käytönvalvontaluettelolle. Jos siis syötät väärän numeron, jos syötät 101, kun yrität luoda tavallista IP-version 4 pääsynvalvontaluetteloa, se antaa sinulle laajennetun pääsynvalvontaluettelon syntaksin, eikö niin? Ole siis varovainen numeroinnin kanssa, valitse oikeat numerot ja määritä sitten, mitä haluat tapahtuvan tälle liikenteelle. Haluatko sallia sen? Haluatko kieltää sen? Voit myös laittaa huomautuksen, mikä on huomautus? Se on vain kuvaus. Voit siis kuvata tämän pääsynvalvontaluettelon, joten kun tarkastelet pääsynvalvontaluetteloa myöhemmin, tiedät mitä varten se on.
R1(config)#R1(config)#access-list 1 ?deny Määrittää paketit, jotka hylätäänpermit Määrittää paketit, jotka välitetään eteenpäinremark Pääsylistan merkinnän kommenttiR1(config)#access-list 1 permit ?isäntänimi tai A.B.C.D Osoite, jota vastataanany Mikä tahansa lähde-isäntähost Yksittäinen isäntäosoiteR1(config)#access-list 1 permit 172.16.0.0 ?/nn tai A.B.C.D Jokerimerkkibititlog Loki vastaa tätä merkintää<cr>R1(config)#access-list 1 permit 172.16.0.0.0.0.0.0.255.255 ?log Log matches against this entry<cr>R1(config)#access-list 1 permit 172.16.0.0 0.0.0.255.255.255R1(config)#
Silloin meillä on lähteemme, mikä on lähde? Muistatko, kun aiemmin tarkastelimme osoitteita ja jokerimerkkipeiteyhdistelmiä? No, lähde on lähdeosoite, se lähtökohta, jota haluamme käyttää aluevertailussa. Jos siis katsomme esimerkkiä, meillä on 172.16.0.0 osoitteena, lähde ja sitten maski. Mikä on mask? Ole varovainen, se ei ole, toistan, se ei ole aliverkon peite. Se on jokerimerkki. Tähän laitamme jokerimaskin. Esimerkissämme 0.0.255.255, mikä on siis se osoitealue, jonka tämä juuri laatimamme pääsynvalvontalista tarkistaa? 172.16.0.0 – 172.16.255.255.255.
Näet siis, miten tärkeä jokerimerkkimaski on, ja jos ymmärrät, mitä se tekee, se auttaa sinua laatimaan ja lukemaan niitä. Tässä sanotaan, että on olemassa oletusarvoinen jokerimaskeri, suhtaudu siihen varauksella, käyttöjärjestelmäsi ei yleensä hyväksy enää syntaksia, kun laitat pääsynvalvontaluetteloon merkinnän, josta puuttuu jokerimaskeri. Okei, tämä on siis vanhaa käytöstä eikä edusta mitään uutta. Kun laitamme merkinnän, jollaisen näemme globaalissa konfiguraatiotilassa access-listin kohdalla, se on vain yksi merkintä. Kannattaa muistaa, että jos haluaisimme lisätä toisen merkinnän, meillä olisi edelleen access-list 1 ja sitten rakennamme seuraavan permit- tai deny-sekvenssin. access-list 1 uudelleen, access-list 1 uudelleen, jos haluamme rakentaa yhä laajemman ja laajemman pääsynvalvontaluettelon. Mikä on pääsynvalvontaluettelon vähimmäiskoko?
Vähimmäiskoko olisi yksi permit-lauseke. Joo, ei kai voi olla vain yksi deny-lauseke, se olisi hyödytöntä, ellet kirjaa, mutta se ei päästäisi mitään läpi. Ja maksimi on mitä vain voit keksiä ja mihin sinulla on kestävyyttä. Kun olet viimeistellyt pääsynvalvontalistasi globaalissa konfigurointitilassa, kuten näemme tässä, voit validoida sen. Mutta näyttääksesi pääsylistat, komento ja se itse asiassa näyttää kaikki pääsylistat, IPv4, IPv6, Mac-osoitteiden pääsylistan, IPX:n, AppleTalkin, mutta yleensä meillä on vain IPv4 ja ehkä nykyään myös IPv6.
R1#show access-listsStandard IP access list 110 permit 172.16.0.0, wildcard bits 0.0.255.255
Ja näemme yhden merkinnän. Hetkinen, hetkinen, laitoimme permit 172.16:n tuolla wildcard-maskilla, mikä se 10 siellä on? Mikä on se 10, joka juuri heräsi henkiin pääsylistallamme? 10 on automaattinen järjestysnumero, joka lisätään pääsylistaan. Se on oletusarvoisesti 10. Jos luomme toisen merkinnän… eli kirjoitamme access-list 1 permit 192.168.1.0 0.0.0.0.255, sille annetaan automaattisesti järjestysnumero. Ja se olisi 20, seuraava luettelossa ja seuraava on 30 ja 40 ja 50, näin pidämme niistä kirjaa, järjestysnumero, järjestys, jossa olemme luoneet ne.
Ja tämä on tärkeää, muistatko, miten sanoimme, että jos haluamme muokata pääsynvalvontalistaa, saatamme haluta lisätä merkinnän sinne ja tänne, mutta voimme tehdä sen vain nimetyllä syntaksilla, emme voi tehdä sitä tässä standardinumerointisyntaksilla, mutta nuo järjestysnumerot määrittelevät, minne merkintämme menee. Jos lisäämme tai siirrämme tai poistamme tai muutamme ja näemme sen myöhemmin, näemme sen vasta myöhemmin, kun siirrymme nimettyyn pääsynvalvontaluettelon syntaksiin, miten näitä järjestysnumeroita voidaan käyttää ja manipuloida eduksemme.
Käyttöluettelon poistaminen on hyvin helppoa, muistakaa, että voimakas no-komento, kirjoittakaa no access-list ja sen jälkeen sen käyttöluettelon numero, jonka haluatte poistaa. Ole varovainen, ole varovainen. Oletetaan, että kirjoitit no access-list 1 permit 172.16.0.0 0.0.0.255.255. Haluat siis poistaa tavallisen pääsylistamerkinnän, jonka olet luonut aiemmin. Kirjoitat no ja määrittelet koko komennon, jonka kirjoitit aiemmin, poistaako se vain tuon yhden merkinnän? Toistan sen, poistaako se vain tuon yhden merkinnän? Ensi ajatuksena, kyllä, se on ensi ajatuksena, mutta jos kokeilisit sitä ja testaisit sitä? Ei, niin ei tapahdu. Se ei poista vain tuota yhtä merkintää, mitä se tekee? Se poistaa koko asian, joten jotkut teistä ovat altistuneet tälle. Se on todella outoa käytöstä IOS:ssä.
R1#config t
Syötetään konfigurointikomentoja, yksi per rivi. Lopeta CNTL/Z:llä.
R1(config)#no access-list 1
R1(config)#end
R1#sh access-lists
R1#
Normaalisti, kun syötämme tietyn komennon ja laitamme sen no:ksi, se poistaa vain kyseisen komennon. Tässä meidän on oltava hyvin varovaisia syntaksin kanssa, ei väliä, sanot no access list, anna sille numero. En välitä mitä sen jälkeen tapahtuu, se murskaa koko pääsylistan, ja moni huono päivä on johtunut tästä käytöksestä.
