Per quelli di voi che hanno familiarità con le liste di controllo d’accesso, probabilmente sapete che ci sono molti tipi diversi di liste di controllo d’accesso. Abbiamo liste di controllo d’accesso per IP versione 4, per IP versione 6, per IPX, per DECnet, per AppleTalk e la lista continua. Di cosa siete responsabili? Siamo responsabili della versione 4 dell’IP a questo punto, ed è lì che ci concentriamo, la versione 4 dell’IP. E possiamo suddividere le liste di controllo d’accesso IP versione 4 in due tipi diversi, standard ed estesa. Qual è la differenza qui?
- Standard ACL
- Controlla l’indirizzo sorgente ACL
- Permette o nega l’intera suite di protocolli
- Extended ACL
- Controlla indirizzo sorgente e destinazione
- Generalmente permette o nega specifici protocolli e applicazioni
- Porte TCP e UDP sorgente e destinazione
- Tipo di protocollo (IP, ICMP, UDP, TCP o numero di protocollo)
Bene, sono i parametri che cercano e voglio che tu legga lo standard, cosa cerca questo standard qui? Cosa controlla? Voglio che lo leggiate. E vi mostrerò un modo per ricordarlo. Così vedete che lo standard non guarda la destinazione, il che, in pratica, non è molto utile. La mancanza di poter cercare una destinazione è abbastanza limitante, di solito si vuole cercare da dove viene e dove va. Ma una lista di accesso standard ha qualcosa in comune con l’indirizzo di origine, vero? È la lettera S, è un ottimo modo per ricordare che le liste di accesso standard cercano solo la fonte.
Le liste di controllo di accesso estese, o ACL estese, d’altra parte, sono molto più potenti, possono guardare la fonte e la destinazione, possono guardare i protocolli di livello trasporto come TCP e User Data Protocol, o UDP. Possono guardare i protocolli di livello applicazione su TCP e UDP, come HTTP, FTP, Trivial File Transport Protocol, o TFTP, DNS, secure sockets layer e secure shell. Questo sembra molto, quindi come facciamo a ricordare che le liste di accesso estese possono corrispondere a molto di più delle liste di controllo di accesso standard? Bene, quando ci riferivamo alle nostre liste di controllo d’accesso standard, abbiamo sottolineato che esse controllano solo l’indirizzo sorgente. Lo standard inizia con S, anche la fonte inizia con S.
Quindi lo ricordo come standard, solo fonte, S e S, mentre con l’esteso abbiamo tutto il resto. Quindi la E ci aiuta a ricordare tutto. Ora ci sono alcune cose che non possiamo abbinare. Non possiamo abbinare i numeri di sequenza, i numeri di riconoscimento, non possiamo abbinare molti dei flag nel TCP per esempio, possiamo abbinarne uno e inviare il bit. Ma è molto più inclusivo e quindi siamo più vicini a tutto. Tenete a mente che quando li inseriamo, abbiamo due set di sintassi, abbiamo la vecchia sintassi e abbiamo la nuova sintassi. La vecchia sintassi è numerata, la nuova sintassi è denominata, e la sintassi numerata è un po’ complicata. Non incontriamo spesso nomi numerici. Nella lista d’accesso standard numerata, abbiamo da 1 a 99. C’è una gamma estesa da cui stiamo alla larga, non c’è più motivo di usarla. Dal 1300 al 1999, non lo usiamo, ok, state alla larga. Ma da uno a 99 è standard, da 100 a 199 è esteso e il modo di ricordare questo intervallo è che finisce sempre con 99, ogni singolo intervallo finisce con 99 qualcosa. E quando estendiamo ad un valore di tre cifre, quando saltiamo da due cifre a tre cifre, estendiamo e quindi otteniamo l’intervallo esteso della lista di accesso IP.
| Tipo di ACL IPv4 | Numero Intervallo / Identificatore |
|---|---|
| Numerato Standard | 1-99, 1300-1999 |
| Numerato Extended | 100-199, 2000-2699 |
| Nominato (Standard ed Esteso) | Nome |
Ma questa è la sintassi di cui francamente siamo più responsabili, ma che abbiamo avuto per la maggior parte di un decennio ormai, liste di controllo di accesso nominate. In effetti, è più di un decennio mentre parliamo. Qual è il vantaggio di una lista di controllo degli accessi con nome? Beh, una lista di controllo degli accessi con nome, prima di tutto, ci permette di fornire un nome descrittivo. Così, invece di chiamare la nostra lista di controllo d’accesso 79, possiamo fornire un nome descrittivo e quel nome può aiutarci a capire cosa la lista di controllo d’accesso è progettata per realizzare. Ma ciò di cui davvero beneficiamo usando liste di controllo degli accessi con nome è la capacità di modificarle, aggiungere ed eliminare voci all’interno di quella ACL.
Vedi, con le liste di controllo degli accessi numerate, se hai bisogno di aggiungere una voce, quando vai all’interfaccia della linea di comando e vuoi aggiungere una voce, questa sarà esaminata prima di una voce che hai già lì. Ora non si può andare lì e semplicemente metterci dentro, non c’è modo di farlo con la sintassi per crearla. Quindi sei limitato nella tua capacità di editing, cosa devi fare? Cancellare tutto e ricrearlo. Quindi Notepad è utile. Va bene, ma con la named access control list, abbiamo la possibilità di andare nella sintassi della named access control list, aggiungere, spostare, cancellare, cambiare quelle voci nella lista di controllo degli accessi, come ci sembra giusto. Ma non fraintendeteci. L’identificazione della lista di controllo degli accessi numerata come 1, 2, 3, 4 o 100 o 150, è ancora il nome della lista di controllo degli accessi. E lo vedrete più tardi, utilizzare la sintassi della lista di controllo degli accessi numerata per modificare una lista di controllo degli accessi numerata. È abbastanza figo e vi daremo la possibilità di modificare e correggere i vostri errori con la vostra lista di controllo degli accessi numerata senza doverla far saltare tutta e rimuoverla. Quindi una sintassi davvero grande e la imparerai e ti piacerà e la vedremo tutta, tutta la sintassi mentre progrediamo insieme in questo corso.
Standard ACL numerati
Lista di accesso standard, cosa cercano? Ti sto chiedendo, cosa cercano? Cercano il parametro di origine e qui lo possiamo vedere. Quindi non si preoccupano dell’intestazione del frame di livello 2, guardano l’intestazione del pacchetto, guardano il campo sorgente nell’intestazione del pacchetto e corrispondono esclusivamente in base a quello. Quindi non andranno più in profondità nel livello di trasporto. E nessuno di questi va nei dati, ok. Dovreste usare alcune funzioni avanzate del firewall per filtrare in base ai dati.
Ecco quello che stavamo aspettando, la sintassi, e non è eccessivamente complicata, fateci caso. Non è eccessivamente complicato. Prima di tutto, configuriamo le liste di controllo di accesso numerate nella modalità di configurazione globale. Digitiamo access-list e poi specifichiamo il numero della lista di accesso. Quindi queste sono liste di controllo d’accesso IPv4 standard, quali sono gli intervalli di numeri? Da 1 a 99 e da 1300 a 1999. Quando specifichiamo un numero qualsiasi tra questi valori possibili, il nostro router sa automaticamente che stiamo creando una lista di controllo d’accesso IPv4 standard e vi fornirà la sintassi corretta da usare.
Non vi permetterà di inserire parametri che non sono accettabili per la lista di controllo d’accesso IP standard versione 4. Quindi se mettete un numero sbagliato, se mettete un 101, dove state cercando di creare una lista di controllo degli accessi standard IP versione 4, vi darà la sintassi per una lista di controllo degli accessi estesa, giusto? Quindi fate attenzione alla numerazione, scegliete i numeri giusti e poi specificherete cosa volete che succeda a questo traffico. Volete permetterlo? Vuoi negarlo? Puoi anche mettere un commento, cos’è un commento? È solo una descrizione. Così puoi descrivere questa lista di controllo degli accessi, così quando rivedrai la lista di controllo degli accessi più tardi, saprai a cosa serve.
R1(config)#R1(config)#access-list 1 ?deny Specifica i pacchetti da rifiutarepermit Specifica i pacchetti da inoltrareremark Commento alla voce della lista di accessoR1(config)#access-list 1 permit ?Hostname o A.B.C.D Address to matchany Qualsiasi host sorgentehost Un singolo indirizzo hostR1(config)#access-list 1 permit 172.16.0.0 ?/nn o A.B.C.D Wildcard bitslog Registra le corrispondenze con questa voce<cr>R1(config)#access-list 1 permit 172.16.0.0 0.0.255.255 ?log Log corrisponde a questa voce<cr>R1(config)#access-list 1 permit 172.16.0.0 0.0.255.255R1(config)#
Allora abbiamo la nostra sorgente, qual è la sorgente? Ricordate, prima, quando stavamo guardando gli indirizzi e le combinazioni di maschere jolly… Bene, l’origine è l’indirizzo di origine, il punto di partenza che vogliamo usare per il confronto dell’intervallo. Quindi se guardiamo il nostro esempio, abbiamo 172.16.0.0 come indirizzo, la sorgente e poi la maschera. Cos’è la maschera? Fate attenzione qui, non è, ripeto, non è la subnet mask. È la maschera jolly. Qui è dove mettiamo la maschera jolly. Così nel nostro esempio 0.0.255.255, qual è la gamma di indirizzi che questa lista di controllo degli accessi, che abbiamo appena creato, controllerà? Da 172.16.0.0 a 172.16.255.255.
Così vedete quanto sia importante la maschera di caratteri jolly, e capire cosa fa, vi aiuterà a crearle e a leggerle. Qui dice che c’è una maschera jolly di default, prendetela con le molle, il vostro sistema operativo in generale non accetterà più la sintassi quando mettete una qualsiasi voce all’interno della vostra lista di controllo d’accesso che manca di una maschera jolly. Ok, questo è un vecchio comportamento e non è rappresentativo di qualcosa di recente. Quando inseriamo una voce come quella che vediamo nella modalità di configurazione globale con access-list, questa è solo una voce. Tenete a mente che se volessimo aggiungere un’altra voce, avremmo ancora access-list 1 e poi costruiremo la prossima sequenza di permessi o rifiuti. access-list 1 ancora, access-list 1 ancora, se vogliamo costruire una lista di controllo degli accessi sempre più grande. Qual è la dimensione minima di una lista di controllo degli accessi?
Una dimensione minima sarebbe una dichiarazione di permesso. Sì, immagino che non ci possa essere solo una dichiarazione di rifiuto, sarebbe inutile, a meno che tu non stia registrando, ma non lascerebbe passare nulla. E il massimo è qualsiasi cosa possiate sognare e qualsiasi cosa abbiate la capacità di sopportare. Una volta che avete perfezionato la vostra lista di controllo degli accessi nella modalità di configurazione globale, come vediamo qui, potete convalidarla. Ma per mostrare le liste di accesso, il comando e che in effetti mostrerebbe tutte le liste di accesso, IPv4, IPv6, la lista di accesso degli indirizzi Mac, IPX, AppleTalk, ma di solito abbiamo solo IPv4 e forse oggi qualche IPv6.
R1#show access-listsLista di accesso IP standard 110 permit 172.16.0.0, bit jolly 0.0.255.255
E possiamo vedere una voce. Ora aspetta un minuto, aspetta un minuto, abbiamo messo in permit 172.16 con quella maschera jolly, cos’è il 10 lì? Cos’è quel 10 che ha appena preso vita nella nostra lista di accesso? Il 10 è un numero di sequenza automatico che viene aggiunto alla lista di accesso. Sarà 10 per impostazione predefinita. Se dovessimo creare un’altra voce… quindi digitiamo access-list 1 permit 192.168.1.0 0.0.0.255, verrebbe automaticamente fornito un numero di sequenza. E sarebbe 20, il prossimo nella lista e il prossimo sarà 30 e 40 e 50, è il modo in cui teniamo traccia di loro, il numero di sequenza, l’ordine in cui li abbiamo creati.
E questo è importante, ricordate come abbiamo detto, se vogliamo modificare la lista di controllo degli accessi, potremmo voler aggiungere una voce qua e là, ma possiamo farlo solo con la sintassi dei nomi, non siamo in grado di farlo qui con questa sintassi di numerazione standard, ma quei numeri di sequenza saranno il fattore determinante di dove va la nostra voce. Se aggiungiamo o spostiamo o cancelliamo o cambiamo e lo vedremo più avanti, lo vedremo più avanti solo quando entreremo nella sintassi della lista di controllo degli accessi nominata di come questi numeri di sequenza possono essere usati e manipolati a nostro vantaggio.
Rimuovere una lista di accesso è molto facile, ricordate quel potente comando no, digitate no access-list e poi il numero della lista di accesso che volete rimuovere. Fate attenzione, fate attenzione. Diciamo che avete digitato no access-list 1 permit 172.16.0.0 0.0.255.255. Quindi vuoi rimuovere una voce della lista di accesso standard che hai creato in precedenza. Digitate no e specificate l’intero comando che avete digitato prima, questo rimuoverà solo quella voce? Lo ripeto, rimuoverà solo quella voce? A prima vista, sì, questo è il primo pensiero, ma se lo provate e lo testate? No, non è quello che succederà. Non rimuoverà solo quella voce, cosa farà? Si sbarazzerà dell’intera cosa, quindi alcuni di voi là fuori sono stati esposti a questo. È un comportamento davvero bizzarro in IOS.
R1#config t
Inserite i comandi di configurazione, uno per linea. Termina con CNTL/Z.
R1(config)#no access-list 1
R1(config)#end
R1#sh access-lists
R1#
Normalmente, quando inseriamo un comando specifico e lo mettiamo come no, rimuove solo quel comando. Qui dobbiamo stare molto attenti alla sintassi, non importa cosa, dite no access list, dategli un numero. Non mi interessa cosa succede dopo, distruggerà l’intera lista di accesso e molte brutte giornate sono state causate da questo comportamento.
