Kinzersky.ru

CCNA (часть 1): списки контроля доступа (Access Control List) - Введение.

Просмотров: 6926Комментарии: 0
МаршрутизацияБезопасностьCisco

Приступим..

Вступление

Списки контроля доступа могут использоваться во множестве ситуаций , но в курсе CCNA они рассматриваются в основном как способы фильтрации трафика при движении от одного IP-хоста до другого. Образно говоря, ACL будут находиться на пути пересылки пакетов, проходящих через маршрутизатор, заглядывая в каждый пакет, который будет пропущен, если разрешен в ACL, или отброшен, если строки, описывающей данный вид трафика - нету, или есть запрещающее правило.

Маршрутизаторы Cisco могут включать обработку ACL для пакетов, которые поступают на определенный интерфейс, или для пакетов, которые этот интерфейс покидают. Другими словами, ACL ставится не только на интерфейс, но и на направление движения пакетов (внутрь или наружу). Например, ACL может быть применен внутри роутера, до того как роутер применит свои правила маршрутизации пакетов, или, наоборот, после того как он их применит и направит пакет на выход на определенный интерфейс.

Черные стрелочки на картинке показывают возможные места установки ACL

ccna-acl-1

Соотв-но, поставить ACL можно в четырех местах, через которые трафик проходит с хоста B

до сервера S1. В данном примере, интерфейсы являются:

R1 F0/0 - входящий (inbound)

R1 S0/0/0 - исходящий (outbound)

R2 S0/0/1 - входящий

R2 f0/0 - исходящий

Если, например, повесить ACL на интерфейс F0/1 роутера R2, то он никак не будет влиять на фильтрацию пакетов от B до S1, т.к. эти пакеты через него не идут. Вы должны повесить ACL именно на тот интерфейс, который пройдет на пути следования пакета до места назначения.

После включения, маршрутизатор обрабатывает каждый входящий или исходящий IP-пакет, используя данный ACL. Например, если включить ACL на R1 F0/0 для входящих пакетов, то R1 будет пропускать через ACL каждый IP пакет, пришедший на F0/0 и решать, что с ним делать - пропустить дальше или заблокировать.

Подходящие пакеты

Помимо места установки и направления ACL, необходимо также учитывать тип пакетов, которые мы собираемся фильтровать и какие пропускать. Конфигурация списка доступа заключается в том, чтобы обозначить роутеру, какие пакеты надо пропускать, а какие отбрасывать. Соотв-но, из этого и состоит каждый ACL - из одной или нескольких команд, каждая команда содержит данные, которые маршрутизатор будет искать в заголовке IP-пакета. В заголовке пакета просматриваются хорошо известные нам поля - IP источника, IP-получателя, а также номера портов TCP и UDP.

Что произойдет при подпадении пакета

Когда ACL используется для фильтрации пакетов, может произойти либо подтверждение и пакет пойдет дальше (permit), как будто ничего не произошло, либо пакет будет отброшен (deny).

Курс CCNA изучает списки контроля доступа чаще всего только на примере фильтрации пакетов, но на самом деле они используются для многих других фич из Cisco IOS. В таких случаях deny или permit приобретает другие свойства. Например, при использовании NAT трансляций тоже нужен ACL, и в этом случае permit говорит маршрутизатору применять функции NAT.

Виды списков доступа

Маршрутизаторы Cisco поддерживают списки доступа с первых дней существования маршрутизаторов. Вначале были только стандартные нумерованные списки, но теперь возможностей чуть больше:

  • Стандартные нумерованный списки доступа (Standart Numbered ACL)
  • Расширенные нумерованные списки доступа (Extended Numbered ACL)
  • Дополнительные нумерованные списки (1300-1999 - стандартные, 2000-2699 - расширенные)
  • Именованные (Named ACL)
  • Внедрено улучшенное редактирование по порядковым номерам внутри списка доступа (improved editing with sequence numbers)

Это список показывает прогресс списков контроля доступа на оборудовании Cisco до версии 12.3(Наверное, в 15.х уже придумали что-нибудь еще, дополню как узнаю)

А дальше будет картинка, "категоризирующая" все особенности списков доступа:

ccna-acl-2.jpg

А продолжение - в следующей статье про стандартные списки доступа.

Оставить комментарий!

grin LOL cheese smile wink smirk rolleyes confused surprised big surprise tongue laugh tongue rolleye tongue wink raspberry blank stare long face ohh grrr gulp oh oh downer red face sick shut eye hmmm mad angry zipper kiss shock cool smile cool smirk cool grin cool hmm cool mad cool cheese vampire snake excaim question

     

  

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email. При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д., а также подписку на новые комментарии.

(обязательно)