Механизм задания условий которые роутер проверяет перед выполнением каких либо действий

Обновлено: 06.07.2024

Ключевые слова: маршрутизатор, ACL, список, интерфейс, таблица, IP, диапазон, адрес, права, доступ, FTP, NAT, network address, translation, трансляция, Интернет, ресурс, локальная сеть, dynamic, PAT, сеть, isp, Internet, service, provider, провайдер, пул, маска, связь, port address, алгоритм

Списки доступа (access-lists) используются в целом ряде случаев и являются механизмом задания условий, которые роутер проверяет перед выполнением каких-либо действий. Маршрутизатор проверяет каждый пакет и на основании вышеперечисленных критериев, указанных в ACLопределяет, что нужно сделать с пакетом, пропустить или отбросить. Типичными критериями являются адреса отправителя и получателя пакета, тип протокола. Каждый критерий в списке доступа записывается отдельной строкой. Список доступа в целом представляет собой набор строк с критериями, имеющих один и тот же номер (или имя). Порядок задания критериев в списке существенен. Проверка пакета насоответствие списку производится последовательным применением критериев из данного списка (в том порядке, в котором они были введены). Пакет, который не соответствует ни одному из введенных критериев будет отвергнут. Для каждого протокола на интерфейсможет быть назначен только один список доступа. Как пример ниже приведена таблица списка управления доступом по умолчанию:

№ правила Подсеть Конечная точка Разрешить или запретить
100 0.0.0.0/0 3389 Разрешить

Без ACL - по умолчанию при создании конечной точки ей все разрешено.

Разрешить - при добавлении одного или нескольких диапазонов "разрешения" все остальные диапазоны по умолчанию запрещаются. Только пакеты из разрешенного диапазона IP-адресов смогут достичь конечной точки виртуальной машины.

Запретить - при добавлении одного или нескольких диапазонов "запретить" все другие диапазоны трафика по умолчанию разрешаются.

Сочетание разрешения и запрета - можно использовать сочетание правил "разрешить" и "запретить", чтобы указать вложенный разрешенный или запрещенный диапазон IP-адресов.

Рассмотрим два примерастандартных списков:

Практическая работа 9-1. Создание стандартного списка доступа

Списки доступа бывают нескольких видов: стандартные, расширенные, динамические и другие. В стандартных ACL есть возможность задать только IP адрес источника пакетов для их запретов или разрешений.

На рис. 9.1 показаны две подсети: 192.168.0.0 и 10.0.0.0.



Рис. 9.1. Схема сети

Постановка задачи

Требуется разрешить доступ на сервер PC1 с адресом 192.168.0.12, а PC0 c адресом 192.168.0.11 – запретить ( рис. 9.2).



Рис. 9.2. Постановка задачи

Соберем данную схему и настроим ее. Настройку PC1 и PC2 выполните самостоятельно.

Настройка R0

Интерфейс 0/0 маршрутизатора1841 настроим на адрес 192.168.0.1 и включим следующими командами:

Второй интерфейс маршрутизатора (порт 0/1) настроим на адресом 10.0.0.1 и так же включим:

Настройкасервера

Настройки сервера приведены на рис. 9.3.



Рис. 9.3. Конфигурирование S0

Диагностика сети

Проверяем связь ПК из разных сетей ( рис. 9.4).



Рис. 9.4. ПК из разных сетей могут общаться

Приступаем к решению задачи

Правило запрета и разрешения доступа будем составлять с использованием стандартных списков доступа (ACL). Пока не задан список доступа на интерфейсе всё разрешено (permit). Но, стоит создать список, сразу действует механизм "Всё, что не разрешено, то запрещено". Поэтому нет необходимости что-то запрещать (deny) – указываем что разрешено, а "остальным – запретить" подразумевается автоматически. По условиям задачи нам нужно на R0 пропустить пакеты с узла 192.168.0.12 на сервер ( рис. 9.5).



Рис. 9.5. Создаем на R0 разрешающий ACL

Применяется данное правило на интерфейс в зависимости от направления (PC1 расположен со стороны порта Fa0/0) – рис. 9.6. Эта настройка означает, что список доступа (правило с номером 1) будет действовать на интерфейсе fa0/0 на входящем (in) от PC1 направлении.



Рис. 9.6. Применяем правило к порту Fa0/0

Примечание

Проверяем связь ПК с сервером ( рис. 9.7 и рис. 9.8).



Рис. 9.7. Для PC1 сервер доступен



Рис. 9.8. Для PC0сервер не доступен

Давайте посмотрим ACL ( рис. 9.9).



Рис. 9.9. Узел 192.168.0.12 разрешен

Рабочая сеть данного примера представлена файлом task-9-1.pkt.

Примечание

Списки доступа (access-lists) используются в целом ряде случаев и являются механизмом задания условий, которые роутер проверяет перед выполнением каких-либо действий. Маршрутизатор проверяет каждый пакет и на основании вышеперечисленных критериев, указанных в ACL определяет, что нужно сделать с пакетом, пропустить или отбросить. Типичными критериями являются адреса отправителя и получателя пакета, тип протокола. Каждый критерий в списке доступа записывается отдельной строкой. Список доступа в целом представляет собой набор строк с критериями, имеющих один и тот же номер (или имя). Порядок задания критериев в списке существенен. Проверка пакета на соответствие списку производится последовательным применением критериев из данного списка (в том порядке, в котором они были введены). Пакет, который не соответствует ни одному из введенных критериев будет отвергнут. Для каждого протокола на интерфейс может быть назначен только один список доступа. Как пример ниже приведена таблица списка управления доступом по умолчанию:

Без ACL - по умолчанию при создании конечной точки ей все разрешено.

Разрешить - при добавлении одного или нескольких диапазонов "разрешения" все остальные диапазоны по умолчанию запрещаются. Только пакеты из разрешенного диапазона IP -адресов смогут достичь конечной точки виртуальной машины.

Запретить - при добавлении одного или нескольких диапазонов "запретить" все другие диапазоны трафика по умолчанию разрешаются.

Сочетание разрешения и запрета - можно использовать сочетание правил "разрешить" и "запретить", чтобы указать вложенный разрешенный или запрещенный диапазон IP -адресов.

Рассмотрим два примера стандартных списков:

Практическая работа 9-1. Создание стандартного списка доступа

Списки доступа бывают нескольких видов: стандартные, расширенные, динамические и другие. В стандартных ACL есть возможность задать только IP адрес источника пакетов для их запретов или разрешений.

На рис. 9.1 показаны две подсети: 192.168.0.0 и 10.0.0.0.

Схема сети

Постановка задачи

Требуется разрешить доступ на сервер PC1 с адресом 192.168.0.12, а PC0 c адресом 192.168.0.11 – запретить ( рис. 9.2).

Постановка задачи

Соберем данную схему и настроим ее. Настройку PC0 и PC1 выполните самостоятельно.

Настройка R0

Интерфейс 0/0 маршрутизатора1841 настроим на адрес 192.168.0.1 и включим следующими командами:

Второй интерфейс маршрутизатора (порт 0/1) настроим на адресом 10.0.0.1 и так же включим:

Настройка сервера

Настройки сервера приведены на рис. 9.3.

Конфигурирование S0

Диагностика сети

Проверяем связь ПК из разных сетей ( рис. 9.4).

ПК из разных сетей могут общаться

Приступаем к решению задачи

Правило запрета и разрешения доступа будем составлять с использованием стандартных списков доступа (ACL). Пока не задан список доступа на интерфейсе всё разрешено (permit). Но, стоит создать список, сразу действует механизм "Всё, что не разрешено, то запрещено". Поэтому нет необходимости что-то запрещать (deny) – указываем что разрешено, а "остальным – запретить" подразумевается автоматически. По условиям задачи нам нужно на R0 пропустить пакеты с узла 192.168.0.12 на сервер ( рис. 9.5).

Создаем на R0 разрешающий ACL

Применяется данное правило на интерфейс в зависимости от направления (PC1 расположен со стороны порта Fa0/0) – рис. 9.6. Эта настройка означает, что список доступа (правило с номером 1) будет действовать на интерфейсе fa0/0 на входящем (in) от PC1 направлении.

Применяем правило к порту Fa0/0

Сегодня я расскажу вам о том, как отфильтровать трафик в сети с помощью списков контроля доступа. Рассмотрим как они работают соответственно, что собой представляют, для чего предназначены. Позже я покажу как они настраиваются в Cisco IOS и выложу архив с лабораторными работами для закрепления ваших знаний.

Введение

ACL (Access Control List) — это набор текстовых выражений, которые что-то разрешают, либо что-то запрещают. Обычно ACL разрешает или запрещает IP-пакеты, но помимо всего прочего он может заглядывать внутрь IP-пакета, просматривать тип пакета, TCP и UDP порты. Также ACL существует для различных сетевых протоколов (IP, IPX, AppleTalk и так далее). В основном применение списков доступа рассматривают с точки зрения пакетной фильтрации, то есть пакетная фильтрация необходима в тех ситуациях, когда у вас стоит оборудование на границе Интернет и вашей частной сети и нужно отфильтровать ненужный трафик.
Вы размещаете ACL на входящем направлении и блокируете избыточные виды трафика.

Теория

  • На интерфейсе: пакетная фильтрация
  • На линии Telnet: ограничения доступа к маршрутизатору
  • VPN: какой трафик нужно шифровать
  • QoS: какой трафик обрабатывать приоритетнее
  • NAT: какие адреса транслировать

Сам же ACL представляет собой набор текстовых выражений, в которых написано permit (разрешить) либо deny (запретить), и обработка ведется строго в том порядке в котором заданы выражения. Соответственно когда пакет попадает на интерфейс он проверяется на первое условие, если первое условие совпадает с пакетом, дальнейшая его обработка прекращается. Пакет либо перейдет дальше, либо уничтожится.
Ещё раз, если пакет совпал с условием, дальше он не обрабатывается. Если первое условие не совпало, идет обработка второго условия, если оно совпало, обработка прекращается, если нет, идет обработка третьего условия и так дальше пока не проверятся все условия, если никакое из условий не совпадает, пакет просто уничтожается. Помните, в каждом конце списка стоит неявный deny any (запретить весь трафик). Будьте очень внимательны с этими правилами, которые я выделил, потому что очень часто происходят ошибки при конфигурации.

  • Стандартные (Standard): могут проверять только адреса источников
  • Расширенные (Extended): могут проверять адреса источников, а также адреса получателей, в случае IP ещё тип протокола и TCP/UDP порты
  • Стандартные: от 1 до 99
  • Расширенные: от 100 до 199
Виды ACL
Динамический (Dynamic ACL)
Рефлексивный (Reflexive ACL)

Здесь ситуация немножко отличается, когда узел в локальной сети отправляет TCP запрос в Интернет, у нас должен быть открытый проход, чтобы пришел TCP ответ для установки соединения. Если прохода не будет — мы не сможем установить соединение, и вот этим проходом могут воспользоваться злоумышленники, например проникнуть в сеть. Рефлексивные ACL работают таким образом, блокируется полностью доступ (deny any) но формируется ещё один специальный ACL, который может читать параметры пользовательских сессий, которые сгенерированны из локальной сети и для них открывать проход в deny any, в результате получается что из Интернета не смогут установить соединение. А на сессии сгенерированны из локальной сети будут приходить ответы.

Ограничение по времени (Time-based ACL)

Настройка

  • Обработка ведется строго в том порядке, в котором записаны условия
  • Если пакет совпал с условием, дальше он не обрабатывается
  • В конце каждого списка доступа стоит неявный deny any (запретить всё)
  • Расширенные ACL нужно размещать как можно ближе к источнику, стандартные же как можно ближе к получателю
  • Нельзя разместить более 1 списка доступа на интерфейс, на протокол, на направление
  • ACL не действует на трафик, сгенерированный самим маршрутизатором
  • Для фильтрации адресов используется WildCard маска
Стандартный список доступа
  • permit: разрешить
  • deny: запретить
  • remark: комментарий о списке доступа
  • address: запрещаем или разрешаем сеть
  • any: разрешаем или запрещаем всё
  • host: разрешаем или запрещаем хосту
  • source-wildcard: WildCard маска сети
  • log: включаем логгирование пакеты проходящие через данную запись ACL
Расширенный список доступа
  • protocol source: какой протокол будем разрешать или закрывать (ICMP, TCP, UDP, IP, OSPF и т.д)
  • deny: запретить
  • operator:
    A.B.C.D — адрес получателя
    any — любой конечный хост
    eq — только пакеты на этом порте
    gt — только пакеты с большим номером порта
    host — единственный конечный хост
    lt — только пакеты с более низким номером порта
    neq — только пакеты не на данном номере порта
    range — диапазон портов
  • port: номер порта (TCP или UDP), можно указать имя
  • established: разрешаем прохождение TCP-сегментов, которые являются частью уже созданной TCP-сессии
Прикрепляем к интерфейсу
  • in: входящее направление
  • out: исходящее направление
Именованные списки доступа
  • standard: стандартный ACL
  • extended: расширенный ACL
  • default: установить команду в значение по умолчанию
Ограничение доступа к маршрутизатору
Динамические списки доступа


Рефлексивные списки доступа
Ограничение по времени


Поиск проблем
Пример

Мы видим что у нас есть два ACL (стандартный и расширенный) под названиями nick и nick5. Первый список разрешает хосту 172.16.1.1 обращаться по IP (это значит что разрешены все протоколы работающие поверх IP) к хосту 10.0.0.5. Весь остальной трафик запрещен показывает команда deny ip any any. Рядом с этим условием в нашем примере пишет (16 match(es)). Это показывает что 16 пакетов попали под это условие.
Второй ACL разрешает проходить трафик от любого источника в сети 172.16.0.0/16.

Практика

Я собрал лабораторные работы для Packet Tracer с 5 главы курса CCNA 4 по теме ACL. Если у вас есть желание закрепить знания на практике, пожалуйста — ссылка, зеркало — FTP. Размер — 865.14 KB.

access-list 197 permit tcp any host 192.168.88.88 eq 5500 1322 5555 8888
расскажу что получится как протестирую!

Пакетные фильтры позволяют управлять прохождением траффика через интерфейсы роутера, разрешая или запрещая передачу пакетов, удовлетворяющих указанным условиям. Пакетные фильтры используются в качестве базового средства обеспечения безопасности сети.

Пакетные фильтры в Cisco реализованы через списки доступа (access-lists).

Списки доступа (Access Lists)

Списки доступа (access-lists) используются в целом ряде случаев и являются общим механизмом задания условий, которые роутер проверяет перед выполнением каких-либо действий. Некоторые примеры использования списков доступа:

* Управление передачей пакетов на интерфейсах
* Управление доступом к виртуальным терминалам роутера и управлению через SNMP
* Ограничение информации, передаваемой динамическими протоколами роутинга

Конфигурирование списков доступа

Списки доступа либо нумеруются, либо именуются. Использование нумерованных, либо именованных списков доступа определяется их применением (некоторые протоколы требуют использования только нумерованных списков, некоторые - допускают как именованные, так и нумерованные списки).

Если используются нумерованные списки, то номера их должны лежать в определенных диапазонах, в зависимости от области применения списка. Некоторые, наиболее часто применяемые диапазоны приведены ниже:

Протокол Диапазон номеров
Стандартный список IP 1 to 99
Расширенный список IP 100 to 199
MAC Ethernet address 700 to 799
IPX 800 to 899
Extended IPX 900 to 999
IPX SAP 1000 to 1099

Задачи и правила построения списков доступа для различных протоколов различны, но, в общем, можно выделить два этапа работы с любыми списками доступа. Сначала, необходимо создать список доступа, затем применить его к соответствующему интерфейсу, линии или логической операции, выполняемой роутером.

Создание списков доступа (краткий обзор)

Списки доступа определяют критерии, на соответствие которым проверяется каждый пакет, обрабатываемый роутером в точке <приложения> списка доступа.

Типичными критериями являются адреса отправителя и получателя пакета, тип протокола. Однако, для каждого конкретного протокола существует свой собственный набор критериев, которые можно задавать в списках доступа.

Каждый критерий в списке доступа записывается отдельной строкой. Список доступа в целом представляет собой набор строк с критериями, имеющих один и тот же номер (или имя).

Запомните, что дополнение списка новыми критериями производится в конец списка. Запомните также, что нет возможности исключить какой-либо критерий из списка. Есть только возможность стереть весь вписок целиком.

Порядок задания критериев в списке существенен. Проверка пакета на соответствие списку производится последовательным применением критериев из данного списка (в том порядке, в котором они были введены). Если пакет удовлетворяет какому-либо критерию, то дальнейшие проверки его на соответствие следующим критериям в списке - НЕ ПРОИЗВОДЯТСЯ

В конце каждого списка системой добавляется неявное правило. Таким образом, пакет, который не соответствует ни одному из введенных критериев будет отвергнут.

Использование tftp-сервера для создания списков доступа

Поскольку порядок строк в списке доступа очень важен, а также поскольку невозможно изменить этот порядок или исключить какие-либо строки из существующего списка доступа, рекомендуется создавать списки доступа на tftp-сервере и загружать их целиком в роутер, а не пытаться редактировать их на роутере.

Не забывайте, что если список доступа с данным номером (именем) существует, то строки с тем же номером (именем) будут добавляться к существующему списку в конец его. Поэтому, первой строкой в файле, содержащем описание списка доступа для загрузки с tftp-сервера, должна стоять команда отмены данного списка "no access-list <number/name>".

Назначение списков доступа на интерфейсы (Обзор)

Для каждого протокола на интерфейс может быть назначен только один список доступа.

Для большинства протоколов можно задать раздельные списки для разных направлений траффика.

Если список доступа назначен на входящий через интерфейс траффик, то при получении пакета, ротуер проверяет критерии, заданные в списке. Если пакет разрешен данным списком, то он передается для дальнейшей обработки. Если пакет запрещен, то он отбрасывается.

Если список доступа назначен на выходящий через интерфейс траффик, то после приянтия решения о передаче пакета через данный интерфейс роутер проверяет критерии, заданные в списке. Если пакет разрешен данным списком, то он передается в интерфейс. Если пакет запрещен, то он отбрасывается.

Не забывайте, что в конце каждого списка стоит неявное правило "deny all", поэтому при назначении списков на интерфейс нужно следить, чтобы явно разрешить все виды необходимого траффика через интерфейс (не только пользовательского, но и служебного, например, обмен информацией по протоколам динамического роутинга).

Списки доступа для протокола IP

Стандартные и расширенные нумерованные списки доступа

Поддерживаются следующие виды списков доступа для IP:

* Стандартные списки доступа (проверяют адрес отправителя пакета)
* Расширенные списки доступа (проверяют адрес отправителя, адрес получателя и еще ряд параметров пакета)
* Динамические расширенные списки доступа (имеют конечное <время жизни> и условия применения)

Создание стандартного списка доступа:

Критерии записываются последовательно в следующем формате:

access-list access-list-number source [source-wildcard]

access-list 1 deny 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.0.0 0.0.255.255

Разрешается прохождение пакетов с адресов в блоке 192.168.0.0/16 за исключением адресов 192.168.1.0/24

Обратите внимание на порядок записи критериев. Запись их в другом порядке приведет к тому, что второе условие не будет работать никогда.

Обратите внимание на запись маски, в отличие от метода записи маски на сетевых интерфейсах маска в списках доступа записана инверсно, единицами отмечены биты, которые НЕ будут проверяться.

Часто используемое описание фильтра, которому удовлетворяет любой адрес 0.0.0.0 255.255.255.255 имеет специальное обозначение "any".

access-list access-list-number any

Создание расширенного списка доступа:

Критерии расширенного списка доступа записываются в следующем формате:

access-list access-list-number
protocol source source-wildcard destination destination-wildcard
[precedence precedence] [tos tos] [established] [log]
access-list access-list-number
protocol any any
access-list access-list-number
protocol host source host destination

Ключевое слово "log" вызывает выдачу записи о совпадении пакета с данным критерием на консоль и в системный лог-файл.

Если в качестве протокола указано "tcp" или "udp", то описания source- и destination-wildcard могут включать номера портов для данных протоколов с ключевыми словами "eq", "lt", "gt", "range". Для протокола "tcp", возможно также применение слова "established" для выделения только установленных tcp-сессий.

Ключевое слово "hostsource" - эквивалентно записи: "source 0.0.0.0"

Создание динамического списка доступа

access-list access-list-number [dynamic dynamic-name
[timeout minutes]] protocol
source source-wildcard destination destination-wildcard
[precedence precedence] [tos tos] [established] [log]

Создание именованных списков доступа

Именованные списки доступа не распознаются Cisco IOS версиях младше 11.2.

Именованные списки доступа в настоящее время можно использовать только в качестве пакетных фильтров и фильтров роутинга.

Прежде чем использовать именованные списки доступа, запомните следующее:

* Именованные списки несовместимы с предыдущими версиями IOS.
* Не во всех случаях, где необходимы списки доступа, могут быть использованы именованные списки.
* Не могут существовать одновременно стандартный и расширенный списки с одинаковым именем.

Создание стандартного именованного списка доступа

Шаг 1. Задание имени и переход в режим формирования списка.

Шаг 2. Задание критериев в порядке, в котором они должны применяться в списке.

Шаг 3. Выход из режима формирования списка.

Расширенный именованный список доступа создается аналогично.

Назначение списка доступа на интерфейс или терминальную линию.

* На терминальную линию могут быть назначены только нумерованные списки.
* На интерфейс могут назначаться ка кнумерованные, так и именованные списки.

В режиме конфигурировании терминальной линии выполните команду:

В режиме конфигурирования интерфейса выполните команду:

Если в результате применения списка доступа, назначенного на интерфейс, пакет отбрасывается, то отправителю посылается ICMP Host Unreachable message.

Если на интерфейс назначен список доступа, который не определен в конфигурации, то считается, что никакого списка не назначено и никакой фильтрации пакетов не происходит.

Обратите внимание, что как только будет введен хотя бы один критерий с этим номером/именем списка доступа, вслед за ним появится критерий "deny all", который добавляется в конце всех существующих списков доступа. Поэтому, во избежание полной блокировки системы при заведении списков доступа следует:

* Либо отменять назначение списка доступа на интерфейс перед редактированием списка и назначать на интерфейс только полностью сформированные и проверенные списки
* Либо создавать и редактировать списки доступа на tftp-сервере и загружать в роутер опять-таки полностью сформированные и провереные списки доступа.

Примеры расширенных списков доступа

ВСЕ остальные пакеты, входящие с интерфейса Ethernet0 будут ОТБРОШЕНЫ!

!
access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.0.0 0.0.255.255 gt 1023
access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.1.2 0.0.0.0 eq 25
access-list 102 permit icmp 0.0.0.0 255.255.255.255 128.88.0.0 255.255.255.255
!
interface ethernet 0
ip access-group 102 in

Пример именованного списка доступа

Создается стандартный списко доступа с именем Internet_filter и расширенный список доступа с именем marketing_group:

Пакетные фильтры позволяют управлять прохождением траффика через интерфейсы роутера, разрешая или запрещая передачу пакетов, удовлетворяющих указанным условиям. Пакетные фильтры используются в качестве базового средства обеспечения безопасности сети.

Пакетные фильтры в Cisco реализованы через списки доступа (access-lists).

Списки доступа (Access Lists)

Списки доступа (access-lists) используются в целом ряде случаев и являются общим механизмом задания условий, которые роутер проверяет перед выполнением каких-либо действий. Некоторые примеры использования списков доступа:

  • Управление передачей пакетов на интерфейсах
  • Управление доступом к виртуальным терминалам роутера и управлению через SNMP
  • Ограничение информации, передаваемой динамическими протоколами роутинга

Конфигурирование списков доступа

Списки доступа либо нумеруются, либо именуются. Использование нумерованных, либо именованных списков доступа определяется их применением (некоторые протоколы требуют использования только нумерованных списков, некоторые - допускают как именованные, так и нумерованные списки).

Если используются нумерованные списки, то номера их должны лежать в определенных диапазонах, в зависимости от области применения списка. Некоторые, наиболее часто применяемые диапазоны приведены ниже:

Протокол Диапазон номеров
Стандартный список IP 1 to 99
Расширенный список IP 100 to 199
MAC Ethernet address 700 to 799
IPX 800 to 899
Extended IPX 900 to 999
IPX SAP 1000 to 1099

Задачи и правила построения списков доступа для различных протоколов различны, но, в общем, можно выделить два этапа работы с любыми списками доступа. Сначала, необходимо создать список доступа, затем применить его к соответствующему интерфейсу, линии или логической операции, выполняемой роутером.

Создание списков доступа (краткий обзор)

Списки доступа определяют критерии, на соответствие которым проверяется каждый пакет, обрабатываемый роутером в точке списка доступа.

Типичными критериями являются адреса отправителя и получателя пакета, тип протокола. Однако, для каждого конкретного протокола существует свой собственный набор критериев, которые можно задавать в списках доступа.

Каждый критерий в списке доступа записывается отдельной строкой. Список доступа в целом представляет собой набор строк с критериями, имеющих один и тот же номер (или имя).

Запомните, что дополнение списка новыми критериями производится в конец списка. Запомните также, что нет возможности исключить какой-либо критерий из списка. Есть только возможность стереть весь вписок целиком.

Порядок задания критериев в списке существенен. Проверка пакета на соответствие списку производится последовательным применением критериев из данного списка (в том порядке, в котором они были введены). Если пакет удовлетворяет какому-либо критерию, то дальнейшие проверки его на соответствие следующим критериям в списке - НЕ ПРОИЗВОДЯТСЯ

В конце каждого списка системой добавляется неявное правило . Таким образом, пакет, который не соответствует ни одному из введенных критериев будет отвергнут.

Использование tftp-сервера для создания списков доступа

Поскольку порядок строк в списке доступа очень важен, а также поскольку невозможно изменить этот порядок или исключить какие-либо строки из существующего списка доступа, рекомендуется создавать списки доступа на tftp-сервере и загружать их целиком в роутер, а не пытаться редактировать их на роутере.

Не забывайте, что если список доступа с данным номером (именем) существует, то строки с тем же номером (именем) будут добавляться к существующему списку в конец его. Поэтому, первой строкой в файле, содержащем описание списка доступа для загрузки с tftp-сервера, должна стоять команда отмены данного списка " no access-list <number/name>".

Назначение списков доступа на интерфейсы (Обзор)

Для каждого протокола на интерфейс может быть назначен только один список доступа.

Для большинства протоколов можно задать раздельные списки для разных направлений траффика.

Если список доступа назначен на входящий через интерфейс траффик, то при получении пакета, ротуер проверяет критерии, заданные в списке. Если пакет разрешен данным списком, то он передается для дальнейшей обработки. Если пакет запрещен, то он отбрасывается.

Если список доступа назначен на выходящий через интерфейс траффик, то после приянтия решения о передаче пакета через данный интерфейс роутер проверяет критерии, заданные в списке. Если пакет разрешен данным списком, то он передается в интерфейс. Если пакет запрещен, то он отбрасывается.

Не забывайте, что в конце каждого списка стоит неявное правило " deny all ", поэтому при назначении списков на интерфейс нужно следить, чтобы явно разрешить все виды необходимого траффика через интерфейс (не только пользовательского, но и служебного, например, обмен информацией по протоколам динамического роутинга).

Списки доступа для протокола IP

Стандартные и расширенные нумерованные списки доступа

Поддерживаются следующие виды списков доступа для IP:

  • Стандартные списки доступа (проверяют адрес отправителя пакета)
  • Расширенные списки доступа (проверяют адрес отправителя, адрес получателя и еще ряд параметров пакета)
  • Динамические расширенные списки доступа (имеют конечное и условия применения)

Создание стандартного списка доступа:

Критерии записываются последовательно в следующем формате:

Разрешается прохождение пакетов с адресов в блоке 192.168.0.0/16 за исключением адресов 192.168.1.0/24

Обратите внимание на порядок записи критериев. Запись их в другом порядке приведет к тому, что второе условие не будет работать никогда.

Обратите внимание на запись маски, в отличие от метода записи маски на сетевых интерфейсах маска в списках доступа записана инверсно, единицами отмечены биты, которые НЕ будут проверяться.

Часто используемое описание фильтра, которому удовлетворяет любой адрес 0.0.0.0 255.255.255.255 имеет специальное обозначение " any ".

Создание расширенного списка доступа:

Критерии расширенного списка доступа записываются в следующем формате:

Ключевое слово " log " вызывает выдачу записи о совпадении пакета с данным критерием на консоль и в системный лог-файл.

Если в качестве протокола указано " tcp " или " udp ", то описания source- и destination-wildcard могут включать номера портов для данных протоколов с ключевыми словами " eq ", " lt ", " gt ", " range ". Для протокола " tcp ", возможно также применение слова " established " для выделения только установленных tcp-сессий.

Ключевое слово " host source" - эквивалентно записи: "source 0.0.0.0"

Создание динамического списка доступа

Создание именованных списков доступа

Именованные списки доступа не распознаются Cisco IOS версиях младше 11.2.

Именованные списки доступа в настоящее время можно использовать только в качестве пакетных фильтров и фильтров роутинга.

Прежде чем использовать именованные списки доступа, запомните следующее:

  • Именованные списки несовместимы с предыдущими версиями IOS.
  • Не во всех случаях, где необходимы списки доступа, могут быть использованы именованные списки.
  • Не могут существовать одновременно стандартный и расширенный списки с одинаковым именем.

Создание стандартного именованного списка доступа

Шаг 1. Задание имени и переход в режим формирования списка.

Шаг 2. Задание критериев в порядке, в котором они должны применяться в списке.

Шаг 3. Выход из режима формирования списка.

Расширенный именованный список доступа создается аналогично.

Назначение списка доступа на интерфейс или терминальную линию.

  • На терминальную линию могут быть назначены только нумерованные списки.
  • На интерфейс могут назначаться ка кнумерованные, так и именованные списки.

В режиме конфигурировании терминальной линии выполните команду:

В режиме конфигурирования интерфейса выполните команду:

Если в результате применения списка доступа, назначенного на интерфейс, пакет отбрасывается, то отправителю посылается ICMP Host Unreachable message.

Если на интерфейс назначен список доступа, который не определен в конфигурации, то считается, что никакого списка не назначено и никакой фильтрации пакетов не происходит.

Обратите внимание, что как только будет введен хотя бы один критерий с этим номером/именем списка доступа, вслед за ним появится критерий " deny all ", который добавляется в конце всех существующих списков доступа. Поэтому, во избежание полной блокировки системы при заведении списков доступа следует:

  • Либо отменять назначение списка доступа на интерфейс перед редактированием списка и назначать на интерфейс только полностью сформированные и проверенные списки
  • Либо создавать и редактировать списки доступа на tftp-сервере и загружать в роутер опять-таки полностью сформированные и провереные списки доступа.

Примеры расширенных списков доступа

ВСЕ остальные пакеты, входящие с интерфейса Ethernet0 будут ОТБРОШЕНЫ !

Пример именованного списка доступа

Создается стандартный списко доступа с именем Internet_filter и расширенный список доступа с именем marketing_group :

Читайте также: