IP списки доступа Cisco IOS — различия между версиями
Moiseevvi (обсуждение | вклад) |
Moiseevvi (обсуждение | вклад) (→Vlan-ACL (VACL)) |
||
(не показано 25 промежуточных версий 2 участников) | |||
Строка 1: | Строка 1: | ||
== IP списки доступа Cisco IOS == | == IP списки доступа Cisco IOS == | ||
− | Access-lists (ACL) – списки контроля доступа. | + | Access-lists, Access-control-lists (ACL) – списки контроля доступа. |
− | Существует несколько разновидностей аксесс-листов, применяемых на маршрутизаторах и коммутаторах Cisco. Аксесс-листы используются для фильтрации трафика или для определения классов трафика при применении политик. Список доступа представляет собой набор строк вида условие-действие. Условием может быть соответствие пакета определенному протоколу или набору параметров. Действием может быть разрешение пакета (permit), либо запрещение (deny). Для списков доступа справедливы следующие правила: | + | Существует несколько разновидностей аксесс-листов, применяемых на маршрутизаторах и коммутаторах Cisco. Аксесс-листы используются для фильтрации трафика или для определения классов трафика при применении политик. Список доступа представляет собой набор строк вида условие-действие. Строка аксесс-листа называется access-control-entry (ACE). |
+ | Условием может быть соответствие пакета определенному протоколу или набору параметров. Действием может быть разрешение пакета (permit), либо запрещение (deny). Для списков доступа справедливы следующие правила: | ||
* Созданный список доступа не действует, пока он не применен к конкретному интерфейсу. | * Созданный список доступа не действует, пока он не применен к конкретному интерфейсу. | ||
Строка 8: | Строка 9: | ||
* К интерфейсу можно применить только по одному аксесс-листу на протокол (ip), на направление (in/out). | * К интерфейсу можно применить только по одному аксесс-листу на протокол (ip), на направление (in/out). | ||
* Список доступа проверяется строка за строкой до первого совпадения. Оставшиеся строки игнорируются. | * Список доступа проверяется строка за строкой до первого совпадения. Оставшиеся строки игнорируются. | ||
− | * В конце любого IP аксесс-листа подразумевается запрещающее правило (implicit deny). Пакет, не попавший | + | * В конце любого IP аксесс-листа подразумевается запрещающее правило (implicit deny). Пакет, не попавший ни под одно условие в списке, отбрасывается, в соответствии с правилом implicit deny. |
* Рекомендуется более специфические правила указывать в начале аксесс-листа, а более общие – в конце. | * Рекомендуется более специфические правила указывать в начале аксесс-листа, а более общие – в конце. | ||
* Новые строки по умолчанию дописываются в конец списка. | * Новые строки по умолчанию дописываются в конец списка. | ||
Строка 15: | Строка 16: | ||
* Интерфейс, которому назначен несуществующий аксесс-лист не фильтрует трафик. | * Интерфейс, которому назначен несуществующий аксесс-лист не фильтрует трафик. | ||
* IP Extended Access-lists применяются как можно ближе к источнику трафика. | * IP Extended Access-lists применяются как можно ближе к источнику трафика. | ||
+ | |||
По способу создания списки доступа делятся на стандартные, расширенные, и именованные. Удобнее всего работать с именованными. | По способу создания списки доступа делятся на стандартные, расширенные, и именованные. Удобнее всего работать с именованными. | ||
Строка 21: | Строка 23: | ||
Фильтрует только по ip адресу источника. Должен иметь номер в диапазоне 1-99. Пример: | Фильтрует только по ip адресу источника. Должен иметь номер в диапазоне 1-99. Пример: | ||
− | + | access-list 10 deny host 172.16.30.2 – запретить ip источника | |
− | + | access-list 10 permit any - разрешить всё | |
=== Расширенный Access-list === | === Расширенный Access-list === | ||
Фильтрует по адресам источника и получателя, по протоколам 3, 4 уровня. Должен иметь номер в диапазоне 100-199. Пример: | Фильтрует по адресам источника и получателя, по протоколам 3, 4 уровня. Должен иметь номер в диапазоне 100-199. Пример: | ||
− | + | acсess-list 110 deny tcp any host 172.16.30.2 eq 22 - запретить tcp от всех на хост с портом 22 | |
access-list 110 deny ip 192.168.160.0 0.0.31.255 any - запретить ip от сети по шаблону на всех | access-list 110 deny ip 192.168.160.0 0.0.31.255 any - запретить ip от сети по шаблону на всех | ||
access-list 110 permit ip any any - разрешить всё | access-list 110 permit ip any any - разрешить всё | ||
Строка 35: | Строка 37: | ||
int fa 0/0 - переход к интерфейсу FastEthernet0/0 | int fa 0/0 - переход к интерфейсу FastEthernet0/0 | ||
ip access-group 110 in - применить ACL 110 на вход | ip access-group 110 in - применить ACL 110 на вход | ||
− | ip access-group 120 | + | ip access-group 120 out - применить ACL 120 на выход |
=== Применение к линиям доступа telnet === | === Применение к линиям доступа telnet === | ||
Строка 47: | Строка 49: | ||
ip access-list extended INET - создать список с именем INET | ip access-list extended INET - создать список с именем INET | ||
deny tcp any host 172.16.30.2 eq 22 - запретить tcp от всех на хост с портом 22 | deny tcp any host 172.16.30.2 eq 22 - запретить tcp от всех на хост с портом 22 | ||
− | + | deny ip 192.168.160.0 0.0.31.255 any - запретить ip от сети по шаблону на всех | |
− | + | permit ip any any - разрешить всё | |
Строки доступа нумеруются с шагом 10 по-умолчанию. Можно перенумеровать аксесс-лист с другим шагом. Можно добавить строку пронумеровав – она попадет в указанное место, по нумерации. | Строки доступа нумеруются с шагом 10 по-умолчанию. Можно перенумеровать аксесс-лист с другим шагом. Можно добавить строку пронумеровав – она попадет в указанное место, по нумерации. | ||
+ | |||
+ | Просмотр расширенного аксесс-листа: | ||
+ | |||
+ | router# sh access-list INET | ||
+ | Extended IP access list INET | ||
+ | 10 deny tcp any host 172.16.30.2 eq 22 (150 matches) | ||
+ | 20 deny ip 192.168.160.0 0.0.31.255 any (4 matches) | ||
+ | 30 permit ip any any (1556 matches) | ||
+ | |||
+ | Как видим - строки пронумерованы с шагом 10. Можно вставить новую строку в произвольное место листа, используя номер: | ||
+ | |||
+ | router(conf)# ip access-list extended INET | ||
+ | router(config-ext-nacl)# 5 permit ip host 10.10.10.10 any | ||
+ | router(config-ext-nacl)# 223 deny ip host 1.1.1.1 any | ||
+ | router(config-ext-nacl)# end | ||
+ | router# sh access-list INET | ||
+ | Extended IP access list INET | ||
+ | 5 permit ip host 10.10.10.10 any | ||
+ | 10 deny tcp any host 172.16.30.2 eq 22 (150 matches) | ||
+ | 20 deny ip 192.168.160.0 0.0.31.255 any (4 matches) | ||
+ | 30 permit ip any any (1556 matches) | ||
+ | 223 deny ip host 1.1.1.1 any | ||
+ | |||
+ | Удалить отдельную строчку из листа можно по номеру, или по полному указанию строки с префиксом "no". | ||
+ | Например так: | ||
+ | router(conf)# ip access-list extended INET | ||
+ | router(config-ext-nacl)# no permit ip host 10.10.10.10 any | ||
+ | |||
+ | Или так: | ||
+ | router(config-ext-nacl)# no 223 | ||
+ | |||
+ | Полностью удалить список доступа можно указав соответствующую команду и "no": | ||
+ | router(conf)# no ip access-list extended INET | ||
+ | |||
+ | === Расширенные параметры ACE === | ||
+ | |||
+ | log | ||
+ | |||
+ | log-input | ||
+ | |||
+ | established | ||
+ | |||
+ | time-range | ||
+ | |||
+ | reflexive | ||
+ | |||
+ | permit icmp vs. permit ip | ||
+ | |||
+ | Deny ACEs that check Layer 4 information never match a fragment unless the fragment contains Layer 4 information. | ||
+ | |||
+ | === Классификация трафика с помощью ACL === | ||
+ | |||
+ | === Отладка IP ACL === | ||
+ | |||
+ | === Vlan-ACL (VACL) === | ||
+ | VLAN map применяется для всех отбриджованных пакетов. Router ACL только для маршрутизированных. | ||
+ | Если | ||
+ | |||
+ | 1. VLAN map for input VLAN10 | ||
+ | |||
+ | 2. Input router ACL / int VLAN10 | ||
+ | |||
+ | 3. routing VLAN10 to VLAN 20 | ||
+ | |||
+ | 4. Output router ACL / int VLAN20 | ||
+ | |||
+ | 5. VLAN map for output VLAN20 | ||
+ | |||
+ | <code> | ||
+ | ip access-list extended WIFIHOSTEL | ||
+ | permit ip 10.12.0.0 0.0.255.255 host 212.192.64.2 | ||
+ | permit ip host 212.192.64.2 10.12.0.0 0.0.255.255 | ||
+ | deny ip any any | ||
+ | ! | ||
+ | vlan access-map WIFIHOSTEL 10 | ||
+ | match ip address WIFIHOSTEL | ||
+ | action forward | ||
+ | ! | ||
+ | vlan filter WIFIHOSTEL vlan-list 534 | ||
+ | </code> | ||
+ | |||
+ | === Порядок обработки пакетов === | ||
+ | |||
+ | === Подробная инструкция по работе с IP ACL от cisco === | ||
+ | http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml | ||
+ | |||
+ | === Примеры типичных применений IP ACL === | ||
+ | http://www.cisco.com/en/US/tech/tk648/tk361/technologies_configuration_example09186a0080100548.shtml | ||
+ | |||
+ | [[категория:Лекции]] [[Категория:Сети]] | ||
+ | [[Category:Cisco]] [[Category:ACL]] |
Текущая версия на 06:41, 14 октября 2014
Содержание
- 1 IP списки доступа Cisco IOS
- 1.1 Стандартный Access-list
- 1.2 Расширенный Access-list
- 1.3 Применение к интерфейсу
- 1.4 Применение к линиям доступа telnet
- 1.5 Именованный расширенный Access-list
- 1.6 Расширенные параметры ACE
- 1.7 Классификация трафика с помощью ACL
- 1.8 Отладка IP ACL
- 1.9 Vlan-ACL (VACL)
- 1.10 Порядок обработки пакетов
- 1.11 Подробная инструкция по работе с IP ACL от cisco
- 1.12 Примеры типичных применений IP ACL
IP списки доступа Cisco IOS
Access-lists, Access-control-lists (ACL) – списки контроля доступа. Существует несколько разновидностей аксесс-листов, применяемых на маршрутизаторах и коммутаторах Cisco. Аксесс-листы используются для фильтрации трафика или для определения классов трафика при применении политик. Список доступа представляет собой набор строк вида условие-действие. Строка аксесс-листа называется access-control-entry (ACE). Условием может быть соответствие пакета определенному протоколу или набору параметров. Действием может быть разрешение пакета (permit), либо запрещение (deny). Для списков доступа справедливы следующие правила:
- Созданный список доступа не действует, пока он не применен к конкретному интерфейсу.
- Список доступа применяется на интерфейсе в конкретном направлении – для исходящего, либо входящего трафика (inbound/outbound).
- К интерфейсу можно применить только по одному аксесс-листу на протокол (ip), на направление (in/out).
- Список доступа проверяется строка за строкой до первого совпадения. Оставшиеся строки игнорируются.
- В конце любого IP аксесс-листа подразумевается запрещающее правило (implicit deny). Пакет, не попавший ни под одно условие в списке, отбрасывается, в соответствии с правилом implicit deny.
- Рекомендуется более специфические правила указывать в начале аксесс-листа, а более общие – в конце.
- Новые строки по умолчанию дописываются в конец списка.
- Отдельную строку можно удалить из именованного аксесс-листа, другие ACL удаляются лишь целиком.
- Список доступа должен иметь по крайней мере один permit, иначе он будет блокировать весь трафик.
- Интерфейс, которому назначен несуществующий аксесс-лист не фильтрует трафик.
- IP Extended Access-lists применяются как можно ближе к источнику трафика.
По способу создания списки доступа делятся на стандартные, расширенные, и именованные. Удобнее всего работать с именованными.
Стандартный Access-list
Фильтрует только по ip адресу источника. Должен иметь номер в диапазоне 1-99. Пример:
access-list 10 deny host 172.16.30.2 – запретить ip источника access-list 10 permit any - разрешить всё
Расширенный Access-list
Фильтрует по адресам источника и получателя, по протоколам 3, 4 уровня. Должен иметь номер в диапазоне 100-199. Пример:
acсess-list 110 deny tcp any host 172.16.30.2 eq 22 - запретить tcp от всех на хост с портом 22 access-list 110 deny ip 192.168.160.0 0.0.31.255 any - запретить ip от сети по шаблону на всех access-list 110 permit ip any any - разрешить всё
Применение к интерфейсу
conf t - переход в режим конфигурирования int fa 0/0 - переход к интерфейсу FastEthernet0/0 ip access-group 110 in - применить ACL 110 на вход ip access-group 120 out - применить ACL 120 на выход
Применение к линиям доступа telnet
conf t - переход в режим конфигурирования line vty 0 4 - переход к линиям vty с 0 по 4 access-class 10 in - применить ACL 10 на вход
Именованный расширенный Access-list
Фильтрует по адресам источника и получателя, по протоколам 3, 4 уровня. Должен иметь имя. Возможно удалять отдельные строки. Пример:
ip access-list extended INET - создать список с именем INET deny tcp any host 172.16.30.2 eq 22 - запретить tcp от всех на хост с портом 22 deny ip 192.168.160.0 0.0.31.255 any - запретить ip от сети по шаблону на всех permit ip any any - разрешить всё
Строки доступа нумеруются с шагом 10 по-умолчанию. Можно перенумеровать аксесс-лист с другим шагом. Можно добавить строку пронумеровав – она попадет в указанное место, по нумерации.
Просмотр расширенного аксесс-листа:
router# sh access-list INET Extended IP access list INET 10 deny tcp any host 172.16.30.2 eq 22 (150 matches) 20 deny ip 192.168.160.0 0.0.31.255 any (4 matches) 30 permit ip any any (1556 matches)
Как видим - строки пронумерованы с шагом 10. Можно вставить новую строку в произвольное место листа, используя номер:
router(conf)# ip access-list extended INET router(config-ext-nacl)# 5 permit ip host 10.10.10.10 any router(config-ext-nacl)# 223 deny ip host 1.1.1.1 any router(config-ext-nacl)# end router# sh access-list INET Extended IP access list INET 5 permit ip host 10.10.10.10 any 10 deny tcp any host 172.16.30.2 eq 22 (150 matches) 20 deny ip 192.168.160.0 0.0.31.255 any (4 matches) 30 permit ip any any (1556 matches) 223 deny ip host 1.1.1.1 any
Удалить отдельную строчку из листа можно по номеру, или по полному указанию строки с префиксом "no". Например так:
router(conf)# ip access-list extended INET router(config-ext-nacl)# no permit ip host 10.10.10.10 any
Или так:
router(config-ext-nacl)# no 223
Полностью удалить список доступа можно указав соответствующую команду и "no":
router(conf)# no ip access-list extended INET
Расширенные параметры ACE
log
log-input
established
time-range
reflexive
permit icmp vs. permit ip
Deny ACEs that check Layer 4 information never match a fragment unless the fragment contains Layer 4 information.
Классификация трафика с помощью ACL
Отладка IP ACL
Vlan-ACL (VACL)
VLAN map применяется для всех отбриджованных пакетов. Router ACL только для маршрутизированных. Если
1. VLAN map for input VLAN10
2. Input router ACL / int VLAN10
3. routing VLAN10 to VLAN 20
4. Output router ACL / int VLAN20
5. VLAN map for output VLAN20
ip access-list extended WIFIHOSTEL
permit ip 10.12.0.0 0.0.255.255 host 212.192.64.2
permit ip host 212.192.64.2 10.12.0.0 0.0.255.255
deny ip any any
!
vlan access-map WIFIHOSTEL 10
match ip address WIFIHOSTEL
action forward
!
vlan filter WIFIHOSTEL vlan-list 534
Порядок обработки пакетов
Подробная инструкция по работе с IP ACL от cisco
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml
Примеры типичных применений IP ACL
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_configuration_example09186a0080100548.shtml