IP списки доступа Cisco IOS — различия между версиями

Материал из wiki
Перейти к: навигация, поиск
(Расширенные параметры ACE)
(Vlan-ACL (VACL))
 
(не показано 5 промежуточных версий этого же участника)
Строка 94: Строка 94:
  
 
established
 
established
 +
 +
time-range
  
 
reflexive
 
reflexive
 +
 +
permit icmp vs. permit ip
 +
 +
Deny ACEs that check Layer 4 information never match a fragment unless the fragment contains Layer 4 information.
  
 
=== Классификация трафика с помощью ACL ===
 
=== Классификация трафика с помощью ACL ===
Строка 102: Строка 108:
  
 
=== Vlan-ACL (VACL) ===
 
=== Vlan-ACL (VACL) ===
 +
VLAN map применяется для всех отбриджованных пакетов. Router ACL только для маршрутизированных.
 +
Если
 +
 +
1. VLAN map for input VLAN10
 +
 +
2. Input router ACL / int VLAN10
 +
 +
3. routing VLAN10 to VLAN 20
 +
 +
4. Output router ACL / int VLAN20
 +
 +
5. VLAN map for output VLAN20
 +
 +
<code>
 +
ip access-list extended WIFIHOSTEL
 +
permit ip 10.12.0.0 0.0.255.255 host 212.192.64.2
 +
permit ip host 212.192.64.2 10.12.0.0 0.0.255.255
 +
deny  ip any any
 +
!
 +
vlan access-map WIFIHOSTEL 10
 +
match ip address WIFIHOSTEL
 +
action forward
 +
!
 +
vlan filter WIFIHOSTEL vlan-list  534
 +
</code>
  
 
=== Порядок обработки пакетов ===
 
=== Порядок обработки пакетов ===
Строка 111: Строка 142:
 
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_configuration_example09186a0080100548.shtml
 
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_configuration_example09186a0080100548.shtml
  
 
+
[[категория:Лекции]] [[Категория:Сети]]
[[Категория:Сети]]
 
 
[[Category:Cisco]] [[Category:ACL]]
 
[[Category:Cisco]] [[Category:ACL]]

Текущая версия на 06:41, 14 октября 2014

IP списки доступа Cisco IOS

Access-lists, Access-control-lists (ACL) – списки контроля доступа. Существует несколько разновидностей аксесс-листов, применяемых на маршрутизаторах и коммутаторах Cisco. Аксесс-листы используются для фильтрации трафика или для определения классов трафика при применении политик. Список доступа представляет собой набор строк вида условие-действие. Строка аксесс-листа называется access-control-entry (ACE). Условием может быть соответствие пакета определенному протоколу или набору параметров. Действием может быть разрешение пакета (permit), либо запрещение (deny). Для списков доступа справедливы следующие правила:

  • Созданный список доступа не действует, пока он не применен к конкретному интерфейсу.
  • Список доступа применяется на интерфейсе в конкретном направлении – для исходящего, либо входящего трафика (inbound/outbound).
  • К интерфейсу можно применить только по одному аксесс-листу на протокол (ip), на направление (in/out).
  • Список доступа проверяется строка за строкой до первого совпадения. Оставшиеся строки игнорируются.
  • В конце любого IP аксесс-листа подразумевается запрещающее правило (implicit deny). Пакет, не попавший ни под одно условие в списке, отбрасывается, в соответствии с правилом implicit deny.
  • Рекомендуется более специфические правила указывать в начале аксесс-листа, а более общие – в конце.
  • Новые строки по умолчанию дописываются в конец списка.
  • Отдельную строку можно удалить из именованного аксесс-листа, другие ACL удаляются лишь целиком.
  • Список доступа должен иметь по крайней мере один permit, иначе он будет блокировать весь трафик.
  • Интерфейс, которому назначен несуществующий аксесс-лист не фильтрует трафик.
  • IP Extended Access-lists применяются как можно ближе к источнику трафика.


По способу создания списки доступа делятся на стандартные, расширенные, и именованные. Удобнее всего работать с именованными.

Стандартный Access-list

Фильтрует только по ip адресу источника. Должен иметь номер в диапазоне 1-99. Пример:

access-list 10 deny host 172.16.30.2 – запретить ip источника
access-list 10 permit any            - разрешить всё

Расширенный Access-list

Фильтрует по адресам источника и получателя, по протоколам 3, 4 уровня. Должен иметь номер в диапазоне 100-199. Пример:

acсess-list 110 deny tcp any host 172.16.30.2 eq 22		- запретить tcp от всех на хост с портом 22
access-list 110 deny ip 192.168.160.0 0.0.31.255 any       -  запретить ip от сети по шаблону на всех
access-list 110 permit ip any any             - разрешить всё

Применение к интерфейсу

conf t					- переход в режим конфигурирования
int fa 0/0				- переход к интерфейсу FastEthernet0/0
 ip access-group 110 in		- применить ACL 110 на вход
 ip access-group 120 out	- применить ACL 120 на выход

Применение к линиям доступа telnet

conf t					- переход в режим конфигурирования
line vty 0 4				- переход к линиям vty с 0 по 4
 access-class 10 in		- применить ACL 10 на вход

Именованный расширенный Access-list

Фильтрует по адресам источника и получателя, по протоколам 3, 4 уровня. Должен иметь имя. Возможно удалять отдельные строки. Пример:

 ip access-list extended INET      - создать список с именем INET
  deny tcp any host 172.16.30.2 eq 22  - запретить tcp от всех на хост с портом 22
  deny ip 192.168.160.0 0.0.31.255 any -  запретить ip от сети по шаблону на всех
  permit ip any any         				    - разрешить всё

Строки доступа нумеруются с шагом 10 по-умолчанию. Можно перенумеровать аксесс-лист с другим шагом. Можно добавить строку пронумеровав – она попадет в указанное место, по нумерации.

Просмотр расширенного аксесс-листа:

 router# sh access-list INET
 Extended IP access list INET
  10 deny tcp any host 172.16.30.2 eq 22  (150 matches)
  20 deny ip 192.168.160.0 0.0.31.255 any (4 matches)
  30 permit ip any any  (1556 matches)

Как видим - строки пронумерованы с шагом 10. Можно вставить новую строку в произвольное место листа, используя номер:

router(conf)# ip access-list extended INET
router(config-ext-nacl)# 5 permit ip host 10.10.10.10 any
router(config-ext-nacl)# 223 deny ip host 1.1.1.1 any
router(config-ext-nacl)# end
router# sh access-list INET
 Extended IP access list INET
   5 permit ip host 10.10.10.10 any
  10 deny tcp any host 172.16.30.2 eq 22  (150 matches)
  20 deny ip 192.168.160.0 0.0.31.255 any (4 matches)
  30 permit ip any any  (1556 matches)
  223 deny ip host 1.1.1.1 any

Удалить отдельную строчку из листа можно по номеру, или по полному указанию строки с префиксом "no". Например так:

router(conf)# ip access-list extended INET
router(config-ext-nacl)# no permit ip host 10.10.10.10 any

Или так:

router(config-ext-nacl)# no 223 

Полностью удалить список доступа можно указав соответствующую команду и "no":

router(conf)# no ip access-list extended INET

Расширенные параметры ACE

log

log-input

established

time-range

reflexive

permit icmp vs. permit ip

Deny ACEs that check Layer 4 information never match a fragment unless the fragment contains Layer 4 information.

Классификация трафика с помощью ACL

Отладка IP ACL

Vlan-ACL (VACL)

VLAN map применяется для всех отбриджованных пакетов. Router ACL только для маршрутизированных. Если

1. VLAN map for input VLAN10

2. Input router ACL / int VLAN10

3. routing VLAN10 to VLAN 20

4. Output router ACL / int VLAN20

5. VLAN map for output VLAN20

ip access-list extended WIFIHOSTEL
 permit ip 10.12.0.0 0.0.255.255 host 212.192.64.2
 permit ip host 212.192.64.2 10.12.0.0 0.0.255.255
 deny   ip any any
!
vlan access-map WIFIHOSTEL 10
 match ip address WIFIHOSTEL
 action forward
!
vlan filter WIFIHOSTEL vlan-list  534

Порядок обработки пакетов

Подробная инструкция по работе с IP ACL от cisco

http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml

Примеры типичных применений IP ACL

http://www.cisco.com/en/US/tech/tk648/tk361/technologies_configuration_example09186a0080100548.shtml