Обробка ACL-списку

У списках контролю доступу міститься одна чи більше інструкцій. Кожна інструкція дає дозвіл, або забороняє трафік на основі зазначених параметрів. Трафік порівнюється з кожною інструкцією в ACL-списку одна за одною, поки не буде знайдене співпадіння, або не закінчиться список інструкцій.

Остання інструкція в ACL-списку завжди містить неявну заборону трафіку. Ця інструкція автоматично вставляється в кінець кожного ACL-списку. Неявна заборона блокує весь трафік. Ця можливість дозволяє запобігти випадковому проходженню небажаного трафіку.

Після створення списку контролю доступу, його необхідно застосувати до інтерфейсу. ACL-список призначений для фільтрації вхідного або вихідного трафіку, що проходить через інтерфейс. Якщо пакет відповідає інструкції, що дозволяє проходження, то він пропускається маршрутизатором. Якщо ж пакет відповідає інструкції, що забороняє проходження, він зупиняється. ACL-список без жодної інструкції, яка дозволяє проходження, приводить до блокування всього трафіку. Це пояснюється тим, що в кінці кожного ACL-списку вказується неявна заборона. Таким чином, ACL-список буде перешкоджати проходженню всього трафіку, якщо не зазначені особливі дозволи.

Адміністратор може використовувати вхідний чи вихідний ACL-список для інтерфейсу маршрутизатора. Вхідний чи вихідний напрямок завжди розглядається з точки зору маршрутизатора. Трафік, що приходить на інтерфейс з мережі, є вхідним, а трафік, який відправляється через інтерфейс в мережу – вихідним.

При отриманні пакету через інтерфейс маршрутизатор перевіряє такі параметри:

- наявність ACL-списку, налаштованого на інтерфейсі;

- визначення типу ACL-списку (вхідний/вихідний);

- визначення відповідності трафіку правилам, описаним в списку контролю доступу.

ACL-список, що використовується як вихідний до інтерфейсу, не діє для вхідного трафіку на тому ж інтерфейсі.

Для кожного інтерфейсу маршрутизатор може мати один ACL-список для одного напрямку по кожному мережевому протоколу. Для ІP-протоколу один інтерфейс може мати один вхідний і один вихідний ACL-список одночасно.

ACL списки визначають набір правил, які дають додаткові можливості управління для пакетів, які надходять на вхідний інтерфейс, пакетів, які передаються через маршрутизатор та пакетів, що виходять через вихідні інтерфейси маршрутизатора. ACL списки не діють на пакети, які стосуються самого маршрутизатора.

Вхідні ACL списки – вхідні пакети обробляються перед тим, як вони направляються на вихідний інтерфейс. Вхідні ACL є ефективними, оскільки економлять ресурси маршрутизатора, у випадку, коли пакет треба відкинути. Якщо пакет дозволений він маршрутизується.

Вихідні ACL списки – вхідні пакети направляються на вихідний інтерфейс, а потім вони обробляються за допомогою вихідного ACL.

Перед тим, як пакет направляється на вихідний інтерфейс, маршрутизатор перевіряє таблицю маршрутизації, щоб переконатися, що існує маршрут для даного пакету. Якщо пакет не маршрутизується, він відкидається маршрутизатором. Потім маршрутизатор перевіряє, чи є ACL на вихідному інтерфейсі. Для вихідних списків, "permit" означає відправити пакет у вихідний буфер, а "deny" означає відкинути пакет.

ACL-списки, що застосовуються до інтерфейсу, створюють затримку трафіку. Навіть один довгий ACL-список може вплинути на продуктивність маршрутизатора.

Налаштування нумерованих розширених ACL-списків

Правила, що діють для стандартних ACL-списків, також дійсні для розширених ACL-списків:

- в одному ACL-списку можна вказувати кілька інструкцій;

- кожна інструкція повинна мати той же номер ACL-списку;

- для представлення ІP-адрес, варто використовувати ключові слова host чи any.

Основною відмінністю синтаксису розширеного ACL-списку є необхідність вказувати протокол, після умови дозволу або заборони. Це може бути ІP-протокол із вказівкою всього ІP-трафіку чи фільтрації визначеного ІP-протоколу, такого як TCP, UDP, ІCMP, OSPF.

При плануванні ACL-списку, необхідно забезпечити мінімальну кількість інструкцій, якщо це можливо. Для зменшення числа інструкцій і скорочення навантаження на обробку маршрутизатором, можна використати наступні рекомендації:

- забезпечте виявлення прохідного трафіку великого об’єму і заборону трафіку, що блокується в перших інструкціях ACL-списку. Це дозволить уникнути порівняння пакетів з інструкціями, що знаходяться нижче у списку;

- об'єднайте декілька інструкцій в одну інструкцію за допомогою діапазонів;

- намагайтеся блокувати доступ визначеній групі, замість того, щоб дозволяти його іншій групі з більшою кількістю користувачів.

Хід роботи

Завдання 1: Відновіть, створену у попередній роботі, конфігурацію мережі, приведену на рис.14.1.

Рис. 14.1 Схема лабораторного макету

Завдання 2: Налаштуйте розширений ACL список.

Необхідно забезпечити пристроям з локальної мережі 192.168.10.0/24 можливість передавати пакети тільки до пристроїв внутрішньої мережі та заборонити доступ до хоста 209.165.200.255 (моделювання ISP). Оскільки, для реалізації завдання необхідно вказувати як адресу джерела, так і адресу призначення, то необхідно використати розширений ACL. Цей ACL необхідно застосовувати на вихідному інтерфейсі маршрутизатора R1 - Serial 0/0/0. Розширені списки контролю доступу - це їх розташування якомога ближче до джерела.

Перед початком конфігурування переконайтеся, що є можливість пінгувати адресу 209.165.200.225 з PC1.

Крок 1: Створіть та задайте ім’я розширеному ACL.

У глобальному режимі конфігурації створіть іменований розширений ACL з назвою EXTEND-1:

R1(config)# ip access-list extended EXTEND-1

Зверніть увагу, що маршрутизатор підтвердить зміни, щоб вказати, що Ви зараз у розширеному режимі конфігурації ACL. Перебуваючи у цьому режимі, додайте необхідні правила для блокування трафіку від мережі 192.168.10.0/24 до хоста з адресою 209.165.200.225.

R1(config-ext-nacl)# deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225

Нагадаємо, що у створеному ACL, без додаткових правил на дозвіл, встановлена заборона на весь інший трафік. Додати правило на дозвіл, щоб бути впевненим в тому, що інший трафік не блокується, можна, ввівши в тому ж режимі наступну команду:

R1(config-ext-nacl)# permit ip any any

Крок 2: Застосуйте ACL.

При стандартному ACL, найкращим варіантом є розташування ACL якомога ближче до місця призначення. Розширені списки контролю доступу, як правило, краще розміщувати якомога ближче до джерела. Керуючись цим, розмістимо EXTEND-1ACL на послідовному інтерфейсі s 0/0/0 на маршрутизаторі R1 і налаштуємо його так, щоб він фільтрував вихідний трафік:

R1(config)# interface serial 0/0/0

R1(config-if)# ip access-group EXTEND-1 out

R1(config-if)# end

R1# copy run start

Крок 3: Перевірка ACL.

З PC1, виконайте команду ping інтерфейсу зворотнього зв'язку Lo0 на маршрутизаторі R2. Ця команда не буде виконуватися, тому що весь трафік з мережі 192.168.10.0/24 фільтрується створеним ACL, коли в якості адреси призначення є адреса 209.165.200.225. Якщо адресою призначення є будь-яка інша адреса, то пінг повинен бути успішним. Перевірте це, виконавши команду ping до маршрутизатора R3 з будь-якого мережевого пристрою в мережі 192.168.10.0/24.

Для відображення ACL можна використати команду show ip access-list на R1.

R1# show ip access-list

Extended IP access list EXTEND-1

10 deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225 (4 matches)

20 permit ip any any

Завдання 2: Налаштуйте список контролю доступу до VTY ліній за допомогою стандартних ACL.

Хорошою практикою є обмеження доступу до віртуальних терміналів VTY маршрутизатора для віддаленого адміністрування. ACL можуть бути застосовані до VTY ліній, що дозволяє обмежити доступ для певних хостів або мереж. У цьому завданні потрібно налаштувати стандартний ACL для дозволу доступу до VTY ліній хостам з двох мереж. Всім іншим хостам в такому доступі має бути відмовлено.

Переконайтеся, що Ви можете по протоколу Telnet зайти на маршрутизатор R2 з обох маршрутизаторів R1 і R3.

Крок 1: Налаштування ACL.

Налаштуйте іменований стандартний ACL на маршрутизаторі R2, що буде дозволяти трафік з 10.2.2.0/30 і 192.168.30.0/24. Забороніть весь інший трафік. R2(config)# ip access-list standard TASK-5

R2(config-std-nacl)# permit 10.2.2.0 0.0.0.3

R2(config-std-nacl)# permit 192.168.30.0 0.0.0.255

Крок 2: Застосуйте ACL.

Увійдіть в режим конфігурації лінії для VTY ліній 0-4.

R2(config)# line vty 0 4

Використайте команду access-class для застосування ACL VTY ліній для вихідного напрямку. Зауважте, що команди відрізняються від команд, що використовуються для застосування списків ACL для інших інтерфейсів.

R2(config-line)# access-class TASK-5 in

R2(config-line)# end

R2# copy run start

Крок 3: Перевірка ACL

Зайдіть по протоколу Telnet на маршрутизатор R2 з маршрутизатора R1. Зверніть увагу, що R1 не має IP-адреси з діапазону адрес, перерахованих в ACL ТАSК-5 як таких, що є дозволеними. Спроба підключення повинна бути невдалою:

R1# telnet 10.1.1.2

Trying 10.1.1.2 …

% Connection refused by remote host

З R3, Telnet до R2. Вас попросять пароль VTY лінії

R3# telnet 10.1.1.2

Trying 10.1.1.2 … Open

CUnauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law.

User Access Verification

Password:

Завдання 3: Виправте у списках управління доступом.

Коли ACL неправильно налаштований чи застосовується до неправильного інтерфейсу або в неправильному напрямку, мережевий трафік може фільтруватися неправильно.

Крок 1: Видаліть ACL STND-1 з інтерфейсу S0/0/1 на маршрутизаторі R3.

У попередніх завданнях було створено іменовані стандартні ACL на маршрутизаторі R3. Використовуйте команду show running-config для перегляду створених списків ACL та їх розміщення. Ввівши цю команду на маршрутизаторі R3, отримаєте інформацію про те, що ACL з іменем STND-1 був налаштований і застосований для вхідного трафіку на інтерфейсі Serial 0/0/1.

Щоб видалити ACL, перейдіть в режим конфігурації для послідовного інтерфейсу S0/0/1 на маршрутизаторі R3. Використовуйте команду no ip access-group STND-1 in, щоб видалити ACL з інтерфейсу:

R3(config)# interface serial 0/0/1

R3(config-if)# no ip access-group STND-1 in

Використайте команду show running-config, щоб переконатися, що ACL був видалений з послідовного інтерфейсу S0/0/1.

Крок 2: Застосуйте ACL STND-1 на S0/0/1 для вихідного трафіку.

Щоб перевірити важливість напрямку фільтрації ACL, повторно застосуйте STND-1 ACL для послідовного інтерфейсу S0/0/1. На цей раз ACL буде фільтрувати вихідний, а не вхідний трафік. Не забудьте використати ключове слов out при застосуванні ACL:

R3(config)# interface serial 0/0/1

R3(config-if)# ip access-group STND-1 out

Крок 3: Перевірка ACL.

Перевірте встановлення ACL, застосувавши команду ping від PC2 до PC3. Зверніть увагу, що на цей раз пінг успішний. Перевірте налаштування ACL шляхом використання команди show ip access-list на маршрутизаторі R3.

Крок 4: Відновлення ACL до попередньої конфігурації.

Видалити ACL з вихідного напрямку і повторно застосуйте його до вхідного напрямку.

R3(config)# interface serial 0/0/1

R3(config-if)# no ip access-group STND-1 out

R3(config-if)# ip access-group STND-1 in

Крок 5: Застосуйте TASK-5 до R2 для вхідного трафіку на послідовний інтерфейс S0/0/0

R2(config)# interface serial 0/0/0

R2(config-if)# ip access-group TASK-5 in

Крок 6: Випробування ACL.

Спробуйте з'єднатися з будь-яким пристроєм, підключеним до R2 або R3 з R1 або під'єднаних до нього мереж. Зверніть увагу, що всі з’єднання блокуються, проте ACL лічильники не збільшуються. Це через неявну заборону усього трафіку, що встановлена в кінці кожного ACL списку. Ця заборона буде запобігати передачі всього вхідного трафіку до послідовного інтерфейсу S0/0/0 від будь-якого джерела, крім R3. Тобто, це спричинить вилучення з таблиці маршрутизації маршрутів від R1. Буде видане повідомлення, подібне наступному, яке буде надруковане на консолях R1 і R2:

*Sep 4 09:51:21.757: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.11.1 on Serial0/0/0 from FULL to DOWN, Neighbor Down: Dead timer expired

Після того, як отримаєте це повідомлення, виконайте команду show ip route на маршрутизаторах R1 і R2, щоб побачити, які маршрути були видалені з таблиці маршрутизації.
Видаліть ACL ТАSК-5 з послідовного інтерфейсу S0/0/0 на маршрутизаторі R2 і збережіть поточні налаштування конфігурації:

R2(config)# interface serial 0/0/0

R2(config-if)# no ip access-group TASK-5 in

R2(config)# exit

R2# copy run start

Завдання 4: Виконайте лабораторну роботу на лабораторному макеті. Продемонструйте результат виконання роботи викладачеві.

Завдання 5: Завершення роботи.

Оформіть звіт про виконання даної роботи. Видаліть конфігурації і перезавантажте маршрутизатори. Відключіть і складіть кабелі. Для PC хостів, що зазвичай використовуються для інших мереж (наприклад LAN університету чи Інтернет), підключіть відповідні кабелі і відновіть налаштування TCP/IP.

Контрольні питання

1. Для чого використовуються розширені ACL списки?

2. У чому відмінність між стандартними та розширеними ACL списками?

3. Які номери використовуються для розширених ACL списків?

4. В чому відмінність між вхідними та вихідними ACL списками?

5. Яке правило по замовчуванню додається в кінці кожного ACL списку?