21T38 ACL w 9 min. [Konfiguracja]

In ACL Out Permit Deny

Link do artykułu.

Transkrypcja:

0:00 Wprowadzenie

0:22 Topologia

1:18 Nadanie adresacji dla pc

1:55 Konfiguracja

4:00 Nałożenie i zdefiniowanie Akcess Listy

6:45 Sprawdzenie ruchu

8:50 Podsumowanie

Cześć! Chciałbyś się dowiedzieć, jak przy minimalnej ilości sprzętu, posiadając tylko router, można ograniczać ruch, bazując na access listach? Bardzo podstawowa funkcjonalność, ale jeżeli nie masz nic więcej, warto ją stosować. Jeżeli tak, to w tym odcinku pokażę, jak konfigurować takie access listy.

Zacznijmy od topologii. Mamy tutaj sieć LAN zaznaczoną na zielono, mamy dwa PC z końcówką 200 i z końcówką 100, przełącznik R2 i router, który jest dla nas gatewayem. Gateway jest tutaj z końcówką 254, maska 24 bity. Interfejs na routerze R1, od strony LAN-u, to jest fastEthernet 0/0, a od strony VAN-u jest serial 3/0. Jeżeli chodzi o sieć połączeniową, ten router po prawej stronie-Internet, nam symuluje internet, sieci zewnętrznej mamy pomiędzy R1 a Internet sieć połączeniową 10.10.10 z maską 30 bitów.

Będziemy zakładać w tym przykładzie access listę na routerze R1, na interfejsie
3/0 w kierunku out, w kierunku wychodzenia ruchu. Zacznijmy konfigurację
od nadania adresacji dla PC-ów. Pierwszy PC będzie miał końcówkę adresu 100, maska 24 bity, gateway 254. Sprawdźmy adres. Wszystko się zgadza.

Teraz kolej na komputer drugi, PC 2, końcówka 200, gateway ten sam. I adresację mamy na PC-ach wykonaną. Teraz możemy. przejść do konfiguracji
routera R1. Zaczynamy najpierw od interfejsów i nadania adresacji IP. Teraz interfejs fatEthernet 0/0. To jest interfejs od strony LAN-u. Końcówka 254, maska 24 bity. Od strony VAN-u na routerze R1 mamy adres sieci 10.10.10, końcówka 1, 30 bitów maska, adresację mamy wykonaną.

Teraz routing, uruchamiamy OSPF, żeby między routerem internet, a R1 mogły się rozgłaszać sieci, żeby nam tu ładnie wszystko działało. Dodajemy do procesu OSPF-owego w area 0 dwie sieci, tę naszą lokalną 192.168 i naszą połączeniową 10.10.10.

Mamy tutaj już OSPF uruchomionego. Teraz czas na router Internet. Teraz interfejs router Internet VAN-owy z końcówką 2. I proces OSPF, tu mamy
tylko jedną sieć, którą rozgłaszamy w procesie area 0-czy w strefie area 0. Konfigurację IP i routingu mamy już wykonaną, możemy pingować. Czyli jesteśmy teraz na PC1, pingujemy PC2 z końcówką. Wszystko nam odpowiada.
Z drugiej strony PC2 do PC1 z końcówką 100. Ping przechodzi. Możemy sobie sprawdzić pingowanie do VAN-u, czyli PC1 do interfejsu serial na R1. Pingi przechodzą. PC2 do interfejsu VAN na R1. Komunikacja jest prawidłowa.
Sprawdźmy jeszcze do routera Internet z końcówką 2 z PC1 działa. Komunikacja PC2 również działa. Czyli mamy już pełną konfigurację. IP i routingu. Na to możemy teraz nałożyć access listę.

Zacznijmy od konfiguracji globalnej, czyli tworzymy access listę. Pierwszy wpis
będzie deny, zabraniamy ruchu, który idzie od adresacji z końcówką hosta 200, czyli nasz host PC2 będzie blokowany w ramach tej access listy. Drugi wpis,
który przypisujemy, jeżeli nie zakwalifikuje się pakiet w pierwsze kwalifikacje, czyli pierwszy wpis w access liście, będzie sprawdzany kolejny wpis. A ten wpis kolejny mówi: zezwól na przesyłanie pakietu dla całej sieci 192.168.1.0 z wildcardem 24 bity. U niektórych producentów tutaj w access listach stosuje się
również maskę, a nie wildcarda, ale Cisco akurat używa wildcarda.

Teraz przyszedł moment na przypisanie access listy, którą mamy już stworzoną w naszej konfiguracji routera do konkretnego interfejsu. I teraz przypisanie następuje dla konkretnego kierunku i przypisujemy tę access listę na kierunku out. Jeżeli nie dokonamy żadnej dodatkowej modyfikacji, konfiguracji, to ta access lista jest rozpatrywana tylko w jednym kierunku.

Możemy sprawdzić w konfiguracji, co mamy dodane. Mamy interfejs od strony LAN-u na R1, tylko adres IP żadnej access listy. Mamy interfejs VAN z adresem
IP na R1 i access listą w kierunku out. Ten kierunek jest istotny i zawartość konkretnych wpisów też jest istotna w kontekście ruchu, który analizujemy. Mamy access listę zdefiniowaną w konfiguracji globalnej, dwa wpisy, blokujemy ruch source IP, czyli ruch idący od hosta z końcówką 200, a zezwalamy na ruch cały dla sieci 192.168.1. Czyli jeżeli nie zakwalifikuje
nam się każdy pakiet, który jest analizowany do warunku pierwszego, to warunek drugi jest sprawdzany. Jeżeliby się nie zakwalifikował do warunku drugiego, to jest warunek trzeci niejawny, blokuj wszystko. Czyli tworząc te warunki, trzeba mieć na uwadze, że tu jest na końcu deny taki domyślny, a kolejność ma znaczenie, kolejność tych wpisów w access liście. Dobrze, to sprawdźmy teraz, jak ruch nam przechodzi, a co jest blokowane. Pingujemy z PC1 na interfejs VAN R1. Przypomnę, że blokowaliśmy jedynie PC2, czyli z końcówką 200 na interfejsie wychodzącym s3/0. W kierunku out. Z PC1 pingujemy interfejs s3/0 R1. Pingujemy również interfejs Internet. Czyli tutaj nie jest blokowany żaden ruch pomiędzy PC1 a internetem. Teraz sprawdźmy,
z PC2 interfejs .1 to jest VAN na R1 i tu ruch przechodzi. Pingujemy natomiast w tym momencie interfejs drugi. I tu dostajemy informację, że komunikacja jest zabroniona. Ta zwrotna informacja jest po icmp wysyłana od routera z końcówką 254, która mówi nam, że ruch do internetu, czyli do tego routera Internet jest przez router R1 odrzucany. Zgodnie z naszą access listą i zgodnie z przypięciem tej access listy na interfejsie s3/0 w kierunku out i w naszym
przykładzie tylko tyle jest blokowane. Oczywiście sposób komunikacji blokowania ruchu najczęściej jest taki, że nie odsyłamy ze strony routera
żadnej informacji, czyli dropujemy po prostu ten ruch, który chcemy zablokować, nie odsyłamy,że tu jest blokowane i przez kogo jest blokowane,
bo to jest dodatkowa informacja niepotrzebna w większości przypadków, ale dla tego naszego przykładu, żeby pokazać, że ten ruch jest blokowany, zostawiliśmy taką wersję komunikacji.

To wszystko, jeżeli chodzi o konfigurację podstawową access list na routerze,
więc jeżeli nie masz żadnego firewalla dodatkowego i realizujesz jakąś podstawą politykę bezpieczeństwa, ograniczania ruchu pomiędzy hostami, sieciami, to w ten sposób powinieneś zaimplementować tę politykę.

Na dzisiaj to tyle. Dziękuję Ci za uwagę. Jeżeli masz jakieś pytania, to oczywiście pisz w komentarzu. Jeżelibyś chciał się dowiedzieć więcej od strony teoretycznej, na temat stosowania access list,na temat wersji access listy typu standard, advanced, na temat wildcarda, na temat masek, to oczywiście
zapraszam Cię do mojego podcastu. Tam temat teoretyczny bardziej rozwinę i będę szerzej omawiał takie aspekty.Na dzisiaj to tyle, do usłyszenia już za tydzień.