Меню

access group cisco настройка

Access group cisco настройка

ACL (Access Control List) – это список управления доступом. Списки доступа позволяют сетевым инженерам идентифицировать пакеты различных типов. Для этого в конфигурации ACL перечисляют значения, которые маршрутизатор Cisco может найти в заголовках IP, TCP, UDP и др. Например, список доступа может распознать пакет с IP-адресом отправителя 1.1.1.1, или пакеты IP-адрес получателя которых находится в подсети 10.1.1.0/24, или пакеты с портом получателя TCP 23 (Telnet). Чаще всего списки доступа применяют как фильтр пакетов.

  1. Интерфейсе: для фильтрации пакетов
  2. Telnet: для ограничения доступа к маршрутизатору
  3. VPN: для определения трафика, подлежащего шифрованию
  4. QoS: для определения трафика, который необходимо обработать
  5. NAT: для определения IP-адресов, которые необходимо транслировать

Сами по себе списки доступа представляют из себя список выражений, которые что-то разрешают, либо запрещают. ACL применяется на определенном интерфейсе и на одном направлении (входящем или исходящем). Таким образом, списки ACL могут быть применены к входящим на маршрутизатор пакетам раньше, чем он примет решение о их перенаправлении. Либо к исходящим пакетам, после того, как маршрутизатор примет решение о перенаправлении и направит пакет на данный интерфейс.

Рассмотрим простой пример. Когда из LAN1 (локальная внутренная сеть) приходит пакет на интерфейс f0/0 роутер проверяет входящий трафик по ACL строго в том порядке, в котором записаны выражения. Если ACL разрешает проходить пакету, то роутер отправляет на интерфейс f0/1. Перед отправкой пакета маршрутизатор проверяет исходящий трафик по ACL и только после этого принимает решение о его передаче в сторону ISP (Internet Service Proiver – провайдер).

При использовании ACL для фильтрации пакетов может быть выбрано только одно из двух действий. Команды конфигурации используют ключевые слова deny (запретить) и permit (разрешить), означающие соответственно отказ от пакета или разрешение его передачи.

Списки доступа ACL бывают двух видов:

  1. Стандартные (standart) – могут проверять только IP-адреса отправителей пакетов
  2. Расширенные (extended) – могут проверять адреса источников/получателей, тип протокола, UDP/TCP порты

ACL обозначаются порядковыми номерами (стандартные от 1 до 99, расширенные от 100 до 199), а также символьными именами.

Рассмотрим несколько важных правил, касающихся ACL:

  1. Нельзя разместить более одного списка доступа на интерфейс, протокол, направление;
  2. ACL не действует на трафик сгенерированный самим маршрутизатором;
  3. Для фильтрации пакетов используется обратная WildCard-маска (например 0.0.255.255 соответствует 255.255.0.0)
  4. Как только обнаруживается соответствие пакета в одной из строк списка ACL, маршрутизатор предпринимает действие, указанное в этой строке списка, и прекращает дальнейшее сравнение
  5. В конце каждого списка доступа стоит неявное deny any – запретить все

Стандартные нумерованные списки доступа используют следующую глобальную команду:

Каждый нумерованный список доступа ACL содержит одну или несколько команд access-list с любым номером из диапазона, представленного в строке синтаксиса выше. Помимо номера ACL, каждая команда содержит выбранное действие (permit или deny) и логику распознавания. Параметры команды access-list:

  1. permit – разрешить
  2. deny – запретить
  3. adress – запрещаем или разрешаем конкретную сеть (указываем ее Ip-адрес)
  4. any – запрещаем или разрешаем все
  5. host – запрещаем или разрешаем хост (указываем его Ip-адрес)
  6. source-wildcard – обратная маска

После создания списка доступа его необходимо применить на определенном интерфейсе:

Где in – входящее направление, out – исходящее направление.

Перейдем теперь к практике. Для начала настроем простую сеть, в которой будут ноутбук администратора, компьютеры обычных пользователей и сервер. Необходимо сделать так. чтобы доступ к серверу имел только администратор. Ip-план и схема прилагаются.

Категория хоста Ip-подсеть Номер VLAN
Администратор 172.16.0.0/24 2
Сервера 172.16.1.0/24 3
Пользователи 172.16.2.0/24 10

По традиции для тех кто будет собирать эту схему Packet tracer я привожу полную конфигурацию всех устройств с описанием команд.

Конфигурация для маршрутизатора:

Запускаем пинг с пользовательского компа до сервера

Как видим доступ есть. Нам же необходимо, чтобы доступ имел только админ. Для этого нам необходимо создать список доступа (пусть он будет иметь порядковый номер 10), в котором мы разрешим всем пакетам от администратора (172.16.0.100) доступ в подсеть серверов (172.16.1.0/24). После чего применим это правило на сабинтерфейсе fa0/0.3 (для серверов) для всех исходящих пакетов.

Тестируем настройки. Запускаем пинг с пользовательского компьютера в сторону сервера.

Пишет Destination host unreachable – хост назначения недоступен.

Запускаем пинг с компьютера администратора.

Пинг идет – значит ACL настроили правильно. Что происходит когда мы пингуем сервер с ноутбука администратора? Пакет сначала поступает на саибинтерфейс fa0/0.2 маршрутизатора. На данном интерфейсе не настроены списки доступа значит пакет проходит далее. Роутер смотрит в свою таблицу маршрутизации и видит что подсеть серверов находится на сабинтерфейсе fa0/0.3. Перед отправкой пакета маршрутизатор видит, что к данному интерфейсу прикреплен ACL 10. В данном списке доступа всего одна запись – разрешить отправку пакетов только хосту 172.16.0.100 (ноут админа). Маршрутизатор смотрит в Ip-пакет и видит адрес отправителя 172.16.0.100 после чего отправляет пакет в подсеть серверов. Ip-пакет с любым отличным от 172.16.0.100 будет отбрасываться, так как в конце ACL 10 стоит неявный deny any – запретить все.

Теперь перейдем к расширенным спискам доступа. Пользователям в нашей сети необходимо иметь доступ к файловому хранилищу и веб-сайту. Мы же ранее полностью ограничили им доступ к серверу. Необходимо исправить ситуацию и в этом нам помогут расширенные списки доступа. Расширенные списки доступа могут проверять Ip-адреса источника/отправителя, тип протокола, UDP/TCP-порты. В нашей ситуации необходимо будет проверять номера портов. Если пользователь обращается к серверу по разрешенному порту, то маршрутизатор пропускает такой пакет. Разрешенные порты: 80 (HTTP – доступ к веб-сайту), 21 (FTP – доступ к файловому хранилищу). Протоколы HTTP и FTP работают поверх TCP. Также для распознавания доменных имен на нашем сервере поднят DNS. DNS-сервер работает на порту 53.

Размещать расширенный список доступа будем на сабинтерфейсе fa0/0.3. Но на этом интерфейсе уже размещен список доступа. Вспоминаем правило: Нельзя разместить более одного списка доступа на интерфейс. Так что придется удалить созданный ранее список доступа. Правило, созданное для администратора перенесем в новый расширенный список с именем Server-out.

Конфигурация для маршрутизатора:

С компьютера админа пинг до сервера есть:

С компьютера пользователя пинга нет:

Проверим с компьютера пользователя проходят ли DNS-запросы до сервера. Для этого запустим утилиту nslookup – которая определяет Ip-адрес до доменному имени.

DNS-запросы проходят без проблем. Проверим доступ к нашему условному Web-сайту через браузер:

источник

Настройка списков доступа IP

Параметры загрузки

Содержание

Общие сведения

В этом документе объясняется принцип применения списков контроля доступа (ACL) IP для фильтрации сетевого трафика. Также в нем содержатся краткие описания типов IP ACL, доступности функций и примеры использования в сети.

Используйте служебную программу Software Advisor ( только для зарегистрированных пользователей ) для настройки поддержки некоторых наиболее специфических функций IP ACL в Cisco IOS ® .

RFC 1700 содержит назначенные номера общеизвестных портов. RFC 1918 содержит выделение адресов для частных Интернет- и IP-адресов, которые не должны отображаться в Интернете.

Примечание. Списки ACL также можно использовать для целей, отличных от фильтрации IP-трафика, например, при определении трафика для NAT или шифрования, а также для фильтрации протоколов, отличных от IP, таких как AppleTalk или IPX. Обсуждение этих функций выходит за рамки данного документа.

Читайте также:  программа чтоб делать программу установки

Предварительные условия

Требования

Для данного документа нет особых требований. Обсуждаемые ключевые понятия справедливы для программного обеспечения Cisco IOS ® Releases 8.3 и выше. Это указано ниже каждой функции в списке доступа.

Используемые компоненты

В данном документе обсуждаются различные типы списков ACL. Некоторые из них существуют с версии Cisco IOS Releases 8.3, а другие были внедрены в более поздних программных версиях. Это указано в обсуждении каждого типа списков.

Данные для документа были получены в специально созданных лабораторных условиях. При написании данного документа использовались только устройства с пустой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд.

Условные обозначения

Ключевые понятия ACL

В этом разделе описываются ключевые понятия списков ACL.

Маски

Маски используются с IP-адресами в IP-списках ACL для выбора разрешенных и запрещенных элементов. Маски предназначены для настройки IP-адресов на интерфейсах, начинающихся с 255 и имеющих большие значения в левой части, например, IP-адрес 209.165.202.129 с маской 255.255.255.224. Маски, используемые для списков доступа для IP, являются обратными (например, маска 0.0.0.255). Это иногда называется инвертированной маской или шаблоном маски. Когда значение маски разбивается на двоичный код (нули и единицы), результаты определяют, какие биты адреса следует учитывать при обработке трафика. Значение 0 указывает, что биты адреса необходимо учитывать (точное соответствие); 1 в маске означает «безразличный» разряд. В этой таблице ключевые понятия объясняются более подробно.

сетевой адрес (трафик, который необходимо обрабатывать)

На основе двоичной маски можно увидеть, что первые три набора (октета) должны точно соответствовать указанному двоичному сетевому адресу (00001010.00000001.00000001). Единицы последнего набора цифр (байт) означают «безразличные» разряды (.11111111). Поэтому учитывается весь трафик, который начинается с 10.1.1., так как последний октет может быть любым. Поэтому с данной маской обрабатываются сетевые адреса с 10.1.1.1 до 10.1.1.255 (10.1.1.x).

Для определения обратной маски ACL вычтите обычную маску из 255.255.255.255. Пример определения обратной маски для сетевого адреса 172.16.1.0 с обычной маской 255.255.255.0:

255.255.255.255 — 255.255.255.0 (обычная маска) = 0.0.0.255 (обратная маска)

Учтите эти эквиваленты ACL.

IP-адрес источника/маска подсети 0.0.0.0/255.255.255.255 означает «любой»

Источник и маска 10.1.1.2/0.0.0.0 аналогичны «host 10.1.1.2»

Уплотнение ACL

Примечание. Маски подсетей можно также представить в виде записи фиксированной длины. Например, 192.168.10.0/24 соответствует 192.168.10.0 255.255.255.0.

В данном списке указан принцип уплотнения диапазона сетей в единую сеть для оптимизации списка ACL. Учитывайте такие сети.

Первые два октета и последний октет одинаковы для каждой сети. Данная таблица служит пояснением принципа уплотнения сетей в единую сеть.

Третий октет предыдущих сетей может быть записан так, как указано в данной таблице, в соответствии с позицией бита октета и значением адреса для каждого бита.

Поскольку первые пять бит совпадают, предыдущие восемь сетей могут быть уплотнены в единую сеть (192.168.32.0/21 или 192.168.32.0 255.255.248.0). Все восемь возможных сочетаний этих трех бит младших разрядов соответствуют диапазону рассматриваемых сетей. Данная команда определяет список ACL, разрешающий данную сеть. Если вычесть 255.255.248.0 (обычную маску) из 255.255.255.255, результат будет равен 0.0.7.255.

Запомните этот набор сетей для дальнейшего рассмотрения.

Первые два октета и последний октет одинаковы для каждой сети. Данная таблица служит пояснением принципа уплотнения этих сетей.

Третий октет предыдущих сетей может быть записан так, как указано в данной таблице, в соответствии с позицией бита октета и значением адреса для каждого бита.

Эти сети, в отличие от предыдущего примера, невозможно уплотнить в единую сеть. Необходимо как минимум две сети. Предыдущие сети можно уплотнить в следующие две сети:

Для сетей 192.168.146.x и 192.168.147.x совпадают все биты за исключением одного, представляющего «безразличный» разряд. Это может быть записано следующим образом: 192.168.146.0/23 (или 192.168.146.0 255.255.254.0);

Для сетей 192.168.148.x и 192.168.149.x совпадают все биты за исключением одного, представляющего «безразличный» разряд. Это может быть записано следующим образом: 192.168.148.0/23 (или 192.168.148.0 255.255.254.0).

Эти выходные данные определяют уплотненный список ACL для вышеуказанных сетей.

Обработка списков ACL

Трафик, поступающий на маршрутизатор, сравнивается с записями ACL на основе очередности появления записей в маршрутизаторе. Новые записи добавляются в конец списка. Маршрутизатор продолжает поиск до нахождения соответствия. Если маршрутизатор доходит до конца списка, не найдя соответствий, трафик не принимается. По этой причине наиболее часто используемые записи должны располагаться в начале списка. Существует неявный запрет на трафик, который не разрешен. Список ACL с единственной записью “deny” приводит к запрету всего трафика. Необходимо использовать как минимум одну разрешающую запись ACL, иначе весь трафик будет блокироваться. Результаты применения этих двух списков ACL (101 и 102) аналогичны.

В этом примере достаточно последней записи. В первых трех записях нет необходимости, поскольку протокол TCP содержит протокол Telnet, а протокол IP содержит протоколы TCP, UDP и ICMP.

Определение портов и типов сообщений

Помимо определения источника и места назначения ACL можно задать порты, типы сообщений ICMP и прочие параметры. Хорошим источником информации для общеизвестных портов является RFC 1700 . В RFC 792 поясняются типы сообщений ICMP.

Маршрутизатор может отображать описательный текст по некоторым общеизвестным портам. Используйте команду ? для получения справки.

Во время настройки, маршрутизатор также преобразует числовые значения в значения, более удобные для пользователя. Ниже указан пример, где при вводе номера типа сообщения ICMP маршрутизатор преобразует номер в имя.

Применение списков ACL

Можно определить ACL без их применения. Но эффекта от списков ACL не будет до тех пор, пока они не применены к интерфейсу маршрутизатора. Рекомендуется применять ACL на интерфейсе, который ближе других расположен к источнику трафика. Как отображено в следующем примере, при попытке блокировать трафик от источника до места назначения можно применить входящий список ACL до E0 на маршрутизаторе A вместо исходящего списка E1 на маршрутизаторе C.

Определение входа, выхода, источника и места назначения

Термины «вход», «выход», «источник» и «место назначения» используются относительно маршрутизатора. Трафик в маршрутизаторе можно сравнить с трафиком на магистрали. Предположим, вы сотрудник правоохранительных органов в Твери и хотите остановить автомобиль, который движется из Москвы в Петербург. Источником фургона является Москва, а местом назначения — Петербург. Можно организовать контрольно-пропускной пункт на границе Тверской области и Ленинградской области (на въезде) или на границе Московской и Тверской области (на выезде).

Относительно маршрутизатора данные термины имеют указанные значения.

Выход – трафик, который уже прошел через маршрутизатор и уходит с интерфейса. Источник, где он находился, на другой стороне маршрутизатора, и место назначения, куда он направляется.

Вход – трафик, поступающий на интерфейс и проходящий затем через маршрутизатор. Источник, где он находился, и место назначения, куда он направляется, на другой стороне маршрутизатора.

Входной список ACL использует источник на сегменте интерфейса, к которому он применяется, и любой другой интерфейс в качестве места назначения. Выходной список ACL использует источник на любом интерфейсе, кроме интерфейса, к которому он применяется, и любой интерфейс, отличный от этого, в качестве места назначения.

Читайте также:  атолл 90ф настройка офд

Изменение списков ACL

При изменении списка ACL требуется особое внимание. Например, при попытке удалить указанным ниже образом определенную строку из нумерованного списка ACL будет удален весь список ACL.

Для редактирования нумерованных списков ACL скопируйте конфигурацию маршрутизатора на сервер TFTP или в текстовый редактор, например, блокнот. Затем внесите нужные изменения и скопируйте конфигурацию обратно на маршрутизатор.

Также можно сделать следующее.

Удаляемые элементы вырезаются из списка ACL, а необходимые дополнения вставляются в конец списка.

Также можно добавлять строки в стандартные нумерованные списки ACL или расширенные нумерованные списки ACL с помощью их порядковых номеров в Cisco IOS. Пример конфигурации:

Настройте расширенный список ACL следующим образом:

Введите команду show access-list для просмотра записей ACL. Также отобразятся порядковые номера, такие как 10, 20 и 30.

Добавьте запись для списка доступа 101 с порядковым номером 5.

В выходных данных команды show access-list порядковый номер 5 добавляется в качестве первой записи для списка доступа 101.

Аналогичным образом можно настроить стандартный список доступа:

Основным отличием стандартного списка доступа является то, что Cisco IOS добавляет записи по убыванию IP-адресов, а не порядковых номеров.

В данном примере отображены различные записи, в т.ч. для разрешения IP-адреса (192.168.100.0) или сетей (10.10.10.0).

Добавьте запись в список доступа 2 для разрешения IP-адреса 172.22.1.1:

Данная запись добавляется сверху списка для указания приоритета конкретного IP-адреса, а не сети.

Примечание. Предыдущие версии списков ACL не поддерживаются программными средствами Security Appliance, например брандмауэром ASA/PIX.

Поиск и устранение неисправностей

Как удалить список ACL из интерфейса?

Перейдите в режим настройки и введите no перед командой access-group, как показано в данном примере, для удаления списка ACL из интерфейса.

Что делать, когда слишком большое количество трафика отвергается?

Если отвергается слишком большое количество трафика, то проанализируйте принципы существующего списка для определения и применения расширенного списка. Команда show ip access-lists выводит счетчик пакетов, отображающий, к какой записи списка ACL выполняется обращение.

Ключевое слово log в конце отдельных записей ACL отображает помимо информации о порте номер ACL и факт разрешения или отвержения пакета.

Примечание. Ключевое слово log-input существует в ПО Cisco IOS Release 11.2 и выше, а также в некоторых типах ПО на основе Cisco IOS Release 11.1, созданных специально для рынка поставщиков услуг. Старое ПО не поддерживает это ключевое слово. Использование этого ключевого слова предполагает отображение, по возможности, входного интерфейса и MAC-адреса источника.

Как отладить уровень пакетов, использующий маршрутизатор Cisco?

В данной процедуре объясняется процесс отладки. Прежде всего, необходимо убедиться в отсутствии действующих списков ACL, в наличии списка ACL и в активации режима быстрой коммутации.

Примечание. Будьте предельно осторожно при отладке системы с высокой информационной загрузкой. Используйте список ACL для отладки определенного трафика. Но будьте осторожны с процессом и потоком трафика.

Используйте команду access-list для получения необходимых данных.

В данном примере получение данных настроено на адрес места назначения 10.2.6.6 или исходный адрес 10.2.6.6.

Отключите быструю коммутацию на вовлеченных интерфейсах. Если быстрая коммутация не отключена, видимым будет только первый пакет.

Введите команду terminal monitor в режиме «enable» для отображения выходных данных команды debug и сообщений о системных ошибках для текущего терминала и сеанса.

Введите команду debug ip packet 101 или debug ip packet 101 detail, чтобы начать процесс отладки.

Используйте команду no debug all в режиме «enable» и команду interface configuration, чтобы прервать процесс отладки.

Типы списков ACL для IP

В данном разделе документа описываются типы списков ACL.

Схема сети

Стандартные списки ACL

Стандартные списки ACL — это самый старый тип ACL. Их появление датируется выпуском ПО Cisco IOS Release 8.3. Стандартные списки ACL управляют трафиком, сравнивая адрес источника IP-пакетов с адресами, заданными в списке.

Ниже приведен формат синтаксиса команд стандартного списка ACL.

Во всех версиях программного обеспечения номер access-list-number может варьироваться от 1 до 99. В ПО Cisco IOS Release 12.0.1 стандартные списки ACL начали использовать дополнительные номера (от 1300 до 1999). Эти дополнительные номера относятся к расширенным спискам ACL для IP. Программное обеспечение Cisco IOS Release 11.2 предоставило возможность использовать имя списка (поле name) в стандартных ACL.

Параметр source/source-wildcard, равный 0.0.0.0/255.255.255.255, можно указать как any. В случае, когда используются только нули, шаблон можно опустить. Поэтому сервер 10.1.1.2 0.0.0.0 аналогичен серверу 10.1.1.2.

После определения списка ACL его нужно применить к интерфейсу (входящему или исходящему). В более ранних версиях программного обеспечения «out» (выход) было значением по умолчанию, если не было задано ключевое слово «out» или «in» (вход). В более поздних версиях программного обеспечения необходимо указывать направление.

Ниже приведен пример использования стандартного списка ACL для блокирования всего трафика за исключением трафика из источника 10.1.1.x.

Расширенные списки ACL

Расширенные списки ACL появились в ПО Cisco IOS Release 8.3. Расширенные списки ACL управляют трафиком, сравнивая адреса источника и места назначения IP-пакетов с адресами, заданными в списке.

Ниже приведен формат синтаксиса команд расширенных списков ACL. Некоторые строки были обрезаны из соображений размещения.

Во всех версиях программного обеспечения номер access-list-number может варьироваться от 101 до 199. В ПО Cisco IOS Release 12.0.1 в расширенных списках ACL начали использовать дополнительные номера (от 2000 до 2699). Эти дополнительные номера относятся к расширенным спискам ACL для IP. Программное обеспечение Cisco IOS Release 11.2 предоставило возможность использовать имя списка (поле name) в расширенных ACL.

Значение 0.0.0.0/255.255.255.255 можно указать как any. После определения ACL его нужно применить к интерфейсу (входящему или исходящему). В более ранних версиях программного обеспечения «out» (выход) было значением по умолчанию, если не было задано ключевое слово «out» или «in» (вход). В более поздних версиях программного обеспечения необходимо указывать направление.

Этот расширенный список ACL используется для разрешения трафика внутри сети 10.1.1.x и для получения откликов «ping» извне, с блокированием непредусмотренных запросов «ping» извне и с разрешением всего остального трафика.

Примечание. Некоторые приложения (например, для контроля доступая сетью) отправляют эхо-запросы «ping» для поддержания соединения. В этом случае целесообразно ограничить блокировку входящих эхо-сигналов «ping» (или глубже детализировать разрешение/запрещение IP-адресов).

«Замок и ключ» (динамически списки ACL)

«Замок и ключ» (также известные как динамические списки ACL) появились в версии программного обеспечения Cisco IOS Release 11.1 . Реализация этой функции зависит от Telnet, локальной или удаленной аутентификации и расширенных списков ACL.

Настройка динамических списков контроля доступа начинается с применения расширенного списка ACL для блокирования трафика через маршрутизатор. Пользователи, пытающиеся передать данные через маршрутизатор, блокируются расширенным списком ACL до тех пор, пока они не войдут на маршрутизатор через Telnet и не будут аутентифицированы. Затем подключение Telnet сбрасывается, а динамический список ACL с одной записью добавляется к существующему расширенному списку ACL. Таким образом разрешается трафик на определенный период времени; можно задавать таймаут простоя и абсолютный таймаут.

Читайте также:  установка чистого android на lenovo

Ниже указан формат синтаксиса команд для конфигурации динамических списков ACL с локальной аутентификацией.

В этой команде список ACL с одной записью динамически добавляется после аутентификации к существующему списку ACL.

Это базовый пример динамического списка ACL.

После того, как пользователь 10.1.1.2 создает подключение Telnet к 10.1.1.1, применяется динамический список ACL. Затем соединение отключается и пользователь может переходить в сеть 172.16.1.x.

Именованные списки ACL для протокола IP

Именованные списки ACL для протокола IP появились в программном обеспечении Cisco IOS Release 11.2 . Они позволяют в стандартных и расширенных списках ACL использовать имена вместо номеров.

Ниже приведен формат синтаксиса команд именованных списков ACL для протокола IP.

Ниже представлен пример TCP:

Ниже приведен пример использования именованного списка ACL для блокирования всего трафика за исключением подключения через Telnet от сервера 10.1.1.2 к серверу 172.16.1.1.

Рефлексивные списки ACL

Рефлексивные списки ACL появились в программном обеспечении Cisco IOS Release 11.3. Рефлексивные списки ACL позволяют фильтровать IP-пакеты на основе информации сеанса верхнего уровня. Как правило, они используются для разрешения исходящего трафика и для ограничения входящего трафика в качестве реакции на сеансы, возникающие внутри маршрутизатора.

Рефлексивные списки ACL можно задать только с помощью расширенных именованных списков ACL для протокола IP. Их нельзя определить с помощью нумерованных или стандартных списков ACL для протокола IP или с помощью списков ACL для других протоколов. Рефлексивные списки ACL могут использоваться совместно с другими стандартными и статическими расширенными списками ACL.

Ниже приведен синтаксис различных команд рефлексивных списков ACL.

Ниже приведен пример разрешения исходящего и входящего трафика ICMP с разрешением только трафика TCP, возникающего внутри, остальной трафик отсекается.

Синхронизируемые списки ACL с временными диапазонами

Синхронизируемые списки ACL появились в программном обеспечении Cisco IOS Software Release 12.0.1.T. Хотя по функциям они схожи с расширенными списками ACL, они позволяют управлять доступом на основе времени. Чтобы реализовать синхронизируемые списки ACL, создается временной диапазон, определяющий конкретное время дня и недели. Временной диапазон обозначается именем и затем используется функцией. Таким образом, временные ограничения задаются непосредственно функцией. Временной диапазон основывается на системных часах маршрутизатора. Можно использовать часы маршрутизатора, но функция лучше работает с синхронизацией по протоколу сетевого времени (NTP).

Ниже представлены команды синхронизируемых списков ACL.

В этом примере разрешено подключение через Telnet из внутренней сети во внешнюю по понедельникам, средам и пятницам во время рабочих часов:

Комментируемые записи ACL для протокола IP

Комментируемые записи ACL для протокола IP появились в программном обеспечении Cisco IOS Software Release 12.0.2.T. Комментарии упрощают понимание списков ACL и могут быть использованы для стандартных или расширенных списков ACL для протокола IP.

Ниже приведен синтаксис команд комментируемых именованных списков ACL для протокола IP.

Ниже приведен синтаксис команд комментируемых нумерованных списков ACL для протокола IP.

Это пример комментариев к нумерованному списку ACL.

Контроль доступа на основе содержимого

Контроль доступа на основе содержимого (CBAC) появился в программном обеспечении Cisco IOS Software Release 12.0.5.T и требуется наличие набора функций брандмауэра Cisco IOS. CBAC анализирует трафик, проходящий через брандмауэр, для определения и администрирования информации о состоянии сеансов TCP и UDP. Эта информация о состоянии используется для создания временных промежутков в списках доступа брандмауэра. Это достигается настройкой списков ip inspect в направлении потока инициации трафика, чтобы разрешить ответный трафик и дополнительные подключения передачи данных для допустимых сеансов (сеансов, которые возникли изнутри защищенной внутренней сети).

Ниже приведен синтаксис CBAC.

Это пример использования CBAC для анализа исходящего трафика. Без промежутков CBAC для ответного трафика расширенный список ACL 111 обычно блокирует ответный трафик, отличный от ICMP.

Прокси-сервер аутентификации

Прокси-сервер аутентификации появился в программном обеспечении Cisco IOS Software Release 12.0.5.T. Для него требуется наличие набора функций брандмауэра Cisco IOS. Прокси-сервер аутентификации используется для аутентификации входящих и/или исходящих пользователей. Пользователи, которые обычно блокируются списком ACL, могут открыть браузер для прохождения брандмауэра и аутентифицироваться на сервере TACACS+ или RADIUS. Сервер передает маршрутизатору дополнительные записи ACL, в результате чего пользователям предоставляется доступ после аутентификации.

Прокси-сервер аутентификации использует принципы, сходные с динамическими списками ACL. Отличия заключаются в следующем:

Динамический список ACL включается посредством подключения к маршрутизатору через Telnet. Прокси-сервер аутентификации включается посредством протокола HTTP через маршрутизатор;

Прокси-сервер аутентификации должен использовать внешний сервер;

Прокси-сервер аутентификации может обрабатывать несколько дополнительных динамических списков. Динамический список ACL может добавлять только один список;

Прокси-сервер аутентификации использует абсолютный таймаут, но не использует таймаут простоя. Динамический список ACL использует и то, и другое.

Turbo-списки ACL

Turbo-списки ACL появились в программном обеспечении Cisco IOS Software Release 12.1.5.T только для 7200, 7500 и других высокопроизводительных платформ. Функция Turbo ACL разработана для более эффективной обработки списков ACL и увеличения производительности маршрутизатора.

Для Turbo-списков ACL используйте команду access-list compiled. Это пример скомпилированного списка ACL.

После определения стандартного или расширенного списка ACL используйте команду global configuration для компиляции.

Команда show access-list compiled отображает статистику по списку ACL.

Распределенные синхронизируемые списки ACL

Распределенные синхронизируемые списки ACL появились в программном обеспечении Cisco IOS Software Release 12.2.2.T для внедреня синхронизируемых списков ACL на маршрутизаторы серии 7500 с VPN. До появления функции распределенных синхронизируемых списков ACL синхронизируемые списки ACL не поддерживались на линейных платах маршрутизаторов Cisco 7500. Если были настроены синхронизируемые списки ACL, то они работали как обычные ACL. Если интерфейс линейной платы был настроен с помощью синхронизируемых списков ACL, то пакеты, коммутированные в интерфейс, не распространялись при помощи коммутации через линейную плату, а переадресовывались на процессор маршрутизации для обработки.

Синтаксис распределенных синхронизируемых списков ACL такой же, как и для синхронизируемых ACL с добавлением команд относительно состояния сообщений межпроцессорного взаимодействия (IPC) между процессором маршрутизации и линейной платой.

Списки ACL для входящего трафика

Списки ACL для входящего трафика используются для повышения уровня безопасности на маршрутизаторах Cisco 12000, защищая процессор гигабитного канала маршрутизатора (GRP) от ненужного трафика и спама. Списки ACL для входящего трафика были добавлены в качестве специального ограничителя для регулирования обслуживания в Release 12.0.21S2 программного обеспечения Cisco IOS и были интегрированы в Release 12.0(22)S. Для получения дополнительной информации см. раздел «GSR: списки контроля доступа для входящего трафика».

Списки ACL для защиты инфраструктуры

Списки ACL для защиты инфраструктуры применяются для минимизации рисков и эффективности прямых атак на инфраструктуру путем явного разрешения только авторизованного трафика на оборудование инфраструктуры с запретом всего остального транзитного трафика. Для получения дополнительной информации см. раздел «Защита ядра: списки контроля доступа для защиты инфраструктуры».

Транзитные списки ACL

Транзитные списки ACL используются для повышения безопасности сети, явно разрешая только необходимый трафик в существующих сетях. Для получения дополнительной информации см. «Транзитные списки контроля доступа: фильтрация на ближней стороне».

источник