RS tanariPPT 9fejezet

9.
fejezet: Hozzáférési
listák
Forgalomirányítási és kapcsolási alapok
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1
Tartalomjegyzék
9.1 Az IP ACL működése
9.2 Standard (normál) IPv4 ACL-ek
9.3 Extended (kiterjesztett) IPv4 ACLSs
9.4 Debug szűrése az ACL segítségével
9.5 ACL-ek hibaelhárítása
9.6 IPv6 ACL-ek
9.7 Összefoglalás
9. fejezet: Témakörök
 Hogyan szűrihetjük az ACL-ekkel a forgalmat.
 A standard és az extended IPv4 ACL összehasonlítása.
 Hogyan használják az ACL-ek a wildcard maskot.
 ACL-ek készítésének irányelvei.
 ACL-ek elhelyezése.
 Standard IPv4 ACL-el történő forgalomszűrés és a
hálózati követelmények.
 A standard IPv4 ACL-ek módosítása a
szekvenciaszámok segítségével.
 Standard ACL használata a vty vonalak védelmére.
9. fejezet: Témakörök (folyt.)
 A kiterjesztett (extended access control entry (ACE)) ACE
szerkezete.
 Kiterjesztett (extended) IPv4 ACL készítése a hálózati
követelmények alapján.
 Egy ACL készítése a debug kimenetének szűrésére.
 A router csomagfeldolgozási folyamata, ha ACL-t
alkalmaztunk.
 Általános ACL hibák feltárása CLI parancsok
segítségével.
 Az IPv4 and IPv6 ACL készítés összehasonlítása.
 IPv6 forgalomszűrő ACL készítése a hálózati
követelmények alapján.
Az ACL célja
Mi az ACL?
Az ACL célja
A TCP-üzenetváltás
Az ACL célja
Csomagszűrés
 A csomagszűrés - amelyet néha statikus
csomagszűrésnek is neveznek - a bejövő és kimenő
csomagok vizsgálata alapján szabályozza a hálózati
hozzáférést. Továbbítja vagy eldobja a csomagokat
adott feltételek alapján, amelyek vonatkozhatnak a
forrás IP-címre, cél IP-címre vagy a csomag által
szállított protokollra.
 A forgalomirányító csomagszűrőként működik, amikor
továbbítja vagy eldobja a csomagokat a szűrési
szabályok alapján.
 Egy ACL engedélyező vagy tiltó utasítások sorozata,
amelyeket hozzáférési lista bejegyzéseknek hívnak
(Acces Control Entry, ACE).
Az IP ACL működése
Csomagszűrés (folyt.)
Az ACL célja
Az ACL működése
Egy ACL utolsó utasítása mindig a implicit (kimondatlan)

tiltás. Ez az utasítás automatikusan odakerül mindegyik
ACL végére, még akkor is, ha a konfiguráció készítője
nem írta oda. Az implicit tiltás semmilyen forgalmat nem
engedélyez, ezért egy ACL-ben lennie kell legalább egy
engedélyező utasításnak, különben minden forgalom
blokkolásra kerül.
Normál és kiterjesztett IPv4 ACL-ek
Cisco IPv4 ACL-típusok
Normál ACL-ek
Kiterjesztett ACL-ek
Normál és kiterjesztett IPv4 ACL-ek
Számozott és nevesített ACL-ek
Helyettesítő maszkok az ACL-ekben
Bevezetés az ACL helyettesítő maszkolásába
A helyettesítő maszkok és az alhálózati maszkok
különböző módon használják a bináris 1-et és 0-t a
címegyeztetésben:
 0-s bit a helyettesítő maszkban - Egyezést követel a
cím megfelelő bitjében.
 1-es bit a helyettesítő maszkban - Figyelmen kívül
hagyja a cím megfelelő bitjét.
A helyettesítő maszkokat gyakran inverz maszkoknak

nevezik. Ennek oka az, hogy az alhálózati maszkban az
1-es egyezést, a 0-s pedig figyelmen kívül hagyást jelent,
a helyettesítő maszkban pedig ennek az ellentettje igaz.
Helyettesítő maszk példák: IPv4-hálózatokhoz
Helyettesítő maszk példák: címtartományokhoz
A helyettesítő maszk kiszámítása
A helyettesítő maszk kiszámítása kihívást jelenthet. Egy
gyors módszer erre, ha a 255.255.255.255 értékéből
kivonjuk az alhálózati maszkot.
Helyettesítő maszk kulcsszavak
Példák helyettesítő maszk kulcsszavakra
Útmutató ACL létrehozáshoz
Általános útmutató ACL-ek létrehozásához
 Használjunk ACL-eket a belső és a külső hálózat (pl.:
internet) között elhelyezett forgalomirányítókon.
 Használjunk ACL-eket saját hálózatunk két része között
lévő forgalomirányítón a beérkező és távozó forgalom
szabályozására.
 Konfiguráljunk ACL-t a határ forgalomirányítókon, tehát
azokon, amelyek saját hálózatunk peremén
helyezkednek el.
 Konfiguráljunk ACL-t minden protokollhoz a határ
forgalomirányító interfészein.
Általános útmutató ACL-ek létrehozásához (folyt.)
A három P
 Egy ACL protokollonként - Ha szabályozni
szeretnénk egy adott interfész forgalmát, akkor a rajta
engedélyezett protokollok mindegyikéhez külön ACL-t
kell készíteni.
 Egy ACL irányonként - Az ACL egy interfészen
egyszerre csak egy irány forgalmát szabályozza. Két
különböző ACL-t kell konfigurálni a bejövő és a kimenő
forgalom szabályozásához.
 Egy ACL interfészenként - Az ACL egy adott
interfészen szabályozza a forgalmat, például a
GigabitEthernet 0/0-n.
Bevált ACL megoldások
Útmutató az ACL elhelyezéséhez
Hová tegyük az ACL-eket?
Minden ACL-t ott kell elhelyezni, ahol a legnagyobb
hatást fejti ki a teljesítményre. Az alapvető szabályok:
 Kiterjesztett ACL-ek - Helyezzük a kiterjesztett ACL-t
minél közelebb a szűrendő forgalom forrásához.
 Normál ACL-ek - Mivel a normál ACL-ek esetében
nincs lehetőség célcím megadására, helyezzük ezeket
minél közelebb a célállomáshoz.
Az ACL elhelyezése, így a használt ACL-típusa függ
még: a hálózati rendszergazda által felügyelt terület
nagyságától, az érintett hálózatok sávszélességétől és a
konfiguráció egyszerűsítésétől.
Normál ACL elhelyezése
Kiterjesztett ACL elhelyezése
Normál IPv4 ACL-ek konfigurálása
Feltételek az utasításokban
Normál ACL konfigurálása
Normál ACL konfigurálása
Példa ACL
 access-list 2 deny host 192.168.10.10
 access-list 2 permit 192.168.10.0 0.0.0.255
 access-list 2 deny 192.168.0.0 0.0.255.255
 access-list 2 permit 192.0.0.0 0.255.255.255
Normál ACL konfigurálása (folyt.)
A normál ACL-utasítások teljes szintaxisa a következő:
Router(config)# access-list hozzáférési lista
száma deny permit remark forrás [ forrás
helyettesítő maszkja ] [ log ]
Az ACL törléséhez használjuk a no access-list

parancsot globális konfigurációs módban.
A remark kulcsszó használatával dokumentálható és

érthetőbbé tehető a hozzáférési lista.
Belső logika
 A Cisco IOS egy belső logika szerint fogadja el és
dolgozza fel az ACE-ket. Ahogy arról a korábbiakban
már szó esett, a listabejegyzések szekvenciálisan
kerülnek kiértékelésre, tehát a beírt ACE-k sorrendje
nagyon fontos.
Normál ACL elhelyezése az interfészeken
Miután a normál ACL konfigurálása megtörtént, csatoljuk
azt egy interfészhez az ip access-group paranccsal
interfész konfigurációs módban:
Router(config-if)# ip access-group {
hozzáférési lista száma | hozzáférési
lista neve } { in | out }
Egy ACL interfészről való eltávolításához gépeljük be a

no ip access-group parancsot az interfészen, majd
használjuk a globális no access-list parancsot a
teljes ACL eltávolításához.
Normál ACL elhelyezése az interfészeken (folyt.)
Nevesített normál ACL-ek létrehozása
Megjegyzések hozzáfűzése ACL-ekhez
IPv4 ACL-ek módosítása
Számozott normál ACL-ek szerkesztése
Számozott normál ACL-ek szerkesztése (folyt.)
Nevesített normál ACL-ek szerkesztése
ACL-ek ellenőrzése
ACL statisztikák
Normál ACL sorszámok
 A belső algoritmus másik része a bejegyzések (ACE)
sorszámozása. Először a hálózatokat tiltó három
utasítás került bevitelre, majd az állomásokra
vonatkozó öt következett. Az állomás utasítások
helyesek, mivel egyik IP-cím sem része az előzőekben
szereplő tartományoknak.
 Az elöl található állomásutasítások listája sem egyezik
meg szükségszerűen begépelésük sorrendjével. Az
IOS egy speciális hash eljárás alapján rendezi őket
úgy, hogy optimális legyen az ACL-bejegyzések közötti
keresési eljárás.
VTY-vonalak védelme normál IPv4 ACL-lel
Normál ACL konfigurálása VTY-vonal védelmére
A Telnet és SSH-forgalom szabályozása jellemzően egy
kiterjesztett ACL feladata, mivel egy magasabb rétegbeli
protokoll szűréséről van szó. De, mivel az access-
class parancs alkalmas a bejövő és kimenő
Telnet/SSH-kapcsolatok forráscím alapján való
szűrésére, elég normál ACL-t használni.
Router(config-line)# access-class
hozzáférési lista száma { in [ vrf-also ]
| out }
VTY-vonalak védelme normál IPv4 ACL-lel
A VTY-vonalon alkalmazott normál ACL ellenőrzése
A kiterjesztett IPv4 ACL felépítése
Kiterjesztett ACL-ek
A kiterjesztett IPv4 ACL felépítése
Kiterjesztett ACL-ek (folyt.)
Kiterjesztett IPv4 ACL-ek konfigurálása
Kiterjesztett ACL-ek konfigurálása
A kiterjesztett hozzáférési listák beállításának lépései
megegyeznek a normál ACL-ekével. A kiterjesztett ACL-t
is először létre kell hozni, majd aktiválni kell egy
interfészen. Azonban a parancsszintaxis és a
paraméterek jóval bonyolultabbak a kiterjesztett ACL-ek
által támogatott bővebb lehetőségek miatt.
Kiterjesztett ACL-ek elhelyezése interfészeken
Forgalomszűrés kiterjesztett ACL-ekkel
Nevesített kiterjesztett ACL-ek létrehozása
Kiterjesztett ACL-ek ellenőrzése
Kiterjesztett ACL-ek szerkesztése
Egy kiterjesztett ACL szerkesztése teljesen azonos
módon végezhető el, mint az előzőekben tárgyalt normál
ACL-eké. Módosításuk a következőképpen hajtható
végre:
 1. módszer: Szövegszerkesztő
 2. módszer: Sorszámok
Csomagfeldolgozás ACL-ekkel
Bejövő ACL-folyamat
 Mielőtt egy csomag a kimenő interfészhez kerül, a
forgalomirányító megvizsgálja az útválasztó táblát,
hogy a csomag irányítható-e.
 Ha egy csomag megfelel valamelyik permit-es ACL
utasításnak, a csomag routolásra továbbküldésre kerül.
 Ha egy csomag egy deny-os utasításnak felel meg, a
router eldobája, nem kerül routolásra.
 Ha egy beérkező csomag egyetlen ACL utasításnak
sem felel meg, az „imlicit deny” érvényesül, és
eldobásra kerül.
Kimenő ACL-folyamat
 Mielőtt egy csomag a kimenő interfészhez kerül, a
forgalomirányító megvizsgálja az útválasztó táblát, hogy a
csomag irányítható-e. Ha nem, akkor eldobja azt, így a
listabejegyzésekkel (ACE) sem kerül összehasonlításra.
 Ha a kimenő interfészhez nem tartozik kimenő irányú ACL,
akkor a csomag közvetlenül a kimenő interfészre kerül.
 Ha a kimenő interfészhez tartozik kimenő irányú ACL, akkor a
csomag mindaddig nem továbbítódik a kimenő interfészre,
míg az ACL-bejegyzésekkel összehasonlításra nem kerül.
 A kimenő irányú listák esetében a "permit" azt jelenti, hogy a
csomag a kimeneti pufferbe továbbítódik.
Processing Packets with ACLs
Outbound ACL Logic (cont.)
 Ha egy kimenő csomag deny ACL utasításnak felel
meg, eldobásra kerül.
 Ha egy kimenő csomag egyetlen ACL utasításnak sem
felel meg, az “implicit deny” érvényesül, s a csomag
eldobásra kerül.
ACL Logic Operations
 When a packet arrives at a router interface, the router
process is the same, whether ACLs are used or not. As
a frame enters an interface, the router checks to see
whether the destination Layer 2 address matches its
the interface Layer 2 address or if the frame is a
broadcast frame.
 If the frame address is accepted, the frame information
is stripped off and the router checks for an ACL on the
inbound interface. If an ACL exists, the packet is tested
against the statements in the list.
ACL Logic Operations (cont.)
 If the packet is accepted, it is then checked against
routing table entries to determine the destination
interface. If a routing table entry exists for the
destination, the packet is then switched to the outgoing
interface, otherwise the packet is dropped.
 Next, the router checks whether the outgoing interface
has an ACL. If an ACL exists, the packet is tested
against the statements in the list.
 If there is no ACL or the packet is permitted, the packet
is encapsulated in the new Layer 2 protocol and
forwarded out the interface to the next device.
A normál ACL döntési folyamata
 A normál hozzáférési listák csak a forrás IPv4-címet
vizsgálják, nem törődnek a csomag céljával és a benne
levő portokkal.
 A Cisco IOS szoftver egyesével veti össze az ACL-ben
lévő feltételeket a címmel. Az első egyezésnél eldönti,
hogy a csomagot elfogadja vagy eldobja. Mivel a
szoftver az első egyezés megtalálása után leállítja a
további vizsgálatot, nagyon fontos a feltételek
sorrendisége. Ha a cím egyik feltétellel sem egyezik,
eldobásra kerül.
A kiterjesztett ACL döntési folyamata
Az ACL először a forráscímet, majd a forrásportot és a
protokollt vizsgálja. Ezután szűri a célcímet, a célportot
és protokollt, végül engedélyező vagy elutasító döntést
hoz.
Gyakori ACL-hibák
Gyakori ACL-hibák elhárítása - 1.
Az 192.168.10.10
állomás nem tud
kapcsolatot létesíteni
a 192.168.30.12-vel
Gyakori ACL-hibák
A 192.168.10.0/24
hálózat nem tud
TFTP-kapcsolatot
létesíteni a
192.168.30.0/24
hálózat felé.
Gyakori ACL-hibák
Az ábrán a 192.168.11.0/24 hálózat képes Telnet kapcsolatot
létesíteni a 192.168.30.0/24-val, pedig a vállalati biztonsági
szabályok szerint ez nem engedélyezett.
Gyakori ACL-hibák
Az ábrán a 192.168.30.12 állomás képes Telnet kapcsolatot
létesíteni a 192.168.31.12-vel, pedig a vállalati biztonsági szabályok
szerint ez nem engedélyezett.
Gyakori ACL-hibák
Host 192.168.30.12 can use Telnet to connect to 192.168.31.12, but
according to the security policy, this connection should not be
allowed.
31-32. óra januárban!!!
IPv6 ACL létrehozása
Az IPv6 ACL-típusa
IPv6 ACL létrehozása
IPv4 és IPv6 ACL-ek összehasonlítása
Bár az IPv4 és IPv6 ACL-ek nagyon hasonlók, három
jelentős különbség is van közöttük.
 IPv6 ACL alkalmazása
Az IPv6-ban az ipv6 traffic-filter parancs tölti be ezt a
funkciót.
 Nincsenek helyettesítő maszkok

Az előtag-hossz (prefix-lenght) határozza meg, hogy az IPv6 cél-
vagy forráscímből mekkora rész kerüljön vizsgálatra.
 További alapértelmezett utasítások

permit icmp any any nd-na
permit icmp any any nd-ns
IPv6 ACL-ek konfigurálása
Az IPv6-topológia beállítása
Egy IPv6 ACL konfigurálásának három alapvető lépése:
1. Globális konfigurációs módban használjuk az ipv6
access-list néve parancsot az IPv6 ACL
létrehozásához.
2. Nevesített ACL konfigurációs módban használjuk a
permit vagy a deny utasításokat a feltétek
megadásához, melyek alapján a csomag továbbításra
vagy eldobásra kerül.
3. Térjünk vissza privilegizált EXEC módba az end
paranccsal.
IPv6 ACL alkalmazása egy interfészen
IPv6 ACL példák
Az FTP tiltása
Korlátozott
hozzáférés
IPv6 ACL-ek ellenőrzése
9. fejezet: Összefoglalás
 A forgalomirányító alapértelmezés szerint nem szűri a
csomagokat, azok kizárólag az útválasztó tábla
információi alapján kerülnek irányításra.
 A hálózati hozzáférés szabályozása céljából a
csomagszűrés elemzi a bejövő és kimenő forgalmat, és
továbbítja vagy eldobja azt bizonyos feltételek alapján,
mint például a forrás IP-cím, a cél IP-cím, és a csomag
által hordozott protokoll.
 A csomagszűrő forgalomirányító szabályokat használ a
forgalom engedélyezésének vagy tiltásának
meghatározására, továbbá képes a szállítási rétegbeli
szűrésre is.
 Egy ACL engedélyező és tiltó utasítások sorozata.
9. fejezet: Összefoglalás (folyt.)
 Az ACL utolsó eleme mindig egy, az összes forgalmat
blokkoló implicit tiltás. Annak megakadályozására, hogy
az ACL végén lévő beépített "deny any" blokkoljon
minden forgalmat, legalább egy permit utasításnak
szerepelni kell a hozzáférési listában.
 Amikor a hálózati forgalom keresztülhalad egy ACL-lel
konfigurált interfészen, a forgalomirányító összeveti a
csomagban található információt a listabejegyzésekkel,
és azokon sorrendben végighaladva egyezést keres. Ha
talál, feldolgozza a csomagot az utasításban foglaltaknak
megfelelően.
 A konfigurált ACL-ek alkalmazhatók mind a bejövő, mind
a kimenő forgalom szűrésére.
 A normál ACL-ek csak a forrás IPv4-címet használják a
forgalom engedélyezésére vagy tiltására. A célcím és a
csomagba ágyazott portszám nem kerül kiértékelésre. A
normál ACL-ek alapszabálya, hogy helyezzük őket a
célhoz lehető legközelebb.
 A kiterjesztett ACL-ek többféle jellemző alapján szűrik a
csomagokat: forrás- és cél IPv4-cím, forrás- és célport. A
kiterjesztett ACL-ek alapszabálya, hogy helyezzük őket a
forráshoz lehető legközelebb.
 Az access-list globális konfigurációs paranccsal
definiálható normál ACL 1-től 99-ig, vagy kiterjesztett
ACL 100-199 és 2000-2699 számozással. A normál és a
kiterjesztett ACL-ek lehetnek nevesítettek is.
 Az ip access-list standard név paranccsal
hozható létre nevesített normál ACL, míg a ip access-
list extended név utasítással a kiterjesztett ACL. Az
IPv4 hozzáférési lista bejegyzések (ACE) helyettesítő
maszkokat tartalmaznak.
 Konfigurálás után az ACL elhelyezésre kerül egy
interfészen az ip access-group paranccsal interfész
konfigurációs módban.
 Emlékezzünk vissza a három P szabályra: egy ACL per
protokoll, per irány, per interfész!
 Egy ACL eltávolításához először használjuk a no ip
access-group parancsot az interfészen, majd
alkalmazzuk a no access-list globális utasítást a
teljes ACL törléséhez.
 A show running-config és a show access-lists
parancsokkal ellenőrizhető az ACL-konfiguráció. A show
ip interface parancs pedig megmutatja, hogy melyik
ACL van az interfészen és az milyen irányban szűr.
 Az access-class vonali konfigurációs parancs a hozzáférési
listában levő címekre korlátozza a bejövő és kimenő VTY-
kapcsolatokat.
 Hasonlóan az IPv4 nevesített ACL-ekhez, az IPv6 hozzáférési
listák nevei is alfanumerikus karakterekből állnak,
nagybetűérzékenyek és egyediek. Az IPv4-gyel ellentétben, itt
nincs szükség a "standard" vagy "extended" beállítás
használatára.
 Globális konfigurációs módban az ipv6 access-list név
paranccsal hozható létre egy IPv6 ACL. Az IPv4 ACL-ektől
eltérően, az IPv6 ACL-ek nem használnak helyettesítő maszkokat.
Helyette az előtag hossza (prefix-length) határozza meg, hogy az
IPv6 forrás- vagy célcímből mennyi kerüljön egyeztetésre.
 Konfigurálás után az IPv6 ACL az ipv6 traffic-filter
paranccsal aktiválható az interfészen.
Presentation_ID 73
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential

RS tanariPPT 9fejezet

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

RS tanariPPT 9fejezet

Uploaded by

Copyright:

Available Formats

9.

Forgalomirányítási és kapcsolási alapok

Egy ACL utolsó utasítása mindig a implicit (kimondatlan)

A helyettesítő maszkokat gyakran inverz maszkoknak

Az ACL törléséhez használjuk a no access-list

A remark kulcsszó használatával dokumentálható és

Egy ACL interfészről való eltávolításához gépeljük be a

 Nincsenek helyettesítő maszkok

 További alapértelmezett utasítások

You might also like