вторник, 3 февраля 2015 г.

Видео уроки Cisco. Курс молодого бойца. Практический курс с использованием Cisco Packet Tracer. Урок 15

Онлайн школа NetSkills возобновляет свою работу. В данном уроке мы поговорим об Access-List-ах. Подробно рассмотрим Стандартные (Standard) и Расширенные (Extended) списки доступа. Научимся разграничивать доступ для входящего и исходящего трафика.
Сам видео урок:
Ссылка на презентацию и ссылка на лабораторную работу.


Access-List, если перевести дословно, это “Список доступа”. Если воспринимать буквально, то получится, что access-list это некий список, который либо что-то разрешает, либо что-то запрещает. Однако Access-List это нечто большее. Это механизм позволяющий выделить интересующий трафик, а уж затем выполнять необходимые действия. Проще говоря - это фильтр. Такой фильтр используется для нескольких задач:
  1. разрешить/запретить трафик, т.е. пакетная фильтрация
  2. уже знакомый нам NAT, с помощью аксес листов мы определяли какие сети “натить”, т.е. давать доступ к сети Интернет
  3. VPN о котором мы поговорим буквально через несколько занятий. В данном случае мы списками доступа определяем, какой трафик шифровать и заворачивать в VPN тунель
  4. QoS - приоритизация трафика. К примеру если в нашей организации вдруг будет забит Интернет канал, то с помощью фильтров - аксес листов мы определим, что сети администрации будут иметь наивысший приоритет для более комфортной работы в Интернете даже при забитом канале.
  5. разграничение доступа к оборудованию. Мы можем не только установить пароль на подключение к роутеру по telnet или ssh, но и определить сети с которых возможен доступ, делается это конечно же с помощью аксес листов.
  6. аксес листы так же могут применяться в PBR, я не буду подробно рассказывать про это, если кому то интересно, то можно ознакомиться со следующим материалом.
Как видим применение аксес листов весьма обширно. Еще одна причина разобраться с ними!
Сегодня мы рассмотрим пакетную фильтрацию, т.е. задачу с разрешением и запрещением трафика. Аксес листы бывают следующих видов:
  1. Стандартные
  2. Расширенные
  3. Динамические
  4. Рефлексивные
  5. Временные
Мы с вами будем рассматривать стандартные и расширенные. С остальными более подробно можно ознакомиться здесь и здесь. А для ознакомления с лабораторной работой рекомендую посмотреть приведенный выше видео урок.




29 комментариев:

  1. Спасибо Вам огромное за уроки. С нетерпением жду новых. Хотелось бы узнать про VPN.

    ОтветитьУдалить
    Ответы
    1. Спасибо за отзыв. VPN будет буквально через пару уроков. Как только появится время)

      Удалить
  2. Спасибо большое за курс, отлично подготавливает и вводит в курс дела. С нетерпением жду продолжения!

    ОтветитьУдалить
  3. Автор, изучи wildcard mask. access-list 'ы короче станут.

    ОтветитьУдалить
    Ответы
    1. Да я вроде и так знаю) Только вот аксес-листы не должны быть короткими, они должны быть понятными.

      Удалить
    2. аксес-листы должны быть функциональными. а специалист при определенном навыке всегда сможет прочитать лист, и лучше если в нем будет не 200 строк, почти полностью копирующих друг друга, а 2.
      Стоит задача отфильтровать, например, 235 адресов? или 10 подсетей? Будешь указывать каждый(ую)?

      Удалить
    3. Коллега, если у вас стоит задача отфильтровать 235 адресов из 24-ой сети, это значит либо вы неправильно сегментировали свою сеть, либо вообще не стоит использовать фильтрацию на основе стандартных/расширенных аксес листов. Возможно стоит использовать фильтрацию на основе пользователей, а не ip адресов. Данные о пользователях можно подгятигвать с АД. Типичная ошибка админов пытаться решить хитрыми аксес листами изначально неправильно сегментированную сеть. После их увольнения просто невозможно разобраться в такой сети и понять, что же админ имел ввиду, когда делал аксес лист для 235 компов. Несколько лет работаю в системной интеграции и насмотрелся уже на это добро.
      Повторюсь, аксес листы должны быть максимально простыми. Нужно просто правильно сегментировать сеть и разумно применять политики безопасности (о которых кстати все забывают и городят потом вот такие аксес листы с wildcard маской).

      Удалить
  4. Здравствуйте, возник не большоій вопрос:
    Есть сеть:
    Бухгалетрия(vlan 10),
    Веб-разработчики(vlan 20),
    Веб-разработчики(vlan 30),
    Администрация(vlan 40)
    Есть серверы:
    1C(vlan 101)
    Mysql(vlan 102)
    Будет ли правильно:
    - На интерфейсе 0/0.101 повесить отдельный аксес лист для доступа бухгалтерии и администрации
    - На интерфейсе 0/0.102 повесить отдельный аксес лист для доступа java-разработчиков и веб-разработчиков.

    И так далее создавать аксес листы если будут добавляться новые серверы.
    Или это избыточно и есть более красивый вариант?)

    ОтветитьУдалить
    Ответы
    1. java-разработчики (vlan 40)**

      Удалить
    2. Мало исходных данных. Надо знать кому и куда разрешен доступ. Вообще, если доступ надо ограничивать только до серверов, то будет логичнее вешать аксес листы на интерфейс серверов для исходящего трафика, т.е. out. Если матрица доступа сложнее, то аксес листы надо вешать на входящий трафик для каждого интерфейса.

      Удалить
  5. John Cooper, спасибо за уроки. Очень познавательно. Но как насчет l3 switch? Имея сегмент серверов не актуально ли будет использовать коммутатор уровня распределения? Если да, то можете коротко объяснить механизм его внедрения. Исходя из уроков ранее я так понимаю, то стоит приземлить vlans на l3, настроить trunk порт. Между router и l3 switch стоит ли создавать еще один логический int с access линком? Спасибо за ответ заранее

    ОтветитьУдалить
    Ответы
    1. Ну вы все правильно поняли. L3 коммутатор ставится когда надо маршрутизировать большой трафик. Как правило локальные сети приземляются на L3 свитч.
      Роутер или МЭ обеспечивает выход в интернет и DMZ.
      Для соединения роутера и L3 коммутатора лучше сразу trunk порт определить, на будущее. Вдруг захотите какие-то сегменты на роутер приземлить.
      Если же этого не планируется, то помещаете интерфейс роутера в аксес порт на L3 свиче

      Удалить
    2. John Cooper, а что если не назначать trunk или аccess до router и на L3SW выключить switchport и прописать ip address из той же подсети что и на int самого маршрутизатора? По каким соображениям его не следует сделать? Или все-таки как вариант можно использовать?

      Удалить
    3. Вы имеете ввиду можно ли вешать ip адреса не на VLAN-ы, а на физические интерфейсы L3 коммутатора?

      Удалить
    4. Совершенно верно. Ну между роутером и L3 не прописывать ни аксес порт, ни транк, а просто вешать IP адреса на оба интерфейса. С какой точки зрения этого не следует делать?

      Удалить
    5. Так можно делать. Если вы уверены что между роутером и Л3 свичем у вас будет всего один логический линк.
      Если вдруг вам понадобится пробросить еще один VLAN (для теста, мало ли для чего), то придется полностью перенастраивать интерфейс свича и роутера, что приведет к временному простою сети.
      На мой взгляд лучше сразу прописывать ip на vlan-ы, так у ваша архитектура будет более гибкая и легко изменяемая. При этом в производительности интерфейса вы не потеряете (конечно если вы используете один влан). Ну это лично мое мнение. Каких-то конкретных рекомендаций по этому вопросу я никогда не встречал.

      Удалить
    6. Благодарю за ответ! Жалко что с ASA совсем урезанное видео получилось, но я видел у вас тут раздел GNS3 появился, не имею понятия как с ним работать, но думаю после окончании курса молодого бойца переключусь обязательно на него. Уж как-то тяжко даются уроки с аксес листами :) Может все дело потому что свежо все, первые 10-15 уроков изначально тоже такими казались, но пересмотрев ваши видео по много раз и каждый раз вспоминая где и что пропустил уже можно сказать на зубрежку выучил, да и рассказы многих вендоров на инглиш стали более понятными. поэтому практика все-таки она нужна как не крути. имея практику теорию осваиваешь на ура.

      Удалить
  6. Добрый день!
    Проконсультируйте, пожалуйста, в следующем вопросе. Существует сегмент серверов ( vlan5) в котором есть сервер бухгалтерии и файл сервер, так же есть сегмент пользователей (vlan2), сегмент администрации (vlan3), и сегмент бухгалтерии (vlan4) . Стоит задача отфильтровать трафик так чтобы ПК бухгалтерии имели доступ и к серверу бухгалтерии и к файл серверу, а ПК администрации и ПК пользователей имели доступ только к файл серверу. Если я правильно понимаю, то в данном случае надо создать аксес листы и повесить каждый на порт конкретного сервера, не могли бы вы подсказать как правильно повесить аксес лист на порт сервера. Спасибо!

    ОтветитьУдалить
    Ответы
    1. Добрый день. Я думаю будет лучше если вы сами попытаетесь это сделать. В видео присутствуют все необходимые примеры. Если я вам подскажу, вы просто не поймете эту тему в дальнейшем. Попробуйте решить самостоятельно.

      Удалить
    2. Доброе время суток!
      Домашняя работа.

      ip access-list extended TO-1C
      permit ip 192.168.2.0 0.0.0.255 host 192.168.5.2
      permit ip host 192.168.3.100 host 192.168.5.2
      !

      Не судите строго ведь я только учусь.

      Удалить
  7. Привет, помогите.
    Есть 4 VLAN. Номера 2, 3, 4, 5.
    Вот access list
    Standard IP access list FOR-NAT
    permit 192.168.2.0 0.0.0.255 (8 match(es))
    permit 192.168.3.0 0.0.0.255 (48 match(es))
    permit 192.168.4.0 0.0.0.255 (14 match(es))
    Таким образом ограничиваю доступ до хоста 210.210.2.2 (Все как в уроке)
    Но, тем не менее, хосты с 5-го VLAN пингуют 210.210.2.2
    Кто поопытние подскажите это глюк симулятора или я что-то не так делаю.
    Также на роутере где access list прописал маршрут по-умолчанию
    ip route 0.0.0.0 0.0.0.0 210.210.0.1, может зесь что-то нетак.
    Подскажите пожалуйста.

    ОтветитьУдалить
    Ответы
    1. Тысячу извинений. Вчера пол ночи возился. Сегодня сразу же написал вопрос а потом продолжил разбираться. И понял.
      Я ЗАБИЛ access list на порт повесить.
      Вывод, не работайте допоздна, продуктивность падает.

      Удалить
    2. Наверное ещё не проснулся. Не ЗАБИЛ, а ЗАБЫЫЫЫЛ. Извините

      Удалить
  8. Как ты и просил. Мой аксес лист
    Extended IP access list TO-1C
    10 permit ip host 192.168.3.2 host 192.168.5.2 (4 match(es))
    20 permit ip 192.168.2.0 0.0.0.255 host 192.168.5.2

    ОтветитьУдалить
  9. Здравствуйте, Евгений
    Большое спасибо за ваш замечательный курс молодого бойца.
    Домашнее задание.
    Я решил добавить в уже существующий лист еще одно правило для доступа админа к серверу.
    ip access-list standard TO-1C
    permit 192.168.2.0 0.0.0.255
    permit host 192.168.3.100

    ОтветитьУдалить
  10. ip access-list extended TO-1C
    permit ip host 192.168.3.100 192.168.5.0 0.0.0.255
    permit ip 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255

    ОтветитьУдалить
  11. В лабораторной работе на вход в роутер висит пароль, подскажите плз.

    ОтветитьУдалить
    Ответы
    1. Видимо это итоговое состояние на конец лабораторной...раньше было состояние на начало работы, что было удобно в случае сложной начальной конфигурации...

      Удалить

Новый сайт проекта

Новый сайт проекта
Прокачай себя, а не персонажа из игры

Translate

Популярные сообщения

Blog Archive

Технологии Blogger.