Dysfonctionnements 

Que sont les ACL ? Nous configurons les ACL standard et étendues sur les routeurs Cisco. Qu'est-ce qu'une ACL et comment la configurer

Nous continuons à développer notre petit réseau cosy Lift mi Up. Nous avons déjà discuté des problèmes de routage et de stabilité, et maintenant nous avons enfin réussi à nous connecter à Internet. Assez de confinement dans notre environnement d’entreprise !
Mais avec le développement, de nouveaux problèmes apparaissent.
Tout d'abord, le virus a paralysé le serveur Web, puis quelqu'un a introduit un ver qui s'est propagé sur tout le réseau, occupant une partie de la bande passante. Et certains méchants ont également pris l'habitude de deviner les mots de passe ssh du serveur.
Pouvez-vous imaginer ce qui se passera lorsque nous nous connecterons à Internet ?!
Alors aujourd'hui :
1) apprendre à configurer diverses listes de contrôle d'accès (Access Control List)
2) essayer de comprendre la différence entre limiter le trafic entrant et sortant
3) comprendre le fonctionnement du NAT, ses avantages, ses inconvénients et ses capacités
4) en pratique, nous organiserons une connexion Internet via NAT et augmenterons la sécurité du réseau à l'aide de listes d'accès.

Liste de contrôle d'accès

Alors qu’avons-nous à dire sur les listes d’accès ? En fait, le sujet est relativement simple et seuls les paresseux l'ont copié du cours CCNA. Mais ne devrions-nous pas détruire notre étonnante histoire à cause de certains préjugés ?

A quoi servent les listes d’accès ? Il semblerait que la réponse tout à fait évidente soit de restreindre l’accès : interdire à quelqu’un de faire quelque chose, par exemple. En général, c’est vrai, mais il faut l’entendre dans un sens plus large : il ne s’agit pas seulement de sécurité. Autrement dit, au début, c'était probablement le cas, donc permis Et refuser lors de la mise en place. Mais en réalité, ACL est un mécanisme de filtrage polyvalent et puissant. Avec leur aide, vous pouvez déterminer à qui attribuer certaines politiques et à qui non, qui participera à certains processus et qui ne le fera pas, à qui nous limitons l'accélération jusqu'à 56k et qui à 56M.
Pour que ce soit un peu plus clair, donnons un exemple simple. Le routage basé sur des politiques (PBR) fonctionne sur la base de listes d'accès. Vous pouvez le faire ici pour que les paquets entrants depuis les réseaux 192.168.1.0/24 ont été envoyés au prochain saut 10.0.1.1, et depuis réseau 192.168.2.0/24 sur 10.0.2.1 (notez que le routage normal est basé sur l'adresse de destination du paquet et que tous les paquets sont automatiquement envoyés vers un saut suivant) :

A la fin de l'article vous trouverez un exemple de mise en place de et .

Types de listes de contrôle d'accès
D'accord, oublions ces paroles pendant un moment.
De manière générale, les listes d'accès sont différentes :
  • Standard
  • Avancé
  • Dynamique
  • Réfléchi
  • Basé sur le temps
Aujourd'hui, nous concentrerons notre attention sur les deux premiers, et vous pourrez en savoir plus à leur sujet sur le ciska.
Trafic entrant et sortant
Pour commencer, mettons une chose au clair. Qu'entendez-vous par trafic entrant et sortant ? Nous en aurons besoin à l’avenir. Le trafic entrant est celui qui arrive à l’interface depuis l’extérieur.

Le sortant est celui qui est envoyé de l’interface vers l’extérieur.

Vous pouvez appliquer une liste d'accès soit au trafic entrant, alors les paquets indésirables n'atteindront même pas le routeur et, par conséquent, plus loin dans le réseau, soit au trafic sortant, puis les paquets arriveront au routeur, seront traités par celui-ci, atteindront le interface cible et sont uniquement déposés sur celle-ci.

Une liste d'accès standard vérifie uniquement l'adresse de l'expéditeur. Étendu : adresse de l'expéditeur, adresse du destinataire et port. Il est recommandé de placer les ACL standard aussi près que possible du destinataire (afin de ne pas couper plus que nécessaire) et les ACL étendues - plus près de l'expéditeur (pour supprimer le trafic indésirable le plus tôt possible).

Pratique

Passons directement à la pratique. Que devons-nous limiter dans notre petit réseau « Lift mi Up » ?
  1. Serveur WEB. Autoriser l'accès à tout le monde sur le port TCP 80 (protocole HTTP). Pour l'appareil à partir duquel le contrôle sera effectué (nous avons un administrateur), vous devez ouvrir telnet et ftp, mais nous lui donnerons un accès complet. Tout le monde raccroche
  2. Serveur de fichiers. Nous devrions permettre aux résidents de Lift Mi Up d'y accéder via les ports pour les dossiers partagés, et à tous les autres via FTP.
  3. Serveur de messagerie. Ici, nous avons SMTP et POP3 en cours d'exécution, c'est-à-dire les ports TCP 25 et 110. Nous ouvrons également l'accès de gestion pour l'administrateur. Nous bloquons les autres
  4. Pour le futur serveur DNS, vous devez ouvrir le port UDP 53
  5. Autoriser les messages ICMP vers un réseau de serveurs
  6. Puisque nous avons le réseau Autre pour toutes les personnes non parties prenantes qui ne sont pas incluses dans le service FEO, PTO et comptabilité, nous les limiterons tous et ne donnerons qu'un certain accès (y compris nous et l'administrateur).
  7. Encore une fois, seul l'administrateur, et bien sûr votre proche, doit être autorisé à accéder au réseau de contrôle.
  8. Nous ne créerons pas d'obstacles à la communication entre les employés du ministère.
1) Accès au serveur WEB
Ici, nous avons une politique qui consiste à interdire tout ce qui n'est pas permis. Par conséquent, nous devons maintenant ouvrir quelque chose et fermer tout le reste.
Puisque nous protégeons un réseau de serveurs, nous accrocherons la feuille sur l'interface qui va vers eux, c'est-à-dire sur FE0/0.3. La question porte uniquement sur dans ou sur dehors est-ce qu'on doit faire ça ? Si nous ne voulons pas envoyer de paquets vers des serveurs déjà présents sur le routeur, il s'agira alors de trafic sortant. C'est-à-dire que nous aurons des adresses de destination dans le réseau de serveurs (à partir desquelles nous choisirons le serveur vers lequel le trafic va), et les adresses sources peuvent être n'importe quoi - à la fois de notre réseau d'entreprise et d'Internet.
Encore une remarque : puisque nous filtrerons également par adresse de destination (il existe des règles pour le serveur WEB, et d'autres pour le serveur de messagerie), nous aurons besoin d'une liste de contrôle d'accès étendue, c'est la seule qui nous permet de faire cela ; .

Les règles de la liste d'accès sont vérifiées de haut en bas jusqu'au premier match. Dès qu'une des règles est déclenchée, qu'il s'agisse d'une autorisation ou d'un refus, le contrôle s'arrête et le trafic est traité en fonction de la règle déclenchée.
Autrement dit, si nous voulons protéger le serveur WEB, nous devons tout d'abord donner l'autorisation, car si nous configurons dans la première ligne refuser toute adresse IP- alors cela fonctionnera toujours et la circulation ne sera pas fluide du tout. N'importe lequel- c'est un mot spécial qui signifie l'adresse réseau et le masque inverse 0.0.0.0 0.0.0.0 et signifie qu'absolument tous les nœuds de tous les réseaux sont soumis à la règle. Un autre mot spécial est hôte- cela signifie le masque 255.255.255.255 - c'est-à-dire exactement une seule adresse spécifiée.
Donc, première règle : autoriser l'accès à tout le monde sur le port 80
msk-arbat-gw1(config-ext-nacl)# remarque WEB
n'importe quel hôte 172.16.0.2 eq 80

Permettre ( permis) Trafic TCP depuis n'importe quel nœud ( n'importe lequel) pour héberger ( hôte- exactement une adresse) 172.16.0.2, adressée au port 80.
Essayons de joindre cette liste d'accès à l'interface FE0/0.3 :
msk-arbat-gw1(config-subif)# ip access-group Serveurs-sortie dehors

Nous vérifions depuis n'importe lequel de nos ordinateurs connectés :

Comme vous pouvez le constater, la page s’ouvre, mais qu’en est-il du ping ?

Et donc depuis n’importe quel autre nœud ?

Le fait est qu'après toutes les règles des ACL Cisco, un refuser toute adresse IP(refus implicite). Qu’est-ce que cela signifie pour nous ? Tout paquet quittant l'interface et qui ne correspond à aucune règle de l'ACL est soumis à un refus implicite et est rejeté. Autrement dit, même ping, même ftp ou quoi que ce soit d'autre ne fonctionnera pas ici.

Allons plus loin : il faut donner un accès complet à l'ordinateur à partir duquel le contrôle sera effectué. Ce sera l’ordinateur de notre administrateur avec l’adresse 172.16.6.66 de l’Autre réseau.
Chaque nouvelle règle est automatiquement ajoutée en fin de liste si elle existe déjà :
msk-arbat-gw1(config)#
msk-arbat-gw1(config-ext-nacl)# autorisation hôte TCP 172.16.6.66 hôte 172.16.0.2 plage 20 ftp
msk-arbat-gw1(config-ext-nacl)# autorisation hôte TCP 172.16.6.66 hôte 172.16.0.2 eq telnet

C'est ça. Nous vérifions à partir du nœud souhaité (puisque les serveurs de la République du Tatarstan ne prennent pas en charge telnet, nous vérifions sur FTP) :

Autrement dit, le message FTP est arrivé au routeur et doit quitter l'interface FE0/0.3. Le routeur vérifie et voit que le paquet correspond à la règle que nous avons ajoutée et le transmet.

Et depuis un nœud étranger

Le paquet FTP ne correspond à aucune des règles, à l'exception du refus implicite de l'adresse IP any any et est rejeté.

2) Accès au serveur de fichiers
Ici, nous devons tout d’abord décider qui sera le « résident » et qui doit avoir accès. Bien entendu, ce sont ceux qui ont une adresse du réseau 172.16.0.0/16 - eux seuls y auront accès.
Maintenant avec des dossiers partagés. La plupart des systèmes modernes utilisent déjà pour cela le protocole SMB, qui nécessite le port TCP 445. Sur les anciennes versions, NetBios était utilisé, qui était alimenté via jusqu'à trois ports : UDP 137 et 138 et TCP 139. Après avoir convenu avec notre administrateur, nous configurera le port 445 (vérifiez vraiment dans le cadre de la République du Tatarstan, bien sûr, cela ne fonctionnera pas). Mais à part cela, nous aurons besoin de ports pour FTP - 20, 21, et pas seulement pour les hôtes internes, mais aussi pour les connexions depuis Internet :
msk-arbat-gw1(config)# liste d'accès IP étendue aux serveurs
msk-arbat-gw1(config-ext-nacl)# permis tcp 172.16.0.0 0.0.255.255 hôte 172.16.0.3 eq 445
msk-arbat-gw1(config-ext-nacl)# permis tcp n'importe lequel hôte 172.16.0.3 plage 20 21

Ici, nous avons réappliqué le design plage 20 21- afin de spécifier plusieurs ports sur une seule ligne. Pour FTP, d'une manière générale, seul le port 21 ne suffit pas. Le fait est que si vous l'ouvrez uniquement, vous serez alors autorisé, mais pas le transfert de fichiers.

0.0.255.255 - masque générique. Nous parlerons de ce que c'est un peu plus tard.

3) Accès au serveur de messagerie
Nous continuons à nous entraîner - désormais avec un serveur de messagerie. Dans la même liste d'accès, nous ajoutons les nouveaux enregistrements dont nous avons besoin.
Au lieu des numéros de port pour les protocoles largement utilisés, vous pouvez spécifier leurs noms :
msk-arbat-gw1(config)# liste d'accès IP étendue aux serveurs
msk-arbat-gw1(config-ext-nacl)#permit tcp n'importe quel hôte 172.16.0.4 eq pop3
msk-arbat-gw1(config-ext-nacl)#permit tcp n'importe quel hôte 172.16.0.4 eq smtp
4) Serveur DNS
msk-arbat-gw1(config)# liste d'accès IP étendue aux serveurs
msk-arbat-gw1(config-ext-nacl)# permis UDP 172.16.0.0 0.0.255.255 hôte 172.16.0.5 éq 53
5) ICMP
Il ne reste plus qu'à régler la situation du ping. Il n'y a rien de mal à ajouter des règles à la fin de la liste, mais d'une manière ou d'une autre, il sera plus esthétique de les voir au début.
Nous utilisons une simple triche pour cela. Pour ce faire, vous pouvez utiliser un éditeur de texte par exemple. Copiez l'article sur ACL de show run et ajoutez les lignes suivantes :
pas de liste d'accès IP étendue aux serveurs de sortie
liste d'accès IP étendue aux serveurs de sortie
autoriser ICMP n'importe quel
remarque WEB



remarque FICHIER


remarque MAIL


remarque DNS

Dans la première ligne, nous supprimons la liste existante, puis nous la créons à nouveau et répertorions toutes les nouvelles règles dans l'ordre dont nous avons besoin. Avec la commande de la troisième ligne, nous avons autorisé le passage de tous les paquets ICMP de n'importe quel hôte vers n'importe quel hôte.

Ensuite, nous copions simplement tout en masse et le collons dans la console. L'interface interprète chaque ligne comme une commande distincte et l'exécute. Nous avons donc remplacé l'ancienne liste par une nouvelle.
On vérifie qu'il y a du ping :

Merveilleux.

Cette « triche » est bonne pour la configuration initiale ou si vous comprenez exactement ce que vous faites. Sur un réseau de travail, lorsque vous configurez des ACL à distance, vous risquez de vous retrouver sans accès au matériel que vous configurez.

Pour insérer une règle au début ou à tout autre endroit souhaité, vous pouvez recourir à cette technique :
liste d'accès IP étendue aux serveurs de sortie
1 permis ICMP n'importe quel

Chaque règle de la liste est numérotée avec une certaine étape, et si vous mettez un numéro avant le mot autoriser/refuser, la règle ne sera pas ajoutée à la fin, mais à l'endroit dont vous avez besoin. Malheureusement, cette fonctionnalité ne fonctionne pas dans RT.
Si cela s'avère soudain nécessaire (tous les numéros consécutifs entre les règles sont occupés), vous pouvez toujours renuméroter les règles (dans cet exemple, le numéro de la première règle est attribué à 10 (le premier chiffre) et l'incrément est de 10) :
Reséquence de la liste d'accès IP Serveurs en sortie 10 10


En conséquence, la liste d'accès au réseau de serveurs ressemblera à ceci :
liste d'accès IP étendue aux serveurs de sortie
autoriser ICMP n'importe quel
remarque WEB
autoriser TCP n'importe quel hôte 172.16.0.2 eq www
autorisation de l'hôte TCP 172.16.6.66 de l'hôte 172.16.0.2, plage 20 ftp
autorisation de l'hôte TCP 172.16.6.66 de l'hôte 172.16.0.2 eq telnet
remarque FICHIER
permis TCP 172.16.0.0 0.0.255.255 hôte 172.16.0.3 eq 445
autoriser TCP n'importe quel hôte 172.16.0.3 plage 20 21
remarque MAIL
autoriser TCP n'importe quel hôte 172.16.0.4 eq pop3
autoriser TCP n'importe quel hôte 172.16.0.4 eq smtp
remarque DNS
permis udp 172.16.0.0 0.0.255.255 hôte 172.16.0.5 eq 53

Actuellement, notre administrateur n'a accès qu'au serveur WEB. Donnez-lui un accès complet à l'ensemble du réseau. C'est le premier devoir à la maison.

6) Droits des utilisateurs de l'Autre réseau
Jusqu'à présent, nous avions besoin ne laisse pas entrer quelqu'un quelque part, nous avons donc prêté attention à l'adresse de destination et attaché une liste d'accès au trafic sortant de l'interface. Maintenant, nous avons besoin ne libère pas: Aucune requête provenant d'ordinateurs sur l'Autre réseau ne doit sortir des limites. Eh bien, bien sûr, sauf pour ceux que nous autorisons spécifiquement.
msk-arbat-gw1(config)# liste d'accès IP étendue Autre-dans

msk-arbat-gw1(config-ext-nacl)# autorisation hôte IP 172.16.6.61 tout



Ici, nous ne pourrions pas d'abord refuser tout le monde, puis en autoriser quelques-uns, car absolument tous les paquets tomberaient sous le coup de la règle. refuser toute adresse IP Et permis ne fonctionnerait pas du tout.
Nous l'appliquons à l'interface. Cette fois à l’entrée :
msk-arbat-gw1(config)#int fa0/0.104
msk-arbat-gw1(config-subif)#ip access-group Autre-dans dans

c'est-à-dire que tous les paquets IP d'un hôte avec une adresse 172.16.6.61 ou 172.16.6.66 peuvent être transférés vers leur destination. Pourquoi utilisons-nous également ici une liste d’accès étendue ? Après tout, il semblerait que nous vérifiions uniquement l'adresse de l'expéditeur. Parce que nous avons donné à l'administrateur un accès complet, mais un invité de la société « Lift mi Up », par exemple, qui accède au même réseau, n'a absolument accès à rien d'autre qu'à Internet.
7) Réseau de contrôle
Rien de compliqué. La règle ressemblera à ceci :
msk-arbat-gw1(config)# liste d'accès IP gestion étendue
msk-arbat-gw1(config-ext-nacl)# remarque IAM
msk-arbat-gw1(config-ext-nacl)# autorisation hôte IP 172.16.6.61 172.16.1.0 0.0.0.255
msk-arbat-gw1(config-ext-nacl)# remarque ADMIN
msk-arbat-gw1(config-ext-nacl)# autorisation hôte IP 172.16.6.66 172.16.1.0 0.0.0.255

Nous appliquons cette ACL à l'interface FE 0/0.2 :
msk-arbat-gw1(config)#int fa0/0.2
msk-arbat-gw1(config-subif)#ip access-group Gestion-sortie
8) Plus de restrictions
Prêt
Masque et masque inversé
Jusqu'à présent, sans explication, nous avons donné un paramètre étrange comme 0.0.255.255, qui ressemble étrangement à un masque de sous-réseau.
Un peu difficile à comprendre, mais c'est à cela que sert le masque inversé pour déterminer quels hôtes seront soumis à la règle.
Pour comprendre ce qu'est un masque inversé, vous devez savoir ce qu'est un masque ordinaire. Commençons par l'exemple le plus simple.

Un réseau régulier avec 256 adresses : 172.16.5.0/24 par exemple. Que signifie cette entrée ?
Et cela signifie exactement ce qui suit

Adresse IP. Notation décimale172 16 5 0
Adresse IP. Notation binaire10101100 00010000 00000101 00000000
11111111 11111111 11111111 00000000
255 255 255 0

Une adresse IP est un paramètre de 32 bits divisé en 4 parties, que vous avez l'habitude de voir sous forme décimale.
Le masque de sous-réseau fait également 32 bits - il s'agit en fait d'un modèle, d'un pochoir auquel appartient l'adresse de sous-réseau. Là où il y a des un dans le masque, la valeur ne peut pas changer, c'est-à-dire que la partie 172.16.5 est complètement inchangée et sera la même pour tous les hôtes de ce sous-réseau, mais la partie avec des zéros varie.
Autrement dit, dans notre exemple, 172.16.5.0/24 est l'adresse réseau et les hôtes seront 172.16.5.1-172.16.5.254 (les derniers 255 sont diffusés), car 00000001 vaut 1 et 11111110 vaut 254 (nous parlons à propos du dernier octet de l'adresse). /24 signifie que la longueur du masque est de 24 bits, c'est-à-dire que nous avons 24 uns - la partie inchangée et 8 zéros.
Un autre cas est celui où notre masque est, par exemple, de 30 bits et non de 24.
Par exemple 172.16.2.4/30. Écrivons-le ainsi :
Adresse IP. Notation décimale172 16 2 4
Adresse IP. Notation binaire10101100 00010000 00000010 00000100
Masque de sous-réseau. Notation binaire11111111 11111111 11111111 11111100
Masque de sous-réseau. Notation décimale255 255 255 252

Comme vous pouvez le constater, seuls les deux derniers bits peuvent changer pour ce sous-réseau. Le dernier octet peut prendre les 4 valeurs suivantes :
00000100 - adresse de sous-réseau (4 en décimal)
00000101 - adresse du nœud (5)
00000110 - adresse du nœud (6)
00000111 - diffusion (7)
Tout ce qui se trouve au-delà est un sous-réseau différent

Autrement dit, il devrait maintenant être un peu clair pour vous qu'un masque de sous-réseau est une séquence de 32 bits, où il y a d'abord des uns, c'est-à-dire l'adresse du sous-réseau, puis des zéros, c'est-à-dire l'adresse de l'hôte. Dans ce cas, les zéros et les uns du masque ne peuvent pas alterner. Autrement dit, le masque est 11111111.11100000.11110111.00000000. impossible

Qu'est-ce qu'un masque inversé (wildcard) ?
Pour la grande majorité des administrateurs et certains ingénieurs, il ne s’agit là que d’une inversion du masque habituel. C'est-à-dire que les zéros définissent d'abord l'adresse de la partie qui doit nécessairement correspondre, et les uns, au contraire, définissent la partie libre.
Autrement dit, dans le premier exemple que nous avons pris, si vous souhaitez filtrer tous les hôtes du sous-réseau 172.16.5.0/24, vous définirez une règle dans la feuille d'accès :
…. 172.16.5.0 0.0.0.255
Parce que le masque inversé ressemblera à ceci :

00000000.00000000.00000000.11111111

Dans le deuxième exemple avec le réseau 172.16.2.4/30, le masque inversé ressemblera à ceci : 30 zéros et deux uns :

Masque inversé. Notation binaire00000000 00000000 00000000 00000011
Masque inversé. Notation décimale0 0 0 3

En conséquence, le paramètre dans la liste d'accès ressemblera à ceci :
…. 172.16.2.4 0.0.0.3
Plus tard, lorsque vous mangerez le chien lors du calcul des masques et des masques inversés, vous vous souviendrez des nombres les plus utilisés, du nombre d'hôtes dans un masque particulier, et vous comprendrez que dans les situations décrites, le dernier octet du masque inversé est obtenu. en soustrayant le dernier octet du masque régulier de 255 (255-252 =3), etc. En attendant, il faut travailler dur et compter)

Mais en fait, le masque inversé est un outil légèrement plus riche, ici vous pouvez combiner des adresses au sein d'un même sous-réseau ou même combiner des sous-réseaux, mais la différence la plus importante est que vous pouvez alterner des zéros et des uns. Cela vous permet, par exemple, de filtrer un hôte (ou un groupe) spécifique sur plusieurs sous-réseaux avec une seule ligne.

Exemple 1
Donné: réseau 172.16.16.0/24
Nécessaire: filtrer les 64 premières adresses (172.16.16.0-172.16.16.63)
Solution: 172.16.16.0 0.0.0.63
Exemple 2
Donné: réseaux 172.16.16.0/24 et 172.16.17.0/24
Nécessaire: filtrer les adresses des deux réseaux
Solution: 172.16.16.0 0.0.1.255
Exemple 3
Donné: Réseaux 172.16.0.0-172.16.255.0
Nécessaire: filtrer l'hôte avec l'adresse 4 de tous les sous-réseaux
Solution: 172.16.0.4 0.0.255.0
Fonctionnement ACL en images
Réseau hypothétique :

1) Sur le routeur RT1 sur l'interface FE0/1, tout est autorisé en entrée sauf ICMP.

2) Sur le routeur RT2 sur l'interface FE0/1, il est interdit de sortir de SSH et TELNET

Essais
cliquable
1) Ping du PC1 au serveur1

2) TELNET du PC1 au serveur1

3) SSH du PC1 au serveur2

4) Ping du serveur2 au PC1

Modules complémentaires
1) Les règles qui s'appliquent au trafic sortant (out) ne filtreront pas le trafic de l'appareil lui-même. Autrement dit, si vous devez refuser l'accès à Cisco lui-même quelque part, vous devrez alors filtrer le trafic entrant sur cette interface (trafic de réponse à partir duquel vous devez refuser l'accès).

2) Vous devez être prudent avec les ACL. Une petite erreur dans une règle, un ordre de configuration incorrect ou une liste mal pensée en général peuvent vous laisser sans accès à l'appareil.
Par exemple, vous souhaitez bloquer l'accès n'importe où au réseau 172.16.6.0/24, à l'exception de votre adresse 172.16.6.61 et définir les règles comme ceci :
refuser ip 172.16.6.0 0.0.0.255 tout


Dès que vous appliquez une ACL à une interface, vous perdrez immédiatement l’accès au routeur, car vous tombez sous le coup de la première règle et la seconde n’est même pas vérifiée.
Deuxième situation désagréable qui peut vous arriver : un trafic qui n'aurait pas dû passer sous l'ACL.
Imaginez cette situation : nous avons un serveur FTP en mode passif dans la salle des serveurs. Pour y accéder vous avez ouvert le 21ème port de l'ACL Serveurs absents. Une fois la connexion initiale établie, le serveur FTP informe le client du port sur lequel il est prêt à transférer/recevoir des fichiers, par exemple 1523. Le client essaie d'établir une connexion TCP sur ce port, mais tombe sur une sortie de serveur ACL, où une telle autorisation n'existe pas - et c'est ainsi que se termine le conte de fées sur un transfert réussi. Dans notre exemple ci-dessus, où nous avons configuré l'accès au serveur de fichiers, nous n'avons ouvert l'accès que les 20 et 21, car cela suffit pour l'exemple. Dans la vraie vie, vous devrez bricoler. Quelques exemples de configurations ACL pour les cas courants.

3) Un problème très similaire et intéressant découle du point 2.
Souhaitez-vous, par exemple, mettre les ACL suivantes sur l'interface Internet :
liste d'accès sur autorisation TCP hôte 1.1.1.1 hôte 2.2.2.2 eq 80
liste d'accès dans permit TCP host 2.2.2.2 any eq 80

Il semblerait : l'hôte avec l'adresse 1.1.1.1 est autorisé à accéder via le port 80 au serveur 2.2.2.2 (première règle). Et de retour du serveur 2.2.2.2, les connexions entrantes sont autorisées.
Mais la nuance ici est que l'ordinateur 1.1.1.1 établit une connexion AU port 80, mais à partir d'un autre port, par exemple 1054, c'est-à-dire que le paquet de réponse du serveur arrive sur le socket 1.1.1.1:1054, ne relève pas la règle dans L'ACL est sur IN et est ignorée en raison du refus implicite de l'adresse IP any any.
Pour éviter cette situation, et ne pas ouvrir l'ensemble des ports, vous pouvez recourir à cette astuce dans l'ACL dans :
autoriser l'hôte TCP 2.2.2.2 à être établi.

Les détails de cette solution seront trouvés dans l’un des articles suivants.

4) En parlant du monde moderne, on ne peut ignorer un outil tel que les groupes d'objets (Object-group).

Disons que vous devez créer une ACL qui libère trois adresses spécifiques sur Internet sur trois ports identiques avec la perspective d'augmenter le nombre d'adresses et de ports. À quoi cela ressemble sans connaître les groupes d'objets :
liste d'accès IP étendue à INTERNET
autoriser l'hôte TCP 172.16.6.66 n'importe quel eq 80
autoriser l'hôte TCP 172.16.6.66 n'importe quel eq 8080
autoriser l'hôte TCP 172.16.6.66 n'importe quel eq 443
autoriser l'hôte TCP 172.16.6.67 n'importe quel eq 80
autoriser l'hôte TCP 172.16.6.67 n'importe quel eq 8080
autoriser l'hôte TCP 172.16.6.67 n'importe quel eq 443
autoriser l'hôte TCP 172.16.6.68 n'importe quel eq 80
autoriser l'hôte TCP 172.16.6.68 n'importe quel eq 8080
autoriser l'hôte TCP 172.16.6.68 n'importe quel eq 443

À mesure que le nombre de paramètres augmente, la maintenance d'une telle ACL devient de plus en plus difficile et il est facile de commettre des erreurs lors de la configuration.
Mais si l’on se tourne vers les groupes d’objets, cela prend la forme suivante :
service de groupe d'objets INET-PORTS
description Ports autorisés pour certains hôtes
tcp eq www
Éq. TCP 8080
équation TCP 443

Réseau de groupes d'objets HOSTS-TO-INET
description Hôtes autorisés à naviguer sur le net
hôte 172.16.6.66
hôte 172.16.6.67
hôte 172.16.6.68

Liste d'accès IP étendue INET-OUT
autoriser le groupe d'objets INET-PORTS le groupe d'objets HOSTS-TO-INET tout

À première vue, cela semble un peu menaçant, mais si vous y regardez, c’est très pratique.

4) Des informations très utiles pour le dépannage peuvent être obtenues à partir de la sortie de la commande afficher les listes d'accès IP% nom ACL%. En plus de la liste réelle des règles pour l'ACL spécifiée, cette commande affiche le nombre de correspondances pour chaque règle.

Msk-arbat-gw1#sh ip access-lists nat-inet
Liste d'accès IP étendue nat-inet




autoriser l'hôte IP 172.16.6.61 tout
(4 correspondance(s))



Et en ajoutant à la fin de n'importe quelle règle enregistrer, nous pourrons recevoir des messages sur chaque match dans la console. (ce dernier ne fonctionne pas en PT)

NAT

La traduction d'adresses réseau est un mécanisme absolument nécessaire dans l'économie depuis 1994. De nombreuses sessions à ce sujet sont interrompues et des paquets sont perdus.
Il est le plus souvent nécessaire pour connecter votre réseau local à Internet. Le fait est qu’il existe théoriquement 255*255*255*255=4 228 250 625 4 milliards d’adresses. Même si chaque habitant de la planète n’avait qu’un seul ordinateur, il n’y aurait pas assez d’adresses. Mais ici, les fers ne se connectent pas à Internet. Les gens intelligents s'en sont rendu compte au début des années 90 et, comme solution temporaire, ont proposé de diviser l'espace d'adressage en public (blanc) et privé (privé, gris).
Cette dernière comprend trois gammes :

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Ceux-ci sont gratuits et vous pouvez les utiliser sur votre réseau privé, ils seront donc bien sûr répétés. Qu’en est-il de l’unicité ? À qui répondra le serveur WEB lorsqu’il recevra une requête avec l’adresse de retour 192.168.1.1 ? Rostélécom ? La société Tatneft ? Ou votre Long intérieur ? Sur le grand Internet, personne ne sait rien des réseaux privés : ils ne sont pas routés.
C'est là que le NAT entre en jeu. Dans l’ensemble, il s’agit d’une tromperie, d’un coup monté. Sur le dispositif de frottement, votre adresse privée, grosso modo, est simplement remplacée par une adresse blanche, qui apparaîtra plus loin dans le paquet lors de son acheminement vers le serveur WEB. Mais les adresses blanches sont très bien acheminées et le paquet reviendra certainement au dispositif de frottement.
Mais comment va-t-il, à son tour, comprendre quoi en faire ensuite ? Voyons cela.

Types de NAT
Statique
Dans ce cas, une adresse interne est convertie en une adresse externe. Et en même temps, toutes les demandes arrivant à l'adresse externe seront traduites vers l'adresse interne. Comme si cet hôte était le propriétaire de cette adresse IP blanche.

Configuré avec la commande suivante :
Routeur (config)# ip nat dans la source statique 172.16.6.5 198.51.100.2

Ce qui se passe:
1) Le nœud 172.16.6.5 accède au serveur WEB. Il envoie un paquet IP dont l'adresse de destination est 192.0.2.2 et l'adresse de l'expéditeur est 172.16.6.5.

2) Le paquet est transmis via le réseau d'entreprise à la passerelle 172.16.6.1, où NAT est configuré

3) Selon la commande configurée, le routeur supprime l'en-tête IP actuel et le remplace par un nouveau, où l'adresse blanche 198.51.100.2 apparaît déjà comme adresse de l'expéditeur.


4) Sur Internet, le package mis à jour atteint le serveur 192.0.2.2.

5) Il voit que la réponse doit être envoyée au 198.51.100.2 et prépare un paquet IP de réponse. En tant qu'adresse de l'expéditeur, l'adresse du serveur elle-même est 192.0.2.2, l'adresse de destination est 198.51.100.2


6) Le paquet revient via Internet, et pas nécessairement par le même itinéraire.

7) Le dispositif de frottement indique que toutes les demandes adressées à l'adresse 198.51.100.2 doivent être redirigées vers 172.16.6.5. Le routeur supprime à nouveau le segment TCP caché à l'intérieur et définit un nouvel en-tête IP (l'adresse source ne change pas, l'adresse de destination est 172.16.6.5).


8) Le paquet est renvoyé via le réseau interne à l'initiateur, qui ne sait même pas quels miracles lui sont arrivés à la frontière.
Et il en sera de même pour tout le monde.
De plus, si la connexion est initiée depuis Internet, les paquets, passant automatiquement par le dispositif de frottement, atteignent l'hôte interne.

Cette approche est utile lorsque vous disposez d'un serveur à l'intérieur de votre réseau qui nécessite un accès complet depuis l'extérieur. Bien entendu, vous ne pouvez pas utiliser cette option si vous souhaitez exposer trois cents hôtes à Internet via une seule adresse. Cette option NAT n'aidera en aucun cas à conserver les adresses IP blanches, mais elle peut néanmoins être utile.

Dynamique
Vous disposez d'un pool d'adresses blanches, par exemple, votre fournisseur vous a attribué un réseau 198.51.100.0/28 avec 16 adresses. Deux d'entre elles (la première et la dernière) sont l'adresse réseau et l'adresse de diffusion, deux autres adresses sont attribuées à l'équipement pour assurer le routage. Vous pouvez utiliser les 12 adresses restantes pour NAT et libérer vos utilisateurs via elles.
La situation est similaire au NAT statique - une adresse privée est traduite en une adresse externe - mais maintenant l'adresse externe n'est pas clairement fixée, mais sera sélectionnée dynamiquement dans une plage donnée.
Il est configuré comme ceci :
Routeur (config)#ip nat pool lol_pool 198.51.100.3 198.51.100.14

Spécifié un pool (plage) d'adresses publiques à partir duquel l'adresse à capturer sera sélectionnée
Routeur (configuration)
#access-list 100 permis ip 172.16.6.0 0.0.0.255 tout

Nous définissons une liste d'accès qui autorise tous les paquets avec l'adresse source 172.16.6.x, où X varie de 0 à 255.
Routeur (config) #ip nat dans la liste des sources 100 pool lol_pool

Avec cette commande, nous connectons l'ACL créée et le pool.

Cette option n'est pas non plus universelle ; vous ne pourrez pas non plus libérer chacun de vos 300 utilisateurs sur Internet si vous ne disposez pas de 300 adresses externes. Une fois les adresses blanches épuisées, plus personne de nouveau ne pourra accéder à Internet. Dans le même temps, les utilisateurs qui ont déjà réussi à se procurer une adresse externe travailleront. L'équipe vous aidera à abandonner toutes les diffusions en cours et à libérer des adresses externes traduction claire de l'ip nat *
Outre l'attribution dynamique d'adresses externes, ce NAT dynamique diffère du NAT statique en ce sens que sans configuration séparée de redirection de port, une connexion externe à l'une des adresses du pool n'est plus possible.

Plusieurs-à-Un
Le type suivant porte plusieurs noms : surcharge NAT, traduction d'adresses de port (PAT), masquage IP, NAT plusieurs à un.
Le nom de famille parle de lui-même : grâce à une adresse externe, de nombreuses adresses privées se rendent dans le monde. Cela vous permet de résoudre le problème du manque d'adresses externes et de libérer tout le monde dans le monde.
Ici, nous devrions donner une explication de la façon dont cela fonctionne. Vous pouvez imaginer comment deux adresses privées sont traduites en une seule, mais comment le routeur comprend-il qui doit transmettre le paquet renvoyé par Internet à cette adresse ?
C'est très simple :
Supposons que les paquets arrivent de deux hôtes du réseau interne vers le périphérique frottant. Tous deux avec une requête au serveur WEB 192.0.2.2.
Les données des hôtes ressemblent à ceci :

Le routeur découvre le paquet IP du premier hôte, en extrait le segment TCP, l'imprime et découvre à partir de quel port la connexion est établie. Il possède une adresse externe 198.51.100.2, à laquelle l'adresse du réseau interne changera.
Ensuite, il sélectionne un port libre, par exemple 11874. Et que fait-il ensuite ? Il regroupe toutes les données au niveau de l'application dans un nouveau segment TCP, où le port de destination reste toujours 80 (c'est là que le serveur WEB attend les connexions) et le port de l'expéditeur passe de 23761 à 11874. Ce segment TCP est encapsulé dans une nouvelle adresse IP. un paquet dans lequel l'adresse IP de l'expéditeur passe de 172.16.6.5 à 198.51.100.2.
La même chose se produit pour un paquet provenant du deuxième hôte, seul le port libre suivant est sélectionné, par exemple 11875. « Libre » signifie qu'il n'est pas déjà occupé par d'autres connexions de ce type.
Les données envoyées à Internet ressembleront désormais à ceci.

Il saisit les données des expéditeurs et des destinataires dans sa table NAT

Pour le serveur WEB, ce sont deux requêtes complètement différentes, qu'il doit traiter chacune individuellement. Après cela, il envoie une réponse qui ressemble à ceci :

Lorsqu'un de ces paquets atteint notre routeur, il fait correspondre les données de ce paquet avec ses entrées dans la table NAT. Si une correspondance est trouvée, la procédure inverse se produit - le paquet et le segment TCP sont renvoyés à leurs paramètres d'origine uniquement en tant que destination :

Et maintenant, les paquets sont transmis via le réseau interne aux ordinateurs initiateurs, qui ne se rendent même pas compte que leurs données ont été traitées si durement à la frontière.

Chaque appel que vous effectuez constitue une connexion distincte. Autrement dit, vous avez essayé d'ouvrir une page WEB - il s'agit du protocole HTTP utilisant le port 80. Pour ce faire, votre ordinateur doit établir une session TCP avec un serveur distant. Une telle session (TCP ou UDP) est définie par deux sockets : adresse IP locale : port local et adresse IP distante : port distant. Dans une situation normale, vous disposez d'une connexion ordinateur-serveur, mais dans le cas du NAT, il y aura deux connexions : routeur-serveur et l'ordinateur pense qu'il a une session ordinateur-serveur.

Le réglage diffère assez légèrement : avec la surcharge de mots supplémentaire :
Routeur (config) #access-list 101 permis 172.16.4.0 0.0.0.255
Routeur (config) #ip nat dans la liste des sources 101 interface fa0/1 surcharge

Dans ce cas, bien entendu, il reste possible de configurer un pool d'adresses :
Routeur (config)#ip nat pool lol_pool 198.51.100.2 198.51.100.14
Routeur (config) #access-list 100 permis 172.16.6.0 0.0.0.255
Routeur (config) #ip nat dans la liste des sources 100 pool lol_pool surcharge

Redirection de port
Sinon, ils disent aussi redirection de port ou mappage.
Lorsque nous avons commencé à parler de NAT, nous avions une diffusion individuelle et toutes les demandes provenant de l'extérieur étaient automatiquement redirigées vers l'hôte interne. De cette façon, il serait possible d'exposer le serveur à Internet.
Mais si vous n'avez pas une telle opportunité - vous êtes limité en adresses blanches ou vous ne voulez pas exposer l'ensemble des ports à l'extérieur, que devez-vous faire ?
Vous pouvez spécifier que toutes les demandes arrivant à une adresse blanche spécifique et à un port de routeur spécifique doivent être transmises au port souhaité de l'adresse interne souhaitée.
Routeur (config) #ip nat à l'intérieur de la source statique TCP 172.16.0.2 80 198.51.100.2 80 extensible

L'utilisation de cette commande signifie qu'une requête TCP provenant d'Internet à l'adresse 198.51.100.2 sur le port 80 sera redirigée vers l'adresse interne 172.16.0.2 sur le même port 80. Bien sûr, vous pouvez également transférer UDP et rediriger d'un port à un autre. Ceci, par exemple, peut être utile si vous disposez de deux ordinateurs nécessitant un accès via RDP depuis l'extérieur. RDP utilise le port 3389. Vous ne pouvez pas transférer le même port vers différents hôtes (lorsque vous utilisez la même adresse externe). Vous pouvez donc faire ceci :
Routeur (config) # ip nat à l'intérieur de la source statique tcp 172.16.6.61 3389 198.51.100.2 3389
Routeur (config) # ip nat à l'intérieur de la source statique tcp 172.16.6.66 3389 198.51.100.2 3398

Ensuite, pour accéder à l'ordinateur 172.16.6.61, vous lancez une session RDP sur le port 198.51.100.2:3389, et sur 172.16.6.66 - 198.51.100.2:3398. Le routeur lui-même distribuera tout là où c'est nécessaire.

D'ailleurs, cette commande est un cas particulier de la toute première : ip nat inside source static 172.16.6.66 198.51.100.2. Seulement dans ce cas, nous parlons de transférer tout le trafic et, dans nos exemples, de ports de protocole TCP spécifiques.

C'est ainsi que fonctionne NAT en termes généraux. De nombreux articles ont été écrits sur ses fonctionnalités et ses avantages/inconvénients, mais ils ne peuvent être ignorés.

Faiblesses et points forts du NAT
+
- Tout d'abord NAT vous permet de sauvegarder des adresses IP publiques. C’est en fait pour cela qu’il a été créé. Grâce à une seule adresse, il est théoriquement possible d'émettre plus de 65 000 adresses grises (en fonction du nombre de ports).
- Deuxièmement, PAT et NAT dynamique constituent dans une certaine mesure un pare-feu, empêchant les connexions externes d'atteindre les ordinateurs finaux qui ne disposent pas de leur propre pare-feu et antivirus. Le fait est que si un paquet arrive de l'extérieur au dispositif de frottement, ce qui n'est pas attendu ici ou n'est pas autorisé, il est simplement rejeté.
Pour qu’un paquet puisse transiter et être traité, les conditions suivantes doivent être remplies :
1) Il doit y avoir une entrée dans la table NAT pour cette adresse externe spécifiée comme adresse source dans le paquet
ET
2) Le port source du paquet doit correspondre au port de cette adresse blanche dans l'entrée
ET
3) Le port de destination dans le paquet correspond au port dans l'entrée.
OU
La redirection de port est configurée.
Mais vous n’avez pas besoin de considérer NAT exactement comme un pare-feu : ce n’est rien de plus qu’un avantage supplémentaire.

- Troisièmement, NAT cache la structure interne de votre réseau aux regards indiscrets - lorsque vous tracez un itinéraire depuis l'extérieur, vous ne verrez rien au-delà du périphérique de navigation.

-
NAT présente également des inconvénients. Les plus significatifs d’entre eux sont peut-être les suivants :
- Certains protocoles ne peuvent pas fonctionner via NAT sans béquilles. Par exemple, les protocoles FTP ou de tunneling (même si j'ai facilement configuré FTP en laboratoire, dans la vraie vie, cela peut créer de nombreux problèmes)
- Un autre problème réside dans le fait qu'il existe de nombreuses requêtes provenant d'une même adresse vers un seul serveur. Beaucoup en ont été témoins : quand vous allez sur un Rapidshare, et qu'il dit qu'il y avait déjà une connexion depuis votre IP, vous pensez que « tu mens, espèce de chien », et c'est ton voisin qui est déjà en train de sucer. Pour la même raison, des problèmes sont survenus avec ICQ lorsque les serveurs ont refusé l'enregistrement.
- Un problème peu pressant actuellement : la charge sur le processeur et la RAM. Étant donné que la quantité de travail est assez importante par rapport au routage simple (vous n'avez pas seulement besoin de regarder l'en-tête IP, vous devez le supprimer, supprimer l'en-tête TCP, l'entrer dans le tableau, ajouter de nouveaux en-têtes) dans les petits bureaux il y a des problèmes avec ça.
Je suis tombé sur cette situation.
Une solution possible consiste à déplacer la fonction NAT vers un PC séparé ou vers un périphérique spécialisé, tel qu'un Cisco ASA.
Pour les grands acteurs dont les routeurs exécutent 3-4 BGP en vue complète, ce n'est plus un problème désormais.

Que devez-vous savoir d’autre ?
- NAT est principalement utilisé pour fournir un accès Internet aux hôtes ayant des adresses privées. Mais il existe une autre application : la communication entre deux réseaux privés avec des espaces d'adressage qui se croisent.
Par exemple, votre entreprise achète une succursale à Aktobe. Votre adresse est 10.0.0.0-10.1.255.255 et la leur est 10.1.1.0-10.1.10.255. Les plages se chevauchent clairement ; il n'y a aucun moyen de configurer le routage, car la même adresse peut être à Aktobe et à votre siège social.
Dans ce cas, NAT est configuré à la jonction. Comme nous n'avons pas assez d'adresses grises, nous pouvons sélectionner, par exemple, la plage 10.2.1.0-10.2.10.255 et faire une diffusion individuelle :
10.1.1.1-10.2.1.1
10.1.1.2-10.2.1.2

10.1.10.255-10.2.10.255

Dans les gros jouets pour adultes, NAT peut être implémenté sur une carte séparée (et c'est souvent le cas) et ne fonctionnera pas sans elle. Sur le matériel bureautique, au contraire, il y en a presque toujours un.

Avec l’adoption généralisée d’IPv6, le besoin de NAT disparaîtra. Déjà maintenant, les gros clients commencent à s'intéresser aux fonctionnalités de NAT64 - c'est à ce moment-là que vous avez accès au monde via IPv4 et que le réseau interne est déjà sur IPv6.

Bien sûr, ce n'est qu'un aperçu superficiel du NAT et il existe encore une mer de nuances dans lesquelles l'auto-éducation vous aidera à ne pas vous noyer.

Pratique NAT
Qu’est-ce que la réalité exige de nous ?
1) Le réseau de contrôle n'a aucun accès à Internet
2) Les hôtes du réseau VET n'ont accès qu'à des sites spécialisés, par exemple le site
3) Les charmantes dames du service comptable doivent ouvrir une fenêtre sur le monde des banques clientes.
4) FEO ne doit être communiqué nulle part sauf au directeur financier
5) Sur l'Autre réseau, notre ordinateur et celui de l'administrateur - nous leur donnerons un accès complet à Internet. Tout le monde peut l’ouvrir sur demande écrite.
6) N'oublions pas les succursales de Saint-Pétersbourg et de Kemerovo. Pour plus de simplicité, configurons l'accès complet pour les utilisateurs de ces sous-réseaux.
7) Les serveurs sont une autre affaire. Nous configurerons la redirection de port pour eux. Tout ce dont nous avons besoin :
a) Le serveur WEB doit être accessible sur le port 80
b) Serveur de messagerie les 25 et 110
c) Le serveur de fichiers est accessible depuis le monde via FTP.
8) Les ordinateurs de l’administrateur et les nôtres doivent être accessibles depuis Internet via RDP. En fait, ce n'est pas la bonne solution - pour une connexion à distance, vous devez utiliser une connexion VPN et, déjà sur le réseau local, utiliser RDP, mais c'est le sujet d'un article distinct et complètement différent.

Tout d’abord, préparons un site de test :

La connexion Internet sera organisée via un lien existant fourni par le fournisseur.
Il va dans le réseau du fournisseur. Nous vous rappelons que tout dans ce cloud est un réseau abstrait, qui peut en réalité être constitué de dizaines de routeurs et de centaines de commutateurs. Mais nous avons besoin de quelque chose de gérable et de prévisible, c'est pourquoi nous installons également un routeur ici. D'un côté il y a un lien depuis le switch, de l'autre il y a un serveur sur Internet.

Nous aurons besoin des serveurs suivants :
1. Deux banques clientes pour les comptables (sperbank.ru, mmm-bank.ru)
2. site Internet pour les étudiants en formation professionnelle
3. Yandex (yandex.ru)

Pour une telle connexion, nous monterons un autre vlan sur msk-arbat-gw1. Son numéro est bien entendu convenu avec le fournisseur. Que ce soit le VLAN 6
Supposons que le fournisseur nous fournisse sous-réseau 198.51.100.0/28. Les deux premières adresses servent à organiser le lien (198.51.100.1 et 198.51.100.2), et nous utilisons les autres comme pool pour le NAT. Cependant, personne ne nous empêche d'utiliser l'adresse 198.51.100.2 pour la piscine. Faisons ceci : piscine : 198.51.100.2-198.51.100.14
Pour plus de simplicité, supposons que nos serveurs publics sont situés sur le même sous-réseau :
192.0.2.0/24 .
Vous savez déjà comment créer un lien et des adresses.
Étant donné que nous n’avons qu’un seul routeur dans le réseau du fournisseur et que tous les réseaux y sont directement connectés, il n’est pas nécessaire de configurer le routage.
Mais notre msk-arbat-gw1 doit savoir où envoyer les paquets vers Internet, nous avons donc besoin d'une route par défaut :
msk-arbat-gw1(config)#route IP 0.0.0.0 0.0.0.0 198.51.100.1

Maintenant dans l'ordre

Tout d'abord, configurons un pool d'adresses
msk-arbat-gw1(config)# pool nat ip main_pool 198.51.100.2 198.51.100.14 masque de réseau 255.255.255.240

Maintenant, nous collectons l'ACL :
msk-arbat-gw1(config)# liste d'accès IP étendue nat-inet

1) Réseau de contrôle
n'a pas du tout accès à Internet
Prêt
2) Hôtes du réseau VET
Ils n'ont accès qu'à des sites spécialisés, par exemple le site
msk-arbat-gw1(config-ext-nacl)# permit tcp 172.16.3.0 0.0.0.255 hôte 192.0.2.2 eq 80
3) Comptabilité
Nous donnons accès à tous les hôtes sur les deux serveurs
msk-arbat-gw1(config-ext-nacl)# permis ip 172.16.5.0 0.0.0.255 hôte 192.0.2.3
msk-arbat-gw1(config-ext-nacl)# permis ip 172.16.5.0 0.0.0.255 hôte 192.0.2.4
4) FÉO
Nous accordons l'autorisation uniquement au directeur financier - il ne s'agit que d'un seul hôte.
msk-arbat-gw1(config-ext-nacl)# autorisation hôte IP 172.16.4.123 tout
5)Autre
Nos ordinateurs avec accès complet
msk-arbat-gw1(config-ext-nacl)# autorisation hôte IP 172.16.6.61 tout
msk-arbat-gw1(config-ext-nacl)# autorisation hôte IP 172.16.6.66 tout
6) Succursales à Saint-Pétersbourg et Kemerovo
Que les adresses Eniki soient les mêmes : 172.16.x.222
msk-arbat-gw1(config-ext-nacl)# autorisation hôte IP 172.16.16.222 tout
msk-arbat-gw1(config-ext-nacl)# autorisation hôte IP 172.16.17.222 tout
msk-arbat-gw1(config-ext-nacl)# autorisation hôte IP 172.16.24.222 tout

Voici à quoi ressemble l’intégralité de l’ACL :
liste d'accès IP étendue nat-inet
remarque prise de force
permis tcp 172.16.3.0 0.0.0.255 hôte 192.0.2.2 eq www
remarque COMPTABILITÉ
permis ip 172.16.5.0 0.0.0.255 hôte 192.0.2.3
permis ip 172.16.5.0 0.0.0.255 hôte 192.0.2.4
remarque FEO
autoriser l'hôte IP 172.16.4.123 tout
remarque IAM
autoriser l'hôte IP 172.16.6.61 tout
remarque ADMIN
autoriser l'hôte IP 172.16.6.66 tout
remarque SPB_VSL_ISLAND
autoriser l'hôte IP 172.16.16.222 tout
remarque SPB_OZERKI
autoriser l'hôte IP 172.16.17.222 tout
remarque KMR
autoriser l'hôte IP 172.16.24.222 tout

Lançons :
msk-arbat-gw1(config)# ip nat dans la liste des sources nat-inet pool main_pool surcharge

Mais le bonheur ne sera pas complet sans personnalisation des interfaces :
Sur l'interface externe, vous devez donner la commande ip nat dehors
A l'intérieur : IP Nat à l'intérieur
msk-arbat-gw1(config)#int fa0/0.101
msk-arbat-gw1(config)#int fa0/0.102
msk-arbat-gw1(config-subif)# ip nat à l'intérieur
msk-arbat-gw1(config)#int fa0/0.103
msk-arbat-gw1(config-subif)# ip nat à l'intérieur
msk-arbat-gw1(config)#int fa0/0.104
msk-arbat-gw1(config-subif)# ip nat à l'intérieur
msk-arbat-gw1(config)#int fa0/1.6
msk-arbat-gw1(config-subif)# ip nat à l'extérieur

Cela permettra au routeur de comprendre où attendre les paquets qui doivent être traités et où les envoyer plus tard.

Pour que les serveurs sur Internet soient accessibles par nom de domaine, il serait bien que nous disposions d'un serveur DNS sur notre réseau :



Naturellement, il doit être enregistré sur les appareils à partir desquels nous vérifierons l'accès :

Le spectacle continue!

Tout est disponible depuis l'ordinateur de l'administrateur :

Depuis le réseau PTO, il est possible d'accéder uniquement au site Web via le port 80 (HTTP) :





Dans le réseau FEO, seulement 4.123 sortent dans le monde (finirector)





Au service comptable, seuls les sites clients-banques fonctionnent. Mais, puisque l'autorisation est entièrement donnée au protocole IP, vous pouvez leur envoyer un ping :



7) Serveurs
Ici, nous devons configurer la redirection de port afin qu'ils soient accessibles depuis Internet :

a) Serveur Web
msk-arbat-gw1(config)# ip nat dans la source statique tcp 172.16.0.2 80 198.51.100.2 80

Vérifions tout de suite, par exemple, nous pouvons faire cela depuis un PC de test avec l'adresse 192.0.2.7.
Désormais, rien ne fonctionnera, car pour le réseau de serveurs nous n'avons pas d'interface configurée pour msk-arbat-gw1 :
msk-arbat-gw1(config)#int fa0/0.3
msk-arbat-gw1(config-subif)# ip nat à l'intérieur

Et maintenant :

b) Serveur de fichiers
msk-arbat-gw1(config)# ip nat dans la source statique tcp 172.16.0.3 20 198.51.100.3 20
msk-arbat-gw1(config)# ip nat dans la source statique tcp 172.16.0.3 21 198.51.100.3 21

À cette fin, dans ACL Servers-out, nous avons également ouvert les ports 20-21 pour tout le monde.

c) Serveur de messagerie
msk-arbat-gw1(config)# ip nat dans la source statique tcp 172.16.0.4 25 198.51.100.4 25
msk-arbat-gw1(config)# ip nat dans la source statique tcp 172.16.0.4 110 198.51.100.4 110

Ce n'est pas non plus difficile à vérifier. Suivez les instructions :
Nous avons d’abord configuré le serveur de messagerie. Nous spécifions le domaine et créons deux utilisateurs.

Ensuite, ajoutez le domaine au DNS. Cette étape est facultative : vous pouvez accéder au serveur via IP, mais pourquoi pas ?

Configuration d'un ordinateur depuis notre réseau :

De l'extérieur :

Nous préparons une lettre :

Sur l'hôte local, cliquez sur Recevoir :

8) Accès via RDP aux ordinateurs de l’administrateur et aux nôtres
msk-arbat-gw1(config)# ip nat dans la source statique tcp 172.16.6.61 3389 198.51.100.10 3389
msk-arbat-gw1(config)# ip nat dans la source statique tcp 172.16.6.66 3389 198.51.100.10 3398
Sécurité
Une dernière remarque. Très probablement, votre appareil frottant est tourné vers l'extérieur avec son interface extérieure IP nat - vers Internet. Par conséquent, cela ne ferait pas de mal d'accrocher une ACL sur cette interface, où vous refusez, autorisez ce dont vous avez besoin. Nous ne nous attarderons pas sur cette question dans cet article.

À ce stade, la première connaissance de la technologie NAT peut être considérée comme terminée.
En tant qu'autre DZ, répondez à la question de savoir pourquoi il n'y a pas d'accès à Internet depuis les ordinateurs Eniki à Saint-Pétersbourg et à Kemerovo. Après tout, nous les avons déjà ajoutés à la liste d'accès.

Documents de sortie

liste d'accès 101 permis ip 192.168.2.0 0.0.0.255 tout

Nous créons une feuille de route, où nous indiquons que si le paquet provient du réseau 192.168.2.0/24, nous lui attribuons le prochain saut 10.0.2.1 (au lieu de 10.0.1.1)

Plan d'itinéraire permis CLIENT 5
correspondre à l'adresse IP 101
définir l'adresse IP du prochain saut 10.0.2.1

Nous appliquons la carte à l'interface :
Carte de route de la politique IP CLIENT

Ce n’est qu’une des utilisations du puissant outil de routage basé sur des politiques, qui, malheureusement, n’est implémenté sous aucune forme dans la République du Tatarstan.

Limite de débit
En reprenant le même exemple, nous limiterons le débit pour le réseau 192.168.1.0/24 à 1,5 Mb/s, et pour le 192.168.2.0/24 à 64 kb/s.
Sur 10.0.1.1, vous pouvez exécuter les commandes suivantes :
Routeur (config) # liste d'accès 100 permis IP 192.168.1.0 0.0.0.255 tout
Routeur (config) # liste d'accès 101 autorisation IP 192.168.2.0 0.0.0.255 tout
Routeur (config) # interface fa0/0
Routeur (config-if) # groupe d'accès de sortie de limite de débit 100 1544000 64000 64000 transmission d'action conforme abandon d'action de dépassement
Routeur (config-if) # groupe d'accès de sortie de limite de débit 101 64000 16000 16000 transmission d'action conforme suppression d'action de dépassement

Auteurs :

Eucariote de Marat
Maxim alias gluck

Un merci spécial à Dmitry JDima pour son aide dans la préparation de l'article.

Pour garantir le filtrage des paquets, des listes de contrôle d'accès sont configurées sur les routeurs Cisco. Il s'agit d'un ensemble de paramètres et de filtres qui vous permettent de configurer de manière flexible les paramètres de sécurité. L'administrateur système est en mesure de choisir le trafic entrant et sortant à autoriser en utilisant un grand nombre de critères disponibles.

Nous allons maintenant examiner de plus près les ACL et apprendre à les configurer..

Introduction

Imaginons donc que notre petit réseau local ait été créé et qu'un routeur Cisco soit utilisé comme équipement actif. Un grand nombre de trafics différents y transitent. Et l’ingénieur réseau doit le filtrer. C'est là que commencent les listes de contrôle d'accès.

C'est l'un des principaux moyens d'assurer la sécurité du réseau. L'idée est de bloquer ou d'empêcher l'accès à la fois au trafic vers un certain segment de réseau et à un utilisateur à un certain type de trafic.

Les ACL sont divisées en standard et étendues.

Principales caractéristiques

  • Le filtrage du trafic est possible aussi bien à l'entrée qu'à la sortie du trafic de l'interface sélectionnée
  • Pour les données qui doivent être autorisées, l'attribut permit est appliqué. Pour ceux qui devraient être jetés - refusez
  • Les listes de contrôle d'accès sont configurées de telle manière que si le trafic ne relève pas de plus d'une règle spécifiée dans la liste, il sera automatiquement refusé.

La figure ci-dessous montre la logique de filtrage des paquets par rapport à l'emplacement de l'ACL sur le routeur.

Ainsi, lorsque le trafic commence à circuler, le routeur vérifie les champs du paquet par rapport à la liste des règles de l'ACL. S'ils sont trouvés, l'action configurée pour ce type de paquet sera appliquée - autoriser ou refuser. Si aucune correspondance n’est trouvée, le trafic sera automatiquement bloqué.

Listes de contrôle d'accès standard

La commande de configuration sur les routeurs Cisco a la syntaxe suivante.

liste d'accès numéro de liste(refuser | autoriser) expéditeur [masque d'expéditeur inversé]

Vous pouvez spécifier séquentiellement plusieurs règles pour une ACL, en indiquant son numéro à l'endroit approprié.

Veuillez noter . La numérotation ACL standard est disponible dans les plages 1-99 et 1300-1999.

Ainsi, l’algorithme de réglage peut être décrit comme suit :

  1. Détermination de l'emplacement de l'ACL - interface et direction des données
  2. En mode de configuration globale, nous spécifions les règles à l'aide de la commande access-list. Utilisez l'aide "?" pour afficher les options disponibles.
  3. En mode configuration de l'interface, on lui attribue la liste correspondante - numéro de groupe d'accès IP (entrée | sortie)

Listes de contrôle d'accès étendues

Ce type de filtrage permet de vérifier le trafic pour un grand nombre de paramètres. Les critères suivants sont disponibles :

Paramètres

Le principe général n'a pas changé. Vous devez définir l'interface et le sens du trafic, puis spécifier une liste de paramètres de filtrage. La liste elle-même est créée et configurée comme suit :

Liste d'accès IP numéro de liste d'accès ] (refuser | permis) protocole source source-wildcard destination destination-wildcard Liste d'accès ICMP numéro de liste d'accès ] (refuser | permis) source icmp source-wildcard destination destination-wildcard | ] Liste d'accès TCP numéro de liste d'accès ] (refuser | permis) source TCP source-wildcard ] destination destination-wildcard ] liste d'accès UDP numéro de liste d'accès ] (refuser | permis) source udp source-wildcard ] destination destination -caractère générique ] cisco.com

Vidéo pour l'article :

Conclusion

Les ACL Cisco sont un puissant outil de sécurité réseau. Utilisez-le pour filtrer votre trafic. Mais rappelez-vous les fonctionnalités. Si vous spécifiez incorrectement les paramètres de filtrage, le trafic « correct » risque de ne pas atteindre le destinataire.

Pourquoi chercher des informations sur d’autres sites si tout est rassemblé ici ?

Les listes d'accès vous permettent de créer des règles de contrôle du trafic qui régiront la communication inter-réseau dans les réseaux locaux et d'entreprise.

Il existe seize types de listes d'accès, mais les deux types les plus couramment utilisés sont : standard– standard (chiffres de 1 à 99) et étendu– étendu (numéros de 100 à 199 ou de 2000 à 2699). Les différences entre ces deux listes résident dans la possibilité de filtrer les paquets non seulement par adresse IP, mais également par divers autres paramètres.

Les listes standard traitent uniquement les adresses IP sources entrantes, c'est-à-dire Ils recherchent une correspondance uniquement par l'adresse IP de l'expéditeur. Les listes avancées fonctionnent avec toutes les adresses réseau d'entreprise et peuvent en outre filtrer le trafic par ports et protocoles.

Le fonctionnement de la liste d'accès dépend directement de l'ordre des lignes dans cette liste, où chaque ligne contient une règle de traitement du trafic. Toutes les règles de la liste sont recherchées du premier au dernier dans l'ordre, mais la recherche se termine dès que la première correspondance a été trouvée, c'est-à-dire une règle a été trouvée pour le paquet entrant auquel il appartient. Après cela, les règles restantes de la liste sont ignorées. Si le paquet ne répond à aucune des règles, la règle par défaut est activée :

liste d'accès numéro_liste refuser tout

qui interdit tout trafic sur l'interface du périphérique réseau auquel cette liste a été appliquée.

Pour commencer à utiliser une liste d'accès, vous devez suivre les trois étapes suivantes :

1 – créer une liste ;

2 – remplir la liste avec les règles de traitement du trafic ;

3 – appliquer une liste d'accès à l'interface de l'appareil à l'entrée ou à la sortie de cette interface.

Première étape - création d'une liste d'accès :

Liste standard :

Switch3(config)# liste d'accès IP standard 10

(une liste d'accès standard est créée sous le numéro 10, dans ce cas elle est créée sur le switch)

Liste étendue :

Routeur1 (config)# liste d'accès IP étendue 100

(une liste d'accès étendue est créée sous le numéro 100, dans ce cas elle est créée sur le routeur).

Deuxième étape – saisie des règles dans la liste d'accès :

Chaque règle de la liste d'accès contiendra trois éléments importants :

1 - un numéro qui identifie la liste lors de l'accès à celle-ci dans d'autres parties de la configuration du routeur ou du commutateur de troisième niveau ;

2 - consignes refuser(interdire) ou permis(permettre);

3 - identifiant du package, qui est spécifié dans l'une des trois options suivantes :

Adresse réseau (par exemple 192.168.2.0 0.0.0.255) – où au lieu du masque de sous-réseau, le modèle de masque de sous-réseau est indiqué ;

Adresse de l'hôte (hôte 192.168.2.1) ;

Toute adresse IP ( n'importe lequel).

Exemple de liste d'accès standard #10 :

liste d'accès 10 refuser l'hôte 11.0.0.5

liste d'accès 10 refuser 12.0.0.0 0.255.255.255

liste d'accès 10 autorise tout

Dans cette liste :

Tout le trafic vers l'hôte avec l'adresse IP 11.0.0.5 est interdit ;

Tout trafic sur le réseau 12.0.0.0/8 est interdit (la règle ne précise pas le masque de sous-réseau réel, mais son modèle) ;

Tout autre trafic est autorisé.

Dans les listes d'accès étendues, après avoir spécifié une action avec les touches d'autorisation ou de refus, il doit y avoir un paramètre de protocole (les protocoles IP, TCP, UDP, ICMP sont possibles), qui indique si tous les paquets IP doivent être vérifiés ou uniquement les paquets avec ICMP, En-têtes TCP ou UDP. Si les numéros de port TCP ou UDP doivent être vérifiés, alors le protocole TCP ou UDP doit être précisé (les services FTP et WEB utilisent le protocole TCP).

Lors de la création de listes étendues dans les règles d'accès, vous pouvez activer le filtrage du trafic par protocoles et ports. Pour spécifier les ports dans la règle d'accès, les désignations suivantes sont indiquées (Tableau 10.1) :

Tableau 10.1.

Les applications courantes et leurs numéros de port standard correspondants sont présentés dans le tableau 10.2 suivant :

Tableau 10.2.

Numéro de port

Protocole

Application

Mot-clé dans la commande access_list

Gestion du serveur FTP

Exemple de liste d'accès étendue #111 :

! Refuser le trafic sur le port 80 (trafic www)

Voyons créer et utiliser des listes d'accès ( accéder aux listes) à l'aide de l'exemple d'un schéma de connexion d'un petit bureau à Internet à l'aide d'un routeur Cisco 881. Les commandes de configuration des routeurs d'autres séries (séries 1841, 2800, 3825...) ou des commutateurs de couche 3 (séries 3500, 4800...) seront similaires. Les différences ne peuvent concerner que les paramètres de l'interface.

Nous avons à notre disposition :

Tâche: restreindre les connexions passant par le routeur.

Listes d'accès ( accéder aux listes) ne constituent pas en soi des règles restreignant l'accès. Ces lignes indiquent uniquement un trafic spécifique. Leur effet apparaît lorsqu'un lien vers la liste d'accès correspondante est spécifié dans les paramètres d'une certaine fonction du routeur.

La logique de l'appareil est que nous montrons d'abord au routeur le trafic qui nous intéresse, puis nous indiquons ce que le routeur doit en faire. Par exemple, dans un cas, la liste d'accès indiquera l'adresse à partir de laquelle l'accès à distance au routeur est possible grâce au protocole SSH, et l'autre indiquera la route qui sera distribuée à l'aide du protocole de routage dynamique.

Restreindre l'accès à distance au routeur

Exemple liste d'accès, qui permet de limiter l'accès à distance à la console du routeur uniquement à partir de certains adresse IP adresses. Dans notre cas, l’adresse du poste de travail de l’administrateur.
Création d'une liste d'accès ACL_REMOTE_ACCESS
R-DELTACONFIG(config)#
norme de liste d'accès IP ACL_REMOTE_ACCESS
autoriser l'hôte IP 192.168.0.100
Nous attachons liste d'accès de limiter l'accès à la gestion à distance du routeur uniquement à partir de l'adresse 192.168.0.100
R-DELTACONFIG(config)#
ligne vty 0 4
classe d'accès ACL_REMOTE_ACCESS dans

Important!
Soyez prudent et vérifiez tout soigneusement avant utilisation. L'erreur peut être corrigée seulement connecter ou réinitialiser le routeur aux paramètres d'usine.

Restriction d'accès à Internet

Pour restreindre l'accès du réseau local du bureau à Internet, vous avez besoin d'une liste d'accès appropriée, ainsi que de la lier à l'une des interfaces du routeur.
Disons que vous devez restreindre l’accès des utilisateurs à Internet comme suit :

Créez la liste d'accès suivante ACL_INSIDE_IN et introduire séquentiellement les règles d'accès :
R-DELTACONFIG(config)#
liste d'accès IP étendue ACL_INSIDE_IN
accéder DNS serveurs sur Internet
permettre l'hôte UDP 192.168.0.201 n'importe quel eq 53
permettre l'hôte TCP 192.168.0.201 n'importe quel eq 53
accéder Procuration serveurs sur Internet
permis hôte TCP 192.168.0.202 n'importe quel eq 80
permettre l'hôte TCP 192.168.0.202 n'importe quel eq 443
accès administrateur complet
permis hôte IP 192.168.0.100 quelconque
autorisation Ping pour l'ensemble du réseau local
permis icmp 192.168.0.0 0.0.0.255 tout
interdiction d'autres connexions
refuser ip n'importe quel journal

Important!
Faites attention à la façon dont la ligne de règle du protocole est écrite ICMP (Ping). Dans les listes d'accès sur les routeurs Cisco le masque de sous-réseau s'écrit à l'envers : non pas 255.255.255.0, mais 0.0.0.255

Ensuite, nous lions la liste d'accès à l'interface interne Vlan 1 dans le sens « à l’intérieur du routeur » (paramètre dans). En fait, le sens de liaison est toujours considéré par rapport à l'appareil Cisco. Pour plus de commodité, l'interface et le sens de circulation sont indiqués dans le nom de la liste d'accès elle-même : ACL_INSIDE_IN— filtre le trafic entrant dans l'interface interne.
R-DELTACONFIG(config)#
interface Vlan 1
groupe d'accès IP ACL_INSIDE_IN dans
A partir de ce moment, l'accès à l'extérieur s'effectuera conformément à la liste d'accès appliquée, à condition que la traduction des adresses soit correctement configurée ( NAT). La manière de procéder est décrite dans la section relative à la configuration de l'accès Internet à l'aide d'un routeur Cisco.

Vérifier le fonctionnement de la liste d'accès

Vous pouvez vérifier le fonctionnement de la liste d'accès en consultant les statistiques d'activation des règles. Après avoir lié la liste d'accès ACL_INSIDE_INà l'interface Vlan 1 courir Ping depuis n'importe quel poste de travail du réseau vers n'importe quelle adresse Internet (par exemple, vers www.yandex.ru), puis exécutez-le à partir du mode privilégié (signe # à côté du nom de l'appareil) commande afficher les listes d'accès. Le résultat doit indiquer le nombre de fois où chaque ligne de la liste d'accès a été atteinte :
sh listes d'accès
Liste d'accès IP étendue ACL_INSIDE_IN

60 permis icmp n'importe quel (4 correspondances d'estimation)
70 refuser l'adresse IP de tout journal
Aspects importants de l'utilisation des listes d'accès ( liste d'accès)

  • La liste d'accès se compose de chaînes - des règles qui affichent un trafic spécifique
  • Une liste d'accès associée à une interface restreint les paquets pouvant transiter par cette interface.
  • Une liste d'accès peut être liée à une interface dans l'une des directions : entrante ou sortante.
  • Les listes d'accès peuvent soit indiquer uniquement la source de connexion (standard, exemple de restriction d'accès par SSH) ou la source et la destination de la connexion (étendue, exemple de restriction d'accès à Internet).
  • Plusieurs listes d'accès ne peuvent pas être liées à la même interface dans la même direction. Toutes les règles requises doivent être spécifiées dans une seule liste d'accès lié.

Restreindre l'accès depuis Internet

Création d'une liste d'accès ACL_OUTSIDE_IN Pour externe interface. Cela indique seulement que l'interface externe doit répondre à pinger, et rejette toutes les autres demandes.
R-DELTACONFIG(config)#

autoriser icmp n'importe quelle interface // autoriser Ping
refuser ip tout journal //interdiction d'autres connexions
Nous lions la liste d'accès à l'interface externe.
R-DELTACONFIG(config)#
interface FastEthernet 4
groupe d'accès IP ACL_OUTSIDE_IN dans

Important!
Toutes les nouvelles règles qui seront requises pour l'accès depuis l'intérieur ou l'extérieur doivent être ajoutées aux listes d'accès appropriées. À lignes
refuser tout journal IP
Si une ligne avec autorisation apparaît dans la liste après la ligne d'interdiction, cela n'affectera en rien le trafic, puisque le routeur traite les lignes. liste d'accès séquentiellement jusqu'au premier match.
Pour changer liste d'accès Il est pratique d'accéder à la liste d'accès elle-même, d'ajouter toutes les autorisations nécessaires, puis de supprimer la dernière ligne ( refuser tout journal IP) et ajoutez-le immédiatement. En suivant cette règle simple, la ligne d'interdiction sera toujours à la toute fin de la liste, et toutes les règles seront dans l'ordre d'addition de bas en haut. Pour plus de clarté, autorisons l'accès au routeur depuis l'extérieur via le protocole http (port TCP 80)
R-DELTACONFIG(config)#
liste d'accès IP étendue ACL_OUTSIDE_IN
autoriser TCP n'importe quelle interface EQ 80
pas de refus d'adresse IP, de journal
refuser tout journal IP

Autoriser le trafic de retour

Après avoir lié la liste d'accès ACL_OUTSIDE_IN tous les accès du réseau local à toutes les ressources via tous les protocoles sauf Ping. Cela est dû au fait que les règles de filtrage du trafic sont également appliquées au niveau interne ( ACL_INSIDE_IN) et sur l'extérieur ( ACL_OUTSIDE_IN)interfaces.
Pour que tous les paquets de retour aux requêtes du réseau local passent, nous spécifions les protocoles de la fonction Inspecter.
R-DELTACONFIG(config)#
ip inspecter le nom Internet http
ip inspecter le nom Internet https
IP inspecter le nom Internet DNS
ip inspecter le nom Internet icmp
Nous lions la règle d'inspection à externe interface.
R-DELTACONFIG(config)#
interface FastEthernet 4
IP inspecte Internet
La liste des services autorisés à être inspectés pourrait être élargie à l'avenir.

J'espère que cet article vous aidera à mieux comprendre le fonctionnement des listes d'accès. Malheureusement, ce sujet assez simple est très difficile à décrire dans un langage simple. Si vous avez des questions ou si un point reste flou, écrivez-moi à [email protégé] ou laissez votre question dans les commentaires.

Les listes d'accès sont utilisées dans un certain nombre de cas et constituent un mécanisme permettant de spécifier les conditions que le routeur vérifie avant d'effectuer toute action. Le routeur vérifie chaque paquet et, sur la base des critères ci-dessus spécifiés dans l'ACL, détermine quoi faire du paquet, le sauter ou le supprimer. Les critères typiques sont les adresses de l'expéditeur et du destinataire du paquet et le type de protocole. Chaque critère de la liste d'accès est écrit sur une ligne distincte. Une liste d'accès dans son ensemble est une collection de chaînes de critères portant le même numéro (ou nom). L'ordre dans lequel les critères sont spécifiés dans la liste est significatif. La conformité du colis à la liste est vérifiée en appliquant séquentiellement les critères de cette liste (dans l'ordre dans lequel ils ont été saisis). Un paquet qui ne correspond à aucun des critères saisis sera rejeté. Pour chaque protocole, une seule liste d'accès peut être attribuée à une interface. À titre d'exemple, vous trouverez ci-dessous la table ACL par défaut :

Sans liste de contrôle d'accès- Par défaut, lorsqu'un endpoint est créé, tout lui est autorisé.

Permettre- lors de l'ajout d'une ou plusieurs plages "résolution", toutes les autres plages sont désactivées par défaut. Seuls les paquets de la plage d'adresses IP autorisée pourront atteindre le point de terminaison de la machine virtuelle.

Interdire- Lors de l'ajout d'une ou plusieurs plages de « refus », toutes les autres plages de trafic sont autorisées par défaut.

Combinaison d'autorisation et d'interdiction- Vous pouvez utiliser une combinaison de règles « autoriser » et « refuser » pour spécifier une plage d'adresses IP imbriquée autorisée ou refusée.

Regardons deux exemples de listes standards :

# liste d'accès 1 permithost 10.0.0.10- autoriser le passage du trafic du nœud 10.0.0.10.

# liste d'accès 2 refuser 10.0.1.0 0.0.0.255- nous interdisons le passage des paquets du sous-réseau 10.0.1.0/24.

Travaux pratiques 9-1. Création d'une liste d'accès standard

Il existe plusieurs types de listes d'accès : standard, étendues, dynamiques et autres. Dans les ACL standards, il est possible de spécifier uniquement l'adresse IP de la source des paquets pour les refuser ou les autoriser.


Riz. 9.2.

Assemblons ce circuit et configurons-le. Configurez PC0 et PC1 vous-même.

Réglage R0

Nous allons configurer l'interface 0/0 du routeur 1841 à l'adresse 192.168.0.1 et l'activer avec les commandes suivantes :

Routeur>en Routeur#conf t Routeur (config)#int fa0/0 Routeur (config-if)#ip addr 192.168.0.1 255.255.255.0 Routeur (config-if)#no shutdown Routeur (config-if)#exit

Nous allons configurer la deuxième interface du routeur (port 0/1) avec l'adresse 10.0.0.1 et l'activer également :

Routeur (config)#intfa0/1 Routeur (config-if)#ip addr 10.0.0.1 255.255.255.0 Routeur (config-if)#no shutdown

Configuration du serveur

Les paramètres du serveur sont illustrés à la Fig.


9.3.

Riz. 9.3.

Diagnostic réseau


Nous vérifions la connexion des PC de différents réseaux (Fig. 9.4).

Riz. 9.4.

Commençons par résoudre le problème permis Nous allons créer une règle pour refuser et autoriser l'accès à l'aide de listes d'accès standard (ACL). Tant que la liste d'accès n'est pas paramétrée sur l'interface, tout est permis ( refuser). Mais, dès que vous créez une liste, le mécanisme « Tout ce qui n'est pas autorisé est interdit » entre immédiatement en vigueur. Il n’est donc pas nécessaire d’interdire quoi que ce soit (


) – nous indiquons ce qui est autorisé, et « refuser le reste » est automatiquement sous-entendu. Selon les conditions de la tâche, nous devons transmettre les paquets du nœud 192.168.0.12 au serveur sur R0 (Fig. 9.5).

Riz. 9.5.


Cette règle s'applique à l'interface selon le sens (PC1 est situé côté port Fa0/0) - fig.

9.6. Ce paramètre signifie que la liste d'accès (règle numéro 1) fonctionnera sur l'interface fa0/0 dans le sens entrant depuis PC1.

Riz. 9.6.



Des questions ?

Signaler une faute de frappe

Texte qui sera envoyé à nos rédacteurs :

Envoyer