Найти в Дзене
Building networks for everyone
36 подписчиков

Настройка коммутаторов для обеспечения безопасности и ограничения доступа к сети. Часть 3. Access Control List

53
2 мин
Списки контроля доступа (Access Control List, ACL)  позволяют фильтровать на коммутаторе потоки данных, ограничивая типы приложений, разрешенных в сети, и контролируя доступ пользователей (их устройств) к сети. Также ACL могут использоваться для классификации трафика и переопределения его приоритета при настройке политик качества обслуживания (QoS). ACL представляют собой последовательность условий проверки параметров пакетов данных. Когда сообщения поступают на входной интерфейс, коммутатор проверяет параметры пакетов данных на совпадение с критериями фильтрации, определёнными в ACL и выполняет над пакетами одно из действий: Permit (Разрешить) или Deny (Запретить). Списки управления доступом состоят из профилей доступа (Access Profile) и правил (Rule). Профили доступа определяют типы критериев фильтрации, которые должны проверяться в пакете данных (MAC-адрес, IP-адрес, номер порта, VLAN и т.д.), а в правилах указываются непосредственные значения их параметров. Каждый профиль може

Списки контроля доступа (Access Control List, ACL)  позволяют фильтровать на коммутаторе потоки данных, ограничивая типы приложений, разрешенных в сети, и контролируя доступ пользователей (их устройств) к сети. Также ACL могут использоваться для классификации трафика и переопределения его приоритета при настройке политик качества обслуживания (QoS).

ACL представляют собой последовательность условий проверки параметров пакетов данных. Когда сообщения поступают на входной интерфейс, коммутатор проверяет параметры пакетов данных на совпадение с критериями фильтрации, определёнными в ACL и выполняет над пакетами одно из действий: Permit (Разрешить) или Deny (Запретить).

Списки управления доступом состоят из профилей доступа (Access Profile) и правил (Rule). Профили доступа определяют типы критериев фильтрации, которые должны проверяться в пакете данных (MAC-адрес, IP-адрес, номер порта, VLAN и т.д.), а в правилах указываются непосредственные значения их параметров. Каждый профиль может состоять из множества правил.

Схема сети
Схема сети

Подходы к настройке ACL на коммутаторах D-Link со стандартным CLI и D-Link CLI отличаются.

Для D-Link CLI настройка будут выглядеть так.

Создадим правило 1: разрешить передачу всех пакетов, у которых IP-адрес источника принадлежит диапазону 192.168.1.16 − 31/24. А в правиле 2 запретим передачу всех пакетов, у которых IP-адрес источника принадлежит сети 192.168.1.0/24 к серверу 1 (IP-адрес назначения 192.168.1.2/24).

create access_profile ip source_ip_mask 255.255.255.240 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 192.168.1.16 port 1-28 permit
create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.255 profile_id 2
config access_profile profile_id 2 add access_id 1 ip source_ip 192.168.1.0 destination_ip 192.168.1.2 port 1-28 deny

Для коммутатора со стандартным CLI настройка такой же схемы будет такой: нам будет нужно разрешить доступ к серверу (ПК 1) пользователям с IP-адресами с 192.168.1.16/24 по 192.168.1.31/24. Остальным пользователем сети 192.168.1.0/24 с адресами, не входящими в разрешённый диапазон, доступ к серверу надо запретить. Фильтрацию включим на портах 1-12.

Switch(config)# ip access-list ACL1 10
Switch(config-ip-acl)# permit 192.168.1.16 0.0.0.15 host 192.168.1.254
Switch(config-ip-acl)# deny any host 192.168.1.254
Switch(config-ip-acl)# exit
Switch(config)# interface range ethernet 1/0/1-12
Switch(config-if-range)# ip access-group 10 in
Switch(config-if-range)# end