[Todo sobre switches] 17 Conocimientos básicos sobre ACL

127 0 0 0

Una lista de control de acceso (ACL) consiste en un conjunto de reglas que describen las condiciones de coincidencia de paquetes.

Estas condiciones pueden ser direcciones de origen, direcciones de destino y números de puerto de paquetes.


La ACL es un filtro de paquetes que filtra los paquetes de acuerdo con los requisitos del servicio en función de las características de los paquetes.


Usando la técnica de filtrado de paquetes, podemos bloquear los paquetes de ataque, proporcionar un servicio diferenciado para diferentes flujos de paquetes y controlar el inicio de sesión de Telnet y las operaciones de descarga de archivos FTP.

De esta manera, podemos mejorar la seguridad de la red y la confiabilidad de la transmisión.


231937i90rocexciirwwwe.png


A continuación, te presentaré los conceptos de ACL basados en esta figura.



1.- clasificación de ACL

La figura muestra el ACL 2000 numerado. Una ID de ACL es similar al número de la tarjeta de identidad. 

Una tarjeta de identidad tiene un número y un nombre. De manera similar, hay otro tipo de ACL, que se denominan ACL nombradas. 

Una ACL nombrada tiene un nombre en lugar de un numero.


Al igual que un nombre de dominio que facilita la memorización de una dirección IP, un nombre de ACL también facilita la memorización de la ACL.


En realidad, un nombre de ACL puede consistir en el nombre y el número. Es decir, también puede especificar el número de ACL cuando define un nombre de ACL. 

Si no especifica un número de ACL, el sistema asignará automáticamente un número a una ACL. 

Como se muestra en la figura anterior, el nombre de ACL consiste en un nombre deny-telnet-login y un número 3998.


  • Ahora, hemos visto dos ACL, de las cuales los números son 2000 y 3998. ¿Hay alguna diferencia?


Según las funciones, las ACL se clasifican en ACL básica, ACL avanzada, ACL de Capa 2, ACL definida por el usuario y ACL del usuario.

Cada tipo de ACL coincide con un rango de números.


  • ACL 2000 es una ACL básica, y ACL 3998 es una ACL avanzada.


La ACL avanzada define reglas más específicas y flexibles que la ACL básica. Por lo tanto, la ACL avanzada proporciona más funciones.


2.- Reglas de ACL


Las cláusulas de permiso en la figura son reglas de ACL. "Denegar" y "permitir" son las acciones de ACL.


Cada regla tiene una ID, como 5, 10 y 4294967294. Las ID de la regla se pueden establecer manualmente o se pueden asignar automáticamente por el sistema.


Los ID de reglas de ACL varían de 0 a 4294967294. Los ID de reglas en una ACL se asignan en orden ascendente. Por lo tanto, la regla con el ID más pequeño se coloca en la línea superior y la regla con el ID más grande se coloca en la línea inferior. El sistema compara los paquetes con las reglas con los ID enumerados en orden ascendente y deja de coincidir si los paquetes coinciden con una regla. Le diré cómo hacer coincidir los paquetes con las reglas de ACL en el siguiente hilo.


Además de las acciones de ACL y los ID de las reglas, la dirección de origen y el rango de tiempo efectivo se incluyen en una regla de ACL. Estos campos se denominan condiciones coincidentes. Son una parte importante de las reglas de ACL.


ACL proporciona condiciones de coincidencia ricas. Por ejemplo, puede elegir información de trama Ethernet de capa 2 (direcciones MAC de origen / destino, tipo de trama Ethernet), información de paquete de capa 3 (direcciones IP de origen / destino, tipo de protocolo) o información de paquete de capa 4 (números de puerto TCP / UDP) .


En primer lugar, debe determinar las características de los paquetes que se van a filtrar y luego seleccionar las condiciones de coincidencia de ACL.



3.- Pasos

Ahora, vamos a aprender acerca de un concepto importante relacionado con ACL?. 

Una vez que comprenda el significado de paso, sabrá cómo el sistema asigna automáticamente las ID de regla.

El paso es el incremento entre los identificadores de regla vecinos. Es decir, el sistema asigna ID a las reglas de ACL en función del valor de incremento.

Como se muestra en la siguiente figura, el paso de ACL 2000 es 5. El sistema asigna los ID a las reglas de ACL en el orden de 5, 10, 15 ... Si el valor del paso se cambia a 2, el sistema cambia los identificadores de regla a 2, 4, 6….


 


Sugerencias: El valor de paso predeterminado de una ACL es 5. 

Para ver información sobre las reglas de ACL y el paso, ejecute el comando de visualización de acl-number acl. 

Para cambiar el valor del paso, ejecute el comando step step.


¿Cuáles son las funciones de un paso?


El paso facilita la inserción de nuevas reglas de ACL.



Aqui un ejemplo:

Una ACL incluye rule 5, rule 10, y rule 15. 

Ahora, desea agregar una regla que niegue los paquetes con la dirección IP de origen 1.1.1.3. 

Como hacerlo?

rule 5 deny source 1.1.1.1 0  //Deniega paquetes con source address 1.1.1.1.                  

rule 10 deny source 1.1.1.2 0 //Deniega paquetes con address 1.1.1.2.                   

rule 15 permit source 1.1.1.0 0.0.0.255 //Permite paquetes con address 1.1.1.0.

 

El sistema deja de hacer coincidir los paquetes una vez que los paquetes coinciden con una regla. Por lo tanto, los paquetes con la dirección de origen 1.1.1.1 o 1.1.1.2 coinciden con la regla 5 y la regla 10, y se descartan; los paquetes con la dirección de origen 1.1.1.3 coinciden con la regla 15 y se reenvían. Para rechazar los paquetes con la dirección de origen 1.1.1.3, debemos agregar una nueva regla de rechazo.


rule 5 deny source 1.1.1.1 0  //Deny the packets with source address 1.1.1.1.                  

rule 10 deny source 1.1.1.2 0 //Deny the packets with source address 1.1.1.2.                   

rule 11 deny source 1.1.1.3 0 //Deny the packets with source address 1.1.1.3. 

rule 15 permit source 1.1.1.0 0.0.0.255 //Permit the packets with source address 1.1.1.0.

 


Después de agregar la regla 11 entre la regla 10 y la regla 15, los paquetes con la dirección de origen 1.1.1.3 coincidirán con la regla 11, por lo que estos paquetes se descartan.


Supongamos que el paso es 1 (regla 1, regla 2, regla 3 ...), pero no 5. ¿Qué sucederá? Si queremos agregar una regla, primero debemos eliminar las reglas existentes. El proceso de agregar una regla a ACL es complejo y requiere mucho tiempo.


Si establecemos un paso apropiado, agregar reglas a una ACL es fácil.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje