[Todo sobre Switches] 18 Coincidencia ACL

93 0 0 0

En el último hilo, les mostré una figura de la estructura de ACL y presenté los conceptos, funciones y clasificación de ACL. Debe haber sabido que ACL filtra los paquetes haciendo coincidir los paquetes con las condiciones definidas en las reglas de ACL. Hoy, les contaré detalles sobre cómo ACL coincide con los paquetes.

1 Mecanismo de coincidencia de ACL

En el último hilo, he mencionado que ACL deja de hacer coincidir los paquetes una vez que los paquetes coinciden con una regla. Este es el principio básico del mecanismo de coincidencia de ACL. Hay muchos problemas que resolver en la coincidencia de ACL. Por ejemplo: ¿Qué hará el sistema si la ACL no existe? ¿Qué hará el sistema si la ACL existe pero la regla de la ACL no existe? Ahora, te doy un diagrama de flujo de coincidencia de ACL para que entiendas el mecanismo de comparación de ACL.

Los resultados coincidentes de ACL incluyen "coincidencia positiva" y "coincidencia negativa".

·         Coincidencia positiva: los paquetes coinciden con una regla en una ACL, sin importar si la acción es permitida o denegada.

·         Coincidencia negativa: no existe una ACL, la ACL no contiene reglas o los paquetes no coinciden con ninguna regla en una ACL.

084220qw2p2x2zx59d9pwp.pngSugerencias: si los paquetes se descartan o reenvían, depende del módulo de servicio al que se aplica la ACL, independientemente de si los paquetes no coinciden con la ACL, no coinciden con la regla de permiso o coinciden con la regla de denegación. Los diferentes módulos de servicio procesan los paquetes que coinciden y no coinciden con las reglas de ACL de diferentes maneras. Por ejemplo, el módulo Telnet reenvía los paquetes que coinciden con las reglas de permiso, mientras que el módulo de política de tráfico descarta los paquetes que coinciden con la regla de permiso si se deniega la acción configurada en el módulo de política de tráfico. En el siguiente hilo, le diré cómo los módulos de servicio procesan los paquetes que coinciden con las reglas de ACL.

2 Secuencia de coincidencia de ACL

Como se muestra en el diagrama de flujo anterior, el sistema compara los paquetes con las reglas de ACL hasta que coincidan con una regla.

084229zqs9fca3jtkqk3kk.png¿En qué secuencia el sistema compara los paquetes con las reglas de ACL?

Antes de contestar esta pregunta, veamos un ejemplo. Ejecuta los siguientes comandos:

rule deny ip destination 1.1.0.0 0.0.255.255   //Deniega los paquetes destinados a 1.1.0.0.

rule permit ip destination 1.1.1.0 0.0.0.255   //Permite los paquetes destinados a 1.1.1.0. Este segmento de red tiene un rango menor que 1.1.0.0.

Las dos reglas entran en conflicto. Supongamos que un paquete tiene una dirección de destino 1.1.1.1. Si el sistema compara primero el paquete con la regla de denegación, el paquete se descarta. Si el sistema compara el paquete con la regla de permiso primero, el paquete se reenvía.

Por lo tanto, si las reglas se superponen o entran en conflicto entre sí, la secuencia coincidente decide el resultado de la coincidencia del paquete. Hay dos tipos de secuencias coincidentes: Config y Auto.

Config: el sistema compara los paquetes con las reglas de ACL en el orden ascendente de las ID de reglas. Es decir, la regla con el ID más pequeño coincide primero. Si agrega una regla a una ACL y asigna un ID más pequeño a la nueva regla, la regla se compara antes que las reglas con ID más grandes.

084237zt6no6bwbrgggufe.png Consejos: Para que las reglas de ACL surtan efecto, aplique la ACL a un módulo de servicio. Cuando se aplica una ACL a un módulo de servicio, puede modificar las reglas de ACL; sin embargo, si las nuevas reglas pueden tener efecto inmediatamente depende del mecanismo utilizado por el módulo de servicio. Le diré cómo se aplica la ACL a los módulos de servicio en el siguiente hilo.

Auto: el sistema organiza las reglas de acuerdo con el grado de precisión de las reglas (principio de profundidad), y compara los paquetes con la regla con la mayor precisión primero. Una regla tiene una alta precisión significa que la regla consiste en condiciones estrictas. La regla tiene la precisión más alta, la prioridad más alta y la ID más pequeña. Por ejemplo, una regla coincide con los paquetes destinados al host 2.2.2.2/32, y otra regla coincide con los paquetes destinados al segmento de red 2.2.2.0/24. La primera regla tiene un rango más pequeño que la segunda regla, por lo que la primera regla tiene una mayor precisión. Luego, el sistema compara los paquetes contra la primera regla primero.

084244w8h99qq85lihqhxo.png Sugerencias: si agrega una regla a una ACL en el modo Automático, el sistema asigna automáticamente la ID de la regla. El sistema identifica automáticamente la prioridad de la regla y asigna una ID a la regla.

Por ejemplo, ACL 3001 en modo Auto tiene las siguientes dos reglas:

084252anbtftbc3bbjbqff.png

Se agrega la regla rule deny ip destination 1.1.1.1 0 a la ACL 3001 (la dirección IP de destino es una dirección de host y esta regla tiene una prioridad más alta que las dos reglas anteriores). El sistema vuelve a asignar ID a las reglas de acuerdo con las prioridades de la regla. La nueva secuencia es la siguiente:

084302qzyp6cp91hh6chfh.png

La regla rule deny ip destination 1.1.1.1 0 tiene la prioridad más alta, por lo que aparece en la lista antes que las otras reglas.

3 Condiciones coincidentes de ACL

A continuación, te presento la parte más importante de las reglas de ACL, condiciones coincidentes.

En el último hilo, he mencionado la clasificación de ACL. Por ejemplo, la ACL básica puede usar direcciones IP de origen como condiciones coincidentes; La ACL avanzada puede usar direcciones IP de origen, direcciones IP de destino, tipos de protocolo y números de puerto.

Ahora, les presento algunas condiciones coincidentes de uso común: tipo de protocolo, dirección de destino y rango de tiempo efectivo.

084313t2fq38iilf99z88g.png El método de uso de la dirección de origen es el mismo que el de la dirección de destino, y no se menciona aquí.

 

·         Tipo de protocolo

Formato: número de protocolo | icmp | tcp | udp | gre | igmp | ip | ipinip | ospf

El ACL avanzado puede filtrar muchos tipos de paquetes, como ICMP (número de protocolo 1), TCP (número de protocolo 6), UDP (número de protocolo 17), GRE (número de protocolo 47), IGMP (número de protocolo 2), IP (cualquier IP) protocolo de capa), IPinIP (número de protocolo 4) y OSPF (número de protocolo 89). El valor del número de protocolo varía de 1 a 255.

084321p6ktv8vxjxgf8rsq.png ¿En qué situación se puede usar el tipo de protocolo como condición coincidente?

 

Por ejemplo, una gran cantidad de atacantes se conectan a la interfaz de un switch, por lo que desea evitar que todos los usuarios que se conectan a esta interfaz accedan a la red. Puede especificar el tipo de protocolo como IP para evitar el tráfico IP de estos usuarios. La configuración es la siguiente:

rule deny ip//Deniega paquetes IP.

Después de habilitar la función de firewall transparente en un conmutador, el firewall transparente descarta todos los paquetes que ingresan a la zona interna de forma predeterminada, incluidos los paquetes de servicio y protocolo. Si desea que pasen los paquetes de un protocolo de enrutamiento dinámico, como OSPF, especifique el tipo de protocolo como OSPF. La configuración es la siguiente:

rule permit ospf//Permite paquetes OSPF.

·         Dirección de destino

Formato: destino {dirección-destino destino-comodín | alguna }

·         dirección de destino: especifica las direcciones IP de destino de los paquetes.

 

·         destino-comodín: especifica el comodín. El comodín puede ser 0, una equivalencia de 0.0.0.0, que indica que la dirección IP de destino es la dirección IP del host.

·         cualquiera: coincide con cualquier dirección de destino.

084333hzzaz76ffx27e0uz.png ¿En qué situación se puede utilizar la dirección de destino como condición coincidente?

 

Por ejemplo, una empresa tiene un servidor importante con dirección IP 1.1.1.1. El administrador quiere restringir el acceso a este servidor. El administrador puede especificar la dirección de destino como la condición coincidente. La configuración es la siguiente:

rule deny ip destination 1.1.1.1 0 //Denegar los paquetes destinados a 1.1.1.1.

084341eu00dba4vgapudyg.png Sugerencias: si especifica la dirección de destino como condición coincidente, también debe especificar el comodín. El comodín y el segmento de dirección de destino determinan un rango de direcciones.

El formato de comodín es el mismo que el formato de dirección IP (cadena de 32 bits). El comodín especifica los bits en la dirección de destino a verificar. El valor 0 indica que los bits deben comprobarse y el valor 1 indica que los bits no están marcados.

Como se muestra en la siguiente figura, si los 8 bits inferiores son todos 0s, se verifican los 8 bits inferiores en la dirección IP de destino. Si todos los bits son 1, la dirección de destino no está marcada.

084349sy3oxs7e0bu0y58u.png

Para entender mejor el comodín, piense en esta pregunta:

084359mhfoff1un1u0z1hz.png ¿Qué rango de direcciones está especificado por la dirección de destino = 172.30.16.0 destino -comodín = 0.0.15.255?

 

1. En primer lugar, determine los dos bytes más altos en el rango de direcciones de acuerdo con la dirección de destino y el comodín. Los dos bytes más altos en la dirección de destino son 172.30, y los dos bytes más altos del comodín son 0.0. Los dos bytes más altos determinados por la dirección de destino y el comodín son 172.30.

2. Luego, compruebe el tercer byte. El tercer byte en el comodín es 15, que es 00001111 en formato binario. El proceso ***ysis es el siguiente:

084407h6tzgja6ci69c4i4.png

3. Los 4 bytes más altos son 0000 y los cuatro bytes más bajos son 1111; por lo tanto, el tercer byte determinado por la dirección de destino y el comodín es el segmento de dirección 00010000-00011111, que es 16-31 en notación decimal. De manera similar, el último byte en la dirección de destino es 0, y el último byte en el comodín es 255 (todos 1s en binario). El cuarto byte determinado por la dirección de destino y el comodín es el segmento de dirección 00000000-11111111, que es 0-255 en notación decimal.

Después de completar ***ysis, obtenemos este resultado: destino-dirección = 172.30.16.0 destino-comodín = 0.0.15.255 determina el rango de direcciones 172.30.16.0/24-172.30.31.0/24; la dirección IP más pequeña es 172.30.16.0 y la dirección IP más grande es 172.30.31.255.

·         Rango de tiempo efectivo

Modo 1: intervalos de tiempo periódicos: define un intervalo de tiempo basado en semanas.

Formato: intervalo de tiempo, nombre del tiempo, hora de inicio hasta hora de finalización {días} y <1-7>

·         rango de tiempo: indica el nombre de un rango de tiempo. Es una cadena que comienza con una letra.

·         hora de inicio a hora de finalización: indica la hora de inicio y finalización del rango de tiempo. El formato es de [hora: minuto] a [hora: minuto].

·         días: incluye los siguientes valores:

·         Cualquiera o una combinación de Lun, Mar, Mier, Jue, Vier, Sab y Dom, o números (0 indica domingo, 1 indica lunes ... 6 indica sábado).

·         jornada de trabajo: de lunes a viernes.

·         Diariamente: de lunes a domingo.

·         día libre: sábado y domingo

Modo 2: rango de tiempo absoluto: de YYYY/MM/DD hh:mm a YYYY/MM/DD hh:mm.

Formato: rango de tiempo nombre-tiempo desde hora1 fecha1 [hasta hora2 fecha2]

·         tiempo: [hora: minuto]

·         fecha: [YYYY/MM/DD], indicando año/mes/fecha

084417t8a0q8qr85quaq5v.png ¿En qué situación se puede utilizar el intervalo de tiempo efectivo como condición coincidente?

 

Por ejemplo, el P2P y los servicios de descarga afectan a otros servicios de datos durante las horas pico 20: 00-22: 00; por lo tanto, puede reducir el ancho de banda para el P2P y los servicios de descarga en este período, para evitar la congestión de la red. La configuración es la siguiente:

time-range time1 20:00 to 22:00 daily

Otro ejemplo: una empresa permite que los hosts externos accedan a un servidor interno en el período 2013-12-31 10:00 a 2013-12-31 10:00. La compañía permite los paquetes de la red externa al servidor interno solo en este período. La configuración es la siguiente:

time-range time2 from 00:00 2014/1/1 to 23:59 2014/12/31

Después de configurar un rango de tiempo, asócielo con las reglas de ACL; de lo contrario, el rango de tiempo no tendrá efecto. La configuración es la siguiente:

acl acl-number

rule [ rule-id ] { deny | permit } other-options time-range time-name

Eso es todo acerca de las condiciones de coincidencia de ACL. Repasemos lo que hemos aprendido en este hilo. Hemos aprendido el mecanismo de coincidencia de ACL, la secuencia de coincidencia y las condiciones de coincidencia. Debe haber sabido que la ACL coincide con los paquetes, que son los resultados coincidentes, en qué secuencia la ACL coincide con los paquetes, y cómo se pueden usar las condiciones coincidentes.

En el siguiente hilo, le diré cómo aplicar la ACL, el alcance en el que se aplica la ACL y cómo configurar la ACL.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje