Сети и телекоммуникации (заочное обучение, бакалавриат)

•Список контроля доступа (ACL) – это механизм, который управляет доступом к системным ресурсам путем составления списка объектов, которым разрешен доступ к определенному ресурсу, на базе определенных параметров, а также разрешает доступ в определенном режиме. В целом, можно ACL рассматривать как средство фильтрации и применять для управления потоком трафика, а также для определения трафика, с которым должны выполняться особые операции.

•В общем сценарии сети используется шлюз, у которого есть узел назначения, осуществляющий пересылку в различные сети. В этом сценарии для принятия решения, какой поток трафика в какую сеть будет направлен, можно применить механизм ACL. В данном примере сеть 192.168.1.0/24 рассматривается как имеющая доступ к внешней сети, в данном случае к Интернет, тогда как узлы, представленные сетью 192.168.2.0/24, не могут пересылать трафик. Таким образом, это приводит к сбою передачи. В случае с сервером A, наоборот - разрешение на доступ шлюз предоставляет сети 192.168.2.0/24, однако ограничивает его всем хостам, входящим в состав сети 192.168.1.0/24.

•В тех случаях, когда выполняется фильтрация определенного типа трафика, общие ограничения отсутствуют, но вместо этого могут выполняться дополнительные операции, которые отразятся на текущих данных. В примере показан сценарий, в котором входящие данные фильтруются на базе определенных критериев ( в данном случае это IP-адрес источника) и, когда обнаруживается, что к данным необходимо  применить список контроля доступа, выполняются соответствующие действия. Общие действия могут включать изменение параметров в маршрутизируемом IP-трафике для протоколов, например метрик маршрута в RIP и OSPF, а также инициирование зашифрованных сетевых соединений для передачи определенного типа  трафика, что часто используется в таких технологиях, как виртуальные частные сети (VPN).

•В маршрутизаторах серии ARG3 используются три основных типа ACL, включая basic (базовый), advanced (расширенный) и layer2 access control list (список контроля доступа второго уровня). Базовый ACL сопоставляет пакеты по IP-адресам источников, флагам фрагментов и временных диапазонов, и поддерживает значения в диапазоне 2000–2999. Расширенный ACL обеспечивает более высокую точность сравнения параметров и сопоставляет пакеты по IP-адресам источника и пункта назначения, номерам портов источника и пункта назначения и типам протоколов.

•Расширенный ACL поддерживает значения в диапазоне 3000–3999. Наконец, ACL второго уровня сопоставляет пакеты по данным второго уровня: MAC-адресам источников, MAC-адресам пунктов назначения и типам протоколов второго уровня. Фильтрация трафика выполняется на базе правил, содержащих параметры, определенные соответствующим типом ACL.

•Списки контроля доступа работают по принципу упорядоченных правил. Каждое правило включает условия разрешения или запрета. Правила могут перекрывать друг друга или конфликтовать друг с другом. Одно правило может содержать другое правило, но эти два правила должны быть разными. AR2200 поддерживает два порядка сопоставления правил: конфигурационный и автоматический. В первом случае сопоставление правил ACL выполняется в порядке возрастания идентификаторов правил, в то время как автоматический режим следует принципу «в глубину», который позволяет сначала сопоставлять более точные правила. Сопоставление правил в конфигурационном порядке используется по умолчанию и определяет приоритеты правил в ACL по идентификатору правила. Приоритеты правил, как таковые, позволяют решить любой конфликт между перекрывающимися правилами. Для каждого идентификатора правила ACL определяет, применимо ли это правило. Если правило не применяется, то рассматривается следующее правило. Как только будет найдено соответствие правила, действие правила будет выполнено, и процесс ACL завершится. Если ни одно из правил не соответствует пакету, то система не обрабатывает пакет.

•В этом примере пакеты, исходящие из двух сетей, проходят проверку списком ACL в пределах RTA. Пакеты из сетей 172.16.0.0 и 172.17.0.0 будут по умолчанию оцениваться по значению идентификатора правила (конфигурационный порядок). Если правило обнаружит совпадение для сети по шаблону маски, то правило будет применено. Для сети 172.16.0.0 правило 15 будет сопоставлять любые пакеты с адресом 172.16.0.X, где X может быть любым двоичным значением в октете. Если никакого конкретного правила, соответствующего сети 172.17.0.0, не будет найдено в списке контроля доступа, то процесс ACL не будет выполняться, однако чтобы получить оптимальный механизм ACL, в правиле 20 было определены условия catch all (универсальные условия), которые разрешают осуществлять передачу всем сетям, для которых не сконфигурировано специальное правило.

•Для создания базового (basic) списка контроля доступа необходимо, чтобы администратор сначала определил источник трафика, к которому будет применяться ACL. В данном примере это источник с IP-адресом в диапазоне 192.168.1.0/24. Все пакеты, содержащие IP-адрес источника из этого диапазона, будут отбрасываться шлюзом. Передача трафика хостами с сетевыми адресами в диапазоне 192.168.2.0/24 разрешена, и никаких дальнейших действий для этих пакетов не предпринимается. Базовый ACL применяется к интерфейсу Gigabit Ethernet 0/0/0 в исходящем направлении, то есть механизм ACL будет применяться только к пакетам, которые соответствуют критериям интерфейса и направления.

•Расширенные (advanced) списки контроля доступа позволяют фильтровать по нескольким параметрам, чтобы обеспечить более детальный процесс выбора маршрута. В то время как базовый ACL фильтрует по IP-адресу источника, расширенный ACL способен выполнять фильтрацию по IP-адресу источника и пункта назначения, номерам портов источника и пункта назначения, протоколам как сетевого, так и транспортного уровня, а также параметрам на каждом уровне, таким как классификаторы IP-трафика, значения флагов TCP (SYN|ACK|FIN и т. д.).

•Расширенный ACL принимает значения в диапазоне 3000–3999, как показано в примере, для которого определены правила ограничения TCP-пакетов, исходящих со всех адресов источников в диапазоне от 192.168.1.1 до 192.168.1.255, с IP-адресом пункта назначения – 172.16.10.1, и портом назначения – 21. Аналогичное правило используется для ограничения всех IP-пакетов с адресами источников в диапазоне 192.168.2.0/24 и единым адресом пункта назначения 172.16.10.2. Универсальное правило catch all можно применить таким образом, чтобы все IP-пакеты остального трафика либо пропускались механизмом ACL, либо отбрасывались.

•Проверка сконфигурированного расширенного ACL выполняется с помощью команды display acl <acl-number>, где acl-номер – это номер, который был назначен сконфигурированному ACL. Полученный в командном выводе результат подтверждает, что были созданы три правила для запрета любых TCP-пакетов с IP-адресом источника в диапазоне 192.168.1.0/24, предназначенные для пункта назначения 172.16.10.1, от порта 21 (ftp) и от любого IP-адреса источника в диапазоне 192.168.2.0/24, предназначенные для IP-адреса пункта назначения 172.16.10.2. При этом передача всего остального IP-трафик разрешена.

•ACL-механизм, применяемый в трансляции сетевых адресов (NAT), фильтрует хосты на базе IP-адресов, принимая таким образом решение, трансляция каких внутренних сетей будет выполняться, и через какие конкретные пулы внешних адресов, если имеются несколько пулов. Это может произойти, когда в корпоративной сети существуют соединения от нескольких поставщиков услуг, для которых различные внутренние пользователи, входящие в состав различных сетей/подсетей, хотят осуществлять трансляцию и передачу данных на базе определенной группы адресов через uplink-интерфейсы альтернативного маршрутизатора к сетям различных поставщиков услуг.

•В данном случае приведен упрощенный пример, в котором выполняется фильтрация хостов во внутренней сети по базовом правилам ACL, для которых применяется решение динамического NAT. Данное решение позволяет выполнять трансляцию данного публичного адреса определенной адресной группы. В частности, трансляция хостов из сети 192.168.1.0/24, будет выполняться с использованием публичных адресов в пуле, который связан с адресной группой 1, тогда как фильтрация хостов в сети 192.168.2.0/24 будет выполняться на базе пула, связанного с адресной группой 2. Для привязки NAT и ACL в исходящем направлении в режиме интерфейса Gigabit Ethernet выполняется команда nat outbound <acl-number> address-group <address-group number>, а соответствующий диапазон IP-адресов определяется указанной адресной группой.