ACL (Access Control List) — список правил, запрещающих или разрешающих использование ресурсов сети: доступа к интернету, телефонии, видеосвязи и т.д. ACL работает с IP-пакетами, но может узнать тип конкретного пакета, проанализировать порты TCP (Transmission Control Protocol) и UDP (User Datagram Protocol).
ACL может работать с разнообразными протоколами локальных сетей: AppleTalk, а также IP и IPX (internetwork packet exchange). Для фильтрации такого трафика ACL работает на стыке, когда оборудование граничит с локальной сетью и интернетом, то есть когда необходимо «почистить» трафик от ненужных данных.
Deep Packet Inspection
Разновидности ACL
Существует рефлексивный, динамический и ограниченный по времени ACL. Рассмотрим каждый из них подробнее.
Динамический (Dynamic ACL)
С его помощью можно реализовать следующее:
- предположим, у администратора есть маршрутизатор, имеющий подключение к определенному серверу;
- стоит задача закрыть доступ этому маршрутизатору из глобальной сети, но сохранить при этом к ней доступ небольшой группе людей;
- администратор выполняет настройку списка с правилами по предоставлению доступа;
- этот список устанавливается на входящее направление;
- клиенты локальной сети, которым необходимо подключиться, используют Telnet (teletype network) – сетевой протокол для реализации текстового терминального интерфейса по сети;
- в итоге, Dynamic ACL открывает доступ к серверу, и клиент может на него зайти, к примеру, через HTTP (HyperText Transfer Protocol – протокол передачи гипертекста).
Согласно настройкам по умолчанию, спустя определенное время, доступ снова закрывается, и для входа необходимо подключаться повторно. Ограниченный по времени (Time-based ACL)
Что такое ACL и как их настроить?
Стандартный ACL, открывающий доступ в определенное «окно времени». Задать это «окно» может администратор, используя специальное расписание, активирующее/закрывающее списки доступа. К примеру, можно запретить HTTP-доступ к интернету на протяжении всего рабочего дня. А сразу после его окончания открывать доступ.
Рефлексивный (Reflexive ACL)
Подразумевается, что через частную сеть открыт узел, который отправляет TCP-запрос в глобальную сеть и в то же время ждет TCP-ответа. То есть, канал в это время должен быть открытым для исходящих пакетов данных, чтобы установилось соединение. Если канал будет закрытым, подключиться не удастся, и злоумышленники смогут проникнуть в локальную сеть с целью воровства данных.
Рефлексивные ACL полностью блокируют доступ (deny any), но формируют дополнительный ACL, способный распознавать параметры пользовательских сессий, которые были сгенерированы из локальной сети. На основе этих параметров ACL открывает им доступ.
В итоге получается, что из глобальной сети подключиться к локальной не смогут, а сгенерированная группа пользователей сможет получать ответы.
Источник: itglobal.com
HDMI-CEC – как «подружить» ТВ и все девайсы
Назначение, Функции телевизора, Порядок установки телевизора общие требования – Инструкция по эксплуатации Akai ACL-701
Страница 3: Www.akai.ni, Руководство по эксплуатации
ACL:Списки контроля доступа в коммутаторах Extreme
Идеология списков контроля доступа в коммутаторах Extreme Networks несколько отличается от идеологии, принятой в коммутаторах производства Компании Cisco Systems. В данной статье речь пойдет о настройке ACL в коммутаторах Extreme и чем ACL в коммутаторах Extreme отличаются от ACL в Cisco.
В коммутаторах Extreme можно создать два типа списков контроля доступа:
- Статические
- Динамические
Динамические ACL
Динамические списки контроля доступа создаются используя CLI, их можно просмотреть в конфигурации, выполнив команду show configuration «acl».
Для создания динамического aclнужно выполнить команду:
Если в команде используется ключ non-permanent, список контроля доступа сотрется из конфигурации после перезагрузки коммутатора.
Динамические ACL могут применяться как к физическим портам так и к VLAN:
Для удаления acl с порта или VLAN необходимо выполнить команду:
configure access-list delete < ruleName >[ any | vlan < vlanname >| ports < portlist >|
all]
Пример создания списка контроля доступа, фильтрующего пакеты BPDU Cisco PVST+ и применения этого acl на порты 11-21:
create access-list bpdu1 «ethernet-destination-address 01:00:0c:cc:cc:cd ;» «deny»
create access-list bpdu2 «ethernet-destination-address 01:80:C2:00:00:00 ;» «deny»
conf access-list add «bpdu1» first ports 11-21 ingress
conf access-list add «bpdu2» first ports 11-21 ingress
Статические ACL
Статические acl представляют собой файлы, редактируемые VI-подобным редактором или загружаемые с внешнего TFTP сервера.
Для создания или редактирования ACL необходимо выполнить команду:
Для начала редактирования нужно нажать клавишу «i».
Команды, используемы для редактирования ACL:
dd — To delete the current line
yy — To copy the current line
p — To paste the line copied
:w — To write (save) the file
:q — To quit the file if no changes were made
:q! — To forcefully quit the file without saving changes
:wq — To write and quit the file
Правильность ACL можно и нужно проверить, используя команду:
Если уже примененный на порту, VLAN или в протоколе маршрутизации ACL изменился, необходимо выполнить команду:
Иначе, не смотря на то, что ACL уже изменен, будет использоваться его старая версия.
Использование ACL
Списки контроля доступа можно использовать как для фильтрации сетевого трафика так и для контроля за распространением маршрутов в сетевых протоколах (BGP, OSPF итд).
Применение ACL на порту коммутатора или на VLAN:
configure access-list [any | ports < portlist >| vlan < vlanname >] < ingress |
egress>
Отмена ACL с порта коммутатора или с VLAN:
Использование ACLв протоколах маршрутизации:
configure bgp import-policy [ < policy-name >| none]
configure rip import-policy [ < policy-name >| none]
Настройка списков контроля доступа
Каждое правило имеет следующий синтаксис:
То есть каждое правило имеет условие совпадения (match-conditions) и действие (action и action-modifiers).
Например, правило, разрешающее трафик из IP подсети 10.203.134.0/24, с UDP порта 190 на UDP порты 1200 – 1250 IP адреса 140.158.18.16:
entry udpacl <
if <
source-address 10.203.134.0/24;
destination-address 140.158.18.16/32;
protocol udp;
source-port 190;
destination-port 1200 — 1250;
> then <
permit;
>
>
В ACL можно делать description и comment:
Match Conditions
Основные match-conditions представлены ниже:
- ethernet-source-address < mac-address >—Ethernet source address
- ethernet-destination-address < mac-address >< mask >—Ethernet destination address and mask
- source-address < prefix >—IP source address and mask
- destination-address < prefix >—IP destination address and mask
- source-port [ < port >| < range]—TCP or UDP source port range
- destination-port [ < port >| < range >]—TCP or UDP destination port range
Actions
Основные действия:
- permit—The packet is forwarded.
- deny—The packet is dropped.
Action Modifiers
Наиболее часто применяемые Action Modifiers описаны ниже:
- count < countername >—Increments the counter named in the action modifier
- byte-count < byte counter name >—Increments the byte counter named in the action modifier
- packet-count < packet counter name >—Increments the packet counter named in the action modifier
- log—Logs the packet header
- log-raw—Logs the packet header in hex format
- meter < metername >—Takes action depending on the traffic rate
- mirror—Sends a copy of the packet to the monitor (mirror) port (ingress only)
- mirror-cpu—Mirrors a copy of the packet to the CPU in order to log it (ingress only)
- qosprofile < qosprofilename >—Forwards the packet to the specified QoS profile
- redirect < ipv4 addr >—Forwards the packet to the specified IPv4 address
- redirect-port < port >—Overrides the forwarding decision and changes the egress port used. If the specified port is part of a load share group then this action will apply the load sharing algorithm.
Гораздо более подробно Match Conditions, Action и Action Modifiers описаны в главе 18 Concept Guide.
Wide Key ACLs
В коммутаторах Extreme Networksсуществует понятие Wide Key ACLs. Данная функция позволяет использовать 362 битные Match Conditions вместо стандартных 181 битных. Соответственно можно делать большие Match Conditions а так же использовать полные destination-source IPv6 Match Conditions.
Для включения или выключения Wide Key ACLs нужно выполнить команду:
configure access-list width [double | single] [slot < slotNo | all >]
Примеры списков контроля доступа
ACL, ограничивающий трафик в VLAN 100, накладывая на него meter voiceServiceMeter:
entry voiceService <
if <
vlan-id 100;
> then <
meter voiceServiceMeter;
>
>
ACL, зеркалирующий весь трафик VLAN 300:
entry voiceService <
if <
vlan-id 300;
> then <
mirror;
>
>
ACL, разрешеющий трафик на IP адрес 10.200.250.2 и запрещающий весь остальной трафик:
entry test_policy_4 <
if <
source-address 0.0.0.0/0;
destination-address 10.200.250.2/32;
> then <
permit;
count test_policy_permit;
>
>
# deny everyone else
entry test_policy_99 <
if <
> then <
deny;
count test_policy_deny;
>
>
Основные отличия от ACL в коммутаторах Cisco
Как известно, ACL в оборудовании Cisco имеют следующий вид:
access-list 2 permit 1.1.1.0 0.0.0.255
access-list 100 permit tcp 1.1.1.1 0.0.0.0 2.2.2.2 0.0.0.0 eq 23
ACL, использующиеся в коммутаторах Extreme отличаются от ACL в Cisco двумя моментами:
1. Синтаксис. ACL в Extreme иерархические, что с одной стороны более сложно в написании, с другой существенно расширяет возможности списков контроля доступа. Так, например, внутри ACLможно указать ключ mirror, и трафик будет зеркалироваться, или redirect, тогда трафик будет перенаправляться мехаизмами PBR (policy based routing). Внутри ACL Extreme можно применять политики QoS (ограничение полосы, перемаркировка итд.)
2. ACL в Extreme не имеют завершающего deny в конце правила. То есть, если пакет не совпал ни с одним правилом в ACL, пакет будет разрешен.
Каждый ACL, цель которого в итоге что-то запретить, должен завершаться правилом:
3. Списки контроля доступа в Extreme работают на аппаратном уровне, и даже такие действия как PBR и mirroring не загружают CPU коммутатора.
Источник: n-sistem.net