Как настроить фильтрацию трафика PACL на портах L2 коммутатора

Как настроить фильтрацию трафика PACL на портах L2 коммутатора

Рубрики:

Новости

Метки:

, , , , , ,

Рассмотрим, как организовать защиту внутри периметра и настроить PACL (Port Access Control List) — фильтрацию трафика на портах L2 коммутатора Cisco Catalyst. Исследуемая топология состоит из коммутатора Cisco Catalyst 3560 или 2960 с ПО Cisco IOS 15.0(2) IP Services и LAN Base соответственно. Допускается использование других коммутаторов и версий Cisco IOS.

Существуют разные способы фильтрации трафика на сетевых устройствах. Их общее название — списки контроля доступа (Access control lists, ACL). На коммутаторах можно реализовать три вида списков контроля доступа:

 

  • Router ACL (RACL) — применяется на маршрутизаторе либо на коммутаторе (на логическом интерфейсе SVI для коммутатора);
  • Port ACL (PACL) — применяется на коммутаторе (на физическом интерфейсе);
  • VLAN ACL (VACL) — применяется на коммутаторе (к VLAN).

 

В данной статье будут рассмотрены PACL. Начнем с основных ограничений PACL:

  • К одному и тому же интерфейсу уровня 2 в каждом направлении может быть применено не более одного списка доступа IP и одного списка доступа MAC.
  • PACL не применяются к сообщениям MPLS или ARP.
  • Список доступа IP фильтрует только пакеты IPv4 и IPv6. Для списков доступа IP можно настроить стандартный, расширенный или именованный список доступа.
  • Список доступа MAC фильтрует входящие пакеты неподдерживаемого типа (не пакеты IP, ARP или MPLS) на основе полей кадра Ethernet. Список доступа MAC не применяется к сообщениям IP, MPLS или ARP. Можно настроить только именованные списки доступа MAC.
  • Количество списков ACL и ACE, которые можно настроить как часть PACL, ограничено аппаратными ресурсами коммутатора. Эти аппаратные ресурсы используются различными функциями ACL (такими как VACL), которые настроены в системе. Если аппаратных ресурсов недостаточно для программирования PACL на оборудовании, PACL не применяется.
  • PACL не поддерживает ключевые слова log и reflect/evaluate. Эти ключевые слова игнорируются, если добавить их в список доступа для PACL.
  • OAL (Optimized Access-list Logging) не поддерживает PACL.
  • Режим группы доступа может изменить способ взаимодействия PACL с другими ACL. Чтобы поддерживать согласованное поведение на всех платформах Cisco, используйте режим группы доступа по умолчанию (режим слияния — merge mode).
  • PACL не могут фильтровать протоколы физического и канального уровней, такие как CDP, VTP, DTP, PAgP, UDLD и STP, поскольку протоколы перенаправляются в процессор до того, как ACL вступит в силу. Можно применить CoPP или QoS к трафику протоколов физического и канального уровней.

 

PACL используют следующие режимы:

  • Предпочитаемый режим порта (Prefer port mode) — если PACL настроен на интерфейсе уровня 2, PACL вступает в силу и перезаписывает действие других ACL (Cisco IOS ACL и VACL). Если на интерфейсе уровня 2 не настроена функция PACL, другие функции, применимые к интерфейсу, объединяются и применяются к интерфейсу.
  • Режим слияния (Merge mode) — в этом режиме списки ACL PACL, VACL и Cisco IOS объединяются во входящем направлении в соответствии с логической последовательной моделью. Это режим группы доступа по умолчанию.

 

PACL может быть настроен на магистральном порте (Trunk) только после выбора режима предпочтительного порта. Магистральные порты не поддерживают режим слияния.

Чтобы проиллюстрировать режим группы доступа, предположим, что физический порт принадлежит VLAN10, и настроены следующие ACL:

  • Cisco IOS ACL применяется к маршрутизируемому интерфейсу VLAN10.
  • VACL (фильтр VLAN) применяется к VLAN10.
  • PACL применяется к физическому порту.

В этой ситуации происходят следующие взаимодействия ACL:

  • В режиме предпочтительного порта ACL Cisco IOS и VACL игнорируются.
  • В режиме слияния Cisco IOS ACL, VACL и PACL объединяются и применяются к порту.

 

Принципы обработки коммутируемых кадров:

В режиме слияния списки ACL применяются в следующем порядке:

  1. PACL для входного порта
  2. VACL для входящей VLAN.
  3. VACL для исходящей VLAN.

 

Принципы передачи маршрутизированных пакетов и пакетов с коммутацией уровня 3. В режиме слияния списки ACL применяются в следующем порядке:

  1. PACL для входного порта
  2. VACL для входящей VLAN.
  3. Входящий ACL Cisco IOS
  4. ACL Cisco IOS на выходном направлении.
  5. VACL для выходной VLAN.

В режиме предпочтительного порта к входящим пакетам применяется только PACL (входной VACL и Cisco IOS ACL не применяются).

Топология

 

Как улучшить безопасность и настроить фильтрацию трафика внутри VLAN с помощью VACL

Начальные настройки на коммутаторе

 

hostname ALS
!
no ip domain lookup
!
line con 0
exec-t 0 0
logg sync
exit
!
vlan 10
exit
!
interface range fastEthernet0/1-48
switchport mode access
switchport access vlan 10
spanning-tree portfast
exit

 

Проверим связь между устройствами:

 

ALS#ping 192.168.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

ALS#ping 192.168.1.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

ALS#ping 192.168.1.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms

 

Давайте теперь перейдем к PACL.

Цель настройки

Тогда как без PACL, три компьютера могут обмениваться данными без проблем, следует убедиться, что связь между РС есть, но если у РС-2 меняется IP-адрес, то он теряет связь с остальными компьютерами.

Настройка PACL

Шаг 1: создать ACL (классический) для определения трафика

 

Обратите внимание на то, что здесь ACL используется для определения конкретного трафика. Поэтому необходимо правило “разрешение” (permit) соответственно тому, что будет затребовано, будь то отклонение или разрешение, независимо от действия. В данном случае идентифицируем трафик от РС-2. Значит должно быть правило разрешающее для того трафика, который подходит этому правилу:

 

ip access-list extended VLAN10
permit ip host 192.168.1.2 any
exit

Шаг 2: применить к PACL к нужному интерфейсу

 

Остается только применить эти правила к interface fastEthernet 0/2:

 

interface fastEthernet 0/2
ip access-group VLAN10 in

 

Проверка настройки

 

sh run | begin FastEthernet0/2
show ip access-lists interface FastEthernet0/2
show mac access-group interface FastEthernet0/2
show access-group mode interface FastEthernet0/2

 

Проверяем как проходит связь с РС-2:

 

C:Documents and SettingsPC-2>ping 192.168.1.3

Pinging 192.168.1.3 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 192.168.1.3:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)

 

Всё работает как и планировалось.

 

Спасибо за уделенное время на прочтение статьи о том, как настроить фильтрацию трафика на портах на L2 коммутаторах Cisco IOS с помощью PACL!

 

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet (программируемые сети) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco и Linux с трудоустройством!

Спешите подать заявку! Осталось пару мест. Группы стартуют 22 июля, а следующая 19 августа, 23 сентября, 21 октября, 25 ноября, 16 декабря, 20 января, 24 февраля.
Что Вы получите?
  • Поможем стать экспертом в сетевом администрировании и получить международные сертификаты Cisco CCNA Routing & Switching или Linux LPI.
  • Предлагаем проверенную программу и учебник экспертов из Cisco Networking Academy и Linux Professional Institute, сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и сделать карьеру. 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проводим вечерние онлайн-лекции на нашей платформе или обучайтесь очно на базе Киевского офиса.
  • Спросим у вас об удобном времени для практик и подстроимся: понимаем, что времени учиться мало.
  • Если хотите индивидуальный график — обсудим и осуществим.
  • Выставим четкие дедлайны для самоорганизации. Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
А еще поможем Вам:
  • отредактировать резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроим на работу в Cisco по программе Cisco Incubator, New Graduate и Experienced. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco CCNA Routing & Switching и Linux LPI, подайте заявку или получите бесплатную консультацию.
Новости

Больше похожих постов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Самое читаемое
Меню