Bu gün biz ACL girişinə nəzarət siyahısı haqqında öyrənməyə başlayacağıq, bu mövzuda 2 video dərs keçiriləcək. Standart ACL-nin konfiqurasiyasına baxacağıq və növbəti video dərslikdə genişləndirilmiş siyahı haqqında danışacağam.
Bu dərsimizdə 3 mövzunu əhatə edəcəyik. Birincisi, ACL-nin nə olduğu, ikincisi, standart və genişləndirilmiş giriş siyahısı arasındakı fərq nədir və dərsin sonunda laboratoriya olaraq standart ACL-nin qurulmasına və mümkün problemlərin həllinə baxacağıq.
Beləliklə, ACL nədir? Kursu ilk video dərsdən öyrənmisinizsə, onda müxtəlif şəbəkə cihazları arasında əlaqəni necə təşkil etdiyimizi xatırlayırsınız.
Biz həmçinin cihazlar və şəbəkələr arasında əlaqəni təşkil etmək bacarıqlarını əldə etmək üçün müxtəlif protokollar üzərində statik marşrutlaşdırmanı öyrəndik. İndi biz öyrənmə mərhələsinə çatmışıq ki, biz trafikə nəzarətin təmin edilməsindən, yəni “pis adamların” və ya icazəsiz istifadəçilərin şəbəkəyə daxil olmasının qarşısını almaqdan narahat olmalıyıq. Məsələn, bu, bu diaqramda təsvir olunan SATIŞ satış departamentindən olan insanlara aid ola bilər. Burada biz həmçinin maliyyə departamentinin HESABLARI, idarəetmə departamentinin MANAGEMENT və server otağının SERVER OTOĞUNU göstəririk.
Beləliklə, satış şöbəsinin yüz işçisi ola bilər və biz onların heç birinin şəbəkə üzərindən server otağına daxil olmasını istəmirik. Laptop2 kompüterində işləyən satış meneceri üçün istisna edilir - o, server otağına daxil ola bilər. Laptop3-də işləyən yeni işçinin belə girişi olmamalıdır, yəni onun kompüterindən gələn trafik R2 marşrutlaşdırıcısına çatarsa, o, buraxılmalıdır.
ACL-nin rolu müəyyən edilmiş filtrləmə parametrlərinə uyğun olaraq trafiki süzməkdir. Bunlara mənbə IP ünvanı, təyinat IP ünvanı, protokol, portların sayı və digər parametrlər daxildir, bunun sayəsində siz trafiki müəyyən edə və onunla bəzi tədbirlər görə bilərsiniz.
Beləliklə, ACL OSI modelinin 3-cü qat filtrləmə mexanizmidir. Bu o deməkdir ki, bu mexanizm marşrutlaşdırıcılarda istifadə olunur. Filtrləmə üçün əsas meyar məlumat axınının identifikasiyasıdır. Məsələn, Laptop3 kompüteri olan oğlanın serverə daxil olmasını əngəlləmək istəyiriksə, ilk növbədə onun trafikini müəyyən etməliyik. Bu trafik şəbəkə qurğularının müvafiq interfeysləri vasitəsilə Laptop-Switch2-R2-R1-Switch1-Server1 istiqamətində hərəkət edir, marşrutlaşdırıcıların G0/0 interfeyslərinin isə bununla heç bir əlaqəsi yoxdur.
Trafiki müəyyən etmək üçün onun yolunu müəyyən etməliyik. Bunu etdikdən sonra filtri harada quraşdırmalı olduğumuza qərar verə bilərik. Filtrlərin özləri üçün narahat olmayın, biz onları növbəti dərsdə müzakirə edəcəyik, hələlik filtrin hansı interfeysə tətbiq edilmə prinsipini başa düşməliyik.
Bir marşrutlaşdırıcıya baxsanız, görə bilərsiniz ki, hər dəfə trafik hərəkət edəndə məlumat axınının daxil olduğu bir interfeys və bu axının çıxdığı bir interfeys var.
Əslində 3 interfeys var: giriş interfeysi, çıxış interfeysi və marşrutlaşdırıcının öz interfeysi. Unutmayın ki, filtrləmə yalnız giriş və ya çıxış interfeysinə tətbiq edilə bilər.
ACL-nin işləmə prinsipi yalnız adı dəvət olunanlar siyahısında olan qonaqların iştirak edə biləcəyi tədbirə keçidə bənzəyir. ACL trafiki müəyyən etmək üçün istifadə olunan kvalifikasiya parametrlərinin siyahısıdır. Məsələn, bu siyahı 192.168.1.10 IP ünvanından bütün trafikə icazə verildiyini və bütün digər ünvanlardan gələn trafikin rədd edildiyini göstərir. Dediyim kimi, bu siyahı həm giriş, həm də çıxış interfeysinə tətbiq oluna bilər.
2 növ ACL var: standart və uzadılmış. Standart ACL-nin 1-dən 99-a və ya 1300-dən 1999-a qədər identifikatoru var. Bunlar nömrələmə artdıqca bir-birindən heç bir üstünlüyü olmayan sadəcə siyahı adlarıdır. Nömrəyə əlavə olaraq siz öz adınızı ACL-ə təyin edə bilərsiniz. Genişləndirilmiş ACL-lər 100-dən 199-a qədər və ya 2000-dən 2699-a qədər nömrələnir və onların da adı ola bilər.
Standart ACL-də təsnifat trafikin mənbə IP ünvanına əsaslanır. Buna görə də, belə bir siyahıdan istifadə edərkən, heç bir mənbəyə yönəldilmiş trafiki məhdudlaşdıra bilməzsiniz, yalnız cihazdan gələn trafiki blok edə bilərsiniz.
Genişləndirilmiş ACL trafiki mənbə IP ünvanı, təyinat IP ünvanı, istifadə olunan protokol və port nömrəsi ilə təsnif edir. Məsələn, yalnız FTP trafikini və ya yalnız HTTP trafikini bloklaya bilərsiniz. Bu gün biz standart ACL-ə baxacağıq və növbəti video dərsi genişləndirilmiş siyahılara həsr edəcəyik.
Dediyim kimi, ACL şərtlərin siyahısıdır. Siz bu siyahını marşrutlaşdırıcının daxil olan və ya çıxan interfeysinə tətbiq etdikdən sonra, marşrutlaşdırıcı trafiki bu siyahıya uyğun olaraq yoxlayır və siyahıda göstərilən şərtlərə cavab verirsə, bu trafikə icazə verib-verməməyi qərara alır. İnsanlar tez-tez marşrutlaşdırıcının giriş və çıxış interfeyslərini müəyyən etməkdə çətinlik çəkirlər, baxmayaraq ki, burada mürəkkəb bir şey yoxdur. Daxil olan interfeys haqqında danışarkən, bu o deməkdir ki, bu portda yalnız daxil olan trafik idarə olunacaq və marşrutlaşdırıcı gedən trafikə məhdudiyyətlər tətbiq etməyəcək. Eyni şəkildə, çıxış interfeysindən danışırıqsa, bu o deməkdir ki, bütün qaydalar yalnız gedən trafikə tətbiq ediləcək, bu limanda gələn trafik isə məhdudiyyətsiz qəbul ediləcək. Məsələn, marşrutlaşdırıcının 2 portu varsa: f0/0 və f0/1, onda ACL yalnız f0/0 interfeysinə daxil olan trafikə və ya yalnız f0/1 interfeysindən gələn trafikə tətbiq olunacaq. f0/1 interfeysinə daxil olan və ya çıxan trafikə siyahı təsir etməyəcək.
Buna görə də, interfeysin gələn və ya gedən istiqaməti ilə çaşdırmayın, bu, xüsusi trafikin istiqamətindən asılıdır. Beləliklə, marşrutlaşdırıcı ACL şərtlərinə uyğun gələn trafiki yoxladıqdan sonra yalnız iki qərar verə bilər: trafikə icazə verin və ya onu rədd edin. Məsələn, 180.160.1.30 üçün nəzərdə tutulan trafikə icazə verə və 192.168.1.10 üçün nəzərdə tutulan trafiki rədd edə bilərsiniz. Hər bir siyahıda bir neçə şərt ola bilər, lakin bu şərtlərin hər biri icazə verməli və ya rədd etməlidir.
Deyək ki, bir siyahımız var:
Qadağan etmək _______
________ icazə verin
________ icazə verin
Qadağan etmək _________.
Əvvəlcə marşrutlaşdırıcı birinci şərtə uyğun olub olmadığını yoxlamaq üçün trafiki yoxlayacaq; uyğun gəlmirsə, ikinci şərti yoxlayacaq. Trafik üçüncü şərtə uyğundursa, marşrutlaşdırıcı yoxlamanı dayandıracaq və onu siyahının qalan şərtləri ilə müqayisə etməyəcək. O, "icazə ver" hərəkətini yerinə yetirəcək və trafikin növbəti hissəsini yoxlamağa keçəcək.
Əgər siz heç bir paket üçün qayda təyin etməmisinizsə və trafik heç bir şərtə toxunmadan siyahının bütün sətirlərindən keçərsə, o, məhv edilir, çünki hər bir ACL siyahısı standart olaraq hər hansı bir inkar əmri ilə başa çatır - yəni, ləğv edin. hər hansı bir paket, heç bir qaydaya uyğun gəlmir. Bu şərt siyahıda ən azı bir qayda olduqda qüvvəyə minir, əks halda heç bir təsiri yoxdur. Amma əgər birinci sətirdə 192.168.1.30 deny girişi varsa və siyahıda artıq heç bir şərt yoxdursa, o zaman sonunda hər hansı bir icazə əmri olmalıdır, yəni qayda ilə qadağan ediləndən başqa hər hansı bir trafikə icazə verin. ACL-i konfiqurasiya edərkən səhvlərə yol verməmək üçün bunu nəzərə almalısınız.
ASL siyahısı yaratmağın əsas qaydasını xatırlamağınızı istəyirəm: standart ASL-ni təyinat yerinə, yəni trafikin alıcısına mümkün qədər yaxın qoyun və uzadılmış ASL-i mənbəyə mümkün qədər yaxın qoyun, yəni. trafikin göndəricisinə. Bunlar Cisco tövsiyələridir, lakin praktikada elə vəziyyətlər var ki, standart ACL-ni trafik mənbəyinə yaxın yerləşdirmək daha məntiqlidir. Amma imtahan zamanı ACL yerləşdirmə qaydaları ilə bağlı sualla rastlaşsanız, Cisco-nun tövsiyələrinə əməl edin və birmənalı cavab verin: standart təyinata daha yaxındır, uzadılmış mənbəyə daha yaxındır.
İndi standart ACL-nin sintaksisinə baxaq. Routerin qlobal konfiqurasiya rejimində iki növ əmr sintaksisi var: klassik sintaksis və müasir sintaksis.
Klassik əmr növü giriş siyahısıdır <ACL nömrəsi> <inkar/icazə ver> <kriteriyalar>. Əgər <ACL nömrəsi> 1-dən 99-a qədər təyin etsəniz, cihaz avtomatik olaraq bunun standart ACL olduğunu başa düşəcək və 100-dən 199-a qədərdirsə, o zaman genişləndirilmişdir. Bugünkü dərsimizdə standart siyahıya baxdığımız üçün biz 1-dən 99-a qədər istənilən rəqəmdən istifadə edə bilərik. Sonra parametrlər aşağıdakı kriteriyaya uyğun gələrsə, tətbiq edilməli olan hərəkəti göstəririk - trafikə icazə verin və ya rədd edin. Müasir sintaksisdə də istifadə olunduğu üçün kriteriyanı sonra nəzərdən keçirəcəyik.
Müasir əmr növü Rx(config) qlobal konfiqurasiya rejimində də istifadə olunur və belə görünür: ip giriş siyahısı standart <ACL nömrəsi/adı>. Burada ya 1-dən 99-a qədər rəqəmdən, ya da ACL siyahısının adından istifadə edə bilərsiniz, məsələn, ACL_Networking. Bu əmr sistemi dərhal Rx standart rejimi alt əmr rejiminə (config-std-nacl) qoyur, burada siz <inkar/enable> <kriteriya> daxil etməlisiniz. Müasir tipli komandalar klassiklə müqayisədə daha çox üstünlüklərə malikdir.
Klassik siyahıda giriş siyahısı 10 inkar ______ yazsanız, başqa bir kriteriya üçün eyni tipli növbəti əmri yazın və nəticədə 100 belə əmr əldə etsəniz, daxil edilmiş hər hansı əmrləri dəyişdirmək üçün sizə lazım olacaq. no access-list 10 əmri ilə bütün giriş siyahısı siyahısını 10 silin. Bu, bütün 100 əmri siləcək, çünki bu siyahıda hər hansı fərdi əmri redaktə etmək imkanı yoxdur.
Müasir sintaksisdə əmr iki sətirə bölünür, onlardan birincisi siyahının nömrəsini ehtiva edir. Tutaq ki, əgər sizdə giriş siyahısı standartı 10 inkar ________, giriş siyahısı standartı 20 inkar ________ və s. varsa, o zaman ara siyahıları digər meyarlarla, məsələn, giriş siyahısı standartı 15 rədd ________ daxil etmək imkanınız var. .
Alternativ olaraq, siz sadəcə olaraq giriş siyahısı standart 20 sətirini silə və onları giriş siyahısı standartı 10 və giriş siyahısı standart 30 sətirləri arasında müxtəlif parametrlərlə yenidən yaza bilərsiniz.Beləliklə, müasir ACL sintaksisini redaktə etməyin müxtəlif yolları var.
ACL yaratarkən çox diqqətli olmalısınız. Bildiyiniz kimi, siyahılar yuxarıdan aşağıya doğru oxunur. Yuxarıda müəyyən bir hostdan trafikə icazə verən bir xətt yerləşdirsəniz, aşağıda bu hostun bir hissəsi olduğu bütün şəbəkədən trafikə qadağa qoyan bir xətt yerləşdirə bilərsiniz və hər iki şərt yoxlanılacaq - xüsusi hosta gedən trafik olacaq vasitəsilə icazə veriləcək və bu şəbəkə bütün digər hostlardan gələn trafik bloklanacaq. Buna görə də, həmişə siyahının yuxarısında xüsusi qeydləri, aşağı isə ümumi olanları yerləşdirin.
Beləliklə, klassik və ya müasir ACL yaratdıqdan sonra onu tətbiq etməlisiniz. Bunu etmək üçün müəyyən bir interfeysin parametrlərinə keçməlisiniz, məsələn, f0/0 əmr interfeysindən istifadə edərək <növ və yuva>, interfeys alt əmr rejiminə keçin və ip access-group <ACL number/ əmrini daxil edin. adı> . Fərqə diqqət yetirin: siyahı tərtib edərkən giriş siyahısından, tətbiq edərkən isə giriş qrupundan istifadə olunur. Bu siyahının hansı interfeysə tətbiq olunacağını müəyyən etməlisiniz - gələn interfeys və ya çıxan interfeys. Siyahının adı varsa, məsələn, Şəbəkə, siyahının bu interfeysdə tətbiqi əmrində eyni ad təkrarlanır.
İndi gəlin konkret problemi götürək və onu Packet Tracer istifadə edərək şəbəkə diaqramımızın nümunəsindən istifadə edərək həll etməyə çalışaq. Beləliklə, 4 şəbəkəmiz var: satış şöbəsi, mühasibat şöbəsi, idarəetmə və server otağı.
Tapşırıq №1: satış və maliyyə şöbələrindən idarəetmə şöbəsinə və server otağına yönəldilmiş bütün trafik bloklanmalıdır. Bloklama yeri R0 marşrutlaşdırıcısının S1/0/2 interfeysidir. Əvvəlcə aşağıdakı qeydləri ehtiva edən bir siyahı yaratmalıyıq:
Siyahını ACL Secure_Ma_And_Se kimi qısaldılmış "Management and Server Security ACL" adlandıraq. Bunun ardınca 192.168.1.128/26 maliyyə departamenti şəbəkəsindən trafikin qadağan edilməsi, 192.168.1.0/25 satış şöbəsi şəbəkəsindən trafikin qadağan edilməsi və hər hansı digər trafikə icazə verilməsi gəlir. Siyahının sonunda onun R0 marşrutlaşdırıcısının S1/0/2 çıxış interfeysi üçün istifadə edildiyi göstərilir. Siyahının sonunda İcazə Vermə hər hansı bir girişimiz yoxdursa, o zaman bütün digər trafik bloklanacaq, çünki standart ACL həmişə siyahının sonunda Hər hansı bir girişi rədd et.
Bu ACL-ni G0/0 interfeysinə tətbiq edə bilərəmmi? Əlbəttə ki, edə bilərəm, lakin bu halda yalnız mühasibatlıqdan gələn trafik bloklanacaq və satış şöbəsindən gələn trafik heç bir şəkildə məhdudlaşdırılmayacaq. Eyni şəkildə, siz G0/1 interfeysinə ACL tətbiq edə bilərsiniz, lakin bu halda maliyyə şöbəsinin trafiki bloklanmayacaq. Əlbəttə ki, biz bu interfeyslər üçün iki ayrı blok siyahısı yarada bilərik, lakin onları bir siyahıda birləşdirib R2 marşrutlaşdırıcısının çıxış interfeysinə və ya R0 marşrutlaşdırıcısının S1/0/1 giriş interfeysinə tətbiq etmək daha səmərəlidir.
Cisco qaydaları standart ACL-nin təyinat yerinə mümkün qədər yaxın yerləşdirilməsini qeyd etsə də, mən onu trafik mənbəyinə daha yaxın yerləşdirəcəyəm, çünki bütün gedən trafiki bloklamaq istəyirəm və bunu təyinat yerinə daha yaxın etmək daha məntiqlidir. mənbə ki, bu trafik iki marşrutlaşdırıcı arasında şəbəkəni israf etməsin.
Sizə kriteriyaları deməyi unutdum, ona görə də tez geri qayıdaq. Siz meyar kimi hər hansı birini göstərə bilərsiniz - bu halda hər hansı bir cihazdan və hər hansı bir şəbəkədən gələn hər hansı trafik rədd ediləcək və ya icazə veriləcək. Siz həmçinin identifikatoru ilə bir host təyin edə bilərsiniz - bu halda, giriş müəyyən bir cihazın IP ünvanı olacaq. Nəhayət, bütün şəbəkəni təyin edə bilərsiniz, məsələn, 192.168.1.10/24. Bu halda, /24 255.255.255.0 alt şəbəkə maskasının mövcudluğunu ifadə edəcək, lakin ACL-də alt şəbəkə maskasının IP ünvanını təyin etmək mümkün deyil. Bu halda, ACL-də Wildcart Mask və ya “ters maska” adlı bir konsepsiya var. Buna görə də siz IP ünvanını və qaytarma maskasını göstərməlisiniz. Əks maska belə görünür: ümumi alt şəbəkə maskasından birbaşa alt şəbəkə maskasını çıxarmalısınız, yəni irəli maskada oktet dəyərinə uyğun gələn rəqəm 255-dən çıxarılır.
Buna görə də, ACL-də meyar kimi 192.168.1.10 0.0.0.255 parametrindən istifadə etməlisiniz.
Bu necə işləyir? Qayıdış maskası oktetində 0 olarsa, meyar alt şəbəkə IP ünvanının müvafiq oktetinə uyğun hesab edilir. Əgər arxa maska oktetində nömrə varsa, uyğunluq yoxlanılmır. Beləliklə, 192.168.1.0 şəbəkəsi və 0.0.0.255 qaytarma maskası üçün dördüncü oktetin dəyərindən asılı olmayaraq, ilk üç okteti 192.168.1.-ə bərabər olan ünvanlardan gələn bütün trafik bloklanacaq və ya icazə veriləcək. müəyyən edilmiş hərəkət.
Əks maskadan istifadə etmək asandır və biz növbəti videoda Vəhşi Araba Maskasına qayıdacağıq ki, onunla necə işləməyi izah edim.
28:50 dəq
Bizimlə qaldığınız üçün təşəkkür edirik. Məqalələrimizi bəyənirsinizmi? Daha maraqlı məzmun görmək istəyirsiniz? Sifariş verməklə və ya dostlarınıza tövsiyə etməklə bizə dəstək olun, Bizim tərəfimizdən sizin üçün ixtira edilmiş giriş səviyyəli serverlərin unikal analoquna Habr istifadəçiləri üçün 30% endirim: (RAID1 və RAID10, 24 nüvəyə qədər və 40 GB DDR4 ilə mövcuddur).
Dell R730xd 2 dəfə ucuzdur? Yalnız burada Hollandiyada! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 dollardan! haqqında oxuyun
Mənbə: www.habr.com