Gaur ACL sarbide-kontrolen zerrendari buruz ikasten hasiko gara, gai honek 2 bideo-ikasgai hartuko ditu. ACL estandar baten konfigurazioa aztertuko dugu, eta hurrengo bideo-tutorialean zerrenda hedatuari buruz hitz egingo dut.
Ikasgai honetan 3 gai landuko ditugu. Lehenengoa ACL bat zer den da, bigarrena zer desberdintasun dagoen estandar baten eta sarbide-zerrenda hedatuaren artean, eta ikasgaiaren amaieran, laborategi gisa, ACL estandar bat konfiguratzea eta arazo posibleak konpontzea aztertuko dugu.
Beraz, zer da ACL bat? Ikastaroa lehenengo bideo-ikasgaitik ikasi baduzu, gogoratuko duzu sareko hainbat gailuren arteko komunikazioa nola antolatu genuen.
Bideratze estatikoa ere aztertu dugu hainbat protokoloren bidez, gailuen eta sareen arteko komunikazioak antolatzeko trebetasunak lortzeko. Ikasketa fasera iritsi gara, non trafikoaren kontrola bermatzeaz arduratu beharko genukeen, hau da, sarean sartzea βgaiztoakβ edo baimenik gabeko erabiltzaileak saihestea. Esate baterako, diagrama honetan azaltzen den SALMENTA-salmenta saileko jendeari dagokio. Hemen ere erakusten ditugu finantza-saila KONTUAK, kudeaketa-saila KUDEAKETA eta zerbitzari-gela ZERBITZU-gela.
Beraz, salmenta-sailak ehun langile izan ditzake, eta ez dugu nahi horietako inor sarearen bidez zerbitzari gelara heltzea. Laptop2 ordenagailuan lan egiten duen salmenta-zuzendariarentzat salbuespena egiten da - zerbitzari-gelarako sarbidea izan dezake. Laptop3-n lan egiten duen langile berri batek ez luke sarbide hori izan behar, hau da, bere ordenagailuko trafikoa R2 bideratzailera iristen bada, bertan behera utzi behar da.
ACL baten eginkizuna trafikoa iragaztea da zehaztutako iragazketa-parametroen arabera. Iturburuko IP helbidea, helmugako IP helbidea, protokoloa, ataka kopurua eta beste parametro batzuk biltzen dituzte, eta horri esker trafikoa identifikatu eta horrekin ekintza batzuk egin ditzakezu.
Beraz, ACL OSI ereduaren 3. geruza iragazteko mekanismo bat da. Horrek esan nahi du mekanismo hau bideratzaileetan erabiltzen dela. Iragazteko irizpide nagusia datu-korrontea identifikatzea da. Adibidez, Laptop3 ordenagailua duen tipoari zerbitzarian sar ez dadin blokeatu nahi badugu, lehenik eta behin bere trafikoa identifikatu behar dugu. Trafiko hori Laptop-Switch2-R2-R1-Switch1-Server1-ren norabidean mugitzen da sareko gailuen dagozkien interfazeen bidez, bideratzaileen G0/0 interfazeek ez dute horrekin zerikusirik.
Trafikoa identifikatzeko, bere bidea identifikatu behar dugu. Hau eginda, iragazkia zehazki non instalatu behar dugun erabaki dezakegu. Ez kezkatu iragazkiak beraiekin, hurrengo ikasgaian eztabaidatuko ditugu, oraingoz iragazkia zein interfazeri aplikatu behar zaion ulertu behar dugu.
Bideratzaile bati erreparatuz gero, trafikoa mugitzen den bakoitzean, datu-fluxua sartzen den interfaze bat dagoela ikusiko duzu, eta fluxu hori ateratzen den interfaze bat.
Egia esan, 3 interfaze daude: sarrerako interfazea, irteerako interfazea eta bideratzailearen interfaze propioa. Gogoratu bakarrik iragazketa sarrerako edo irteerako interfazeari soilik aplika daitekeela.
ACL funtzionamenduaren printzipioa gonbidatuen zerrendan izena duten gonbidatuek bakarrik parte hartu dezaketen ekitaldi baterako pasatzearen antzekoa da. ACL trafikoa identifikatzeko erabiltzen diren kualifikazio-parametroen zerrenda da. Esate baterako, zerrenda honek adierazten du trafiko guztia baimenduta dagoela 192.168.1.10 IP helbidetik, eta beste helbide guztietako trafikoa ukatu egiten dela. Esan bezala, zerrenda hau sarrerako zein irteerako interfazean aplika daiteke.
2 ACL mota daude: estandarrak eta hedatuak. ACL estandar batek 1etik 99ra edo 1300tik 1999ra arteko identifikatzaile bat du. Zenbakia handitzen den heinean bata bestearen aldean abantailarik ez duten zerrenda-izenak dira. Zenbakiaz gain, zure izena eslei diezaiokezu ACLri. ACL hedatuak 100etik 199ra edo 2000tik 2699ra zenbakituta daude eta izen bat ere izan dezakete.
ACL estandar batean, sailkapena trafikoaren iturriko IP helbidean oinarritzen da. Beraz, zerrenda hori erabiltzean, ezin duzu edozein iturritara zuzendutako trafikoa mugatu, gailu batetik sortutako trafikoa soilik blokeatu dezakezu.
ACL hedatuak trafikoa iturburuko IP helbidearen, helmugako IP helbidearen, erabilitako protokoloaren eta atakaren zenbakiaren arabera sailkatzen du. Adibidez, FTP trafikoa soilik blokea dezakezu, edo HTTP trafikoa soilik. Gaur ACL estandarra aztertuko dugu, eta hurrengo bideo-ikasgaia zerrendei luzatuko diegu.
Esan bezala, ACL bat baldintza zerrenda bat da. Zerrenda hau bideratzailearen sarrerako edo irteerako interfazeari aplikatu ondoren, bideratzaileak trafikoa zerrenda horren aurrean egiaztatzen du, eta zerrendan ezarritako baldintzak betetzen baditu, trafiko hori baimendu edo ukatu erabakitzen du. Askotan jendeari zaila izaten da bideratzaile baten sarrera eta irteerako interfazeak zehaztea, nahiz eta hemen ez dagoen ezer konplikaturik. Sarrerako interfaze bati buruz hitz egiten dugunean, horrek esan nahi du sarrerako trafikoa soilik kontrolatuko dela ataka honetan, eta bideratzaileak ez duela murrizketarik aplikatuko irteerako trafikoari. Era berean, irteerako interfazeaz ari bagara, horrek esan nahi du arau guztiak irteerako trafikoari soilik aplikatuko zaizkiola, eta ataka honetako sarrerako trafikoa murrizketarik gabe onartuko dela. Adibidez, bideratzaileak 2 ataka baditu: f0/0 eta f0/1, orduan ACL f0/0 interfazean sartzen den trafikoari soilik aplikatuko zaio, edo f0/1 interfazetik sortutako trafikoari soilik. f0/1 interfazean sartzen edo irteten den trafikoari ez zaio eragingo zerrendak.
Beraz, ez nahastu interfazearen sarrerako edo irteerako noranzkoarekin, trafiko zehatzaren norabidearen araberakoa da. Beraz, bideratzaileak trafikoa ACL baldintzekin bat datorren egiaztatu ondoren, bi erabaki baino ez ditu har ditzake: trafikoa baimendu edo baztertu. Adibidez, 180.160.1.30 helbidera zuzendutako trafikoa baimendu dezakezu eta 192.168.1.10 helbidera zuzendutako trafikoa baztertu. Zerrenda bakoitzak baldintza anitz izan ditzake, baina baldintza horietako bakoitzak baimendu edo ukatu behar du.
Demagun zerrenda bat dugula:
Debekatu _______
Baimendu ________
Baimendu ________
Debekatu _________.
Lehenik eta behin, bideratzaileak trafikoa egiaztatuko du lehenengo baldintzarekin bat datorren ikusteko; bat ez bada, bigarren baldintza egiaztatuko du. Trafikoak hirugarren baldintzarekin bat egiten badu, bideratzaileak egiaztatzeari utziko dio eta ez du gainerako zerrendako baldintzekin alderatuko. "Baimendu" ekintza egingo du eta trafikoaren hurrengo zatia egiaztatzera joango da.
Pakete baterako araurik ezarri ez baduzu eta trafikoa zerrendako lerro guztietatik igarotzen bada baldintzaren bat bete gabe, suntsitu egingo da, ACL zerrenda bakoitza lehenespenez deny edozein komandoarekin amaitzen delako, hau da, baztertu. edozein pakete, arauren batean ez dagoena. Baldintza honek eragina izango du zerrendan gutxienez arau bat badago, bestela ez du eraginik izango. Baina lehen lerroak ukatu 192.168.1.30 sarrera badu eta zerrendak baldintzarik ez badu, amaieran edozein komando baimendu beharko luke, hau da, edozein trafiko baimendu arauak debekatua izan ezik. Hori kontuan hartu behar duzu ACL konfiguratzerakoan akatsak saihesteko.
ASL zerrenda bat sortzeko oinarrizko araua gogoratzea nahi dut: jarri ASL estandarra helmugatik ahalik eta hurbilen, hau da, trafikoaren hartzailearengandik, eta ASL hedatua iturritik ahalik eta gertuen jarri, hau da, trafikoaren igorleari. Ciscoren gomendioak dira, baina praktikan badaude zentzuzko egoerak non ACL estandar bat trafiko-iturburutik hurbil jartzea. Baina azterketan zehar ACL jartzeko arauei buruzko galdera bat topatzen baduzu, jarraitu Ciscoren gomendioak eta erantzun anbiguorik gabe: estandarra helmugatik hurbilago dago, hedatua iturritik gertuago dago.
Ikus dezagun orain ACL estandar baten sintaxia. Bi komando-sintaxi mota daude bideratzaileen konfigurazio global moduan: sintaxi klasikoa eta sintaxi modernoa.
Komando mota klasikoa sarbide-zerrenda <ACL zenbakia> <ukatu/baimendu> <irizpideak> da. <ACL zenbakia> 1etik 99ra ezartzen baduzu, gailuak automatikoki ulertuko du hau ACL estandarra dela, eta 100etik 199ra bada, hedatua da. Gaurko ikasgaian zerrenda estandar bat aztertzen ari garenez, 1etik 99ra bitarteko edozein zenbaki erabil dezakegu. Ondoren, parametroak irizpide honekin bat datozenean aplikatu beharreko ekintza adieraziko dugu: trafikoa baimendu edo ukatu. Geroago aztertuko dugu irizpidea, sintaxi modernoan ere erabiltzen baita.
Komando mota modernoa Rx(config) konfigurazio global moduan ere erabiltzen da eta itxura hau du: ip access-list standard <ACL zenbakia/izena>. Hemen 1etik 99ra bitarteko zenbaki bat edo ACL zerrendaren izena erabil dezakezu, adibidez, ACL_Networking. Komando honek berehala jartzen du sistema Rx modu estandarrean azpikomando moduan (config-std-nacl), non <deny/enable> <criteria> sartu behar duzun. Talde modernoak abantaila gehiago ditu klasikoaren aldean.
Zerrenda klasiko batean, access-list 10 deny ______ idazten baduzu, idatzi mota bereko hurrengo komandoa beste irizpide baterako eta 100 komandorekin amaitzen baduzu, sartutako edozein komando aldatzeko, ezabatu beharko zenuke. sarbide-zerrenda osoa 10 komandoarekin sarbide-zerrendarik gabe 10. Honek 100 komando guztiak ezabatuko ditu, zerrenda honetan ez dagoelako komando indibidual bat editatzeko modurik.
Sintaxi modernoan, komandoa bi lerrotan banatzen da, lehenengoak zerrenda zenbakia dauka. Demagun zerrenda sarbide-zerrenda estandarra 10 ukatu ________, sarbide-zerrenda estandarra 20 ukatu ________ eta abar badaukazula, tarteko zerrendak txertatzeko aukera izango duzu haien artean beste irizpide batzuekin, adibidez, sarbide-zerrenda estandarra 15 ukatu ________ .
Bestela, sarbide-zerrendako 20 lerro estandarrak ezabatu eta parametro desberdinekin berriro idatzi ditzakezu sarbide-zerrenda estandarraren 10 eta sarbide-zerrenda estandarraren 30 lerroen artean. Horrela, ACL sintaxi modernoa editatzeko hainbat modu daude.
Kontuz ibili behar duzu ACLak sortzean. Dakizuenez, zerrendak goitik behera irakurtzen dira. Ostalari zehatz batetik trafikoa ahalbidetzen duen lerro bat jartzen baduzu goiko aldean, ondoren ostalariaren parte den sare osoaren trafikoa debekatzen duen lerro bat jar dezakezu azpian, eta bi baldintzak egiaztatuko dira - ostalari jakin baterako trafikoa egingo da. sartzea baimendu eta sare honetako beste ostalari guztien trafikoa blokeatuko da. Beraz, jarri beti zerrendaren goialdean sarrera zehatzak eta behean orokorrak.
Beraz, ACL klasiko edo moderno bat sortu ondoren, aplikatu behar duzu. Horretarako, interfaze zehatz baten ezarpenetara joan behar duzu, adibidez, f0/0 komando-interfazea erabiliz <mota eta zirrikitua>, joan interfazearen azpikomando modura eta sartu ip access-group komandoa <ACL zenbakia/ izena> . Kontuan izan aldea: zerrenda bat osatzerakoan, sarbide-zerrenda bat erabiltzen da, eta aplikatzean, sarbide-talde bat erabiltzen da. Zerrenda hau zein interfazeri aplikatuko zaion zehaztu behar duzu: sarrerako interfazeari edo irteerako interfazeari. Zerrendak izen bat badu, adibidez, Networking, izen bera errepikatzen da komandoan zerrenda aplikatzeko interfaze honetan.
Orain har dezagun arazo zehatz bat eta saiatu gaitezen konpontzen gure sare diagramaren adibidea erabiliz Packet Tracer erabiliz. Beraz, 4 sare ditugu: salmenta saila, kontabilitate saila, kudeaketa eta zerbitzari gela.
1. ataza: salmenta eta finantza sailetatik kudeaketa sailera eta zerbitzari geletara bideratzen den trafiko guztia blokeatu behar da. Blokeatzeko kokapena R0 bideratzailearen S1/0/2 interfazea da. Lehenik eta behin, sarrera hauek dituen zerrenda bat sortu behar dugu:
Dei diezaiogun zerrendari "Kudeaketa eta Zerbitzariaren Segurtasuna ACL", ACL Secure_Ma_And_Se gisa laburtua. Horren ondoren, finantza saileko 192.168.1.128/26 sareko trafikoa debekatuko da, salmenta saileko 192.168.1.0/25 sareko trafikoa debekatu eta beste edozein trafiko baimendu. Zerrendaren amaieran R0 bideratzailearen irteerako S1/0/2 interfazerako erabiltzen dela adierazten da. Zerrendaren amaieran Permit Any sarrerarik ez badugu, beste trafiko guztia blokeatuko da, ACL lehenetsia beti zerrendaren amaieran Deny Any sarrera gisa ezarrita dagoelako.
ACL hau G0/0 interfazean aplikatu al dezaket? Noski, ahal dut, baina kasu honetan kontabilitate saileko trafikoa soilik blokeatuko da, eta salmenta saileko trafikoa ez da inola ere mugatuko. Modu berean, ACL bat aplika dezakezu G0/1 interfazean, baina kasu honetan finantza saileko trafikoa ez da blokeatuko. Jakina, interfaze hauetarako bi bloke-zerrenda bereizi sor ditzakegu, baina askoz eraginkorragoa da horiek zerrenda batean konbinatzea eta R2 bideratzailearen irteerako interfazean edo R0 bideratzailearen S1/0/1 sarrerako interfazean aplikatzea.
Cisco-ren arauek ACL estandar bat helmugatik ahalik eta hurbilen jarri behar dela esaten duten arren, trafikoaren iturritik hurbilago jarriko dut, irteerako trafiko guztia blokeatu nahi dudalako, eta zentzuzkoagoa da hori hurbilago egiteak. iturria, trafiko horrek bi bideratzaileren arteko sarea alferrik gal ez dezan.
Irizpideak esatea ahaztu zait, beraz, azkar itzul gaitezen. Irizpide gisa edozein zehaztu dezakezu; kasu honetan, edozein gailu eta sareko edozein trafiko ukatu edo onartuko da. Ostalari bat ere zehaztu dezakezu bere identifikatzailearekin; kasu honetan, sarrera gailu jakin baten IP helbidea izango da. Azkenik, sare oso bat zehaztu dezakezu, adibidez, 192.168.1.10/24. Kasu honetan, /24-k 255.255.255.0 azpisare-maskara baten presentzia esan nahi du, baina ezinezkoa da ACL-an azpisare-maskararen IP helbidea zehaztea. Kasu honetarako, ACL-k Wildcart Mask edo "alderantzizko maskara" izeneko kontzeptua du. Beraz, IP helbidea eta itzultzeko maskara zehaztu behar dituzu. Alderantzizko maskarak honela dauka: azpisare-maskara zuzena azpisare-maskara orokorretik kendu behar duzu, hau da, aurrerako maskarako zortzikote-balioari dagokion zenbakia 255etik kentzen da.
Hori dela eta, 192.168.1.10 0.0.0.255 parametroa erabili beharko zenuke ACLren irizpide gisa.
Nola dabil? Itzulerako maskara zortzikotean 0 badago, irizpidea azpisarearen IP helbideari dagokion zortzikotearekin bat datorrela kontsideratzen da. Backmask zortzikotean zenbaki bat badago, bat-etortzea ez da egiaztatuko. Horrela, 192.168.1.0 sarerako eta 0.0.0.255eko itzulera-maskararako, lehen hiru zortzikoteak 192.168.1.-ren berdinak diren helbideetako trafiko guztia blokeatu edo baimenduko da, laugarren zortzikotearen balioa edozein dela ere. zehaztutako ekintza.
Alderantzizko maskara erabiltzea erraza da, eta hurrengo bideoan Wildcart maskara itzuliko gara, horrekin nola lan egin azaltzeko.
28:50 min
Eskerrik asko gurekin geratzeagatik. Gustuko dituzu gure artikuluak? Eduki interesgarri gehiago ikusi nahi? Lagun iezaguzu eskaera bat eginez edo lagunei gomendatuz, % 30eko deskontua Habr erabiltzaileentzat sarrera-mailako zerbitzarien analogo berezi batean, guk zuk asmatu duguna: (RAID1 eta RAID10-ekin erabilgarri, 24 nukleoraino eta 40 GB DDR4 arte).
Dell R730xd 2 aldiz merkeagoa? Hemen bakarrik Herbehereetan! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 $-tik aurrera! Irakurri buruz
Iturria: www.habr.com