Dina iki kita bakal miwiti sinau babagan dhaptar kontrol akses ACL, topik iki bakal njupuk 2 pelajaran video. Kita bakal katon ing konfigurasi saka ACL standar, lan ing video tutorial sabanjuré aku bakal pirembagan bab dhaftar lengkap.
Ing wulangan iki kita bakal nyakup 3 topik. Pisanan iku apa ACL, kaloro apa prabédan antarane standar lan dhaftar akses lengkap, lan ing mburi pawulangan, minangka Lab, kita bakal katon ing nyetel ACL standar lan mecahaken masalah bisa.
Dadi apa ACL? Yen sampeyan sinau kursus kasebut saka pawulangan video sing sepisanan, mula sampeyan ngelingi carane ngatur komunikasi antarane macem-macem piranti jaringan.
Kita uga sinau rute statis liwat macem-macem protokol kanggo entuk katrampilan ngatur komunikasi antarane piranti lan jaringan. Saiki kita wis tekan tahap sinau ing ngendi kita kudu prihatin babagan njamin kontrol lalu lintas, yaiku, nyegah "wong ala" utawa pangguna sing ora sah nyusup jaringan. Contone, iki bisa uga ditrapake kanggo wong saka departemen sales SALES, sing digambarake ing diagram iki. Ing kene kita uga nuduhake AKUN departemen keuangan, MANAJEMEN departemen manajemen lan kamar server SERVER ROOM.
Dadi, departemen dodolan bisa uga duwe satus karyawan, lan kita ora pengin sapa wae bisa tekan kamar server liwat jaringan. Pangecualian digawe kanggo manajer penjualan sing nggarap komputer Laptop2 - dheweke bisa ngakses ruang server. Pegawe anyar sing nggarap Laptop3 kudu ora duwe akses kaya ngono, yaiku, yen lalu lintas saka komputer tekan router R2, mula kudu dibuwang.
Peran ACL yaiku nyaring lalu lintas miturut paramèter panyaring sing ditemtokake. Iki kalebu alamat IP sumber, alamat IP tujuan, protokol, jumlah port lan paramèter liyane, amarga sampeyan bisa ngenali lalu lintas lan njupuk sawetara tumindak.
Dadi, ACL minangka mekanisme panyaring lapisan 3 saka model OSI. Iki tegese mekanisme iki digunakake ing router. Kriteria utama kanggo nyaring yaiku identifikasi aliran data. Contone, yen kita pengin mblokir wong karo komputer Laptop3 saka ngakses server, pisanan kabeh kita kudu ngenali lalu lintas. Lalu lintas iki pindhah menyang Laptop-Switch2-R2-R1-Switch1-Server1 liwat antarmuka piranti jaringan sing cocog, dene antarmuka G0/0 router ora ana hubungane.
Kanggo ngenali lalu lintas, kita kudu ngenali dalane. Sawise nindakake iki, kita bisa mutusake ing ngendi persis kudu nginstal filter kasebut. Aja kuwatir babagan saringan kasebut, kita bakal ngrembug babagan kasebut ing wulangan sabanjure, saiki kita kudu ngerti prinsip antarmuka sing kudu ditrapake saringan.
Yen sampeyan ndeleng dalan, sampeyan bisa ndeleng manawa saben lalu lintas pindhah, ana antarmuka ing ngendi aliran data mlebu, lan antarmuka sing metu aliran iki.
Ana 3 antarmuka: antarmuka input, antarmuka output lan antarmuka router dhewe. Elinga yen nyaring mung bisa ditrapake ing antarmuka input utawa output.
Prinsip operasi ACL padha karo pass menyang acara sing mung bisa dirawuhi dening para tamu sing jenenge ana ing daftar wong sing diundang. ACL minangka dhaptar paramèter kualifikasi sing digunakake kanggo ngenali lalu lintas. Contone, dhaptar iki nuduhake yen kabeh lalu lintas diidini saka alamat IP 192.168.1.10, lan lalu lintas saka kabeh alamat liyane ditolak. Kaya sing dakkandhakake, dhaptar iki bisa ditrapake ing antarmuka input lan output.
Ana 2 jinis ACL: standar lan lengkap. A ACL standar duwe pengenal saka 1 kanggo 99 utawa saka 1300 kanggo 1999. Iki mung dhaftar jeneng sing ora duwe kaluwihan liwat saben liyane minangka nomer mundhak. Saliyane nomer, sampeyan bisa nemtokake jeneng dhewe kanggo ACL. ACLs Extended nomer 100 kanggo 199 utawa 2000 kanggo 2699 lan uga duwe jeneng.
Ing ACL standar, klasifikasi kasebut adhedhasar alamat IP sumber lalu lintas. Mulane, nalika nggunakake dhaptar kasebut, sampeyan ora bisa mbatesi lalu lintas sing diarahake menyang sumber apa wae, sampeyan mung bisa mblokir lalu lintas sing asale saka piranti.
ACL lengkap nggolongake lalu lintas miturut alamat IP sumber, alamat IP tujuan, protokol sing digunakake, lan nomer port. Contone, sampeyan mung bisa mblokir lalu lintas FTP, utawa mung lalu lintas HTTP. Dina iki kita bakal katon ing ACL standar, lan kita bakal nyawisake pawulangan video sabanjuré kanggo dhaftar lengkap.
Kaya sing dakkandhakake, ACL minangka dhaptar kahanan. Sawise sampeyan ngetrapake dhaptar iki menyang antarmuka mlebu utawa metu saka router, router mriksa lalu lintas marang dhaptar iki, lan yen cocog karo kahanan sing wis ditemtokake ing dhaptar kasebut, dheweke bakal mutusake apa bakal ngidini utawa nolak lalu lintas iki. Wong asring angel nemtokake antarmuka input lan output saka router, sanajan ora ana sing rumit ing kene. Nalika kita pirembagan bab antarmuka mlebu, iki tegese mung lalu lintas mlebu bakal kontrol ing port iki, lan dalan ora bakal aplikasi Watesan kanggo lalu lintas metu. Kajaba iku, yen kita ngomong babagan antarmuka egress, iki tegese kabeh aturan bakal ditrapake mung kanggo lalu lintas metu, nalika lalu lintas mlebu ing port iki bakal ditampa tanpa watesan. Contone, yen router duwe 2 port: f0/0 lan f0/1, banjur ACL mung bakal ditrapake kanggo lalu lintas sing mlebu antarmuka f0/0, utawa mung kanggo lalu lintas sing asale saka antarmuka f0/1. Lalu lintas mlebu utawa metu saka antarmuka f0/1 ora bakal kena pengaruh dhaptar.
Mulane, aja bingung karo arah mlebu utawa metu saka antarmuka, gumantung saka arah lalu lintas tartamtu. Dadi, sawise router mriksa lalu lintas kanggo cocog karo kahanan ACL, mung bisa nggawe rong keputusan: ngidini lalu lintas utawa nolak. Contone, sampeyan bisa ngidini lalu lintas sing dituju kanggo 180.160.1.30 lan nolak lalu lintas sing dituju kanggo 192.168.1.10. Saben dhaptar bisa ngemot pirang-pirang kahanan, nanging saben kahanan kasebut kudu ngidini utawa nolak.
Ayo kita duwe dhaptar:
Larang _______
Izin ________
Izin ________
Larang _________.
Pisanan, router bakal mriksa lalu lintas kanggo ndeleng apa cocog karo kondisi pisanan; yen ora cocog, bakal mriksa kondisi kapindho. Yen lalu lintas cocog karo kahanan katelu, router bakal mandheg mriksa lan ora bakal mbandhingake karo kahanan dhaptar liyane. Bakal nindakake tumindak "ngidini" lan pindhah menyang mriksa bagean sabanjure lalu lintas.
Yen sampeyan ora nyetel aturan kanggo paket apa wae lan lalu lintas ngliwati kabeh baris dhaptar tanpa ngetung kahanan apa wae, mula bakal dirusak, amarga saben dhaptar ACL kanthi standar diakhiri karo nolak prentah apa wae - yaiku, discard paket sembarang, ora tiba ing sembarang aturan. Kahanan iki ditrapake yen paling ora ana siji aturan ing dhaptar, yen ora ana pengaruhe. Nanging yen baris pisanan ngemot entri nolak 192.168.1.30 lan dhaftar ora ana maneh kahanan, banjur ing mburi kudu ijin printah sembarang, sing ngidini lalu lintas kajaba sing dilarang dening aturan. Sampeyan kudu njupuk iki menyang akun supaya kesalahane nalika ngatur ACL.
Aku pengin sampeyan ngelingi aturan dhasar kanggo nggawe dhaptar ASL: nyeleh ASL standar sabisa kanggo panggonan sing dituju, yaiku, menyang panampa lalu lintas, lan panggonan ASL lengkap sabisa kanggo sumber, yaiku, marang pangirim lalu lintas. Iki Rekomendasi Cisco, nanging ing laku ana kahanan sing ndadekake liyane pangertèn kanggo nyeleh ACL standar cedhak sumber lalu lintas. Nanging yen sampeyan teka tengen pitakonan babagan aturan panggonan seko ACL sak ujian, tindakake Rekomendasi Cisco lan njawab unambiguously: standar nyedhaki panggonan, ditambahi nyedhaki sumber.
Saiki ayo goleki sintaks saka ACL standar. Ana rong jinis sintaks perintah ing mode konfigurasi global router: sintaksis klasik lan sintaks modern.
Tipe printah klasik yaiku dhaptar akses <nomer ACL> <deny/allow> <criteria>. Yen sampeyan nyetel <nomer ACL> saka 1 kanggo 99, piranti bakal kanthi otomatis ngerti sing iki ACL standar, lan yen saka 100 kanggo 199, banjur iku lengkap. Wiwit ing pawulangan dina iki kita ndeleng dhaptar standar, kita bisa nggunakake nomer apa wae saka 1 nganti 99. Banjur kita nuduhake tumindak sing kudu ditrapake yen paramèter cocog karo kritéria ing ngisor iki - ngidini utawa nolak lalu lintas. Kita bakal nimbang kritéria kasebut mengko, amarga uga digunakake ing sintaksis modern.
Jinis printah modern uga digunakake ing Rx(config) mode konfigurasi global lan katon kaya iki: ip access-list standar <ACL number/name>. Kene sampeyan bisa nggunakake salah siji nomer saka 1 kanggo 99 utawa jeneng dhaftar ACL, contone, ACL_Networking. Printah iki langsung nyelehake sistem menyang mode subcommand mode standar Rx (config-std-nacl), ing ngendi sampeyan kudu ngetik <deny/enable> <criteria>. Jinis tim modern duwe kaluwihan luwih akeh tinimbang sing klasik.
Ing dhaptar klasik, yen sampeyan ngetik akses-dhaftar 10 nolak ______, banjur ketik printah sabanjuré saka jinis sing padha kanggo kritéria liyane lan mungkasi karo 100 printah kuwi, banjur kanggo ngganti sembarang printah ngetik sampeyan kudu mbusak. dhaftar akses-dhaftar kabeh 10 karo printah ora akses-dhaftar 10. Iki bakal mbusak kabeh 100 printah amarga ora ana cara kanggo ngowahi printah individu ing dhaftar iki.
Ing sintaksis modern, perintah kasebut dipérang dadi rong baris, sing pisanan ngemot nomer dhaptar. Upamane yen sampeyan duwe dhaptar dhaptar akses standar 10 nolak ________, standar dhaptar akses 20 nolak ________ lan sateruse, sampeyan duwe kesempatan kanggo nglebokake dhaptar penengah karo kritéria liyane ing antarane, contone, standar dhaptar akses 15 nolak ________ .
Utawa, sampeyan mung bisa mbusak garis akses-dhaftar standar 20 lan ngetik maneh karo paramèter beda antarane standar akses-dhaftar 10 lan standar akses-dhaftar 30. Dadi, ana macem-macem cara kanggo ngowahi sintaksis ACL modern.
Sampeyan kudu ati-ati banget nalika nggawe ACL. Kaya sing sampeyan ngerteni, dhaptar diwaca saka ndhuwur nganti ngisor. Yen sampeyan nyelehake garis ing ndhuwur sing ngidini lalu lintas saka host tartamtu, banjur ing ngisor iki sampeyan bisa nyelehake garis sing nglarang lalu lintas saka kabeh jaringan sing dadi bagean host iki, lan loro kondisi kasebut bakal dicenthang - lalu lintas menyang host tartamtu bakal diijini liwat, lan lalu lintas saka kabeh host liyane jaringan iki bakal diblokir. Mula, selehake entri tartamtu ing ndhuwur dhaptar lan sing umum ing ngisor.
Dadi, sawise sampeyan nggawe ACL klasik utawa modern, sampeyan kudu ngetrapake. Kanggo nindakake iki, sampeyan kudu pindhah menyang setelan antarmuka tartamtu, contone, f0/0 nggunakake antarmuka printah <jinis lan slot>, pindhah menyang mode subcommand antarmuka lan ketik printah ip akses-grup <ACL nomer / jeneng> . Wigati prabédan: nalika nyusun dhaptar, dhaptar akses digunakake, lan nalika ngetrapake, grup akses digunakake. Sampeyan kudu nemtokake antarmuka sing bakal ditrapake dhaptar iki - antarmuka mlebu utawa antarmuka metu. Yen dhaftar wis jeneng, contone, Networking, jeneng sing padha bola ing printah kanggo aplikasi dhaftar ing antarmuka iki.
Saiki ayo njupuk masalah tartamtu lan nyoba ngatasi kanthi nggunakake conto diagram jaringan nggunakake Packet Tracer. Dadi, kita duwe 4 jaringan: departemen penjualan, departemen akuntansi, manajemen lan ruangan server.
Tugas No 1: kabeh lalu lintas sing diarahake saka departemen sales lan keuangan menyang departemen manajemen lan kamar server kudu diblokir. Lokasi pamblokiran yaiku antarmuka S0/1/0 saka router R2. Pisanan kita kudu nggawe dhaptar sing ngemot entri ing ngisor iki:
Ayo nelpon dhaptar "Manajemen lan Keamanan Server ACL", disingkat ACL Secure_Ma_And_Se. Iki ngiring dening nglarang lalu lintas saka jaringan departemen financial 192.168.1.128/26, nglarang lalu lintas saka jaringan departemen sales 192.168.1.0/25, lan ngidini lalu lintas liyane. Ing mburi dhaftar dituduhake sing digunakake kanggo antarmuka metu S0/1/0 router R2. Yen kita ora duwe Izin Sembarang entri ing mburi dhaftar, banjur kabeh lalu lintas liyane bakal diblokir amarga standar ACL tansah disetel menyang Nolak Sembarang entri ing mburi dhaftar.
Bisa aku aplikasi ACL iki kanggo antarmuka G0/0? Mesthi, aku bisa, nanging ing kasus iki mung lalu lintas saka departemen akuntansi bakal diblokir, lan lalu lintas saka departemen sales ora bakal diwatesi kanthi cara apa wae. Kanthi cara sing padha, sampeyan bisa ngetrapake ACL menyang antarmuka G0/1, nanging ing kasus iki lalu lintas departemen keuangan ora bakal diblokir. Mesthi, kita bisa nggawe rong dhaptar pemblokiran kapisah kanggo antarmuka iki, nanging luwih efisien kanggo gabungke menyang siji dhaftar lan aplikasi menyang antarmuka output router R2 utawa antarmuka input S0/1/0 router R1.
Senajan aturan Cisco nyatakake yen ACL standar kudu diselehake minangka cedhak karo tujuan sabisa, Aku bakal nyeleh nyedhaki sumber lalu lintas amarga aku pengin mblokir kabeh lalu lintas metu, lan iku ndadekake liyane pangertèn kanggo nindakake iki nyedhaki ing. sumber supaya lalu lintas iki ora sampah jaringan antarane loro router.
Kelalen tak critani kritériane, ayo cepet bali. Sampeyan bisa nemtokake apa wae minangka kritéria - ing kasus iki, lalu lintas saka piranti apa wae lan jaringan apa wae bakal ditolak utawa diidini. Sampeyan uga bisa nemtokake host kanthi pengenal - ing kasus iki, entri kasebut bakal dadi alamat IP piranti tartamtu. Pungkasan, sampeyan bisa nemtokake kabeh jaringan, contone, 192.168.1.10/24. Ing kasus iki, /24 tegese ana subnet mask 255.255.255.0, nanging ora bisa nemtokake alamat IP saka subnet mask ing ACL. Kanggo kasus iki, ACL duwe konsep sing diarani Wildcart Mask, utawa "topeng mbalikke". Mulane sampeyan kudu nemtokake alamat IP lan topeng bali. Topeng mbalikke katon kaya iki: sampeyan kudu nyuda topeng subnet langsung saka topeng subnet umum, yaiku, nomer sing cocog karo nilai oktet ing topeng maju dikurangi saka 255.
Mulane, sampeyan kudu nggunakake parameter 192.168.1.10 0.0.0.255 minangka kritéria ing ACL.
Cara kerjane? Yen ana 0 ing oktet topeng bali, kritéria dianggep cocog karo oktet cocog saka alamat IP subnet. Yen ana nomer ing oktet backmask, match ora dicenthang. Mangkono, kanggo jaringan 192.168.1.0 lan topeng bali 0.0.0.255, kabeh lalu lintas saka alamat sing telung oktet pisanan padha karo 192.168.1., preduli saka Nilai saka oktet papat, bakal diblokir utawa diijini gumantung ing tumindak tartamtu.
Nggunakake topeng mbalikke iku gampang, lan kita bakal bali menyang Wildcart Topeng ing video sabanjuré supaya aku bisa nerangake carane bisa karo.
28:50 min
Matur nuwun kanggo tetep karo kita. Apa sampeyan seneng karo artikel kita? Pengin ndeleng konten sing luwih menarik? Ndhukung kita kanthi nggawe pesenan utawa menehi rekomendasi menyang kanca, Diskon 30% kanggo pangguna Habr ing analog unik saka server level entri, sing diciptakake kanggo sampeyan: (kasedhiya karo RAID1 lan RAID10, munggah 24 intine lan nganti 40GB DDR4).
Dell R730xd 2 kaping luwih murah? Mung kene ing Walanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - saka $99! Maca babagan
Source: www.habr.com