Бүгін біз ACL кіруді басқару тізімімен танысуды бастаймыз, бұл тақырып 2 бейне сабақ алады. Біз стандартты ACL конфигурациясын қарастырамыз және келесі бейне оқулықта кеңейтілген тізім туралы айтатын боламын.
Бұл сабақта біз 3 тақырыпты қарастырамыз. Біріншісі - ACL дегеніміз не, екіншісі - стандартты және кеңейтілген қол жеткізу тізімінің айырмашылығы неде және сабақтың соңында зертханалық жұмыс ретінде біз стандартты ACL орнатуды және мүмкін болатын мәселелерді шешуді қарастырамыз.
Сонымен, ACL дегеніміз не? Егер сіз курсты бірінші бейнесабақтан бастап оқыған болсаңыз, онда әртүрлі желілік құрылғылар арасындағы байланысты қалай ұйымдастырғанымыз есіңізде.
Біз сондай-ақ құрылғылар мен желілер арасындағы байланысты ұйымдастыру дағдыларын алу үшін әртүрлі протоколдар бойынша статикалық маршруттауды зерттедік. Біз қазір трафикті бақылауды қамтамасыз ету, яғни «жаман жігіттердің» немесе рұқсат етілмеген пайдаланушылардың желіге енуіне жол бермеу туралы алаңдауымыз керек оқу кезеңіне жеттік. Мысалы, бұл осы диаграммада бейнеленген САТУ сату бөлімінің қызметкерлеріне қатысты болуы мүмкін. Мұнда біз сондай-ақ қаржылық бөлімді ЕСЕПТІКТЕР, басқару бөлімін БАСҚАРУ және сервер бөлмесін СЕРВЕР БӨЛМесін көрсетеміз.
Сонымен, сату бөлімінде жүз қызметкер болуы мүмкін және біз олардың ешқайсысының желі арқылы серверлік бөлмеге қол жеткізуін қаламаймыз. Laptop2 компьютерінде жұмыс істейтін сату менеджері үшін ерекше жағдай жасалған - ол сервер бөлмесіне қол жеткізе алады. Laptop3-те жұмыс істейтін жаңа қызметкерде мұндай рұқсат болмауы керек, яғни оның компьютерінен трафик R2 маршрутизаторына жетсе, оны тастау керек.
ACL рөлі көрсетілген сүзу параметрлеріне сәйкес трафикті сүзу болып табылады. Оларға бастапқы IP мекенжайы, тағайындалған IP мекенжайы, протокол, порттар саны және басқа параметрлер кіреді, соның арқасында трафикті анықтауға және онымен кейбір әрекеттерді орындауға болады.
Сонымен, ACL - OSI моделінің 3-деңгейін сүзу механизмі. Бұл бұл механизм маршрутизаторларда қолданылатынын білдіреді. Сүзгілеудің негізгі критерийі деректер ағынының идентификациясы болып табылады. Мысалы, егер біз Laptop3 компьютері бар жігіттің серверге кіруіне тыйым салғымыз келсе, ең алдымен оның трафигін анықтауымыз керек. Бұл трафик желілік құрылғылардың сәйкес интерфейстері арқылы Laptop-Switch2-R2-R1-Switch1-Server1 бағытында қозғалады, ал маршрутизаторлардың G0/0 интерфейстерінің оған еш қатысы жоқ.
Жол қозғалысын анықтау үшін оның жолын анықтау керек. Осыны жасағаннан кейін біз сүзгіні қай жерде орнату керектігін шеше аламыз. Сүзгілердің өздері туралы алаңдамаңыз, біз оларды келесі сабақта талқылаймыз, қазір біз сүзгіні қай интерфейске қолдану принципін түсінуіміз керек.
Маршрутизаторды қарасаңыз, трафик қозғалған сайын деректер ағыны кіретін интерфейс және осы ағын шығатын интерфейс бар екенін көруге болады.
Іс жүзінде 3 интерфейс бар: кіріс интерфейсі, шығыс интерфейсі және маршрутизатордың жеке интерфейсі. Сүзгілеуді тек кіріс немесе шығыс интерфейсіне қолдануға болатындығын есте сақтаңыз.
ACL жұмысының принципі шақырылғандар тізімінде аты бар қонақтар ғана қатыса алатын іс-шараға өтуге ұқсас. ACL – трафикті анықтау үшін пайдаланылатын біліктілік параметрлерінің тізімі. Мысалы, бұл тізім 192.168.1.10 IP мекенжайынан барлық трафикке рұқсат етілгенін және барлық басқа мекенжайлардан келетін трафикке тыйым салынғанын көрсетеді. Мен айтқанымдай, бұл тізімді енгізу және шығару интерфейсіне де қолдануға болады.
ACL 2 түрі бар: стандартты және кеңейтілген. Стандартты ACL идентификаторы 1-ден 99-ға дейін немесе 1300-ден 1999-ға дейін болады. Бұл нөмірлеу артқан сайын бір-бірінен артықшылығы жоқ жай тізім атаулары. Нөмірге қосымша ретінде ACL-ге өз атыңызды тағайындай аласыз. Кеңейтілген ACL 100-ден 199-ға дейін немесе 2000-нан 2699-ға дейін нөмірленеді және олардың атауы да болуы мүмкін.
Стандартты ACL-де классификация трафиктің бастапқы IP мекенжайына негізделген. Сондықтан мұндай тізімді пайдаланған кезде кез келген көзге бағытталған трафикті шектей алмайсыз, тек құрылғыдан келетін трафикті блоктай аласыз.
Кеңейтілген ACL трафикті бастапқы IP мекенжайы, тағайындалған IP мекенжайы, пайдаланылған протокол және порт нөмірі бойынша жіктейді. Мысалы, тек FTP трафигін немесе тек HTTP трафигін блоктай аласыз. Бүгін біз стандартты ACL қарастырамыз және келесі бейне сабақты кеңейтілген тізімдерге арнаймыз.
Мен айтқанымдай, ACL - бұл шарттар тізімі. Бұл тізімді маршрутизатордың кіріс немесе шығыс интерфейсіне қолданғаннан кейін, маршрутизатор трафикті осы тізімге сәйкес тексереді және ол тізімде көрсетілген шарттарға сәйкес келсе, бұл трафикке рұқсат беру немесе қабылдамау туралы шешім қабылдайды. Адамдар жиі маршрутизатордың кіріс және шығыс интерфейстерін анықтау қиынға соғады, бірақ мұнда күрделі ештеңе жоқ. Кіріс интерфейсі туралы айтатын болсақ, бұл осы портта тек кіріс трафик бақыланатынын және маршрутизатор шығыс трафикке шектеулер қолданбайтынын білдіреді. Сол сияқты, егер шығу интерфейсі туралы айтатын болсақ, бұл барлық ережелер тек шығыс трафикке қатысты болады, ал бұл порттағы кіріс трафик шектеусіз қабылданады. Мысалы, маршрутизаторда 2 порт болса: f0/0 және f0/1, ACL тек f0/0 интерфейсіне кіретін трафикке немесе тек f0/1 интерфейсінен келетін трафикке қолданылады. f0/1 интерфейсіне кіретін немесе шығатын трафикке тізім әсер етпейді.
Сондықтан, интерфейстің кіріс немесе шығыс бағытымен шатастырмаңыз, ол нақты трафик бағытына байланысты. Осылайша, маршрутизатор трафикті ACL шарттарына сәйкестігін тексергеннен кейін ол тек екі шешім қабылдай алады: трафикке рұқсат беру немесе оны қабылдамау. Мысалы, 180.160.1.30 үшін тағайындалған трафикке рұқсат беруге және 192.168.1.10 үшін бағытталған трафикті қабылдамауыңызға болады. Әрбір тізімде бірнеше шарттар болуы мүмкін, бірақ осы шарттардың әрқайсысы рұқсат беруі немесе бас тартуы керек.
Бізде тізім бар делік:
Тыйым салу _______
Рұқсат ету ________
Рұқсат ету ________
Тыйым салу _________.
Біріншіден, маршрутизатор бірінші шартқа сәйкес келетінін білу үшін трафикті тексереді, егер ол сәйкес келмесе, екінші шартты тексереді. Егер трафик үшінші шартқа сәйкес келсе, маршрутизатор тексеруді тоқтатады және оны тізімнің қалған шарттарымен салыстырмайды. Ол «рұқсат ету» әрекетін орындайды және трафиктің келесі бөлігін тексеруге көшеді.
Егер сіз кез келген пакетке ереже орнатпаған болсаңыз және трафик ешбір шарттарды орындамай тізімнің барлық жолдары арқылы өтетін болса, ол жойылады, өйткені әрбір ACL тізімі әдепкі бойынша кез келген бас тарту пәрменімен аяқталады, яғни, жою. ережелердің ешқайсысына жатпайтын кез келген пакет. Бұл шарт тізімде кем дегенде бір ереже болса, күшіне енеді, әйтпесе ол әсер етпейді. Бірақ егер бірінші жолда 192.168.1.30 жазбасы жоқ болса және тізімде енді ешқандай шарттар болмаса, онда соңында кез келген, яғни ережемен тыйым салынғаннан басқа кез келген трафикке рұқсат беру пәрмені болуы керек. ACL конфигурациялау кезінде қателерді болдырмау үшін мұны ескеру қажет.
ASL тізімін жасаудың негізгі ережесін есте ұстағаныңызды қалаймын: стандартты ASL-ді межелі жерге, яғни трафикті алушыға мүмкіндігінше жақын орналастырыңыз және ұзартылған ASL мүмкіндігінше көзге жақын орналастырыңыз, яғни, трафикті жіберушіге. Бұл Cisco ұсыныстары, бірақ іс жүзінде стандартты ACL-ді трафик көзіне жақын орналастырудың мағынасы бар жағдайлар бар. Бірақ емтихан кезінде ACL орналастыру ережелері туралы сұраққа тап болсаңыз, Cisco ұсынымдарын орындаңыз және бір мәнді жауап беріңіз: стандарт тағайындалған жерге жақын, кеңейтілген - көзге жақын.
Енді стандартты ACL синтаксисін қарастырайық. Маршрутизатордың жаһандық конфигурация режимінде команда синтаксисінің екі түрі бар: классикалық синтаксис және заманауи синтаксис.
Классикалық пәрмен түрі кіру тізімі <ACL нөмірі> <қабылдамау/рұқсат ету> <шарттар>. Егер <ACL нөмірі> 1-ден 99-ға дейін орнатсаңыз, құрылғы бұл стандартты ACL екенін, ал 100-ден 199-ға дейін болса, кеңейтілген екенін түсінеді. Бүгінгі сабақта біз стандартты тізімді қарастыратындықтан, біз 1-ден 99-ға дейінгі кез келген санды пайдалана аламыз. Содан кейін параметрлер келесі критерийге сәйкес келсе, қолданылатын әрекетті көрсетеміз - трафикке рұқсат беру немесе тыйым салу. Критерийді кейінірек қарастырамыз, өйткені ол қазіргі синтаксисте де қолданылады.
Заманауи пәрмен түрі Rx(config) жаһандық конфигурация режимінде де қолданылады және келесідей көрінеді: IP кіру тізімінің стандарты <ACL нөмірі/аты>. Мұнда 1-ден 99-ға дейінгі санды немесе ACL тізімінің атын пайдалана аласыз, мысалы, ACL_Networking. Бұл пәрмен жүйені бірден Rx стандартты режимінің ішкі пәрмен режиміне (config-std-nacl) қояды, мұнда <қабылдау/қосу> <критерий> енгізу керек. Классикалық командаға қарағанда қазіргі заманғы командалардың артықшылығы бар.
Классикалық тізімде, егер сіз рұқсат-тізімі 10 бас тарту ______ деп терсеңіз, басқа критерий үшін келесі түрдегі пәрменді теріңіз және сіз осындай 100 пәрменге ие боласыз, содан кейін енгізілген пәрмендердің кез келгенін өзгерту үшін сізге қажет болады. no access-list 10 пәрменімен бүкіл кіру тізімі тізімін 10 жойыңыз. Бұл барлық 100 пәрменді жояды, себебі бұл тізімде жеке пәрменді өңдеу мүмкін емес.
Қазіргі синтаксисте команда екі жолға бөлінген, оның біріншісі тізім нөмірін қамтиды. Егер сізде тізімге кіру тізімі стандарты 10 бас тартады ________, рұқсат тізімі стандарты 20 бас тартады ________ және т.б. болса, сізде олардың арасына басқа критерийлері бар аралық тізімдерді кірістіру мүмкіндігіңіз бар делік, мысалы, кіру тізімінің стандарты 15 рұқсатсыз ________ .
Сонымен қатар, рұқсат тізімінің стандартты 20 жолын жай ғана жойып, оларды кіру тізімі стандарты 10 мен стандартты кіру тізімінің 30 жолының арасында әртүрлі параметрлермен қайта теруге болады.Осылайша, қазіргі ACL синтаксисін өңдеудің әртүрлі тәсілдері бар.
ACL құру кезінде өте сақ болу керек. Өздеріңіз білетіндей, тізімдер жоғарыдан төмен қарай оқылады. Белгілі бір хосттан трафикке рұқсат беретін жолды жоғарғы жағына орналастырсаңыз, төменде осы хост бөлігі болып табылатын бүкіл желіден трафикке тыйым салатын жолды қоюға болады және екі шарт да тексеріледі - белгілі бір хостқа трафик болады. арқылы рұқсат етіледі және бұл желі барлық басқа хосттардан келетін трафик блокталады. Сондықтан, әрқашан тізімнің жоғарғы жағына арнайы жазбаларды және төменгі жағына жалпыларды орналастырыңыз.
Сонымен, сіз классикалық немесе заманауи ACL жасағаннан кейін оны қолдануыңыз керек. Ол үшін белгілі бір интерфейстің параметрлеріне өту керек, мысалы, <түрі және ұясы> пәрмен интерфейсі арқылы f0/0, интерфейстің ішкі командалық режиміне өтіп, ip access-group <ACL нөмірі/ пәрменін енгізу керек. аты> . Айырмашылығына назар аударыңыз: тізімді құрастыру кезінде кіру тізімі, ал оны қолдану кезінде кіру тобы қолданылады. Бұл тізім қай интерфейске қолданылатынын анықтауыңыз керек - кіріс интерфейсі немесе шығыс интерфейсі. Тізімде атау болса, мысалы, Networking, осы интерфейсте тізімді қолдану пәрменінде сол атау қайталанады.
Енді нақты мәселені алайық және оны Packet Tracer көмегімен желілік диаграмманың мысалы арқылы шешуге тырысайық. Сонымен, бізде 4 желі бар: сату бөлімі, есеп бөлімі, менеджмент және серверлік бөлме.
№1 тапсырма: сату және қаржылық бөлімдерден басқару бөліміне және сервер бөлмесіне бағытталған барлық трафик бұғатталуы керек. Бұғаттау орны R0 маршрутизаторының S1/0/2 интерфейсі болып табылады. Алдымен біз келесі жазбаларды қамтитын тізім жасауымыз керек:
Тізімді ACL Secure_Ma_And_Se деп қысқартылған «Менеджмент және сервер қауіпсіздігі ACL» деп атаймыз. Одан кейін қаржы бөлімінің 192.168.1.128/26 желісінен трафикке тыйым салу, 192.168.1.0/25 сату бөлімі желісінен трафикке тыйым салу және кез келген басқа трафикке рұқсат беру. Тізімнің соңында оның R0 маршрутизаторының S1/0/2 шығыс интерфейсі үшін пайдаланылатыны көрсетілген. Егер бізде тізімнің соңында Кез келген рұқсат жазбасы болмаса, онда барлық басқа трафик бұғатталады, себебі әдепкі ACL әрқашан тізімнің соңында Кез келген бас тарту жазбасына орнатылған.
Осы ACL интерфейсін G0/0 қолдана аламын ба? Әрине, мен істей аламын, бірақ бұл жағдайда тек бухгалтериядан келетін трафик бұғатталады, ал сату бөлімінен трафик ешқандай жолмен шектелмейді. Дәл осылай, G0/1 интерфейсіне ACL қолдануға болады, бірақ бұл жағдайда қаржы бөлімінің трафигі бұғатталмайды. Әрине, біз бұл интерфейстер үшін екі бөлек блок тізімдерін жасай аламыз, бірақ оларды бір тізімге біріктіріп, оны R2 маршрутизаторының шығыс интерфейсіне немесе R0 маршрутизаторының S1/0/1 кіріс интерфейсіне қолдану әлдеқайда тиімді.
Cisco ережелері стандартты ACL межелі орынға мүмкіндігінше жақын орналастыру керектігін айтқанымен, мен оны трафик көзіне жақынырақ орналастырамын, себебі мен барлық шығыс трафикті блоктағым келеді және мұны келесі жерге жақынырақ жасау мағынасы бар. бұл трафик екі маршрутизатор арасындағы желіні ысырап етпеуі үшін көз.
Критерийлерді айтуды ұмытып кетіппін, тез қайтайық. Шарт ретінде кез келгенін көрсетуге болады - бұл жағдайда кез келген құрылғыдан және кез келген желіден кез келген трафик қабылданбайды немесе рұқсат етіледі. Сондай-ақ, хостты оның идентификаторымен көрсетуге болады - бұл жағдайда жазба белгілі бір құрылғының IP мекенжайы болады. Соңында, сіз бүкіл желіні көрсете аласыз, мысалы, 192.168.1.10/24. Бұл жағдайда /24 255.255.255.0 ішкі желі маскасының болуын білдіреді, бірақ ACL-де ішкі желі маскасының IP мекенжайын көрсету мүмкін емес. Бұл жағдайда ACL-де Wildcart Mask немесе «кері маска» деп аталатын тұжырымдама бар. Сондықтан IP мекенжайын және қайтару маскасын көрсету керек. Кері маска келесідей көрінеді: жалпы ішкі желі маскасынан тікелей ішкі желі маскасын алып тастау керек, яғни тура маскадағы октет мәніне сәйкес сан 255-тен алынады.
Сондықтан ACL шартында 192.168.1.10 0.0.0.255 параметрін пайдалану керек.
Бұл қалай жұмыс істейді? Қайтару маскасының октетінде 0 болса, шарт ішкі желінің IP мекенжайының сәйкес октетіне сәйкес деп саналады. Егер бет маскасының октетінде сан болса, сәйкестік тексерілмейді. Осылайша, 192.168.1.0 желісі және 0.0.0.255 қайтару маскасы үшін төртінші октеттің мәніне қарамастан, алғашқы үш октеті 192.168.1.-ге тең мекенжайлардан келетін барлық трафик бұғатталады немесе рұқсат етіледі. көрсетілген әрекет.
Кері масканы пайдалану оңай және біз онымен қалай жұмыс істеу керектігін түсіндіре алу үшін келесі бейнеде Wildcart маскасына қайта ораламыз.
28:50 мин
Бізбен бірге болғандарыңызға рахмет. Сізге біздің мақалалар ұнайды ма? Қызықты мазмұнды көргіңіз келе ме? Тапсырыс беру немесе достарыңызға ұсыну арқылы бізге қолдау көрсетіңіз, Habr пайдаланушылары үшін біз сіз үшін ойлап тапқан бастапқы деңгейдегі серверлердің бірегей аналогына 30% жеңілдік: (RAID1 және RAID10, 24 ядроға дейін және 40 ГБ DDR4 дейін қол жетімді).
Dell R730xd 2 есе арзан ба? Тек осында Нидерландыда! Dell R420 - 2x E5-2430 2.2 ГГц 6C 128 ГБ DDR3 2x960 ГБ SSD 1 Гбит/с 100 ТБ - 99 доллардан бастап! туралы оқыңыз
Ақпарат көзі: www.habr.com