Бүгүн биз ACL мүмкүнчүлүгүн башкаруу тизмеси менен тааныша баштайбыз, бул темада 2 видео сабак өтөт. Биз стандарттык ACL конфигурациясын карап чыгабыз жана кийинки видео үйрөткүчтө мен кеңейтилген тизме жөнүндө сүйлөшөм.
Бул сабакта биз 3 теманы камтыйт. Биринчиси - ACL деген эмне, экинчиси - стандарттык жана кеңейтилген мүмкүндүк тизмеси эмнеси менен айырмаланат жана сабактын аягында лаборатория катары биз стандарттык ACL орнотууну жана мүмкүн болгон көйгөйлөрдү чечүүнү карайбыз.
Ошентип, ACL деген эмне? Эгер сиз биринчи видеосабактан баштап курсту окуган болсоңуз, анда биз ар кандай тармактык түзүлүштөрдүн ортосунда байланышты кантип уюштурганыбызды эстейсиз.
Биз ошондой эле түзмөктөр менен тармактардын ортосундагы байланышты уюштуруу көндүмдөрүн алуу үчүн ар кандай протоколдор боюнча статикалык маршрутизацияны изилдедик. Биз азыр окутуу стадиясына жеттик, анда биз трафикти көзөмөлдөөнү камсыз кылуу, башкача айтканда, "жаман жигиттердин" же уруксатсыз колдонуучулардын тармакка киришинин алдын алуу жөнүндө ойлонушубуз керек. Мисалы, бул диаграммада сүрөттөлгөн SALES сатуу бөлүмүнүн адамдарына тиешелүү болушу мүмкүн. Бул жерде биз ошондой эле каржы бөлүмүн көрсөтөбүз ЭСЕПТЕР, башкаруу бөлүмү БАШКАРУУ жана сервер бөлмөсү СЕРВЕР бөлмөсү.
Ошентип, сатуу бөлүмүндө жүз кызматкер болушу мүмкүн жана биз алардын эч кимиси тармак аркылуу сервердик бөлмөгө жете алышын каалабайбыз. Laptop2 компьютеринде иштеген сатуу боюнча менеджер үчүн өзгөчө жагдай бар - ал сервердик бөлмөгө кире алат. Laptop3те иштеген жаңы кызматкердин мындай мүмкүнчүлүгү болбошу керек, башкача айтканда, анын компьютеринен трафик R2 роутерине жетсе, аны өчүрүү керек.
ACL ролу көрсөтүлгөн чыпкалоо параметрлерине ылайык трафикти чыпкалоо болуп саналат. Аларга булак IP дареги, көздөгөн IP дареги, протокол, порттордун саны жана башка параметрлер кирет, анын аркасында сиз трафикти аныктап, аны менен кандайдыр бир аракеттерди жасай аласыз.
Ошентип, ACL OSI моделинин 3-кабат чыпкалоо механизми болуп саналат. Бул бул механизм роутерлерде колдонулат дегенди билдирет. Чыпкалоонун негизги критерийи маалымат агымын аныктоо болуп саналат. Мисалы, Laptop3 компьютери бар жигиттин серверге кирүүсүнө бөгөт койгубуз келсе, биринчи кезекте анын трафигин аныкташыбыз керек. Бул трафик Laptop-Switch2-R2-R1-Switch1-Server1 багытында тармактык түзүлүштөрдүн тиешелүү интерфейстери аркылуу жылат, ал эми роутерлердин G0/0 интерфейстеринин буга эч кандай тиешеси жок.
Жол кыймылын аныктоо үчүн биз анын жолун аныкташыбыз керек. Муну аткаргандан кийин, биз чыпканы так кайда орнотуу керектигин чече алабыз. Чыпкалардын өздөрү жөнүндө кабатыр болбоңуз, биз аларды кийинки сабакта талкуулайбыз, азыр чыпка кайсы интерфейске колдонулушу керек экенин түшүнүшүбүз керек.
Эгер сиз роутерди карасаңыз, трафик кыймылдаган сайын маалымат агымы кирген интерфейс жана бул агым чыгып турган интерфейс бар экенин көрө аласыз.
Иш жүзүндө 3 интерфейс бар: киргизүү интерфейси, чыгаруу интерфейси жана роутердин өздүк интерфейси. Чыпкалоо киргизүү же чыгаруу интерфейсине гана колдонулушу мүмкүн экенин унутпаңыз.
ACL иштөө принциби иш-чарага өтүүгө окшош, ага аты чакырылгандардын тизмесинде аты бар коноктор гана катыша алат. ACL - трафикти аныктоо үчүн колдонулган квалификациялык параметрлердин тизмеси. Мисалы, бул тизме 192.168.1.10 IP дарегинен бардык трафикке уруксат берилгенин жана башка бардык даректерден келген трафикке тыюу салынганын көрсөтүп турат. Мен айткандай, бул тизме киргизүү жана чыгаруу интерфейсине да колдонулушу мүмкүн.
ACL 2 түрү бар: стандарттуу жана кеңейтилген. Стандарттык ACL 1ден 99га чейин же 1300дөн 1999га чейин идентификаторго ээ. Номерге кошумча сиз ACLге өзүңүздүн атыңызды дайындай аласыз. Кеңейтилген ACL 100дөн 199га чейин же 2000дөн 2699га чейин номерленген жана ошондой эле аталышы болушу мүмкүн.
Стандарттык ACLде классификация трафиктин IP дарегине негизделет. Ошондуктан, мындай тизмени колдонууда, сиз кандайдыр бир булакка багытталган трафикти чектей албайсыз, сиз түзмөктөн келген трафикти гана бөгөттөй аласыз.
Кеңейтилген ACL трафикти булак IP дареги, көздөгөн IP дареги, колдонулган протокол жана порт номери боюнча классификациялайт. Мисалы, сиз бир гана FTP трафикти, же HTTP трафикти гана бөгөттөй аласыз. Бүгүн биз стандарттык ACLди карап чыгабыз жана кийинки видеосабакты кеңейтилген тизмелерге арнайбыз.
Мен айткандай, ACL - бул шарттардын тизмеси. Сиз бул тизмени роутердин кирүүчү же чыгуучу интерфейсине колдонгондон кийин, роутер трафикти бул тизме менен текшерет жана ал тизмеде көрсөтүлгөн шарттарга жооп берсе, бул трафикке уруксат берүү же баш тартууну чечет. Адамдар көбүнчө роутердин киргизүү жана чыгаруу интерфейстерин аныктоо кыйынга турат, бирок бул жерде татаал эч нерсе жок. Кирүүчү интерфейс жөнүндө сөз кылганда, бул портто кирүүчү трафик гана көзөмөлдөнүп, роутер чыгуучу трафикке чектөөлөрдү колдонбой турганын билдирет. Ошо сыяктуу эле, эгерде биз чыгуу интерфейси жөнүндө сөз кыла турган болсок, бул бардык эрежелер чыгуучу трафикке гана тиешелүү болот, ал эми бул портто кирген трафик чектөөсүз кабыл алынат дегенди билдирет. Мисалы, роутерде 2 порт бар болсо: f0/0 жана f0/1, анда ACL f0/0 интерфейсине кирген трафикке гана колдонулат же f0/1 интерфейсинен келип чыккан трафикке гана колдонулат. f0/1 интерфейсине кирген же чыгуучу трафикке тизме таасир этпейт.
Ошондуктан, интерфейстин кирүүчү же чыгуучу багыты менен чаташтырбаңыз, ал конкреттүү трафиктин багытына жараша болот. Ошентип, роутер трафикти ACL шарттарына дал келүү үчүн текшергенден кийин, ал эки гана чечимди кабыл алат: трафикке уруксат берүү же аны четке кагуу. Мисалы, сиз 180.160.1.30 үчүн багытталган трафикке уруксат берип, 192.168.1.10 үчүн багытталган трафикти четке кагсаңыз болот. Ар бир тизме бир нече шарттарды камтышы мүмкүн, бирок бул шарттардын ар бири уруксат бериши же баш тартуусу керек.
Бизде тизме бар дейли:
Тыюу салуу _______
Уруксат берүү ________
Уруксат берүү ________
Тыюу _________.
Биринчиден, роутер трафиктин биринчи шартка дал келгенин текшерет, эгер ал туура келбесе, экинчи шартты текшерет. Эгерде трафик үчүнчү шартка дал келсе, роутер текшерүүнү токтотот жана аны тизменин калган шарттары менен салыштырбайт. Ал "уруксат" аракетин аткарып, трафиктин кийинки бөлүгүн текшерүүгө өтөт.
Эгерде сиз эч кандай пакетке эреже орнотпогон болсоңуз жана трафик тизменин бардык саптары аркылуу эч бир шарттарга тийбестен өтүп кетсе, ал жок кылынат, анткени ар бир ACL тизмеси демейки боюнча кандайдыр бир буйрукту четке кагуу менен аяктайт - б.а. эч кандай эрежелерге туура келбеген ар кандай пакет. Бул шарт тизмеде жок дегенде бир эреже болсо күчүнө кирет, антпесе эч кандай таасири болбойт. Бирок, эгерде биринчи сапта 192.168.1.30 dey жазуусу камтылган болсо жана тизмеде мындан ары эч кандай шарттар жок болсо, анда аягында эч кандай уруксат берүү буйругу болушу керек, башкача айтканда, эрежеде тыюу салынгандан башка бардык трафикке уруксат берүү. ACL конфигурациялоодо каталарды болтурбоо үчүн муну эске алышыңыз керек.
Мен ASL тизмесин түзүүнүн негизги эрежесин эстен чыгарбооңузду каалайм: стандарттуу ASLди мүмкүн болушунча бара турган жерге, башкача айтканда трафикти алуучуга жакын жайгаштырыңыз жана кеңейтилген ASLди мүмкүн болушунча булакка жакыныраак коюңуз, б.а. трафикти жөнөтүүчүгө. Бул Cisco сунуштары, бирок иш жүзүндө стандарттуу ACLди трафиктин булагына жакын жайгаштыруу акылга сыярлык жагдайлар бар. Бирок экзамен учурунда ACL жайгаштыруу эрежелери жөнүндө суроого туш болсоңуз, Ciscoнун сунуштарын аткарып, бир түшүнүктүү жооп бериңиз: стандарт көздөгөн жерге жакыныраак, кеңейтилген бул булакка жакыныраак.
Эми стандарттуу ACL синтаксисин карап көрөлү. Роутердин глобалдык конфигурация режиминде буйрук синтаксисинин эки түрү бар: классикалык синтаксис жана заманбап синтаксис.
Классикалык буйрук түрү кирүү тизмеси <ACL саны> <башкаруу/уруксат> <критерийлер>. Эгер сиз <ACL номерин> 1ден 99га чейин орнотсоңуз, аппарат бул стандарттуу ACL экенин автоматтык түрдө түшүнөт, ал эми 100дөн 199га чейин болсо, анда ал кеңейтилген. Бүгүнкү сабакта биз стандарттык тизмени карап жаткандыктан, биз 1ден 99га чейинки каалаган санды колдоно алабыз. Андан кийин параметрлер төмөнкү критерийге дал келсе, колдонула турган иш-аракетти көрсөтөбүз - трафикке уруксат берүү же баш тартуу. Критерийди кийинчерээк карап чыгабыз, анткени ал азыркы синтаксисте да колдонулат.
Заманбап буйрук түрү Rx(config) глобалдык конфигурация режиминде да колдонулат жана төмөнкүдөй көрүнөт: IP кирүү тизмеси стандарты <ACL саны/аты>. Бул жерде сиз 1ден 99га чейинки санды же ACL тизмесинин атын колдоно аласыз, мисалы, ACL_Networking. Бул буйрук дароо системаны Rx стандарттык режиминин подкомандалык режимине (config-std-nacl) киргизет, анда сиз <башкаруу/ишке келтирүү> <критерийлер> киргизүү керек. Заманбап типтеги командалар классикалыкка караганда көбүрөөк артыкчылыктарга ээ.
Классикалык тизмеде, эгер сиз 10 deny _____ кирүүчү тизмени терсеңиз, башка критерий үчүн ушул эле түрдөгү кийинки буйрукту терип, 100 ушундай буйрукка ээ болосуз, андан кийин киргизилген буйруктардын каалаганын өзгөртүү үчүн, сизге керек болот. no access-list 10 буйругу менен бүт кирүү тизмеси тизмесин жок кылуу 10. Бул бардык 100 буйруктарды жок кылат, анткени бул тизмеде жеке буйрукту түзөтүүгө эч кандай жол жок.
Азыркы синтаксисте буйрук эки сапка бөлүнөт, алардын биринчисинде тизменин номери камтылган. Эгер сизде тизмеге кирүү тизмеси стандарты 10 баш тартуу ________, кирүү тизмеси стандарты 20 баш тартуу ________ жана башкалар бар болсо, анда алардын ортосуна башка критерийлер менен аралык тизмелерди киргизүү мүмкүнчүлүгүңүз бар дейли, мисалы, кирүү тизмеси стандарты 15 баш тартуу ________ .
Же болбосо, сиз жөн гана кирүү тизмеси стандартындагы 20 сапты өчүрүп, аларды кирүү тизмеси стандарты 10 менен кирүү тизмеси стандарты 30 саптын ортосунда ар кандай параметрлер менен кайра терсеңиз болот.Ошентип, заманбап ACL синтаксисин оңдоонун ар кандай жолдору бар.
ACL түзүүдө өтө этият болушуңуз керек. Белгилүү болгондой, тизмелер жогорудан ылдыйга чейин окулат. Эгер сиз жогору жагына белгилүү бир хосттон трафикке уруксат берген сызыкты жайгаштырсаңыз, анда ылдыйда бул хост бир бөлүгү болгон бүт тармактан трафикке тыюу салган сызыкты жайгаштырсаңыз болот жана эки шарт тең текшерилет - белгилүү бир хостко трафик аркылуу уруксат берилет жана башка бардык хосттордон келген трафик бул тармак бөгөттөлөт. Ошондуктан, ар дайым тизменин башына конкреттүү жазууларды, ал эми ылдый жагына жалпыларды жайгаштырыңыз.
Ошентип, сиз классикалык же заманбап ACL жараткандан кийин, аны колдонуу керек. Бул үчүн, белгилүү бир интерфейстин жөндөөлөрүнө өтүшүңүз керек, мисалы, f0/0 командалык интерфейсин колдонуу менен <түрү жана уячасы>, интерфейстин подкомандалык режимине өтүп, ip access-group <ACL номери/ буйругун киргизиңиз. аты> . Айырмачылыкка көңүл буруңуз: тизмени түзүүдө кирүү тизмеси колдонулат, ал эми аны колдонууда кирүү тобу колдонулат. Бул тизме кайсы интерфейске колдонулаарын аныкташыңыз керек - кирүүчү интерфейс же чыгуучу интерфейс. Эгерде тизмеде аты бар болсо, мисалы, Networking, ушул интерфейсте тизмени колдонуу буйругунда ошол эле ат кайталанат.
Эми конкреттүү маселени алып көрөлү жана аны Пакет Tracer аркылуу биздин тармактык диаграмманын мисалы аркылуу чечүүгө аракет кылалы. Ошентип, бизде 4 тармак бар: сатуу бөлүмү, бухгалтерия бөлүмү, менеджмент жана сервердик бөлмө.
№1 тапшырма: сатуу жана каржы бөлүмдөрүнөн башкаруу бөлүмүнө жана сервердик бөлмөгө багытталган бардык трафик бөгөттөлүшү керек. Бөгөттөгөн жер R0 роутердин S1/0/2 интерфейси. Алгач биз төмөнкү жазууларды камтыган тизме түзүшүбүз керек:
Келгиле, тизмени ACL Secure_Ma_And_Se катары кыскартылган "Менеджмент жана сервердик коопсуздук ACL" деп атайлы. Андан кийин 192.168.1.128/26 каржы бөлүмүнүн тармагынан трафикке тыюу салуу, 192.168.1.0/25 сатуу бөлүмүнүн тармагынан трафикке тыюу салуу жана башка трафикке уруксат берүү. Тизменин аягында ал R0 роутеринин S1/0/2 чыгуучу интерфейси үчүн колдонулганы көрсөтүлгөн. Эгерде бизде тизменин аягында кандайдыр бир уруксат жазуусу жок болсо, анда башка бардык трафик бөгөттөлөт, анткени демейки ACL ар дайым тизменин аягында "Кандайдыр бир жазууну четке кагууга" коюлган.
Бул ACL интерфейсине G0/0 колдоно аламбы? Албетте, мен алам, бирок бул учурда бухгалтериядан келген трафик гана бөгөттөлөт, ал эми сатуу бөлүмүнөн трафик эч кандай чектелбейт. Ушундай эле жол менен сиз G0/1 интерфейсине ACL колдонсоңуз болот, бирок бул учурда финансы бөлүмүнүн трафиги бөгөттөлбөйт. Албетте, биз бул интерфейстер үчүн эки өзүнчө блок тизмесин түзө алабыз, бирок аларды бир тизмеге бириктирип, аны R2 роутердин чыгуу интерфейсине же R0 роутердин S1/0/1 кириш интерфейсине колдонуу алда канча натыйжалуу.
Cisco эрежелеринде стандарттык ACL мүмкүн болушунча көздөгөн жерге жакын жайгаштырылышы керек деп айтылганына карабастан, мен аны трафиктин булагына жакыныраак жайгаштырам, анткени мен бардык чыгуучу трафикти бөгөттөп салгым келет жана муну төмөнкү жерге жакыныраак кылуу акылга сыярлык. бул трафик эки роутердин ортосундагы тармакты текке кетирбеши үчүн.
Критерийлерди айтууну унутуп калыпмын, тез эле артка кайтайлы. Сиз критерий катары каалаганын көрсөтсөңүз болот - бул учурда каалаган түзмөктөн жана каалаган тармактан келген трафик четке кагылат же уруксат берилет. Сиз ошондой эле анын идентификатору менен хостту көрсөтө аласыз - бул учурда, жазуу белгилүү бир түзүлүштүн IP дареги болот. Акыр-аягы, сиз бүтүндөй тармакты көрсөтө аласыз, мисалы, 192.168.1.10/24. Бул учурда, /24 255.255.255.0 ички тармак маскасынын болушун билдирет, бирок ACLде ички тармак маскасынын IP дарегин көрсөтүү мүмкүн эмес. Бул учурда, ACL Wildcart маскасы, же "тескери маска" деп аталган түшүнүккө ээ. Ошондуктан сиз IP дарегин жана масканы кайтарышыңыз керек. Тескери маска төмөнкүдөй көрүнөт: жалпы ички тармак маскасынан түз ички тармак маскасын алып салуу керек, башкача айтканда, алдыга багытталган маскадагы октеттин маанисине туура келген сан 255тен алынып салынат.
Ошондуктан, ACLде критерий катары 192.168.1.10 0.0.0.255 параметрин колдонушуңуз керек.
Бул кандай иштейт? Кайтаруу маскасынын октетинде 0 бар болсо, критерий ички тармактын IP дарегинин тиешелүү октетине дал келет деп эсептелет. Эгерде артка маска октетинде сан бар болсо, дал келүү текшерилбейт. Ошентип, 192.168.1.0 тармагы жана 0.0.0.255 кайтаруу маскасы үчүн төртүнчү октеттин маанисине карабастан, биринчи үч октети 192.168.1. ге барабар болгон даректерден келген бардык трафик блоктолот же ага жараша уруксат берилет. көрсөтүлгөн иш-аракет.
Тескери масканы колдонуу оңой жана кийинки видеодо Wildcart маскасына кайрылып келебиз, андыктан аны менен кантип иштөө керектигин түшүндүрөм.
28:50 мин
Биз менен болгонуңуз үчүн рахмат. Биздин макалалар сизге жагабы? Көбүрөөк кызыктуу мазмунду көргүңүз келеби? Буйрутма берүү же досторуңузга сунуштоо менен бизди колдоңуз, Habr колдонуучулары үчүн биз сиз үчүн ойлоп тапкан баштапкы деңгээлдеги серверлердин уникалдуу аналогуна 30% арзандатуу: (RAID1 жана RAID10 менен жеткиликтүү, 24 өзөккө чейин жана 40 ГБ DDR4 чейин).
Dell R730xd 2 эсе арзанбы? Бул жерде гана Нидерландыда! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 доллардан! Жөнүндө окуу
Source: www.habr.com