Өнөөдөр бид ACL хандалтын хяналтын жагсаалтын талаар суралцаж эхлэх бөгөөд энэ сэдвээр 2 видео хичээл авах болно. Бид стандарт ACL-ийн тохиргоог авч үзэх бөгөөд дараагийн видео зааварт би өргөтгөсөн жагсаалтын талаар ярих болно.
Энэ хичээлээр бид 3 сэдвийг авч үзэх болно. Эхнийх нь ACL гэж юу болох, хоёрдугаарт стандарт болон өргөтгөсөн хандалтын жагсаалтын ялгаа нь юу вэ, хичээлийн төгсгөлд лабораторийн хувьд бид стандарт ACL-ийг бий болгож, гарч болзошгүй асуудлуудыг шийдвэрлэх талаар авч үзэх болно.
Тэгэхээр ACL гэж юу вэ? Хэрэв та эхний видео хичээлээс хичээлийг судалж үзсэн бол бид янз бүрийн сүлжээний төхөөрөмжүүдийн хоорондын харилцаа холбоог хэрхэн зохион байгуулсныг санаж байна.
Мөн бид төхөөрөмжүүд болон сүлжээнүүдийн хоорондын харилцаа холбоог зохион байгуулах ур чадварыг олж авахын тулд янз бүрийн протоколууд дээр статик чиглүүлэлтийн талаар судалсан. Бид одоо замын хөдөлгөөний хяналтыг хангах, өөрөөр хэлбэл "муу залуус" эсвэл зөвшөөрөлгүй хэрэглэгчдийг сүлжээнд нэвтрэхээс урьдчилан сэргийлэх талаар анхаарах ёстой сургалтын шатанд ирлээ. Жишээлбэл, энэ диаграммд дүрслэгдсэн БОРЛУУЛАЛТын борлуулалтын албаны хүмүүст энэ нь хамаатай байж магадгүй юм. Энд бид мөн санхүүгийн хэлтсийн ДАНС, удирдлагын хэлтэс, УДИРДЛАГА, серверийн өрөөний СЕРВЕР ӨРӨӨ-г харуулж байна.
Тиймээс, борлуулалтын хэлтэс нь зуун ажилтантай байж болох бөгөөд бид тэдний хэн нь ч сүлжээгээр серверийн өрөөнд холбогдохыг хүсэхгүй байна. Зөөврийн компьютер2 компьютер дээр ажилладаг борлуулалтын менежерийн хувьд онцгой тохиолдол байдаг - тэр серверийн өрөөнд нэвтрэх боломжтой. Laptop3 дээр ажиллаж байгаа шинэ ажилтан ийм хандалттай байх ёсгүй, өөрөөр хэлбэл түүний компьютерээс ирсэн траффик R2 чиглүүлэгчид хүрвэл түүнийг хасах хэрэгтэй.
ACL-ийн үүрэг бол заасан шүүлтүүрийн параметрийн дагуу урсгалыг шүүх явдал юм. Эдгээрт эх сурвалжийн IP хаяг, очих газрын IP хаяг, протокол, портын тоо болон бусад параметрүүд багтдаг бөгөөд үүний ачаар та траффикийг тодорхойлж, түүнтэй хамт зарим арга хэмжээ авах боломжтой.
Тиймээс ACL нь OSI загварын 3-р түвшний шүүлтүүрийн механизм юм. Энэ нь энэ механизмыг чиглүүлэгчид ашигладаг гэсэн үг юм. Шүүлтүүрийн гол шалгуур бол мэдээллийн урсгалыг тодорхойлох явдал юм. Жишээлбэл, хэрэв бид Laptop3 компьютертэй залууг серверт нэвтрэхийг хориглохыг хүсвэл юуны түрүүнд түүний урсгалыг тодорхойлох ёстой. Энэ траффик нь сүлжээний төхөөрөмжүүдийн харгалзах интерфэйсүүдээр зөөврийн компьютер-Свич2-R2-R1-Switch1-Сервер1 чиглэлд хөдөлдөг бол чиглүүлэгчийн G0/0 интерфэйсүүд үүнтэй ямар ч холбоогүй юм.
Замын хөдөлгөөнийг тодорхойлохын тулд бид түүний замыг тодорхойлох ёстой. Үүнийг хийсний дараа бид шүүлтүүрийг яг хаана суулгахаа шийдэж чадна. Шүүлтүүрүүдийн талаар санаа зовох хэрэггүй, бид дараагийн хичээл дээр хэлэлцэх болно, одоо бид шүүлтүүрийг ямар интерфейс дээр ашиглах зарчмыг ойлгох хэрэгтэй.
Хэрэв та чиглүүлэгчийг харвал замын хөдөлгөөн шилжих бүрт өгөгдлийн урсгал орж ирдэг интерфэйс байдаг ба энэ урсгал гарч ирдэг интерфейс байдаг.
Үнэн хэрэгтээ 3 интерфейс байдаг: оролтын интерфейс, гаралтын интерфейс болон чиглүүлэгчийн өөрийн интерфейс. Шүүлтүүрийг зөвхөн оролт эсвэл гаралтын интерфейс дээр ашиглах боломжтой гэдгийг санаарай.
ACL-ийн үйл ажиллагааны зарчим нь зөвхөн уригдсан хүмүүсийн жагсаалтад байгаа зочдод л оролцох боломжтой арга хэмжээнд оролцохтой төстэй юм. ACL нь урсгалыг тодорхойлоход ашигладаг мэргэшлийн параметрүүдийн жагсаалт юм. Жишээлбэл, энэ жагсаалт нь 192.168.1.10 IP хаягаас бүх урсгалыг зөвшөөрч, бусад бүх хаягийн урсгалыг хориглодог болохыг харуулж байна. Миний хэлсэнчлэн энэ жагсаалтыг оролт болон гаралтын интерфейсийн аль алинд нь ашиглаж болно.
Стандарт болон өргөтгөсөн 2 төрлийн ACL байдаг. Стандарт ACL нь 1-ээс 99 хүртэл эсвэл 1300-аас 1999 хүртэл танигчтай байдаг. Эдгээр нь дугаарлалт ихсэх тусам бие биенээсээ ямар ч давуу талгүй жагсаалтын нэрс юм. Та дугаараас гадна өөрийн нэрийг ACL-д өгч болно. Өргөтгөсөн ACL нь 100-аас 199 хүртэл эсвэл 2000-аас 2699 хүртэл дугаарлагдсан бөгөөд мөн нэртэй байж болно.
Стандарт ACL-д ангилал нь траффикийн эх сурвалжийн IP хаяг дээр суурилдаг. Тиймээс, ийм жагсаалтыг ашиглахдаа та ямар ч эх сурвалж руу чиглэсэн урсгалыг хязгаарлаж болохгүй, зөвхөн төхөөрөмжөөс ирж буй урсгалыг хааж болно.
Өргөтгөсөн ACL нь урсгалыг эх IP хаяг, очих IP хаяг, ашигласан протокол, портын дугаараар ангилдаг. Жишээлбэл, та зөвхөн FTP урсгалыг эсвэл зөвхөн HTTP урсгалыг хааж болно. Өнөөдөр бид стандарт ACL-ийг үзэх бөгөөд дараагийн видео хичээлийг өргөтгөсөн жагсаалтад зориулах болно.
Миний хэлсэнчлэн ACL бол нөхцлийн жагсаалт юм. Та энэ жагсаалтыг чиглүүлэгчийн орж ирж буй эсвэл гарах интерфэйсэд хэрэглэсний дараа чиглүүлэгч нь энэ жагсаалтын дагуу урсгалыг шалгаж, жагсаалтад заасан нөхцөлийг хангаж байвал энэ урсгалыг зөвшөөрөх эсвэл татгалзах эсэхээ шийднэ. Хүмүүс чиглүүлэгчийн оролт, гаралтын интерфейсийг тодорхойлоход хэцүү байдаг ч энд төвөгтэй зүйл байхгүй. Ирж буй интерфейсийн тухай ярихад энэ нь зөвхөн ирж буй траффикийг энэ порт дээр хянах бөгөөд чиглүүлэгч нь гарч буй урсгалд хязгаарлалт тавихгүй гэсэн үг юм. Үүний нэгэн адил, хэрэв бид гарах интерфейсийн тухай ярьж байгаа бол энэ нь бүх дүрэм зөвхөн гарч буй урсгалд хамаарах бөгөөд энэ порт дээр ирж буй урсгалыг хязгаарлалтгүйгээр хүлээн авах болно гэсэн үг юм. Жишээлбэл, чиглүүлэгч нь f2/0 ба f0/0 гэсэн 1 порттой бол ACL нь зөвхөн f0/0 интерфэйс рүү орох урсгалд эсвэл зөвхөн f0/1 интерфэйсээс гаралтай траффикт хэрэгжинэ. f0/1 интерфэйс рүү орох буюу гарах хөдөлгөөнд жагсаалт нөлөөлөхгүй.
Тиймээс интерфэйсийн орж ирж буй эсвэл гарах чиглэлд андуурч болохгүй, энэ нь тодорхой хөдөлгөөний чиглэлээс хамаарна. Тиймээс чиглүүлэгч нь ACL-ийн нөхцөлтэй нийцэж байгаа траффикийг шалгасны дараа зөвхөн замын хөдөлгөөнийг зөвшөөрөх эсвэл татгалзах гэсэн хоёр шийдвэр гаргах боломжтой. Жишээлбэл, та 180.160.1.30-д зориулагдсан урсгалыг зөвшөөрч, 192.168.1.10-д зориулагдсан урсгалаас татгалзаж болно. Жагсаалт бүр олон нөхцөл агуулж болох боловч эдгээр нөхцөл бүрийг зөвшөөрөх эсвэл үгүйсгэх ёстой.
Бидэнд жагсаалт байна гэж бодъё:
хориглох _______
________ зөвшөөрөх
________ зөвшөөрөх
_________ хориглох.
Эхлээд чиглүүлэгч нь эхний нөхцөлтэй тохирч байгаа эсэхийг шалгахын тулд урсгалыг шалгана, хэрэв тохирохгүй бол хоёр дахь нөхцөлийг шалгана. Хэрэв замын хөдөлгөөн гурав дахь нөхцөлтэй тохирч байвал чиглүүлэгч шалгахаа зогсоож, жагсаалтын бусад нөхцөлтэй харьцуулахгүй. Энэ нь "зөвшөөрөх" үйлдлийг гүйцэтгэж, замын хөдөлгөөний дараагийн хэсгийг шалгахад шилжих болно.
Хэрэв та ямар ч багцад дүрэм тогтоогоогүй бөгөөд траффик жагсаалтын бүх мөрийг ямар ч нөхцөлийг зөрчихгүйгээр дамждаг бол энэ нь устах болно, учир нь ACL жагсаалт бүр нь өгөгдмөл байдлаар deny гэсэн тушаалаар төгсдөг, өөрөөр хэлбэл устгах. ямар ч дүрэмд хамаарахгүй аливаа багц. Жагсаалтад дор хаяж нэг дүрэм байгаа бол энэ нөхцөл хүчин төгөлдөр болно, эс тэгвээс энэ нь ямар ч нөлөө үзүүлэхгүй. Гэхдээ эхний мөрөнд 192.168.1.30 гэсэн заалт орсон бөгөөд жагсаалтад ямар ч нөхцөл байхгүй бол төгсгөлд нь дүрмээр хориглосноос бусад аливаа хөдөлгөөнийг зөвшөөрөх тушаал байх ёстой. ACL-ийг тохируулахдаа алдаа гаргахгүйн тулд та үүнийг анхаарч үзэх хэрэгтэй.
ASL жагсаалт үүсгэх үндсэн дүрмийг санаж байхыг хүсч байна: стандарт ASL-ийг зорьсон газар, өөрөөр хэлбэл, траффик хүлээн авагч руу аль болох ойртуулж, өргөтгөсөн ASL-г эх сурвалжтай аль болох ойр байрлуулна, өөрөөр хэлбэл, урсгалыг илгээгч рүү. Эдгээр нь Cisco-ийн зөвлөмжүүд боловч бодит байдал дээр стандарт ACL-ийг замын хөдөлгөөний эх үүсвэрт ойрхон байрлуулах нь илүү утга учиртай байдаг. Хэрэв танд шалгалтын үеэр ACL байршуулах дүрмийн талаар асуулт гарч ирвэл Cisco-ийн зөвлөмжийг дагаж, хоёрдмол утгагүйгээр хариулна уу: стандарт нь очих газартаа илүү ойр, өргөтгөсөн нь эх сурвалжид ойр байдаг.
Одоо стандарт ACL-ийн синтаксийг харцгаая. Чиглүүлэгчийн глобал тохиргооны горимд хоёр төрлийн командын синтакс байдаг: сонгодог синтакс ба орчин үеийн синтакс.
Сонгодог командын төрөл нь хандалтын жагсаалт <ACL тоо> <үгүй/зөвшөөрөх> <шалгуур> юм. Хэрэв та <ACL дугаар>-г 1-ээс 99 хүртэл тохируулбал энэ нь стандарт ACL гэдгийг төхөөрөмж автоматаар ойлгох бөгөөд хэрэв 100-аас 199 хүртэл байвал өргөтгөсөн гэсэн үг юм. Өнөөдрийн хичээл дээр бид стандарт жагсаалтыг үзэж байгаа тул 1-ээс 99 хүртэлх тоонуудыг ашиглаж болно. Дараа нь параметрүүд нь дараах шалгуурт нийцэж байгаа бол ямар үйлдлийг хийх шаардлагатайг зааж өгнө - замын хөдөлгөөнийг зөвшөөрөх эсвэл татгалзах. Энэ нь орчин үеийн синтакс дээр хэрэглэгддэг тул бид дараа нь шалгуурыг авч үзэх болно.
Орчин үеийн командын төрлийг Rx(config) глобал тохиргооны горимд ашигладаг бөгөөд дараах байдлаар харагдана: ip access-list standard <ACL number/name>. Энд та 1-ээс 99 хүртэлх тоо эсвэл ACL жагсаалтын нэрийг ашиглаж болно, жишээлбэл, ACL_Networking. Энэ тушаал нь системийг нэн даруй Rx стандарт горимын дэд командын горимд (config-std-nacl) оруулдаг бөгөөд үүнд та <deny/enable> <criteria> оруулах ёстой. Орчин үеийн багууд нь сонгодог багаас илүү давуу талтай.
Сонгодог жагсаалтад, хэрэв та access-list 10 deny ______ гэж бичээд өөр шалгуурт ижил төрлийн дараагийн командыг бичээд 100 ийм командтай болсны дараа оруулсан командуудын аль нэгийг өөрчлөхийн тулд та дараах зүйлийг хийх хэрэгтэй болно. no access-list 10 командын тусламжтайгаар хандалтын жагсаалт 10-ыг бүхэлд нь устгана уу. Энэ жагсаалтад тус тусдаа командыг засварлах арга байхгүй тул бүх 100 тушаалыг устгана.
Орчин үеийн синтакс дээр тушаал нь хоёр мөрөнд хуваагддаг бөгөөд эхний мөрөнд жагсаалтын дугаар багтдаг. Хэрэв танд жагсаалтын хандалтын жагсаалтын стандарт 10 үгүйсгэх ________, хандалтын жагсаалтын стандарт 20 үгүйсгэх ________ гэх мэт зүйлс байгаа бол та тэдгээрийн хооронд өөр шалгуур бүхий завсрын жагсаалтыг оруулах боломжтой, жишээлбэл хандалтын жагсаалтын стандарт 15 үгүйсгэх ________ байна гэж бодъё. .
Эсвэл та хандалтын жагсаалтын стандарт 20 мөрийг зүгээр л устгаад, хандалтын жагсаалтын стандарт 10 ба хандалтын жагсаалтын стандарт 30 мөрийн хооронд өөр өөр параметрээр дахин бичиж болно.Иймээс орчин үеийн ACL синтаксийг засах янз бүрийн арга байдаг.
ACL үүсгэхдээ та маш болгоомжтой байх хэрэгтэй. Таны мэдэж байгаагаар жагсаалтыг дээрээс доош уншдаг. Хэрэв та дээд талд нь тодорхой хостын урсгалыг зөвшөөрдөг мөрийг байрлуулбал, доор нь энэ хостын нэг хэсэг болох бүх сүлжээний урсгалыг хориглох шугамыг байрлуулж, хоёр нөхцөлийг шалгана - тодорхой хост руу чиглэсэн урсгалыг шалгах болно. Энэ сүлжээгээр дамжуулан бусад бүх хостуудын урсгалыг хаах болно. Тиймээс, жагсаалтын дээд хэсэгт тодорхой оруулгуудыг, доод хэсэгт ерөнхий мэдээллийг байрлуул.
Тиймээс, та сонгодог эсвэл орчин үеийн ACL-ийг үүсгэсний дараа үүнийг хэрэглэх ёстой. Үүнийг хийхийн тулд та тодорхой интерфэйсийн тохиргоо руу орох хэрэгтэй, жишээлбэл, f0/0 командын интерфейсийг ашиглан <төрөл ба үүр> интерфэйсийн дэд командын горимд очоод ip access-group <ACL number/ командыг оруулна уу. нэр> . Ялгааг анхаарна уу: жагсаалтыг эмхэтгэхдээ хандалтын жагсаалтыг ашигладаг бөгөөд үүнийг хэрэглэх үед хандалтын бүлгийг ашигладаг. Та энэ жагсаалтыг аль интерфэйс дээр ашиглахыг тодорхойлох ёстой - ирж буй интерфейс эсвэл гарах интерфейс. Жагсаалт нь жишээлбэл, Сүлжээ гэх нэртэй байвал энэ интерфейс дээрх жагсаалтыг хэрэглэх тушаалд ижил нэр давтагдана.
Одоо тодорхой нэг асуудлыг авч, Packet Tracer ашиглан сүлжээний диаграммынхаа жишээг ашиглан үүнийг шийдэхийг хичээцгээе. Тэгэхээр борлуулалтын алба, нягтлан бодох бүртгэлийн хэлтэс, менежмент, серверийн өрөө гэсэн 4 сүлжээтэй.
Даалгавар No1: борлуулалт, санхүүгийн хэлтсээс удирдлагын хэлтэс болон серверийн өрөө рүү чиглэсэн бүх урсгалыг хаасан байх ёстой. Блоклох байршил нь чиглүүлэгч R0-ийн S1/0/2 интерфэйс юм. Эхлээд бид дараах оруулгуудыг агуулсан жагсаалтыг гаргах ёстой.
Жагсаалтыг ACL Secure_Ma_And_Se гэж товчилсон "Management and Server Security ACL" гэж нэрлэе. Үүний дараа санхүүгийн албаны сүлжээний 192.168.1.128/26, борлуулалтын албаны сүлжээний 192.168.1.0/25 сүлжээнээс урсгалыг хориглож, бусад урсгалыг зөвшөөрдөг. Жагсаалтын төгсгөлд үүнийг R0 чиглүүлэгчийн S1/0/2 гарах интерфэйсэд ашигладаг болохыг зааж өгсөн болно. Жагсаалтын төгсгөлд ямар ч Зөвшөөрлийн оруулга байхгүй бол өгөгдмөл ACL нь үргэлж жагсаалтын төгсгөлд Ямар ч үгүйсгэх оруулга тохируулагдсан байдаг тул бусад бүх урсгал хаагдах болно.
Би энэ ACL-г G0/0 интерфэйс дээр хэрэглэж болох уу? Мэдээжийн хэрэг, би чадна, гэхдээ энэ тохиолдолд зөвхөн нягтлан бодох бүртгэлийн хэлтсээс ирсэн урсгалыг хааж, борлуулалтын хэлтсийн хөдөлгөөнийг ямар ч байдлаар хязгаарлахгүй. Үүнтэй адилаар та G0/1 интерфэйс дээр ACL-г ашиглаж болох боловч энэ тохиолдолд санхүүгийн хэлтсийн хөдөлгөөн хаагдахгүй. Мэдээжийн хэрэг, бид эдгээр интерфэйсүүдэд зориулж хоёр тусдаа блокийн жагсаалтыг үүсгэж болох боловч тэдгээрийг нэг жагсаалтад нэгтгэж, R2 чиглүүлэгчийн гаралтын интерфейс эсвэл R0 чиглүүлэгчийн S1/0/1 оролтын интерфейс дээр ашиглах нь илүү үр дүнтэй байдаг.
Хэдийгээр Cisco-н дүрэмд стандарт ACL-ийг зорьсон газартаа аль болох ойр байрлуулах ёстой гэж заасан байдаг ч би бүх гарч буй урсгалыг хаахыг хүсч байгаа тул үүнийг замын хөдөлгөөний эх үүсвэрт ойртуулна. Энэ траффик нь хоёр чиглүүлэгчийн хоорондох сүлжээг дэмий үрэхгүй байхын тулд эх сурвалж.
Шалгуураа хэлэхээ мартсан тул хурдан буцъя. Та ямар ч шалгуурыг зааж өгч болно - энэ тохиолдолд ямар ч төхөөрөмж болон сүлжээнээс ямар ч урсгалыг үгүйсгэх эсвэл зөвшөөрөх болно. Та мөн хостыг танигчтай нь зааж өгч болно - энэ тохиолдолд оруулга нь тодорхой төхөөрөмжийн IP хаяг байх болно. Эцэст нь та бүхэл бүтэн сүлжээг зааж өгч болно, жишээлбэл, 192.168.1.10/24. Энэ тохиолдолд /24 нь 255.255.255.0 дэд сүлжээний маск байгааг илтгэх боловч ACL-д дэд сүлжээний маскын IP хаягийг зааж өгөх боломжгүй юм. Энэ тохиолдолд ACL нь Wildcart Mask буюу "урвуу маск" гэсэн ойлголттой байдаг. Тиймээс та IP хаяг болон буцах маскыг зааж өгөх ёстой. Урвуу маск нь иймэрхүү харагдаж байна: та ерөнхий дэд сүлжээний маскаас шууд дэд сүлжээний маскыг хасах ёстой, өөрөөр хэлбэл урагшлах маск дахь октетийн утгатай тохирох тоог 255-аас хасна.
Тиймээс та 192.168.1.10 0.0.0.255 параметрийг ACL-д шалгуур болгон ашиглах хэрэгтэй.
Хэрхэн ажилладаг? Хэрэв буцах маск октетт 0 байвал уг шалгуурыг дэд сүлжээний IP хаягийн харгалзах октеттэй тохирч байна гэж үзнэ. Хэрэв арын маскны октетт тоо байгаа бол тохирохыг шалгадаггүй. Тиймээс 192.168.1.0 сүлжээ болон 0.0.0.255 буцах масктай бол дөрөв дэх октетийн утгаас үл хамааран эхний гурван октет нь 192.168.1.-тэй тэнцүү байгаа хаягийн бүх урсгалыг блоклох буюу зөвшөөрнө. заасан үйлдэл.
Урвуу маск хэрэглэх нь амархан бөгөөд бид дараагийн видеон дээрх Зэрлэг тэрэгний маск руу буцаж очих бөгөөд ингэснээр би түүнтэй хэрхэн ажиллахыг тайлбарлах болно.
28:50 минут
Бидэнтэй хамт байсанд баярлалаа. Манай нийтлэл танд таалагдаж байна уу? Илүү сонирхолтой контент үзэхийг хүсч байна уу? Захиалга өгөх эсвэл найзууддаа санал болгох замаар биднийг дэмжээрэй, Хабр хэрэглэгчдэд зориулсан 30% хямдралтай, анхан шатны түвшний серверүүдийн өвөрмөц аналогийг бид танд зориулан зохион бүтээжээ. (RAID1 болон RAID10, 24 хүртэлх цөм, 40 ГБ хүртэл DDR4-тэй байх боломжтой).
Dell R730xd 2 дахин хямд байна уу? Зөвхөн энд Нидерландад! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 доллараас! тухай уншина уу
Эх сурвалж: www.habr.com