Dinten ieu kami bakal ngamimitian diajar ngeunaan daptar kontrol aksés ACL, topik ieu bakal nyandak 2 palajaran video. Urang bakal kasampak di konfigurasi tina ACL baku, sarta dina tutorial video salajengna kuring bakal ngobrol ngeunaan daptar nambahan.
Dina palajaran ieu urang bakal nutupan 3 topik. Anu kahiji nyaéta naon ACL, anu kadua nyaéta naon bédana antara standar sareng daptar aksés anu diperpanjang, sareng dina ahir palajaran, salaku lab, urang bakal ningali dina nyetél ACL standar sareng ngarengsekeun masalah anu mungkin.
Janten naon ACL? Upami anjeun diajar kursus ti pelajaran pidéo anu munggaran, anjeun émut kumaha urang ngatur komunikasi antara sababaraha alat jaringan.
Urang ogé diajar routing statik ngaliwatan sababaraha protokol pikeun meunangkeun kaahlian dina ngatur komunikasi antara alat jeung jaringan. Kami ayeuna parantos ngahontal tahap diajar dimana urang kedah prihatin pikeun mastikeun kontrol lalu lintas, nyaéta, nyegah "jalma jahat" atanapi pangguna anu henteu sah nyusup kana jaringan. Contona, ieu bisa jadi patalina jeung jalma ti departemén jualan SALES, nu digambarkeun dina diagram ieu. Di dieu urang ogé nunjukkeun AKUN departemén kauangan, MANAJEMEN departemén manajemén sareng kamar server SERVER ROOM.
Janten, departemén penjualan tiasa gaduh saratus karyawan, sareng kami henteu hoyong salah sahiji aranjeunna tiasa ngahontal kamar server dina jaringan. Pangecualian dilakukeun pikeun manajer penjualan anu dianggo dina komputer Laptop2 - anjeunna tiasa gaduh aksés ka kamar server. Karyawan anyar anu damel di Laptop3 henteu kedah gaduh aksés sapertos kitu, nyaéta, upami lalu lintas tina komputerna dugi ka router R2, éta kedah dileungitkeun.
Peran ACL nyaéta pikeun nyaring lalu lintas dumasar kana parameter panyaring anu ditangtukeun. Aranjeunna kalebet alamat IP sumber, alamat IP tujuan, protokol, jumlah palabuhan sareng parameter sanésna, hatur nuhun anjeun tiasa ngaidentipikasi lalu lintas sareng nyandak sababaraha tindakan.
Janten, ACL mangrupikeun mékanisme panyaring lapisan 3 tina modél OSI. Ieu ngandung harti yén mékanisme ieu dipaké dina routers. Kriteria utama pikeun nyaring nyaéta idéntifikasi aliran data. Contona, upami urang hoyong meungpeuk lalaki jeung komputer Laptop3 tina ngakses server, kahiji urang kudu nangtukeun lalulintas-Na. Lalu lintas ieu ngalir ka arah Laptop-Switch2-R2-R1-Switch1-Server1 ngaliwatan antarmuka anu saluyu sareng alat jaringan, sedengkeun antarmuka G0/0 tina router henteu aya hubunganana sareng éta.
Pikeun ngaidentipikasi lalu lintas, urang kedah ngaidentipikasi jalurna. Saatos ngalakukeun ieu, urang tiasa mutuskeun dimana persisna urang kedah pasang saringan. Tong hariwang ngeunaan saringan sorangan, urang bakal ngabahas aranjeunna dina palajaran salajengna, pikeun ayeuna urang kedah ngartos prinsip antarmuka mana anu kedah diterapkeun saringan.
Lamun neuteup kana router a, Anjeun bisa nempo yén unggal waktos lalulintas ngalir, aya hiji panganteur dimana aliran data asup, sarta panganteur ngaliwatan nu aliran ieu kaluar.
Aya sabenerna 3 panganteur: panganteur input, panganteur kaluaran jeung panganteur router urang sorangan. Ngan émut yén nyaring ngan tiasa diterapkeun kana antarmuka input atanapi output.
Prinsip operasi ACL téh sarupa jeung hiji lolos ka acara nu ngan bisa dihadiran ku maranéhanana sémah anu ngaranna aya dina daptar jalma diondang. ACL mangrupikeun daptar parameter kualifikasi anu dianggo pikeun ngaidentipikasi lalu lintas. Salaku conto, daptar ieu nunjukkeun yén sadaya lalu lintas diidinan tina alamat IP 192.168.1.10, sareng lalu lintas ti sadaya alamat sanésna ditolak. Sakumaha anu ceuk kuring, daptar ieu tiasa diterapkeun kana antarmuka input sareng output.
Aya 2 jinis ACL: standar sareng diperpanjang. A ACL baku boga identifier tina 1 nepi ka 99 atawa ti 1300 nepi ka 1999. Ieu ngan saukur daptar ngaran nu teu boga kaunggulan wae leuwih silih sakumaha panomeran nambahan. Salian jumlah, anjeun tiasa napelkeun ngaran anjeun sorangan ka ACL. ACLs ngalegaan nu wilanganana 100 nepi ka 199 atawa 2000 nepi ka 2699 sarta ogé bisa boga ngaran.
Dina ACL standar, klasifikasi dumasar kana alamat IP sumber lalulintas. Ku alatan éta, nalika nganggo daptar sapertos kitu, anjeun moal tiasa ngawatesan lalu lintas anu diarahkeun ka sumber mana waé, anjeun ngan ukur tiasa ngahalangan lalu lintas anu asalna tina alat.
ACL ngalegaan ngagolongkeun lalu lintas dumasar alamat IP sumber, alamat IP tujuan, protokol anu dianggo, sareng nomer port. Contona, Anjeun ngan bisa meungpeuk lalulintas FTP, atawa ngan lalulintas HTTP. Dinten ieu kami bakal kasampak di ACL baku, sarta kami bakal bakti palajaran video salajengna ka daptar nambahan.
Sakumaha ceuk kuring, ACL mangrupikeun daptar kaayaan. Saatos Anjeun nerapkeun daptar ieu ka panganteur asup atawa kaluar router urang, router anu pariksa lalulintas ngalawan daptar ieu, sarta lamun eta meets kaayaan diatur dina daptar, mutuskeun pikeun ngidinan atawa mungkir lalulintas ieu. Jalma sering hese nangtukeun input sareng output interfaces tina router a, sanajan aya nanaon pajeulit di dieu. Lamun urang ngobrol ngeunaan hiji panganteur asup, ieu ngandung harti yén ngan lalulintas asup bakal dikawasa dina port ieu, sarta router moal nerapkeun larangan pikeun lalulintas kaluar. Nya kitu, lamun urang ngobrol ngeunaan hiji panganteur egress, ieu ngandung harti yén sakabéh aturan bakal dilarapkeun ukur keur lalulintas kaluar, bari lalulintas asup port ieu bakal katampa tanpa palarangan. Contona, upami router ngabogaan 2 palabuhan: f0/0 jeung f0/1, mangka ACL bakal ngan dilarapkeun ka lalulintas ngasupkeun f0/0 panganteur, atawa ukur keur lalulintas asalna ti f0/1 panganteur. Lalu lintas asup atawa ninggalkeun panganteur f0/1 moal kapangaruhan ku daptar.
Ku alatan éta, ulah bingung ku arah asup atawa kaluar tina panganteur, éta gumantung kana arah lalulintas husus. Janten, saatos router pariksa lalu lintas pikeun cocog sareng kaayaan ACL, éta ngan ukur tiasa nyandak dua kaputusan: ngawenangkeun lalu lintas atanapi nampik. Contona, Anjeun bisa ngidinan lalulintas ditujukeun pikeun 180.160.1.30 jeung nolak lalulintas ditujukeun pikeun 192.168.1.10. Unggal daptar bisa ngandung sababaraha kaayaan, tapi unggal kaayaan ieu kudu ngidinan atawa mungkir.
Anggap urang gaduh daptar:
Larang _______
Ngidinan ________
Ngidinan ________
Larang _________.
Mimiti, router bakal mariksa lalu lintas pikeun ningali naha éta cocog sareng kaayaan kahiji; upami henteu cocog, éta bakal pariksa kaayaan kadua. Upami patalimarga cocog sareng kaayaan katilu, router bakal lirén mariksa sareng moal ngabandingkeunana sareng kaayaan daptar anu sanés. Bakal ngalakukeun "ngawenangkeun" Peta sarta ngaléngkah ka mariksa bagian saterusna lalulintas.
Upami anjeun teu acan netepkeun aturan pikeun pakét naon waé sareng lalu lintas ngalangkungan sadaya garis daptar tanpa pencét salah sahiji kaayaan, éta bakal musnah, sabab unggal daptar ACL sacara standar ditungtungan ku nampik paréntah naon waé - nyaéta, piceun. sagala pakét, teu ragrag dina salah sahiji aturan. Kaayaan ieu berlaku upami sahenteuna aya hiji aturan dina daptar, upami teu aya pangaruhna. Tapi lamun baris kahiji ngandung éntri mungkir 192.168.1.30 jeung daftar euweuh ngandung kaayaan naon baé, lajeng dina tungtungna kudu idin paréntah wae, nyaeta, ngidinan lalulintas wae iwal nu dilarang ku aturan. Anjeun kedah tumut kana akun ieu pikeun nyegah kasalahan nalika ngonpigurasikeun ACL.
Abdi hoyong anjeun émut aturan dasar pikeun nyiptakeun daptar ASL: nempatkeun ASL standar sacaket mungkin ka tujuan, nyaéta, ka anu nampi lalu lintas, sareng nempatkeun ASL anu diperpanjang sacaketna ka sumberna, nyaéta, ka nu ngirim lalulintas. Di handap ieu mangrupakeun rekomendasi Cisco, tapi dina prakna aya kaayaan dimana eta ngajadikeun leuwih akalna hiji tempat ACL baku deukeut sumber lalulintas. Tapi lamun datang di sakuliah sual ngeunaan aturan panempatan ACL salila ujian, Tuturkeun saran Cisco sarta ngajawab unambiguously: baku nyaeta ngadeukeutan ka tujuan, ngalegaan nyaeta ngadeukeutan ka sumber.
Ayeuna hayu urang tingali sintaksis tina ACL standar. Aya dua jinis sintaksis paréntah dina modeu konfigurasi global router: sintaksis klasik sareng sintaksis modern.
Jenis paréntah klasik nyaéta daptar aksés <nomer ACL> <deny/allow> <criteria>. Upami anjeun nyetél <nomer ACL> ti 1 dugi ka 99, alat bakal otomatis ngartos yén ieu mangrupikeun ACL standar, sareng upami ti 100 dugi ka 199, maka éta mangrupikeun anu diperpanjang. Kusabab dina palajaran dinten ieu urang pilari dina daptar baku, urang tiasa nganggo angka nu mana wae nu ti 1 nepi ka 99. Teras we nunjukkeun aksi nu kudu dilarapkeun lamun parameter cocog kriteria handap - ngidinan atawa mungkir lalulintas. Urang bakal mertimbangkeun kriteria engké, sabab ogé dipaké dina sintaksis modern.
Jinis paréntah modern ogé dipaké dina Rx (config) mode konfigurasi global jeung kasampak kawas kieu: ip access-list standar <ACL number/name>. Di dieu anjeun tiasa nganggo nomer tina 1 dugi ka 99 atanapi nami daptar ACL, contona, ACL_Networking. Paréntah ieu langsung nempatkeun sistem kana modeu subcommand mode standar Rx (config-std-nacl), dimana anjeun kedah ngalebetkeun <deny/enable> <criteria>. Jenis tim modéren langkung seueur kaunggulan dibandingkeun sareng anu klasik.
Dina daptar klasik, upami anjeun ngetik aksés-daftar 10 mungkir ______, teras ketik paréntah salajengna tina jinis anu sami pikeun kriteria anu sanés sareng ditungtungan ku 100 paréntah sapertos kitu, teras pikeun ngarobih paréntah anu dilebetkeun anjeun kedah ngahapus. sakabéh daptar aksés-daftar 10 kalawan paréntah euweuh aksés-daftar 10. Ieu bakal ngahapus sakabeh 100 Paréntah sabab euweuh jalan pikeun ngédit sagala paréntah individu dina daptar ieu.
Dina sintaksis modern, paréntah dibagi jadi dua baris, anu kahiji ngandung nomer daptar. Anggap lamun anjeun boga daptar aksés-daftar standar 10 mungkir ________, aksés-daftar standar 20 mungkir ________ jeung saterusna, mangka anjeun boga kasempetan pikeun nyelapkeun béréndélan panengah jeung kriteria séjén diantara aranjeunna, contona, aksés-daftar standar 15 mungkir ________ .
Alternatipna, anjeun ngan saukur tiasa mupus garis aksés-daftar standar 20 sareng ngetik deui kalayan parameter anu béda antara standar daptar-aksés 10 sareng garis aksés-daftar standar 30. Ku kituna, aya sababaraha cara pikeun ngédit sintaksis ACL modern.
Anjeun kudu ati pisan nalika nyieun ACLs. Sakumaha anjeun terang, daptar dibaca ti luhur ka handap. Upami anjeun nempatkeun garis di luhur anu ngamungkinkeun lalu lintas ti host khusus, teras di handap anjeun tiasa nempatkeun garis anu ngalarang lalu lintas tina sakumna jaringan anu janten bagian host ieu, sareng duanana kaayaan bakal dipariksa - lalu lintas ka host khusus bakal diidinan ngaliwatan, sarta lalulintas ti sakabeh host séjén jaringan ieu bakal diblokir. Ku alatan éta, sok nempatkeun éntri husus di luhur daptar jeung leuwih umum di handap.
Janten, saatos anjeun nyiptakeun ACL klasik atanapi modern, anjeun kedah nerapkeunana. Jang ngalampahkeun ieu, anjeun kedah lebet kana setélan antarmuka khusus, contona, f0/0 nganggo antarmuka paréntah <tipe sareng slot>, angkat ka modeu subcommand antarmuka sareng lebetkeun paréntah ip access-group <ACL number/ ngaran> . Punten perhatikeun bédana: nalika nyusun daptar, daptar aksés dianggo, sareng nalika nerapkeun éta, grup aksés dianggo. Anjeun kudu nangtukeun interface mana daptar ieu bakal dilarapkeun ka - panganteur asup atawa panganteur kaluar. Lamun daptar boga ngaran, contona, Networking, ngaran sarua diulang dina paréntah pikeun nerapkeun daptar dina panganteur ieu.
Ayeuna hayu urang nyandak masalah khusus sareng nyobian ngarengsekeunana nganggo conto diagram jaringan urang nganggo Packet Tracer. Janten, urang gaduh 4 jaringan: departemén penjualan, departemen akuntansi, manajemén sareng ruangan server.
Tugas No.. 1: sagala lalulintas diarahkeun ti jualan jeung departemén finansial ka departemén manajemén jeung kamar server kudu diblokir. Lokasi blocking nyaéta panganteur S0/1/0 tina router R2. Mimiti urang kedah ngadamel daptar anu ngandung éntri ieu:
Hayu urang nelepon daptar "Manajemén sarta Server Kaamanan ACL", disingget jadi ACL Secure_Ma_And_Se. Ieu dituturkeun ku prohibiting lalulintas ti jaringan departemén finansial 192.168.1.128/26, prohibiting lalulintas ti jaringan departemén jualan 192.168.1.0/25, sarta ngidinan sagala lalulintas séjén. Dina tungtung daptar dituduhkeun yén éta dianggo pikeun antarmuka kaluar S0/1/0 tina router R2. Lamun urang teu boga Idin Sakur Éntri di ahir daptar, lajeng sadaya lalulintas sejenna bakal diblokir sabab standar ACL salawasna disetel ka Deny Sakur Éntri dina tungtung daptar.
Dupi abdi tiasa nerapkeun ACL ieu panganteur G0 / 0? Tangtosna, abdi tiasa, tapi dina hal ieu ngan lalulintas ti jurusan akuntansi bakal diblokir, sarta lalulintas ti departemen jualan moal diwatesan ku cara naon baé. Dina cara nu sami, anjeun tiasa nerapkeun hiji ACL ka G0 / 1 panganteur, tapi dina hal ieu lalulintas departemén keuangan moal diblokir. Tangtu, urang bisa nyieun dua béréndélan block misah pikeun interfaces ieu, tapi leuwih efisien mun ngagabungkeun kana hiji daptar jeung nerapkeun ka panganteur kaluaran router R2 atawa panganteur input S0/1/0 router R1.
Sanajan aturan Cisco nyatakeun yén hiji ACL baku kudu ditempatkeun sacaket mungkin ka tujuan, Kuring baris nempatkeun eta ngadeukeutan ka sumber lalulintas sabab abdi hoyong meungpeuk sakabeh lalulintas kaluar, sarta ngajadikeun leuwih raos ngalakukeun ieu ngadeukeutan ka sumber ambéh lalulintas ieu teu runtah jaringan antara dua routers.
Abdi hilap nyarioskeun kritéria, janten hayu urang gancang balik. Anjeun tiasa netepkeun naon waé salaku kriteria - dina hal ieu, lalu lintas tina alat naon waé sareng jaringan naon waé bakal ditolak atanapi diidinan. Anjeun oge bisa nangtukeun host kalawan identifier na - dina hal ieu, entri bakal alamat IP tina alat husus. Tungtungna, Anjeun bisa nangtukeun hiji sakabéh jaringan, contona, 192.168.1.10/24. Dina hal ieu, /24 bakal hartosna ayana subnet mask 255.255.255.0, tapi teu mungkin pikeun nangtukeun alamat IP tina subnet mask dina ACL. Pikeun hal ieu, ACL boga konsep disebut Wildcart Topeng, atawa "topeng sabalikna". Kituna anjeun kudu nangtukeun alamat IP na balik topeng. Topeng sabalikna sapertos kieu: anjeun kedah ngirangan subnet mask langsung tina subnet mask umum, nyaéta, jumlah anu cocog sareng nilai oktet dina topéng payun dikurangan tina 255.
Kituna, anjeun kudu make parameter 192.168.1.10 0.0.0.255 salaku kriteria dina ACL.
Kumaha gawéna? Upami aya 0 dina oktet masker mulang, kriteria dianggap cocog sareng oktet anu cocog tina alamat IP subnet. Lamun aya nomer dina oktet backmask, pertandingan teu dipariksa. Ku kituna, pikeun jaringan 192.168.1.0 sarta masker balik 0.0.0.255, sadaya lalulintas ti alamat nu tilu oktét kahiji sarua jeung 192.168.1., paduli nilai oktet kaopat, bakal diblokir atawa diwenangkeun gumantung kana. lampah nu ditangtukeun.
Ngagunakeun topeng sabalikna gampang, sarta kami bakal datang deui ka Topeng Wildcart dina video salajengna sangkan abdi tiasa ngajelaskeun kumaha carana dianggo kalayan eta.
28:50 mnt
Hatur nuhun pikeun tetep sareng kami. Naha anjeun resep artikel kami? Hoyong ningali eusi anu langkung narik? Dukung kami ku cara nempatkeun pesenan atanapi nyarankeun ka babaturan, Diskon 30% pikeun pangguna Habr dina analog unik tina server tingkat éntri, anu diciptakeun ku kami pikeun anjeun: (sadia kalawan RAID1 na RAID10, nepi ka 24 cores sarta nepi ka 40GB DDR4).
Dell R730xd 2 kali langkung mirah? Ngan di dieu di Walanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ti $99! Baca ngeunaan
sumber: www.habr.com