Bugun biz ACL kirishni boshqarish ro'yxatini o'rganishni boshlaymiz, bu mavzu 2 ta video darsni oladi. Biz standart ACL konfiguratsiyasini ko'rib chiqamiz va keyingi video darsida men kengaytirilgan ro'yxat haqida gapiraman.
Ushbu darsda biz 3 ta mavzuni o'rganamiz. Birinchisi, ACL nima, ikkinchisi, standart va kengaytirilgan kirish ro'yxati o'rtasidagi farq nima va dars oxirida, laboratoriya sifatida biz standart ACLni o'rnatish va yuzaga kelishi mumkin bo'lgan muammolarni hal qilishni ko'rib chiqamiz.
Xo'sh, ACL nima? Agar siz birinchi video darsdan boshlab kursni o'rgangan bo'lsangiz, unda biz turli xil tarmoq qurilmalari o'rtasidagi aloqani qanday tashkil qilganimizni eslaysiz.
Shuningdek, biz qurilmalar va tarmoqlar o‘rtasidagi aloqani tashkil qilish ko‘nikmalarini olish uchun turli protokollar bo‘yicha statik marshrutlashni o‘rgandik. Endi biz trafikni nazorat qilishni ta'minlash, ya'ni "yomon odamlar" yoki ruxsatsiz foydalanuvchilarning tarmoqqa kirishining oldini olish haqida qayg'urishimiz kerak bo'lgan o'rganish bosqichiga yetdik. Masalan, bu diagrammada tasvirlangan SALES savdo bo'limi xodimlariga tegishli bo'lishi mumkin. Bu erda biz shuningdek, moliyaviy bo'lim HISOBLAR, boshqaruv bo'limi MANAGEMENT va server xonasi SERVER XONASIni ko'rsatamiz.
Shunday qilib, savdo bo'limida yuz nafar xodim bo'lishi mumkin va biz ularning hech biri tarmoq orqali server xonasiga etib borishini xohlamaymiz. Laptop2 kompyuterida ishlaydigan savdo menejeri uchun istisno mavjud - u server xonasiga kirishi mumkin. Laptop3 da ishlaydigan yangi xodim bunday kirish huquqiga ega bo'lmasligi kerak, ya'ni agar uning kompyuteridan trafik R2 routerga etib borsa, uni o'chirib qo'yish kerak.
ACL ning roli belgilangan filtrlash parametrlariga muvofiq trafikni filtrlashdan iborat. Ular manba IP-manzili, maqsad IP-manzili, protokol, portlar soni va boshqa parametrlarni o'z ichiga oladi, buning yordamida siz trafikni aniqlashingiz va u bilan ba'zi harakatlar qilishingiz mumkin.
Shunday qilib, ACL OSI modelining 3-qatlam filtrlash mexanizmidir. Bu shuni anglatadiki, ushbu mexanizm marshrutizatorlarda qo'llaniladi. Filtrlashning asosiy mezoni ma'lumotlar oqimini aniqlashdir. Misol uchun, agar biz Laptop3 kompyuteri bo'lgan yigitni serverga kirishini bloklamoqchi bo'lsak, birinchi navbatda uning trafigini aniqlashimiz kerak. Ushbu trafik tarmoq qurilmalarining mos keladigan interfeyslari orqali Laptop-Switch2-R2-R1-Switch1-Server1 yo'nalishi bo'yicha harakatlanadi, marshrutizatorlarning G0/0 interfeyslari esa bunga hech qanday aloqasi yo'q.
Trafikni aniqlash uchun biz uning yo'lini aniqlashimiz kerak. Buni amalga oshirgandan so'ng, biz filtrni qayerga o'rnatishimiz kerakligini hal qilishimiz mumkin. Filtrlarning o'zi haqida qayg'urmang, biz ularni keyingi darsda muhokama qilamiz, hozircha filtrni qaysi interfeysga qo'llash tamoyilini tushunishimiz kerak.
Agar siz marshrutizatorga qarasangiz, har safar trafik harakatlanayotganda, ma'lumotlar oqimi kiradigan interfeys va bu oqim chiqadigan interfeys mavjudligini ko'rishingiz mumkin.
Aslida 3 ta interfeys mavjud: kirish interfeysi, chiqish interfeysi va routerning o'z interfeysi. Filtrlash faqat kirish yoki chiqish interfeysida qo'llanilishi mumkinligini yodda tuting.
ACL ishlash printsipi faqat taklif qilinganlar ro'yxatida bo'lgan mehmonlar ishtirok etishi mumkin bo'lgan tadbirga o'tishga o'xshaydi. ACL - bu trafikni aniqlash uchun ishlatiladigan malaka parametrlari ro'yxati. Misol uchun, ushbu ro'yxat 192.168.1.10 IP-manzilidan barcha trafikka ruxsat etilganligini va boshqa barcha manzillardan trafik rad etilganligini ko'rsatadi. Aytganimdek, ushbu ro'yxat ham kirish, ham chiqish interfeysiga qo'llanilishi mumkin.
ACL ning 2 turi mavjud: standart va kengaytirilgan. Standart ACL 1 dan 99 gacha yoki 1300 dan 1999 gacha bo'lgan identifikatorga ega. Bular oddiygina ro'yxat nomlari bo'lib, raqamlash ortib borishi bilan bir-biridan ustunliklari yo'q. Raqamga qo'shimcha ravishda siz o'z nomingizni ACLga belgilashingiz mumkin. Kengaytirilgan ACL lar 100 dan 199 gacha yoki 2000 dan 2699 gacha raqamlangan va nomi ham bo'lishi mumkin.
Standart ACLda tasniflash trafikning manba IP-manziliga asoslanadi. Shuning uchun, bunday ro'yxatni ishlatganda, siz biron bir manbaga yo'naltirilgan trafikni cheklay olmaysiz, faqat qurilmadan keladigan trafikni bloklashingiz mumkin.
Kengaytirilgan ACL trafikni manba IP manzili, maqsad IP manzili, foydalanilgan protokol va port raqami bo'yicha tasniflaydi. Masalan, siz faqat FTP trafigini yoki faqat HTTP trafigini bloklashingiz mumkin. Bugun biz standart ACLni ko'rib chiqamiz va keyingi video darsni kengaytirilgan ro'yxatlarga bag'ishlaymiz.
Aytganimdek, ACL - bu shartlar ro'yxati. Ushbu ro'yxatni marshrutizatorning kiruvchi yoki chiquvchi interfeysiga qo'llaganingizdan so'ng, marshrutizator trafikni ushbu ro'yxat bo'yicha tekshiradi va agar u ro'yxatda ko'rsatilgan shartlarga javob bersa, ushbu trafikka ruxsat berish yoki rad etish to'g'risida qaror qabul qiladi. Odamlar ko'pincha routerning kirish va chiqish interfeyslarini aniqlash qiyin, garchi bu erda hech qanday murakkab narsa yo'q. Kiruvchi interfeys haqida gapiradigan bo'lsak, demak, bu portda faqat kiruvchi trafik nazorat qilinadi va yo'riqnoma chiquvchi trafikka cheklovlar qo'llamaydi. Xuddi shunday, agar biz chiqish interfeysi haqida gapiradigan bo'lsak, bu barcha qoidalar faqat chiquvchi trafik uchun qo'llanilishini anglatadi, shu bilan birga ushbu portdagi kiruvchi trafik cheklovlarsiz qabul qilinadi. Misol uchun, agar yo'riqnoma ikkita portga ega bo'lsa: f2/0 va f0/0, u holda ACL faqat f1/0 interfeysiga kiradigan trafikga yoki faqat f0/0 interfeysidan kelib chiqadigan trafikga qo'llaniladi. Ro'yxat f1/0 interfeysiga kiruvchi yoki chiquvchi trafikka ta'sir qilmaydi.
Shuning uchun, interfeysning kiruvchi yoki chiquvchi yo'nalishi bilan chalkashib ketmang, bu aniq trafik yo'nalishiga bog'liq. Shunday qilib, marshrutizator trafikni ACL shartlariga mos kelishini tekshirgandan so'ng, u faqat ikkita qaror qabul qilishi mumkin: trafikka ruxsat berish yoki rad etish. Masalan, siz 180.160.1.30 uchun mo'ljallangan trafikka ruxsat berishingiz va 192.168.1.10 uchun mo'ljallangan trafikni rad etishingiz mumkin. Har bir ro'yxat bir nechta shartlarni o'z ichiga olishi mumkin, ammo bu shartlarning har biri ruxsat berishi yoki rad etishi kerak.
Aytaylik, bizda ro'yxat bor:
Taqiqlamoq _______
Ruxsat bering ________
Ruxsat bering ________
Taqiqlamoq _________.
Birinchidan, marshrutizator birinchi shartga mos kelishini tekshirish uchun trafikni tekshiradi, agar u mos kelmasa, ikkinchi shartni tekshiradi. Agar trafik uchinchi shartga to'g'ri kelsa, marshrutizator tekshirishni to'xtatadi va uni ro'yxatning qolgan shartlari bilan solishtirmaydi. U "ruxsat berish" amalini bajaradi va trafikning keyingi qismini tekshirishga o'tadi.
Agar siz biron bir paket uchun qoida o'rnatmagan bo'lsangiz va trafik ro'yxatning barcha satrlari bo'ylab birorta shartga tegmasdan o'tib ketsa, u yo'q qilinadi, chunki har bir ACL ro'yxati sukut bo'yicha rad etish buyrug'i bilan tugaydi - ya'ni o'chirish. har qanday paket, hech qanday qoidalarga kirmaydi. Ro'yxatda kamida bitta qoida mavjud bo'lsa, bu shart kuchga kiradi, aks holda u hech qanday ta'sir qilmaydi. Ammo agar birinchi qatorda rad etish 192.168.1.30 yozuvi mavjud bo'lsa va ro'yxat endi hech qanday shartlarni o'z ichiga olmasa, u holda oxirida har qanday ruxsat berish buyrug'i bo'lishi kerak, ya'ni qoidada taqiqlanganidan tashqari har qanday trafikka ruxsat berish. ACLni sozlashda xatolikka yo'l qo'ymaslik uchun buni hisobga olishingiz kerak.
ASL ro'yxatini yaratishning asosiy qoidasini eslab qolishingizni istayman: standart ASL ni iloji boricha belgilangan joyga, ya'ni trafikni qabul qiluvchiga yaqinroq joylashtiring va kengaytirilgan ASLni manbaga iloji boricha yaqinroq joylashtiring, ya'ni trafikni jo'natuvchiga. Bular Cisco tavsiyalaridir, lekin amalda standart ACLni trafik manbasiga yaqinroq joylashtirish mantiqiyroq bo'lgan holatlar mavjud. Ammo imtihon paytida siz ACL joylashtirish qoidalari haqida savolga duch kelsangiz, Cisco tavsiyalariga amal qiling va bir ma'noda javob bering: standart manzilga yaqinroq, kengaytirilgan - manbaga yaqinroq.
Endi standart ACL sintaksisini ko'rib chiqamiz. Routerning global konfiguratsiya rejimida buyruqlar sintaksisining ikki turi mavjud: klassik sintaksis va zamonaviy sintaksis.
Klassik buyruq turi - kirish ro'yxati <ACL raqami> <rad etish/ruxsat berish> <kriteriyalar>. Agar siz <ACL raqami> ni 1 dan 99 gacha o'rnatsangiz, qurilma bu standart ACL ekanligini avtomatik ravishda tushunadi va agar u 100 dan 199 gacha bo'lsa, u kengaytirilgan hisoblanadi. Bugungi darsda biz standart ro'yxatni ko'rib chiqayotganimiz sababli, biz 1 dan 99 gacha bo'lgan istalgan raqamdan foydalanishimiz mumkin. Keyin parametrlar quyidagi mezonga mos keladigan bo'lsa, qo'llanilishi kerak bo'lgan amalni ko'rsatamiz - trafikka ruxsat berish yoki rad etish. Biz mezonni keyinroq ko'rib chiqamiz, chunki u zamonaviy sintaksisda ham qo'llaniladi.
Zamonaviy buyruq turi Rx(config) global konfiguratsiya rejimida ham qo'llaniladi va quyidagicha ko'rinadi: IP kirish ro'yxati standarti <ACL raqami/nomi>. Bu erda siz 1 dan 99 gacha bo'lgan raqamdan yoki ACL ro'yxati nomidan foydalanishingiz mumkin, masalan, ACL_Networking. Ushbu buyruq darhol tizimni Rx standart rejimi pastki buyruq rejimiga (config-std-nacl) o'tkazadi, u erda siz <rad etish/yoqish> <kriteria>ni kiritishingiz kerak. Klassik jamoaga nisbatan zamonaviy tipdagi jamoalar ko'proq afzalliklarga ega.
Klassik ro'yxatda, agar siz kirish ro'yxati 10 rad etish ______ deb yozsangiz, boshqa mezon uchun bir xil turdagi keyingi buyruqni kiriting va siz 100 ta shunday buyruqni olasiz, keyin kiritilgan buyruqlardan birini o'zgartirish uchun sizga kerak bo'ladi. no access-list 10 buyrug'i bilan to'liq kirish ro'yxatini 10 o'chirib tashlang. Bu barcha 100 ta buyruqni o'chirib tashlaydi, chunki bu ro'yxatdagi biron bir alohida buyruqni tahrir qilish imkoni yo'q.
Zamonaviy sintaksisda buyruq ikki qatorga bo'lingan, birinchi qatorda ro'yxat raqami mavjud. Aytaylik, agar sizda kirish ro'yxati standarti 10 rad etuvchi ________, kirish ro'yxati standarti 20 rad etuvchi ________ va hokazo bo'lsa, sizda ular orasiga boshqa mezonlar bilan oraliq ro'yxatlarni kiritish imkoniyati mavjud, masalan, kirish ro'yxati standarti 15 rad etish ________ .
Shu bilan bir qatorda, kirish ro'yxati standarti 20 qatorni oddiygina o'chirishingiz va ularni kirish ro'yxati standarti 10 va kirish ro'yxati standarti 30 qatorlari o'rtasida turli parametrlar bilan qayta yozishingiz mumkin.Shunday qilib, zamonaviy ACL sintaksisini tahrirlashning turli usullari mavjud.
ACL yaratishda siz juda ehtiyot bo'lishingiz kerak. Ma'lumki, ro'yxatlar yuqoridan pastga qarab o'qiladi. Agar siz yuqori qismida ma'lum bir xostdan trafikni ta'minlaydigan chiziqni qo'ysangiz, pastda siz ushbu xost bir qismi bo'lgan butun tarmoqdan trafikni taqiqlovchi qatorni qo'yishingiz mumkin va ikkala shart ham tekshiriladi - ma'lum bir xostga trafik bo'ladi. orqali ruxsat beriladi va boshqa barcha xostlardan kelayotgan trafik bu tarmoq bloklanadi. Shuning uchun, har doim ro'yxatning yuqori qismiga maxsus yozuvlarni va pastki qismiga umumiy narsalarni joylashtiring.
Shunday qilib, klassik yoki zamonaviy ACL yaratganingizdan so'ng, uni qo'llashingiz kerak. Buni amalga oshirish uchun siz ma'lum bir interfeys sozlamalariga o'tishingiz kerak, masalan, f0/0 buyruq interfeysi <turi va uyasi>, interfeysning pastki buyruq rejimiga o'ting va ip access-group buyrug'ini kiriting <ACL raqami/ nomi> . Farqga e'tibor bering: ro'yxatni tuzishda kirish ro'yxati, uni qo'llashda esa kirish guruhi ishlatiladi. Ushbu ro'yxat qaysi interfeysga qo'llanilishini aniqlashingiz kerak - kiruvchi interfeys yoki chiquvchi interfeys. Agar ro'yxatda nom bo'lsa, masalan, Networking, ushbu interfeysda ro'yxatni qo'llash buyrug'ida xuddi shu nom takrorlanadi.
Keling, ma'lum bir muammoni olaylik va uni Packet Tracer yordamida tarmoq diagrammasi misolida hal qilishga harakat qilaylik. Shunday qilib, bizda 4 ta tarmoq mavjud: savdo bo'limi, buxgalteriya bo'limi, boshqaruv va server xonasi.
1-sonli vazifa: savdo va moliyaviy bo'limlardan boshqaruv bo'limiga va server xonasiga yo'naltirilgan barcha trafik bloklanishi kerak. Bloklash joyi - R0 routerning S1/0/2 interfeysi. Avval biz quyidagi yozuvlarni o'z ichiga olgan ro'yxatni yaratishimiz kerak:
Keling, ro'yxatni ACL Secure_Ma_And_Se deb qisqartirilgan "Menejment va Server xavfsizligi ACL" deb nomlaymiz. Buning ortidan 192.168.1.128/26 moliyaviy bo'lim tarmog'idan trafikni taqiqlash, 192.168.1.0/25 savdo bo'limi tarmog'idan trafikni taqiqlash va boshqa har qanday trafikka ruxsat berish. Ro'yxat oxirida u R0 routerining S1/0/2 chiqish interfeysi uchun ishlatilishi ko'rsatilgan. Agar bizda roʻyxat oxirida “Her qanday ruxsat berish” yozuvi boʻlmasa, boshqa barcha trafik bloklanadi, chunki standart ACL har doim roʻyxat oxiridagi “Har qandayni rad etish” yozuviga oʻrnatiladi.
Ushbu ACLni G0/0 interfeysiga qo'llashim mumkinmi? Albatta, men qila olaman, lekin bu holda faqat buxgalteriya bo'limidan trafik bloklanadi va savdo bo'limidan trafik hech qanday tarzda cheklanmaydi. Xuddi shu tarzda, siz G0/1 interfeysiga ACLni qo'llashingiz mumkin, ammo bu holda moliya bo'limining trafigiga to'sqinlik qilmaydi. Albatta, biz ushbu interfeyslar uchun ikkita alohida blok ro'yxatini yaratishimiz mumkin, lekin ularni bir ro'yxatga birlashtirib, uni R2 routerning chiqish interfeysiga yoki R0 routerning S1/0/1 kirish interfeysiga qo'llash ancha samaralidir.
Garchi Cisco qoidalari standart ACLni belgilangan joyga iloji boricha yaqinroq joylashtirish kerakligini ta'kidlagan bo'lsa-da, men uni trafik manbasiga yaqinroq joylashtiraman, chunki men barcha chiquvchi trafikni bloklashni xohlayman va buni manzilga yaqinroq qilish mantiqiyroq. bu trafik ikki router o'rtasidagi tarmoqni behuda sarflamasligi uchun manba.
Men sizga mezonlar haqida aytib berishni unutibman, shuning uchun tezda orqaga qaytaylik. Siz mezon sifatida istalgan narsani belgilashingiz mumkin - bu holda har qanday qurilmadan va har qanday tarmoqdan har qanday trafik rad etiladi yoki ruxsat etiladi. Xostni uning identifikatori bilan ham belgilashingiz mumkin - bu holda, kirish ma'lum bir qurilmaning IP-manzili bo'ladi. Nihoyat, siz butun tarmoqni belgilashingiz mumkin, masalan, 192.168.1.10/24. Bunday holda, /24 255.255.255.0 pastki tarmoq niqobining mavjudligini anglatadi, ammo ACLda pastki tarmoq maskasining IP manzilini ko'rsatish mumkin emas. Bu holatda, ACL Wildcart Mask yoki "teskari niqob" deb nomlangan tushunchaga ega. Shuning uchun siz IP manzilini va qaytish niqobini ko'rsatishingiz kerak. Teskari niqob quyidagicha ko'rinadi: to'g'ridan-to'g'ri pastki tarmoq niqobini umumiy pastki tarmoq niqobidan ayirish kerak, ya'ni oldinga siljish niqobidagi oktet qiymatiga mos keladigan raqam 255 dan ayiriladi.
Shuning uchun siz ACLda mezon sifatida 192.168.1.10 0.0.0.255 parametridan foydalanishingiz kerak.
U qanday ishlaydi? Qaytish niqobi oktetida 0 bo'lsa, mezon quyi tarmoq IP manzilining mos keladigan oktetiga mos keladi deb hisoblanadi. Agar orqa niqobli oktetda raqam bo'lsa, moslik tekshirilmaydi. Shunday qilib, 192.168.1.0 tarmog'i va 0.0.0.255 qaytish maskasi uchun to'rtinchi oktet qiymatidan qat'i nazar, birinchi uchta oktet 192.168.1. ga teng bo'lgan manzillardan barcha trafik bloklanadi yoki ruxsat etiladi. belgilangan harakat.
Teskari niqobdan foydalanish oson va keyingi videoda Wildcart Maskiga qaytamiz, shunda men u bilan qanday ishlashni tushuntiraman.
28:50 min
Biz bilan qolganingiz uchun tashakkur. Bizning maqolalarimiz sizga yoqdimi? Yana qiziqarli tarkibni ko'rishni xohlaysizmi? Buyurtma berish yoki do'stlaringizga tavsiya qilish orqali bizni qo'llab-quvvatlang, Habr foydalanuvchilari uchun biz siz uchun ixtiro qilingan boshlang'ich darajadagi serverlarning noyob analogiga 30% chegirma: (RAID1 va RAID10, 24 tagacha yadro va 40 Gb gacha DDR4 bilan mavjud).
Dell R730xd 2 barobar arzonmi? Faqat shu yerda Gollandiyada! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 dollardan! Haqida o'qing
Manba: www.habr.com