Konfiguriranje cisco kontekstualnih pristupnih lista. Imenovane pristupne liste

Kreirajmo imenovani ACL i napišimo pravila za njega:

ip access-list proširena HTTP_ONLY - kreiranje liste.

permittcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eqwww - konfiguriši filtriranje www.

permiticmp 172.22.34.96 0.0.0.15 host 172.22.34.62 - dozvoli prijenos ICMP prometa sa PC2 na Server.

interfejsgigabitEthernet 0/1

ipaccess-groupHTTP_ONLYin - lokacija liste na interfejsu.

Da biste proverili rad primenjene liste, pošaljite eho zahtev sa PC2 na server server (slika 4.4), a zatim se izvrši neuspešna FTP veza od PC2 do server servera (slika 4.4). Zatim morate otvoriti web pretraživač na PC2 i uneti IP adresu servera kao URL. Veza bi trebala biti uspješna (slika 4.5).

Slika 4.4 - Echo zahtjev i FTP-veza na server sa PC2

Slika 4.5 – Povezivanje sa serverom preko web pretraživača

5 Konfiguriranje proširenih ACL-ova. Scenario 2

U ovom scenariju, uređajima na jednom LAN-u je dozvoljeno daljinski pristup uređajima na drugom LAN-u putem Telneta. Sa izuzetkom ICMP-a, sav promet s drugih mreža je odbijen. Mrežni dijagram je prikazan na slici 5.1.

Slika 5.1 - Mrežni dijagram

Konfigurirajte prošireni numerirani ACL sa sljedećim naredbama:

accesslist 199 permittcp 10.101.117.32 0.0.0.15 10.101.117.0 0.0.0.31 eqtelnet - saobraćaj preko Telnet protokola u 10.101.117.32/28 mreži je dozvoljeno do uređaja u mreži za prenos.1012.

access-list 199 permiticmpanyany - ICMP promet je dozvoljen sa bilo kojeg uređaja iu bilo kojem smjeru.

Ostatak saobraćaja je podrazumevano odbijen.

interfejs gigabitethernet0 / 2

ipaccess-group 199 out - lokacija liste na interfejsu.

Da biste potvrdili da proširena lista radi, prvo morate poslati eho zahtjeve sa PCB-a na sve druge IP adrese u mreži (slika 5.2). Zatim, eho zahtjevi se šalju sa PCA na sve druge IP adrese u mreži (slika 5.3).

Slika 5.2 – Echo zahtjev od RSV-a

Slika 5.3 – Echo zahtjev od PCA

6 Konfiguriranje proširenih ACL-ova. Scenario 3

U ovom scenariju, određenim uređajima na LAN-u je dozvoljen pristup višestrukim uslugama servera koji se nalaze na Internetu. Mreža koja se koristi prikazana je na slici 6.1.

Slika 6.1 - Mrežni dijagram

Morate koristiti jedan imenovani ACL da provedete sljedeća pravila:

1 Zabranite pristup preko HTTP i HTTPS protokola sa PC1 na Server1 i Server2. Ovi serveri se nalaze unutar oblaka, samo su njihove IP adrese poznate.

2 Blokirajte FTP pristup sa PC2 na Server1 i Server2.

3 Blokirajte ICMP pristup sa PC3 na Server1 i Server2.

Prošireni imenovani ACL je konfiguriran sa sljedećim naredbama:

ip access-list prošireni ACL - kreiranje liste.

denytcphost 172.31.1.101 host 64.101.255.254 eqwww je pravilo koje odbija pristup sa PC1 na Server1, samo za HTTP.

denytcphost 172.31.1.101 host 64.101.255.254 eq 443 - pravilo koje odbija pristup sa PC1 na Server1, samo za HTTPS.

denytcphost 172.31.1.101 host 64.103.255.254 eqwww je pravilo koje zabranjuje pristup sa PC1 na Server2, samo za HTTP.

denytcphost 172.31.1.101 host 64.103.255.254 eq 443 - pravilo koje odbija pristup sa PC1 na Server2, samo za HTTPS.

denytcphost 172.31.1.102 host 64.101.255.254 eqftp – pravilo koje odbija pristup sa PC2 na Server1, samo za FTP.

denytcphost 172.31.1.102 host 64.103.255.254 eqftp - pravilo koje odbija pristup sa PC2 na Server2, samo za FTP.

denyicmphost 172.31.1.103 host 64.101.255.254 - pravilo koje odbija ICMP pristup sa PC3 na Server1.

denyicmphost 172.31.1.103 host 64.103.255.254 - pravilo koje odbija ICMP pristup sa PC3 na Server2.

permitipanyany - dozvoli ostatak IP saobraćaja.

interfejsgigabitEthernet 0/0

ipaccess-groupACLin - primjena ACL-liste na odgovarajućem interfejsu i smjeru.

Provjera proširenog ACL-a je sljedeća: provjera pristupa web stranicama na serverima Server1 i Server2 pomoću web pretraživača PC1, kao i HTTP i HTTPS protokola (slika 6.2), provjera FTP pristupa serverima Server1 i Server2 sa PC1 (slika 6.3), echo zahtjevi se upućuju serverima Server1 i Server2 sa PC1 (Slika 6.4). PC2 i PC3 se verificiraju na isti način. Uspešan pristup veb lokacijama na serverima sa PC2 i PC3 je prikazan na slici 6.5. Neuspešan FTP pristup serverima sa PC2 je prikazan na slici 6.6. Neuspeli pingovi sa PC3 na servere prikazani su na slici 6.7.

Slika 6.2 – Provjera pristupa putem HTTP-a i HTTPS-a

Slika 6.3 – FTP pristup serverima Server1 i Server2 sa PC1

Slika 6.4 – Echo zahtjevi prema serverima Server1 i Server2 sa PC1

Slika 6.5 – Uspešan pristup veb lokacijama na serverima sa PC2 i PC3

Slika 6.6 – Neuspešan FTP-pristup serverima sa PC2

Slika 6.7 – Neuspjeli eho zahtjevi od PC3 do servera

7 Uvježbavanje složenih praktičnih vještina

Kao dio ovog naprednog zadatka, dovršite šemu adresiranja, konfigurirajte usmjeravanje i primijenite imenovane ACL-ove. Dijagram korištene mreže prikazan je na slici 7.1.

Slika 7.1 - Mrežni dijagram

Tokom laboratorijskog rada ispunjeni su sledeći uslovi:

1 Mreža 172.16.128.0/19 je podijeljena na dvije jednake podmreže za korištenje u Branch ruteru.Posljednja upotrebljiva adresa druge podmreže je dodijeljena sučelju GigabitEthernet 0/0.Posljednja upotrebljiva adresa prve podmreže je dodijeljena interfejsu GigabitEthernet 0/1. Dokumentovana tabela adresiranja nalazi se u tabeli 1.

Tabela 1 - Adresna tablica

Nastavak tabele 1

Filijala	G0 / 0	172.16.159.254	255.255.240.0	Nije dostupno
G0 / 1	172.16.143.254	255.255.240.0	Nije dostupno
S0 / 0/0	192.168.0.2	255.255.255.252	Nije dostupno
HQ1	Mrežni adapter	172.16.64.1	255.255.192.0	172.16.127.254
HQ2	Mrežni adapter	172.16.0.2	255.255.192.0	172.16.63.254
HQServer.pka	Mrežni adapter	172.16.0.1	255.255.192.0	172.16.63.254
B1	Mrežni adapter	172.16.144.1	255.255.240.0	172.16.159.254
B2	Mrežni adapter	172.16.128.2	255.255.240.0	172.16.143.254
BranchServer.pka	Mrežni adapter	172.16.128.1	255.255.240.0	172.16.143.254

Dodjeljivanje adresa interfejsima vrši se naredbom u Branch ruteru:

sučelje gigabitEthernet0 / 0

ip adresa 172.16.159.254 255.255.240.0

sučelje gigabitEthernet0 / 1

ipaddress 172.16.143.254 255.255.240.0

2 B1 je konfigurisan sa odgovarajućim adresiranjem, korištena je prva slobodna adresa mreže na koju je povezan. Postavka je prikazana na slici 7.2.

Slika 7.2 - Podešavanje adresiranja na B1

3 Unaprijeđeni interni protokol rutiranja mrežnog prolaza (EIGRP) Branch ruter je konfiguriran sa sljedećim kriterijima:

a) sve tri povezane mreže su deklarisane;

b) automatsko spajanje je onemogućeno;

c) odgovarajući interfejsi su konfigurisani kao pasivni;

d) kombinovani 172.16.128.0/19 na seriji 0/0/0 sa administrativnom distancom 5.

Podešavanje je izvršeno sledećim komandama:

mreža 168.0.0.0 0.0.0.3

mreža 172.16.128.0 0.0.15.255

mreža 172.16.144.0 0.0.15.255

pasivni interfejs gigabitethernet0 / 0

pasivni interfejs gigabitethernet0/1

interfejs serijski0 / 0/0

ipsumary-addresseigrp 1 172.16.128.0 255.255.224.0 5

4 Zadana ruta je konfigurirana na HQ ruteru za usmjeravanje prometa na S0 / 0/1 sučelje. Ruta je preraspodijeljena na Branch ruter. Za to su korištene sljedeće naredbe:

ip ruta 0.0.0.0 0.0.0.0 serial0 / 0/1

redistributestatic

5 Podmreže glavnog sjedišta lokalne mreže na serijskom sučelju Serial 0/0/0 su kombinovane sa administrativnom distancom 5. Naredbe:

interfejsserial0 / 0/0

ipsummaryaddresseigrp 1 172.16.0.0 255.255.128.0 5

6 Kreiran je imenovana lista pristupa HQServeru da se zabrani pristup HQServer.pka za sve računare povezane na GigabitEthernet 0/0 interfejs Branch rutera. Sav ostali saobraćaj je dozvoljen. Konfigurisana pristupna lista na odgovarajućem ruteru, dodeljena odgovarajućem interfejsu u odgovarajućem pravcu. Za to su korištene sljedeće naredbe:

ipaccess-listextendedHQServer

denyipanyhost 172.16.0.1

dozvoliti bilo koji bilo koji

sučelje gigabitethernet0 / 0

ip pristupna grupa HQServer in

7 Kreirao pristupnu listu pod nazivom BranchServer kako bi spriječio da svi računari povezani na GigabitEthernet 0/0 interfejs HQ rutera pristupe HTTP i HTTPS uslugama Branch Servera. Sav ostali saobraćaj je dozvoljen. Pristupna lista je konfigurisana na odgovarajućem ruteru i dodeljena odgovarajućem interfejsu u odgovarajućem pravcu.

ip pristupna lista proširena BranchServer

denytcp bilo koji host 172.16.128.1 eq 80

denytcp bilo koji host 172.16.128.1 eq 443

dozvoliti bilo koji bilo koji

sučelje gigabitethernet0 / 0

ipaccess-groupBranchServerin

Za verifikaciju, eho zahtjevi su poslani sa B1 na HQServer.pka (neuspješno, slika 7.3). Web pristup BranchServer.pka sa HQ1 takođe ne uspeva (slika 7.4).

Slika 7.3 - Echo zahtjev od B1 do HQServer.pka

Slika 7.4 - Web pristup BranchServer.pka serveru sa HQ1

© 2015-2019 stranica
Sva prava pripadaju njihovim autorima. Ova stranica ne tvrdi autorstvo, ali omogućava besplatno korištenje.
Datum kreiranja stranice: 2016-08-20

Teorijski dio.

Lista kontrole pristupa (ACL) je uzastopna lista pravila koja se koriste za dozvoljavanje ili uskraćivanje protoka paketa unutar mreže na osnovu informacija koje se nalaze na listi. Bez liste pristupa, svi paketi unutar mreže su dozvoljeni bez ograničenja za sve dijelove mreže. Pristupna lista se može koristiti za kontrolu širenja i dobivanje informacija o promjenama u tabelama ruta i, što je najvažnije, za osiguranje sigurnost... Sigurnosna politika posebno uključuje zaštitu od vanjskih napada, ograničenja pristupa između odjela organizacije i balansiranje mrežnog opterećenja.

Lista pristupa vam omogućava da koristite ruter kao zaštitni zid, zaštitni zid, da zabranite ili ograničite pristup internoj mreži sa spoljne mreže, kao što je Internet. Firewall se obično postavlja na spojnim tačkama između dvije mreže.

Standardni ACL

Kada koristite standardne ACL-ove, jedini kriterijum za određivanje da li je paket dozvoljen ili odbijen je izvorna IP adresa tog paketa. Format stavke pristupne liste je sljedeći

Ruter (konfiguracija) # pristupna lista № dozvole | zabrani izvornu adresu izvornu masku,

gdje je # cijeli broj - broj pristupne liste, izvorna-adresa je izvorna adresa paketa, izvorna-maska ​​je maska ​​u inverznom obliku postavljena na adresu, dozvoli - da se dozvoli prolazak paketa, deny - da se odbije paket. Broj # određuje da li stavka pristupne liste pripada određenoj pristupnoj listi sa brojem #. Prva naredba access-list definira prvi element pristupne liste, druga komanda definira drugi element liste pristupa, itd. Ruter obrađuje svaku pristupnu listu koju definira od vrha do dna. To jest, ako izvorna adresa paketa, uzimajući u obzir masku, zadovoljava uslov stavke liste, tada ruter ne obrađuje dalje stavke liste. Stoga, kako bi se izbjegla nepotrebna obrada, na početak liste treba staviti elemente koji definišu opštije uslove. Nekoliko pristupnih lista može se definirati unutar rutera. Broj standardne liste mora biti u rasponu od 1 - 99. Maska u pristupnoj listi je navedena u inverznom obliku, na primjer, maska ​​255.255.0.0 izgleda kao 0.0.255.255.

Cisco ruteri pretpostavljaju da su sve adrese koje nisu eksplicitno navedene u pristupnoj listi odbijene. To jest, na kraju pristupne liste postoji nevidljivi element

Ruter (konfiguracija) # pristupna lista # deny 0.0.0.0 255.255.255.255

Dakle, ako želimo dozvoliti samo saobraćaj sa adrese 1.1.1.1, a zabraniti sav ostali saobraćaj, dovoljno je staviti jedan element u pristupnu listu

Ruter (konfiguracija) # pristupna lista 77 dozvola 1.1.1.1 0.0.0.0.

Ovo pretpostavlja da imamo organiziranu pristupnu listu 77.

Razmotrimo mogućnost korištenja standardnih pristupnih lista za niz adresa. Uzmite za primjer raspon 10.3.16.0 - 10.3.31.255. Da biste dobili inverznu masku, možete oduzeti nižu od starije adrese i dobiti 0.0.15.255. Tada se naredbom može postaviti primjer stavke liste

Ruter (konfiguracija) # pristupna lista 100 dozvola 10.3.16.0 0.0.15.255

Da bi pristupna lista počela da radi svoj posao, mora se primeniti na interfejs pomoću naredbe

Ruter (config-if) # ip pristup-grupa pristup-listi-broj ulaza ili izlaza

Pristupna lista se može koristiti ili kao ulaz (ulaz) ili kao izlaz (izlaz). Kada koristite pristupnu listu kao ulaznu, ruter prima ulazni paket i provjerava njegovu ulaznu adresu u odnosu na unose na listi. Ruter dozvoljava da se paket usmjeri do odredišnog interfejsa ako se paket podudara sa listom za prihvatanje ili ispusti paket ako odgovara uslovima liste odbijanja. Ako koristite pristupnu listu kao izlaz, ruter prima ulazni paket, usmjerava ga do odredišnog interfejsa i tek onda obrađuje adresu ulaznog paketa prema elementima pristupne liste ovog interfejsa. Nadalje, ruter ili dozvoljava paketu da napusti interfejs ili ga odbacuje u skladu sa elementima liste koji dozvoljavaju i odbijaju. Dakle, prethodno kreirana lista sa brojem 77 se primenjuje na Ethernet 0 interfejs rutera kao ulazna lista sa komandama

Ruter (konfiguracija) # int Ethernet 0

Ruter (config-if) # IP pristupna grupa 77 in

Ista lista se primenjuje na Ethernet 0 interfejs rutera kao izlazna lista korišćenjem komandi

Ruter (config-if) # IP pristupna grupa 77 izlaz

Poništava listu na interfejsu pomoću naredbe br

Ruter (config-if) # nema IP pristupne grupe 77 izlaz

Počnimo kreirati složenije liste pristupa. Razmotrimo mrežu na slici 1. Dopustimo sve pakete koji dolaze iz 10.1.1.0 / 25 (10.1.1.0 255.255.255.128) mreže, ali zabranimo sve pakete koji dolaze iz 10.1.1.128 / 25 (10.1.1.25.52.52) mreže. Takođe želimo da zabranimo sve pakete koji dolaze iz 15.1.1.0 / 24 (15.1.1.0 255.255.255.0) mreže, osim paketa sa jednog hosta na 15.1.1.5. Dozvoljavamo sve ostale pakete. Listi ćemo dati broj 2. Redoslijed naredbi za izvršavanje dodijeljenog zadatka će biti sljedeći

Ruter (konfiguracija) #

Ruter (konfiguracija) # pristupna lista 2 dozvola 15.1.1.5 0.0.0.0

Ruter (konfiguracija) #

Ruter (konfiguracija) #

Obratite pažnju na odsustvo elementa za razrješenje za mrežu 10.1.1.0 255.255.255.128. Njegovu ulogu igra posljednji element access-list 2 dozvola 0.0.0.0 255.255.255.255.

Pobrinut ćemo se da smo ispunili zadatak.

1. Dozvolite sve pakete koji dolaze iz mreže 10.1.1.0 255.255.255.128.

Zadnji red u pristupnoj listi ispunjava ovaj kriterij. Nema potrebe da izričito dozvolite ovu mrežu u našoj pristupnoj listi jer na listi nema linija koje odgovaraju ovoj mreži osim poslednje dozvole linije 0.0.0.0 255.255.255.255.

Prvi red na listi ispunjava ovaj kriterijum. Važno je napomenuti tip inverzne maske 0.0.0.127 za ovu mrežu. Ova maska ​​ukazuje da ne treba uzeti u obzir poslednjih sedam bitova četvrtog okteta adrese, koji su dodeljeni za adresiranje na ovoj podmreži. Maska za ovu mrežu je 255.255.255.128, što kaže da posljednjih sedam bitova četvrtog okteta određuju adresiranje na ovoj mreži.

3. Zabrani sve pakete koji odlaze iz mreže 15.1.1.0 255.255.255.0, osim za pakete sa jednog hosta sa adresom 15.1.1.5

Slika 9.1.

Ovaj zahtjev ispunjavaju drugi i treći red naše pristupne liste. Važno je napomenuti da pristupna lista nameće ovaj zahtev pogrešnim redosledom kako je definisano. Obavezno zapamtite da se pristupna lista obrađuje od vrha do dna i pri prvom podudaranju obrada paketa se zaustavlja. Prvo zahtijevamo da zabranimo sve pakete koji odlaze iz mreže 15.1.1.0 255.255.255.0 i tek onda dozvolimo pakete sa adresom 15.1.1.5. Ako preuredimo drugu i treću naredbu u naredbama koje definiraju pristupnu listu, tada će cijela mreža 15.1.1.0 biti odbijena dok se hostu ne dozvoli 15.1.1.5. Odnosno, adresa 15.1.1.5 će odmah na početku biti zabranjena opštijim kriterijumom zabrani 15.1.1.0 0.0.0.255.

4. Dozvolite sve ostale pakete

Posljednja naredba rješava sve adrese koje se ne podudaraju s prve tri naredbe.

Dakle, imamo sljedeći niz akcija za implementaciju pristupne liste.

1. Odredite kriterijume i ograničenja za pristup.

2. Implementirajte ih koristeći komande liste pristupa, kreirajući pristupnu listu sa određenim brojem.

3. Primijenite listu na određeno sučelje bilo kao ulazno ili odlazno.

Hajde da se zadržimo na poslednjoj tački. Općenito, standardna pristupna lista treba biti postavljena što je bliže moguće odredištu, a ne izvoru paketa. Ipak, možda postoje izuzeci. Budući da standardna lista pristupa radi samo sa izvornim adresama, detaljna konfiguracija nije uvijek moguća. Potrebni su napori da se izbjegne pojava neželjenih konfiguracija pristupa. Ako se lista nalazi u blizini izvora paketa, onda je vrlo vjerovatno da će pristup uređajima na kojima se ne vrši konfiguracija pristupa biti otežan.

Konkretizirajmo sigurnosnu politiku za mrežu na slici 1. Naš cilj je kreiranje politike za računar A (adresa 1.1.1.2 mreža 1.1.1.0/24), koji od svih uređaja na lokalnoj mreži 15.1.1.0 / 24 uključuje računar C (15.1.1.5) će dozvoliti pristup računaru A samo računaru C. Takođe želimo da kreiramo politiku koja zabranjuje daljinski pristup računaru A sa bilo kog uređaja na lokalnoj mreži 10.1.1.128 / 25 računara D (10.1.1.133 ). Dozvoljavamo sav drugi promet. Na slici 1, računar PC5 (15.1.1.5) igra ulogu proizvoljnog predstavnika lokalne mreže 15.1.1.0/24 različite od računara C.

Postavljanje liste je ključno za sprovođenje takve politike. Uzmimo prethodno kreiranu listu sa brojem 2. Ako napravimo izlaz liste na serijskom interfejsu rutera 2, tada će zadatak za računar A biti završen, ali će postojati ograničenja u saobraćaju između ostalih lokalnih mreža. Sličnu situaciju dobijamo ako ovu listu unosimo na serijski interfejs rutera 1. Ako ovu listu stavimo kao izlaz na Ethernet A interfejs rutera 1, tada će zadatak biti završen bez ikakvih nuspojava.

Prošireni ACL

Sa standardnim ACL-om možete odrediti samo izvornu adresu, a maska ​​je opciona. U proširenim ACL-ovima morate navesti i odredišnu adresu i izvornu adresu s maskama. Možete dodati dodatne informacije o protokolu za izvor i odredište. Na primjer, TCP i UDP smiju specificirati broj porta, dok je ICMP-u dozvoljeno da specificira tip poruke. Kao i kod standardnih ACL-ova, možete koristiti opciju dnevnika za prijavu.

Opšti oblik komande za generisanje niza liste pristupačnosti

pristupna lista pristupna lista-broj (dozvola | zabrani) izvor protokola izvor-zamjenski znak odredište odredišni zamjenski znak,

gdje je pristupna lista-broj -100-199 | 2000-2699, protokol - ip, icmp, tcp, gre, udp, igrp, eigrp, igmp, ipinip, nos i ospf. Za izvorni port ili odredišni port, možete koristiti broj porta ili njegovu oznaku bgp, chargen, daytime, discard, domain, echo, finger, ftp, ftp-data, gopher, ime hosta, irc, klogin, kshell, lpd, nntp, pop2, pop3, smtp, sunrpc, syslog, tacacs-ds, talk, telnet, vrijeme, uucp, whois i www. Operator je eq (jednako), neq (nije jednako), gt (veće od), lt (manje od), range (određuje dva porta za definiranje raspona).

Što se tiče standardnih ACL-ova, prošireni ACL bi trebao biti vezan za sučelje bilo za promet koji ulazi u sučelje.

Ruter (config-if) # ip pristupna grupa # ACL in

ili za saobraćaj koji napušta interfejs

Ruter (config-if) # ip pristupna grupa # ACL izlaz

ovdje je ACL # broj liste.

Primjeri proširenih ACL stavki

Dozvolite SMTP s bilo kojeg mjesta na hostu

Ruter (config) # pristupna lista 111 dozvoli tcp bilo koji host 172.17.11.19 eq 25

Dozvolite telnetu s bilo kojeg mjesta za host

Ruter (config) # pristupna lista 111 dozvoli tcp bilo koji host 172.17.11.19 eq 23

Prošireni ACL vam omogućava da fino podesite prava pristupa.

Imenovani ACL-ovi

Imenovani ACL-ovi se pozivaju po imenu, a ne po broju radi jasnoće i lakoće reference. Za kreiranje imenovanog ACL-a postoji komanda

Ruter (config) # ip pristupna lista proširena ACL_name

Router (config-ext-nacl) # dozvoli | zabrani IP_protokol izvor_IP_address wildcard_mask odredište_IP_address wildcard_mask

Da biste dovršili kreiranje liste, izdajte naredbu za izlaz.

Ime imenovane liste razlikuje velika i mala slova. Komande za kreiranje neimenovane liste slične su komandama za kreiranje stavki u numerisanoj listi, ali je proces kreiranja drugačiji. Morate koristiti ključnu riječ ip ispred glavnog ACL iskaza i tako ući u konfiguracijski način za tu imenovanu listu. U ovom modu počinjete s ključnim riječima dozvoli ili zabrani i ne morate unositi pristupnu listu na početku svakog reda.

Povežite imenovane ACL-ove na sučelje pomoću naredbe

Ruter (config) # tip interfejsa port_№

Ruter (config-if) # ip pristupna grupa ACL_name in | out

ACL-ovi se obrađuju od vrha do dna. Većina saobraćaja koji se ponavlja trebalo bi biti obrađen na vrhu liste. Čim se paket koji obrađuje lista podudara sa stavkom na listi, obrada tog paketa se zaustavlja. Standardne ACL-ove treba postaviti bliže odredištu gdje treba filtrirati promet. Odlazne proširene ACL-ove treba postaviti što bliže izvoru filtriranih paketa, dok ulazni treba biti smješten bliže odredištu gdje se promet treba filtrirati.

Imenovani ACL-ovi vam omogućavaju da sami uređujete. Da biste to učinili, morate upisati naredbu koja je korištena za kreiranje

Ruter (config) # ip pristupna lista proširena ACL_name

Koristite vertikalne tipke sa strelicama da pronađete liniju liste koju želite promijeniti. Promijenite ga pomoću horizontalnih strelica. Pritisnite enter. Nova linija se dodaje na kraj liste. Stari neće biti uništen. Da biste ga uništili, unesite ne na početku reda.

Da biste uredili numeričke ACL-ove, uništite ga i ponovo kreirajte, ili uredite listu van mreže i učitajte je u uređaj pomoću.

Praktični dio.

1. Učitajmo topologiju prikazanu na slici 2 u simulator.

Slika 9.2.

Dodijelimo adrese interfejsima (maska ​​255.255.255.240) prema tabeli. Ne zaboravite postaviti vrijeme na DCE serijskom uređaju.

	Router2	Router1	Router4
Ethernet	24.17.2.2	24.17.2.1
Serial		24.17.2.17	24.17.2.18

Konfigurirajmo RIP rutiranje

Router1 (config) # ruter rip

Router1 (konfiguracija rutera) # verzija 2

Router1 (konfiguracija rutera) # mreža 24.0.0.0

Router2 (config) # ruter rip

Router1 (konfiguracija rutera) # verzija 2

Router2 (konfiguracija rutera) # mreža 24.0.0.0

Router4 (konfiguracija) # ruter rip

Router1 (konfiguracija rutera) # verzija 2

Router4 (konfiguracija rutera) # mreža 24.0.0.0

Provjerite svoju mrežu komandom ping, a posebno da li možete pingovati Ethernet0 (24.17.2.2) interfejs rutera 2 sa rutera 4

Router4 # ping 24.17.2.2

Kreirajmo standardnu ​​pristupnu listu koja neće dozvoliti pingovanje rutera 2 sa rutera 4. Da biste to uradili, blokirajte jedinu adresu 24.17.2.18 rutera 4 i dozvolite ostatak saobraćaja. Napravite listu na ruteru sa 2 komande

Router2 (config) # pristupna lista 1 zabrani 24.17.2.18 0.0.0.0

Router2 (config) # pristupna lista 1 dozvola 0.0.0.0 255.255.255.255

Router2 (config) # interfejs FastEthernet0 / 0

Router2 (config-if) # IP pristupna grupa 1 in

Provjerimo da li pristupna lista radi. Da bismo to učinili, pogledajmo radnu konfiguraciju.

Router2 # prikaži run-config

Također možemo vidjeti da se lista primjenjuje na sučelje pomoću naredbe show ip interface. Potražite red "Innbound access list is 1" u izlazu.

Router2 # prikaži ip interfejs

Naredba show access-lists će nam pokazati sadržaj kreirane pristupne liste.

Router2 # prikaži pristupne liste

Imajte na umu da je host 24.17.2.18 ekvivalentan 24.17.2.18 0.0.0.0. Sada kada pokušavate pingati Ethernet0 (24.17.2.2) interfejs rutera 2 sa rutera 4

Router4 # ping 24.17.2.2

Dobijamo string “UUUUU”, što znači da pristupna lista radi ispravno.

1. Kreirajmo i učitajmo topologiju na slici 2 u simulator,

Slika 9.3.

Dodijelite adrese interfejsima (maska ​​255.255.255.0) prema tabeli

	Router2	Router1	Router3	Router4
Ethernet 0	160.10.1.2	160.10.1.1	175.10.1.2	180.10.1.2
Ethernet 1		175.10.1.1	180.10.1.1

Hajde da konfigurišemo OSPF rutiranje

Router1 (config) # ruter ospf 1

Router1 (konfiguracija rutera) #

Router1 (konfiguracija rutera) #

Router2 (config) # ruter ospf 1

Router2 (konfiguracija rutera) # mreža 160.10.1.0 0.0.0.255 područje 0

Router3 (config) # ruter ospf 1

Router3 (konfiguracija rutera) # mreža 175.10.1.0 0.0.0.255 područje 0

Router3 (konfiguracija rutera) #

Router4 (konfiguracija) # ruter ospf 1

Router4 (konfiguracija rutera) # mreža 180.10.1.0 0.0.0.255 područje 0

Pingirajte ekstremne tačke da provjerite

ruter2 # ping 180.10.1.2

router4 # ping 160.10.1.2

Kreirajmo standardnu ​​pristupnu listu za filtriranje saobraćaja koji dolazi na ethernet0 interfejs 1. rutera rutera1 i dozvoljava saobraćaj iz 175.10.1.0 (router3) podmreže i blokira saobraćaj sa drugih uređaja.

ruter1 (konfiguracija) # pristupna lista 1 dozvola 175.10.1.0 0.0.0.255

Provjerite da li je kreiran

ruter1 # prikaži pristupnu listu

ruter1 (konfiguracija) # interfejs FastEthernet1 / 0

ruter1 (config-if) # IP pristupna grupa 1 in

ruter1 # prikaži run-config

Provjerite povezanost između 3 i 2 rutera i između 4 i 2.

ruter3 # ping 160.10.1.2

ruter4 # ping 160.10.1.2

Trebalo bi da postoji veza između 3. i 2. rutera, ali ne između 4. i 2.

Hajde da promenimo pristupnu listu i dozvolimo saobraćaj sa podmreže 180.10.1.0 (router4) i blokiramo saobraćaj sa drugih uređaja.

ruter1 (konfiguracija) # nema pristupne liste 2

ruter1 (konfiguracija) # pristupna lista 2 dozvola 180.10.1.0 0.0.0.255

Provjerite da li se promijenilo

ruter1 # prikaži pristupnu listu

Priložite listu kao ulaz na Ethernet interfejs 1

ruter1 (konfiguracija) # interfejs FastEthernet1 / 0

ruter1 (config-if) # IP pristupna grupa 1 in

Provjerite vezu sa komandom

ruter1 # prikaži run-config

Provjerite povezanost između 3 i 2 rutera i između 4 i 2.

ruter3 # ping 160.10.1.2

ruter4 # ping 160.10.1.2

Trebalo bi da postoji veza između 4 i 2 rutera, ali ne između 3 i 2.

3. Implementirajte i provjerite IP konfiguraciju za mrežu na slici 1 i koristite OSPF za pružanje dinamičkog usmjeravanja.

Za ruter ruter 1

ruter1 (konfiguracija) # ruter ospf 1

router1 (config-router) #

router1 (config-router) # mreža 1.1.1.0 0.0.0.255 područje 0

router1 (config-router) # mreža 10.1.1.0 0.0.0.127 područje 0

Za ruter 2

Router2 (config) # ruter ospf 1

Router2 (config-router) # mreža 10.1.1.128 0.0.0.127 područje 0

Router2 (config-router) # mreža 15.1.1.0 0.0.0.255 područje 0

Router2 (config-router) # mreža 2.2.2.0 0.0.0.255 područje 0

Proverite da li mreža radi: morate pingovati bilo koji interfejs sa bilo kog uređaja. Ili jednostavnije: svi računari A, B, C, D, PC5 moraju međusobno pingovati u parovima.

Kreirajmo pristupnu listu iz teorijskog dijela

3.1 Na ruteru 1 kreirajte pristupnu listu

ruter1 (konfiguracija) # pristupna lista 2 zabrani 10.1.1.128 0.0.0.127

ruter1 (konfiguracija) # access-list 2 permit host 15.1.1.5

ruter1 (konfiguracija) # pristupna lista 2 zabrani 15.1.1.0 0.0.0.255

ruter1 (konfiguracija) # pristupna lista 2 dozvola 0.0.0.0 255.255.255.255

i primijeniti ga na interfejs Ethernet0 kao izlaz

ruter1 (konfiguracija) # interfejs FastEthernet0 / 0

ruter1 (config-if) # IP pristupna grupa 2 izlaz

Napravite snimak ekrana rezultata izvršenja naredbe

ruter1 # prikaži pristupnu listu

Od \ In	A	B	C	E	D
A	+	+	+	-	-
B	+	+	+	+	+
C	+	+	+	+	+
E	-	+	+	+	+
D	-	+	+	+	+

Tabela 1

Vidimo da je sigurnosna politika iz teorijskog dijela u potpunosti implementirana.

3.2 Uklonite ACL sa e0 interfejsa i primenite ga kao ulaz na s0 interfejs

ruter1 (konfiguracija) # interfejs fa0 / 0

ruter1 (config-if) # nema IP pristupne grupe 2

ruter1 (config-if) # int s2 / 0

ruter1 (config-if) # IP pristupna grupa 2 in

Ping A, B, C, PC5, D u parovima. Rezultat bi trebao biti sljedeća pristupna matrica

Od \ In	A	B	C	E	D
A	+	+	+	-	-
B	+	+	+	-	-
C	+	+	+	+	+
E	-	-	+	+	+
D	-	-	+	+	+

tabela 2

Vidimo da je sada saobraćaj između mreža 10.1.1.0/25 i 10.1.1.128/25 zabranjen. Saobraćaj između mreže 10.1.1.0/25 i mreže 15.1.1.0/24 je takođe nemoguć, osim za računar C sa adresom 15.1.1.5.

4. Koristeći topologiju i konfiguraciju koraka 1 ove laboratorije

Poništimo konfiguraciju pristupa napravljenu u tački 1

Router2 (config) # nema pristupne liste 1 zabrani 24.17.2.18 0.0.0.0

Router2 (config) # nema pristupne liste 1 dozvola 0.0.0.0 255.255.255.255

Primijenimo listu na Ethernet interfejs rutera 2

Router2 (config) # interfejs fa0 / 0

Router2 (config-if) # nema IP pristupne grupe 1 in

Pustimo telnet na router1 na njegova dva interfejsa sa lozinkom router1

Router1 (config) # linija vty 0 4

Router1 (config-line) # Ulogovati se

Router1 (config-line) # lozinka ruter1

Naši EACL-ovi će raditi nekoliko različitih stvari. Prvo, dozvolićemo samo telnetu iz 24.17.2.16/240 serijske podmreže da se prijavi na ruter1

router1 (conf) # access-list 101 dozvola tcp 24.17.2.16 0.0.0.15 bilo koji eq telnet log

Opcija dnevnika će uzrokovati da ruter pokaže izlaz kada se aktivira lista pristupa.

Dozvoli sav promet iz Ethernet 0 podmreže 24.17.2.0/240 na ruteru1

router1 (conf) # pristupna lista 102 dozvola ip 24.17.2.0 0.0.0.15 bilo

Provjerimo instalaciju lista

router1 # prikaži pristupnu listu

Hajde da sada primenimo liste na interfejse za dolazne pakete

router1 (conf) # interfejs Serial2 / 0

router1 (conf-if) # IP pristupna grupa 101 in

router1 (conf-if) # interfejs fa0 / 0

router1 (conf-if) # IP pristupna grupa 102 in

Da provjerite da li su EACL-ovi prisutni na sučeljima, koristite naredbu

ruter1 # prikaži run-config

ruter1 # prikaži ip interfejs

Provjerimo funkcioniranje EACL-a. Hajde da se pridružimo routeru4 i pokušamo pingovati Serial2 / 0 interfejs na routeru1 bez uspjeha.

ruter4 # ping 24.17.2.17

EACL broj 101 je blokirao ping. Ali mora dozvoliti telnet

ruter4 # telnet 24.17.2.17

Uspješno. Unesimo lozinku router1. Prompt router4 # promijenjen u router1>. Pritiskom na ctrl-shift-6 i zatim 6 u isto vrijeme, vratite se na router4. Dnevnik će nam reći o pokretanju EACL 101 na ruteru1

Hajde da vidimo broj sesije i prekinemo telnet vezu

ruter4 # show sess

ruter4 # prekinuti vezu 1

Hajde da se pridružimo routeru2 i vidimo da li možemo pingovati Serial0 interfejs na router4.

Router2 # ping 24.17.2.18

Zašto neuspješno? Paket počinje u Router2, prolazi kroz Router1 (log će nam pokazati o pokretanju EACL 102 na ruteru1

) i stiže na Router4. Na Router4 se refaktoriše i šalje nazad na Router1. Kada Router4 preoblikuje paket, izvorna adresa postaje odredišna adresa, a odredišna adresa postaje adresa izvora. Kada paket stigne na Serial0 interfejs na ruteru1, on se odbija, jer je njegova izvorna adresa jednaka IP adresi Serial0 interfejsa na ruteru4, 24.17.2.17, a ovde je dozvoljen samo tcp.

Hajde da se pridružimo routeru2 i vidimo možemo li pingovati Ethernet0 sučelje na router1.

ruter2 # ping 24.17.2.1

Uspješno. Slično za telnet

ruter2 # telnet 24.17.2.1

EACL-ovi uspješno rade. Dnevnik će nam reći o pokretanju EACL 102 na ruteru1.

Imajte na umu da dnevnik također stalno prikazuje RIP ažuriranja.

5. Imenovani ACL-ovi

Otkažite EACL-ove za sučelja na ruteru1

router1 (conf) # interfejs Serial0

router1 (conf-if) # nema IP pristupne grupe 101 in

router1 (conf-if) # interfejs Ethernet0

router1 (conf-if) # nema IP pristupne grupe 102 in

i otkažite na ruter1 EACL

router1 (conf) # nema pristupne liste 101

router1 (conf) # nema pristupne liste 102

Postavimo zadatak da zabranimo samo pingove od routera4 do routera2 u cijeloj mreži. Lista pristupa može se nalaziti i na ruteru1 i na ruteru2. Iako je preporučljivo postaviti ACL bliže izvoru (da bi se smanjio promet), u ovom primjeru ćemo na router2 postaviti imenovanu listu pod nazivom deny_ping.

ruter2 (konfiguracija) # ip pristupna lista proširena deny_ping

router2 (config-ext-nacl) # deny icmp 24.17.2.18 0.0.0.0 24.17.2.2 0.0.0.0 log

router2 (config-ext-nacl) # dozvoli ip bilo koji dnevnik

Prva komanda pokazuje da kreiramo imenovanu proširenu pristupnu listu koja se zove deny_ping. Druga komanda ukazuje na zabranu ICMP saobraćaja sa izvornom adresom striktno 24.17.2.18 i adresom odredišta striktno 24.17.2.2. Treća komanda dozvoljava ostatak IP saobraćaja.

Provjerimo kreiranje liste

ruter2 # prikaži pristupnu listu

Tako je, u prvom redu vidimo samo drugačiji oblik naredbe deny icmp 24.17.2.18 0.0.0.0 24.17.2.2 0.0.0.0 log.

Primijenimo listu za ulazni promet Ethernet0 interfejsa na ruter2

Router2 (conf) # interfejs Ethernet0

Router2 (conf-if) # ip pristupna grupa deny_ping in

Hajde da spojimo router4 i ping router2

ruter4 # ping 24.17.2.2

Neuspjeh. Hajde da spojimo router1 i ping router2

Router1 # ping 24.17.2.2

Uspjeh. Hajde da se pridružimo routeru2 i pogledajmo dvije odvojene poruke dnevnika: prvu o nema pinga s routera4 i drugu o dopuštanju pinga s routera1

6. Hajde da pogledamo naprednija pitanja proširenih pristupnih lista. Kreirajmo topologiju

.

Slika 9.4.

Koristite prekidače modela 1912. Router1 je 805 modela. Router2 je 1605 modela.

Dodijelite IP adrese ruterima

Konfigurirajte RIP na Router1 i Router2

Ruter (konfiguracija) # ruter rip

Router (config-router) # mreža 1.0.0.0

Svi interfejsi uređaja moraju biti pingovani sa svih uređaja.

6.1. Lista pristupa mreži za mrežu.

Napravimo listu koja dozvoljava saobraćaj sa lokalne mreže računara PC4 i PC5 na lokalnu mrežu računara PC1 i zabranjuje saobraćaj sa lokalne mreže računara PC2 i PC3 na lokalnu mrežu računara PC1. Pošto saobraćaj dolazi od rutera2 do rutera1, pristupnu listu treba postaviti na serijski2/0 interfejs rutera1 za ulazni saobraćaj.

Router1 (conf) # pristupna lista 100 dozvola ip 1.1.1.0 0.0.0.127 1.1.3.0 0.0.0.255 log

Router1 (conf) # pristupna lista 100 dozvola ip 1.1.2.0 0.0.0.255 bilo koji dnevnik

Prva komanda direktno rješava problem, a druga omogućava emitiranje RIP protokola. Hajde da proverimo kreaciju

Router1 # prikaži pristupnu listu

Primijenimo pristupnu listu na interfejs.

Router1 (conf) # interfejs Serial2 / 0

Router1 (conf-if) # IP pristupna grupa 100 in

Da biste testirali pristupnu listu, pokušajte da pingujete PC1 sa PC2, PC3, PC4 i PC5.

PC # Ping 1.1.3.2

Pingovi neće raditi za PC2 i PC3. Za PC4 i PC5 pingovi će raditi. Pristupna lista radi. Pogledajte logove na ruteru1

6.2. Host-to-host pristupna lista.

Kreirajmo pristupnu listu na ruteru2 koja blokira pristup PC5 samo sa PC2. Možete kontrolirati pokušaje pristupa koristeći evidencije na routeru2.

Router2 (conf) # access-list 101 deny ip 1.1.1.130 0.0.0.0 1.1.1.3 0.0.0.0 log

Router2 (conf) # access-list 101 permit ip bilo koji bilo koji

Hajde da proverimo kreaciju

Router2 # prikaži pristupnu listu

Primijenimo pristupnu listu na ruter sa brzim Ethernet interfejsom2

Router2 (conf) # interfejs FastEthernet0 / 0

Router2 (conf-if) # IP pristupna grupa 101 in

Pridružite se PC2 i provjerite da ne možete izbaciti PC5

PC2 # Ping 1.1.1.3

Dnevnik će se pojaviti na routeru2

Pridružite se PC3 i provjerite možete li izbaciti PC5.

PC3 # Ping 1.1.1.3

Dnevnik će se pojaviti na routeru2

6.3. Lista pristupa od mreže do hosta.

Prvo, uklonimo prethodne liste pristupa sa interfejsa Router1 i Router2.

Router1 (conf) # interfejs Serial2 / 0

Router1 (conf-if) # nema IP pristupne grupe 100 in

Router2 (conf) # interfejs FastEthernet0 / 0

Router2 (conf-if) # nema IP pristupne grupe 101 in

Kreirajmo proširenu pristupnu listu koja blokira sav saobraćaj ka PC1 sa lokalne mreže PC2 i PC3. Pošto blokiramo sav promet, koristit ćemo IP protokol.

Router2 (conf) # pristupna lista 102 deny ip 1.1.1.128 0.0.0.127 1.1.3.2 0.0.0.0 log

Router2 (conf) # pristupna lista 102 dozvoli ip bilo koji bilo koji

Hajde da proverimo kreaciju

Router2 # prikaži pristupnu listu

Primijenimo listu na odlazni promet na interfejsu Serial2 / 0 Router2

Router2 (conf) # interfejs Serial2 / 0

Router2 (conf-if) # IP pristupna grupa 102 izlaz

Da biste proverili listu, pokušajte da pingujete PC1 (1.1.3.2) sa PC2 i PC3. Pingovi neće raditi. Simulator iz nekog razloga ne daje zapisnik na Router2 konzoli. Ali možete vidjeti efekat ovako

Vidite, nakon svakog neuspješnog pinga, broj praćenih (podudarnih) paketa se povećava.

Kontrolna pitanja

1. Šta je ACL?

2. Koja adresa je kriterij za odobravanje/odbijanje paketa?

3. Gdje se primjenjuju ACL-ovi?

4. Kako da postavim ACL element i šta je inverzna maska?

5. Kako ruter rukuje ACL unosima?

6. Koji element je uvijek implicitno prisutan u ACL-u?

7. Kako se ACL može primijeniti na interfejs, a zatim otkazati?

8. Koja je razlika između ulaznog ACL-a i izlaznog ACL-a?

10. Koje tri naredbe se mogu koristiti za provjeru sadržaja ACL-a i vezivanja za sučelje.

11. Šta filtriraju prošireni ACL-ovi?

12. Koju dodatnu funkcionalnost ima prošireni ACL u odnosu na standardne ACL?

13. Da li je moguće korištenje proširenih ACL-ova za nametanje ograničenja prometa na određenu TCP/IP uslugu?

14. Opišite proceduru za kreiranje imenovanog ACL-a.

15. Kako da uredim određeni red u numeričkom ACL-u?

16. Kako da uredim određeni red u imenovanom ACL-u?

17. Koja je razlika između formata naredbi za unos numeričkih i imenovanih ACL unosa?

Slične informacije.

Danas ću vam pokazati kako filtrirati mrežni promet koristeći liste kontrole pristupa. Hajde da razmotrimo kako oni rade, odnosno šta su, čemu su namenjeni. Kasnije ću vam pokazati kako su konfigurisani u Cisco IOS-u i objaviti arhivu laboratorija da konsolidujete svoje znanje.

Uvod

ACL (Lista kontrole pristupa) je skup tekstualnih izraza koji nešto dozvoljavaju ili zabranjuju. Obično ACL dozvoljava ili odbija IP pakete, ali između ostalog, može pogledati unutar IP paketa, vidjeti tip paketa, TCP i UDP portove. Također ACL postoji za različite mrežne protokole (IP, IPX, AppleTalk, itd.). U osnovi, korištenje pristupnih lista se razmatra sa stanovišta filtriranja paketa, odnosno filtriranje paketa je neophodno u onim situacijama kada imate opremu na granici interneta i vaše privatne mreže i trebate filtrirati nepotreban promet. .
Postavljate ACL na ulazni smjer i blokirate višak prometa.

Teorija

Funkcionalnost ACL-a je da klasifikuje saobraćaj, prvo ga morate provjeriti, a zatim nešto učiniti s njim ovisno o tome gdje se ACL primjenjuje. ACL se primjenjuje svuda, na primjer:

• Na interfejsu: filtriranje paketa
• Na Telnet liniji: ograničavanje pristupa ruteru
• VPN: koji promet treba šifrirati
• QoS: koji promet treba obraditi s prioritetom
• NAT: koje adrese emitovati

Da biste primijenili ACL-ove na sve ove komponente, morate razumjeti kako one rade. I prvenstveno ćemo se baviti filtriranjem paketa. Što se tiče filtriranja paketa, ACL-ovi se postavljaju na interfejse, kreiraju se nezavisno i tek onda se pričvršćuju na interfejs. Čim ga pričvrstite na interfejs, ruter počinje da prati saobraćaj. Ruter tretira promet kao dolazni i odlazni. Saobraćaj koji ulazi u ruter naziva se ulazni, a promet koji napušta se naziva izlazni. Prema tome, ACL-ovi se postavljaju na ulazni ili izlazni smjer.

Paket stiže iz vaše privatne mreže na sučelje rutera fa0/1, ruter provjerava da li postoji ACL na sučelju ili ne, ako postoji, onda se dalja obrada vrši prema pravilima pristupne liste strogo redosledom kojim su izrazi napisani, ako pristupna lista dozvoljava prolazak paketa, onda u ovom slučaju ruter šalje paket provajderu preko fa0 / 0 interfejsa, ako pristupna lista ne dozvoljava da paket prođe, paket se odbacuje. Ako nema pristupne liste, paket prolazi bez ikakvih ograničenja. Prije slanja paketa ISP-u, ruter također provjerava fa0 / 0 interfejs za odlazni ACL. Poenta je da se ACL može priključiti na interfejs kao ulazni ili izlazni. Na primjer, imamo ACL s pravilom zabrane svim hostovima na Internetu da šalju pakete u našu mrežu.
Dakle, na koji interfejs bi trebao biti priključen ovaj ACL? Ako priključimo ACL na sučelje fa0 / 1 kao izlazni, to neće biti sasvim ispravno, iako će ACL također raditi. Ruter prima eho zahtjev za neki čvor u privatnoj mreži, provjerava da li postoji ACL na sučelju fa0 / 0, ne postoji, zatim provjerava sučelje fa0 / 1, postoji ACL na ovom interfejsu, konfigurisan je kao odlazni, sve je ispravno, paket ne prodire u mrežu, već ga ruter uništava. Ali ako priključimo ACL iza interfejsa fa0 / 0 kao dolazni, onda će paket biti uništen čim stigne na ruter. Poslednja odluka je ispravna, jer ruter manje opterećuje svoje računarske resurse. Proširene ACL-ove treba postaviti što bliže izvoru, dok standardne ACL-ove treba postaviti što bliže odredištu.... Ovo je neophodno kako se paketi ne bi uzalud prenosili po cijeloj mreži.

Sam ACL je skup tekstualnih izraza u kojima je napisan dozvola(dozvoli) bilo poricati(onemogući), a obrada se vrši striktno redosledom kojim su izrazi navedeni. Shodno tome, kada paket udari u sučelje, provjerava se za prvi uslov, ako se prvi uslov poklapa sa paketom, njegova dalja obrada se zaustavlja. Paket će ili krenuti dalje ili će biti uništen.
opet, ako paket odgovara uslovu, ne obrađuje se dalje... Ako se prvi uslov ne podudara, obrađuje se drugi uslov, ako se podudara, obrada se zaustavlja, ako ne, obrađuje se treći uslov, i tako sve dok se ne provjere svi uvjeti, ako nijedan od uslova ne odgovara, paket se jednostavno uništava... Zapamtite, postoji implicitno poricanje bilo koje na svakom kraju liste. Budite veoma oprezni sa ovim pravilima, koja sam istakao, jer su greške u konfiguraciji česte.

ACL-ovi su podijeljeni u dvije vrste:

• standardno: može samo provjeriti izvorne adrese
• Prošireno: može provjeriti izvorne adrese, kao i adrese primatelja, u slučaju IP-a, također tip protokola i TCP/UDP portove

Pristupne liste su označene ili brojevima ili simboličkim imenima. ACL-ovi se također koriste za različite mrežne protokole. Mi ćemo zauzvrat raditi sa IP-om. One su označene na sledeći način, numerisane pristupne liste:

• standardno: od 1 do 99
• napredno: od 100 do 199

ACL-ovi znakova se također dijele na standardne i proširene. Napredni mogu provjeriti mnogo više od standardnih, ali rade i sporije, jer morate pogledati unutar paketa, za razliku od standardnih gdje gledamo samo polje Source Address. Prilikom kreiranja ACL-a, svaki unos pristupne liste je identifikovan rednim brojem, podrazumevano unutar deset (10, 20, 30, itd.). Zbog toga možete obrisati određeni unos i umetnuti drugi na njegovo mesto, ali ova funkcija se pojavila u Cisco IOS 12.3, pre 12.3 ste morali da izbrišete ACL, a zatim da ga potpuno ponovo kreirate. Ne možete postaviti više od 1 pristupne liste po interfejsu, po protokolu, po pravcu... Objašnjavam: ako imamo ruter i on ima interfejs, možemo postaviti samo jednu pristupnu listu na dolazni pravac za IP protokol, na primer broj 10. Još jedno pravilo koje se tiče samih rutera, ACL nema uticaja na saobraćaj koji generiše sam ruter.
WildCard maska ​​se koristi za filtriranje adresa u ACL-u. Ovo je obrnuta maska. Uzimamo izraz šablona: 255.255.255.255 i oduzimamo uobičajenu masku od šablona.
255.255.255.255-255.255.255.0, dobijamo masku od 0.0.0.255, što je normalna 255.255.255.0 maska, samo 0.0.0.255 je maska ​​WildCard.

ACL tipovi

Dinamički (Dinamički ACL)

Omogućava vam da uradite sledeće, na primer, imate ruter koji je povezan sa nekim serverom i moramo da mu zatvorimo pristup iz spoljašnjeg sveta, ali u isto vreme postoji nekoliko ljudi koji se mogu povezati na server.
Postavljamo dinamičku pristupnu listu, prilažemo je ulaznom smjeru, a zatim se ljudi koji se trebaju povezati, povezuju se preko Telneta na ovaj uređaj, kao rezultat, dinamički ACL otvara vrata servera i osoba se može prijaviti u, recimo preko HTTP-a, da dođete do servera. Podrazumevano, nakon 10 minuta ovaj prolaz se zatvara i korisnik je primoran da ponovo pokrene Telnet da bi se spojio na uređaj.

Refleksivni ACL

Ovdje je situacija malo drugačija, kada host na lokalnoj mreži pošalje TCP zahtjev na Internet, moramo imati otvoren prolaz da TCP odgovor stigne da uspostavi vezu. Ako nema prolaza, nećemo moći uspostaviti vezu, a napadači mogu koristiti ovaj prolaz, na primjer, da prodru u mrežu. Refleksivni ACL-ovi rade na ovaj način, pristup je potpuno blokiran (zabrani bilo koji), ali se formira još jedan poseban ACL koji može pročitati parametre korisničkih sesija koje se generiraju iz lokalne mreže i otvoriti im prolaz u zabrani bilo koje, kao rezultat , ispostavilo se da ne mogu ustanoviti iz internet kompleksa. A sesije generirane iz lokalne mreže će dobiti odgovore.

ACL zasnovan na vremenu

Normalan ACL, ali sa vremenskim ograničenjem, možete unijeti poseban raspored koji aktivira ovaj ili onaj unos liste pristupa. A da bismo napravili takav trik, na primjer, napišemo pristupnu listu u kojoj tokom radnog dana odbijamo HTTP pristup i objesimo je na sučelje rutera, odnosno zaposlenici preduzeća su došli na posao, HTTP pristup je zatvoren za njih, radni dan je gotov, HTTP pristup je otvoren,
molim vas, ako želite - pretražujte internet.

Prilagodba

Sami ACL-ovi se kreiraju zasebno, odnosno to je samo lista koja se kreira u globalnoj konfiguraciji, zatim se dodeljuje interfejsu i tek onda počinje da radi. Neophodno je zapamtiti neke točke kako biste ispravno konfigurirali pristupne liste:

• Obrada se vrši striktno onim redom kojim su napisani uslovi
• Ako paket odgovara uslovu, ne obrađuje se dalje.
• Postoji implicitno zabrani bilo koji na kraju svake pristupne liste.
• Proširene ACL-ove treba postaviti što bliže izvoru, dok standardne ACL-ove treba postaviti što bliže odredištu.
• Ne možete postaviti više od 1 pristupne liste po interfejsu, po protokolu, po pravcu
• ACL nema uticaja na saobraćaj koji generiše sam ruter
• WildCard maska ​​se koristi za filtriranje adresa

Standardna lista pristupa

Ruter (konfiguracija) # pristupna lista <номер списка от 1 до 99> (dozvola | odbijanje | primjedba) (adresa | bilo koji | domaćin)

• dozvola: dopustiti
• poricati: zabrana
• primjedba: komentar o pristupnoj listi
• adresa: onemogućite ili omogućite mrežu
• bilo koji: dozvoliti ili odbiti sve
• domaćin: dozvoliti ili zabraniti hostu
• izvorni zamjenski znak: WildCard mrežna maska
• dnevnik: omogući evidentiranje paketa koji prolaze kroz ovaj ACL unos

Proširena lista pristupa

Ruter (konfiguracija) # pristupna lista <номер списка от 100 до 199> (dozvola | odbijanje | primjedba) izvor protokola [ operater operand] [ luka <порт или название протокола>

• izvor protokola: koji protokol ćemo dozvoliti ili zatvoriti (ICMP, TCP, UDP, IP, OSPF, itd.)
• poricati: zabrana
• operater:
  A.B.C.D - adresa primaoca
  bilo koji - bilo koji odredišni domaćin
  eq - samo paketi na ovom portu
  gt - samo paketi sa većim brojem porta
  host - jedini odredišni host
  lt - samo paketi sa manjim brojem porta
  neq - samo paketi koji nisu na datom broju porta
  opseg - opseg portova
• luka: broj porta (TCP ili UDP), ime se može specificirati
• osnovan: dozvoliti prolaz TCP segmenata koji su dio već kreirane TCP sesije

Povezivanje na interfejs

Ruter (config-if) # IP pristupna grupa <номер списка или имя ACL> (unutra | van)

• u: dolazni pravac
• van: izlazni smjer

Imenovane pristupne liste

Ruter (konfiguracija) # IP pristupna lista (standardni | prošireni) (<номер ACL> | <имя ACL>}
Ruter (config-ext-nacl) # (zadano | zabrani | izlaz | ne | dozvola | primjedba)

• standard: standardni ACL
• produženo: prošireni ACL
• zadano: postavite komandu na zadanu vrijednost

Ograničavanje pristupa ruteru

R (konfiguracija) # line vty 0 4 - idite u režim podešavanja virtuelnih linija.
R (konfiguracijski red) # lozinka <пароль>
R (konfiguracijski red) # Ulogovati se
R (konfiguracijski red) # pristupna klasa 21 in- postavljamo korisničko ime i lozinku, kao i popravljamo pristupnu listu sa dozvoljenim IP adresama.

Dinamičke liste pristupa

R3 (konfiguracija) # korisničko ime Student lozinka 0 cisco - kreiranje korisnika za povezivanje putem Telneta.
R3 (konfiguracija) # pristupna lista 101 dozvoli tcp bilo kojem hostu 10.2.2.2 eq telnet
R3 (konfiguracija) # pristupna lista 101 dinamička lista testova timeout 15 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 - dozvoli svim čvorovima da se povežu na server preko Telneta.
R3 (config) #sučelje serijski 0/0/1
R3 (config-if) # IP pristupna grupa 101 in - dodjeljujemo 101 ACL sučelju u ulaznom smjeru.
R3 (konfiguracija) # line vty 0 4
R3 (config-line) # login local
R3 (config-line) # autocommand access-enable host timeout 5 - čim se korisnik autentifikuje, mreža 192.168.30.0 će biti dostupna, nakon 5 minuta neaktivnosti sesija će biti zatvorena.

Refleksne liste pristupa

R2 (konfiguracija) # IP pristupna lista proširena OUTBOUNDFILTERS
R2 (config-ext-nacl) # dozvola tcp 192.168.0.0 0.0.255.255 bilo koji odraz TCPTRAFFIC
R2 (config-ext-nacl) # dozvola icmp 192.168.0.0 0.0.255.255 bilo koji odraz ICMPTRAFFIC - pravimo da ruter prati promet koji je pokrenut iznutra.
R2 (konfiguracija) # IP pristupna lista proširena INBOUNDFILTERS
R2 (config-ext-nacl) # evaluirati TCPTRAFFIC
R2 (config-ext-nacl) # evaluirati ICMPTRAFFIC - Kreirajte ulaznu politiku koja zahtijeva od rutera da provjeri ulazni promet da vidi da li je pokrenut iznutra i veže TCPTRAFFIC za INBOUNDFILTERS.
R2 (konfiguracija) # interfejs serijski 0/1/0
R2 (config-if) # IP pristupna grupa INBOUNDFILTERS in
R2 (config-if) # IP pristupna grupa OUTBOUNDFILTERS out - primijeniti dolazne i odlazne ACL-ove na sučelje.

Rok

R1 (konfiguracija) # vremenski raspon SVAKI DRUGI DAN
R1 (vremenski raspon konfiguracije) # periodično Ponedjeljak Srijeda Petak 8:00 do 17:00 - kreirajte listu vremena, u koju dodajemo dane u sedmici i vrijeme.
R1 (konfiguracija) # pristupna lista 101 dozvola tcp 192.168.10.0 0.0.0.255 bilo koji eq telnet vremenski raspon SVAKI DAN - primijeniti vremenski raspon na ACL.
R1 (config) #interface s0 / 0/0
R1 (config-if) # IP pristupna grupa 101 out - dodijeliti ACL interfejsu.

Tražite probleme

R # prikaži pristupne liste(ACL broj | ime) - pogledajte informacije o pristupnoj listi.
R # prikaži pristupne liste- gledamo sve pristupne liste na ruteru.

Primjer

ruter # prikaži pristupne liste
Proširena lista pristupa IP-u nick
dozvoli ip host 172.168.1.1 host 10.0.0.5
odbiti bilo koji ip bilo koji (16 podudaranja (es))
Standardna IP pristupna lista nick5
dozvola 172.16.0.0 0.0.255.255

Vidimo da imamo dva ACL-a (standardni i prošireni) pod nazivom nick i nick5. Prva lista dozvoljava hostu 172.16.1.1 pristup preko IP-a (što znači da su svi protokoli preko IP-a dozvoljeni) do hosta 10.0.0.5. Sav ostali promet odbijen je prikazan naredbom deny ip any any. Pored ovog uslova, u našem primjeru, piše (16 podudaranja (es)). Ovo pokazuje da je 16 paketa ispunilo ovaj uslov.
Drugi ACL dozvoljava promet iz bilo kojeg izvora na mreži 172.16.0.0/16 da prođe.

Vježbajte

Sastavio sam laboratorijske vježbe za Packet Tracer iz poglavlja 5 CCNA 4 kursa o ACL-u. Ukoliko imate želju da znanje učvrstite u praksi, molimo -

ACL- liste kontrole pristupa.

Možete dodijeliti jednu listu:
- svaki protokol
- svaki interfejs
- dolazni i odlazni saobraćaj

ACL nema utjecaja na promet koji generiše sam ruter.

Oni su:
Standardni ACL - filtrirajte pakete samo prema izvornoj IP adresi
Prošireni ACL - filtrira prema:
- izvorna IP adresa
- odredišna IP adresa
- TCP ili UDP izvorni portovi
- TCP ili UDP odredišni portovi
- tip protokola (ime ili broj)

Kao i:
1. Numerirani ACL-ovi:
- od 1 do 99 i od 1300 do 2000 - standardni IP ACL
- od 100 do 199 i od 2000 do 2699 - prošireni IP ACL
2. Imenovani - pogodniji su za upotrebu, jer možete odrediti njihovu svrhu. Zahtjevi za ime:
- može sadržavati slova i brojeve
- pretpostavlja se da su imena napisana velikim slovima
- imena ne mogu sadržavati razmake i znakove interpunkcije
Možete dodavati i uklanjati unose u imenovane ACL-ove.

Kako se ACL-ovi primjenjuju
1. Kreirajte ACL specificiranjem broja ili imena i specificiranjem uvjeta.
2. Dodijelite ACL sučelju ili terminalskoj liniji.

Kako funkcionira standardni ACL
1. Paket stiže na interfejs
2. Provjerava se da li postoji ACL na ulazu sučelja.
3. Provjerava se da li je ACL standardan.
4. Izvorna adresa se upoređuje sa prvim zapisom.
5. Ako se ne podudara, upoređuje se sa sljedećim zapisom.
6. Ako se ne podudara ni sa jednim zapisom, onda se odbacuje.
7. Ako se poklapa sa bilo kojim zapisom, preskočite ili odbacite prema pravilu.
8. Ako preskoči, traži odredišnu adresu u tabeli usmjeravanja.
9. Ako postoji, šalje ga na traženi interfejs.
10. Ako ne, odbacite.

Pravila postavljanja ACL-a:
- Standardni ACL treba postaviti bliže odredišnoj mreži
- Prošireni ACL - bliže izvornoj mreži.

Kreiranje numeriranog standardnog ACL-a
Ruter (config) # pristupna lista pristup-list-broj izvor
Na primjer:
R1 (konfiguracija) # access-list 10 napomena Dozvola za 192.168.0.0 LAN - opisati ACL ili svaki unos u ACL-u
R1 (konfiguracija) # pristupna lista 10 dozvola 192.168.0.0 - za razrednu mrežu
R1 (konfiguracija) # pristupna lista 10 dozvola 192.168.5.0 0.0.0.128 - za besklasnu mrežu
Uklanjanje ACL-a
R1 (konfiguracija) # nema pristupne liste 10

džoker maska ​​se formira oduzimanjem maske tražene mreže od maske 255.255.255.0, na primjer
255.255.255.255
-
255.255.15.0
=
0.0.240.255

U ACL-u, umjesto izvorne adrese, možete navesti:
- umjesto 0.0.0.0 255.255.255.255 - bilo koji
- umjesto specifične adrese domaćina kao što je 192.168.5.12 0.0.0.0 - host 192.168.5.12

Primjena numeriranog standardnog ACL-a na sučelje
Ruter (config-if) #ip pristupna grupa (broj-liste-pristupa | ime-pristupne-liste) (unutra | van)
Na primjer, ACL 10:
R1 (konfiguracija) # pristupna lista 10 dozvola 192.168.0.0
R1 (konfiguracija) # pristupna lista 10 dozvola 192.168.5.0 0.0.0.128
primjenjujemo na ulazu Fastethernet 0/1 interfejsa
R1 (config) # interfejs f0 / 1
R1 (config-if) #IP pristupna grupa 10 in

Konfiguriranje ACL-a za virtualne terminalske linije (umjesto parametra pristupna grupa koristi pristupna klasa):
R1 (config-line) # pristupna klasa pristup-list-broj (unutra | van)
na primjer
R1 (konfiguracija) # pristupna lista 22 dozvola 192.168.1.0
R1 (konfiguracija) # pristupna lista 22 dozvola 192.168.2.0
R1 (config) # linija vty 0 4- mora biti dodijeljen svim vty, pošto korisnik se može povezati na bilo koji od njih
R1 (config-line) # lokalna prijava
R1 (konfiguracijski red) # transportni ulaz telnet
R1 (config-line) # IP pristupna klasa 22 in

Uređivanje numerisanih ACL-ova
Prilikom uređivanja numerisanih ACL-ova, unosi se ubacuju redoslijedom kojim su uneseni. Ne možete umetnuti novi zapis između dva već unesena. Ako je to ipak potrebno uraditi, onda:
- Kopiramo sva pravila iz konfiguracije u notepad.
- Ubacite potrebne zapise.
- Uklonite cijeli AC
- Kopirajte sve unose iz sveske
- Ubacujemo u konfiguraciju.

Imenovani standardni ACL-ovi
R1 (konfiguracija) # IP pristupna lista standard NAME- proglasiti imenovani standardni ACL
R1 (config-std-nacl) # napomena Zabrani za host 192.168.0.13- opisujemo ACL
R1 (config-std-nacl) # deny192.168.0.13 - kreirati pravila
R1 (config-std-nacl) # dozvola192.168.0.0 0.0.0.255
R1 (config-std-nacl) # interfejs Fa0 / 0
R1 (config-if) #ip pristupna grupa NAME out- veže ACL na interfejs
Nije potrebno imenovati ACL velikim slovima. Ovo je zbog pogodnosti.

Pregled i provjera ACL-ova
Naredba koja se koristi je:
Ruter # prikazuje pristupne liste (pristupna lista-mumber | ime)
Na primjer,
R1 # prikazuje pristupne liste- prikazuje sve ACL-ove
R1 # prikaži pristupne liste 10- izlazi ACL broj 10
R1 # prikaži pristupne liste NAM- izlazi ACL pod nazivom NAM

Uređivanje imenovanih ACL-ova
Imenovani ACL-ovi imaju prednost nad numerisanim. Lakše ih je uređivati. Svi unosi pravila u imenovanim ACL-ovima su numerisani sa korakom od 10. To jest. prvo pravilo je broj 10, drugo je 20 i tako dalje.
Stoga, za imenovane ACL-ove, možete obrisati određene unose, kao i dodati unose između postojećih pravila, dodjeljujući im broj između brojeva pravila, između kojih se dodaje novo pravilo.
Na primjer, imamo ACL sa sljedećim unosima:
R1 # prikazuje pristupne liste

10 dozvola 192.168.10.10

Moramo dodati još jedno pravilo:
R1 (konfiguracija) # pristupna lista standard WEBSERVER
R1 (config-std-nacl) # 15 dozvola192.168.10.13

Evo šta se dogodilo:
R1 # prikazuje pristupne liste
Standardna IP lista pristupa WEBSERVER
10 dozvola 192.168.10.10
15 dozvola 192.168.10.13
20 deny 192.168.10.0, zamjenski bitovi 0.0.0.255
30 deny 192.168.12.0, zamjenski bitovi 0.0.0.255

Prošireni ACL-ovi
Proširene pristupne liste pružaju mogućnost preciznijeg filtriranja saobraćaja, zbog čega se češće koriste. Osim adrese izvora, provjeravaju i:
- protokol (IP, ICMP, TCP, UDP, itd.)
- odredišna adresa
- broj porta (ne interfejs)

Sintaksa proširene numerirane ACL komande
Ruter (config) # pristupna lista pristup-list-broj protokol izvor odredište
gdje:
pristup-list-broj- ACL broj (100-199 i 2000-2699)
poricati- uskratiti saobraćaj
dozvola- dozvoliti saobraćaj
primjedba- opis pravila ili ACL
protokol- naziv ili broj protokola. To su uglavnom IP, ICMP, TCP, UDP.
izvor- adresa izvora
izvorni zamjenski znak- maska ​​inverznog izvora
odredište- odredišna adresa
odredišni zamjenski znak- maska ​​obrnutog odredišta
operater- upoređuje brojeve portova. Može biti: lt-manje od, gt-veće od, eq-jednako, neq-nije jednako, domet-uključuje domet.
luka- broj porta
uspostavljena- samo za TCP — označava uspostavljenu vezu.

Primjer
R1 (config) # pristupna lista 103 dozvola tcp 192.168.10.0 0.0.0.255 bilo koji eq 80- dozvoljavamo pristup na portu 80 sa mreže 192.168.10.0
R1 (config) # pristupna lista 103 dozvola tcp 192.168.10.0 0.0.0.255 bilo koji eq 443- dozvoljavamo pristup portu 443 sa mreže 192.168.10.0
R1 (config) # pristupna lista 104 dozvola tcp bilo koji 192.168.10.0 0.0.0.255 uspostavljen- dozvoljavamo uspostavljene tcp veze na 192.168.10.0 mrežu.

Prošireni ACL-ovi se dodjeljuju sučeljima na isti način kao i standardni ACL-ovi. Na primjer:
R1 (config) # interfejs f0 / 1
R1 (config-if) #ip pristupna grupa 103 izlaz
R1 (config-if) #IP pristupna grupa 104 in

Kreiranje imenovanog proširenog ACL-a
R1 (konfiguracija) # IP pristupna lista proširena SURFING- proglasiti imenovani prošireni ACL za odlazni promet
R1 (config-ext-nacl) # pernit tcp 192.168.10.0 0.0.0.255 bilo koji eq 80 - kreirati pravila
R1 (config-ext-nacl) # pernit tcp 192.168.10.0 0.0.0.255 bilo koji eq 443
R1 (konfiguracija) # pristupna lista proširena PRETRAŽIVANJE- proglasiti imenovani prošireni ACL za dolazni promet
R1 (config-ext-nacl) # pernit tcp bilo koji 192.168.10.0 0.0.0.255 uspostavljena- kreirati pravila

Složeni ACL-ovi
Standardni i prošireni ACL-ovi mogu biti osnova za složene ACL-ove za poboljšanje funkcionalnosti. Oni su:
- Dinamičan
- Refleksivno
- Vremenski ograničeno

Dynamic ACL - ako korisnik treba da pristupi bilo kom uređaju iza rutera, prvo se mora autentifikovati na ruteru putem Telneta. Nakon toga, ruter daje pristup na određeno vrijeme, nakon čega će se ponovo morati autentifikovati.
R1 (config) #korisničko ime Lozinka učenika 0 cisco- kreirati korisnike za povezivanje putem Telneta bez privilegija.
R3 (config) # pristupna lista 101 dozvoli tcp bilo koji host 10.2.2.2 eq telnet- dozvoljavamo povezivanje na ruter sa svih strana
R3 (config) # pristupna lista 101 dinamička lista testova timeout 15 dozvola ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255- dodajte dinamički zapis pod nazivom testlist, koji će raditi tek nakon uspostavljanja veze preko Telneta u trajanju od 15 minuta, a zatim će biti prekinut. Ovo pravilo dozvoljava pristup sa 192.168.10.0 mreže na 192.168.30.0 mrežu.
R3 (config) #sučelje serijski 0/0/1
R3 (config-if) #ip pristupna grupa 101 in- priključujemo ACL 101 na sučelje u dolaznom smjeru.
R3 (config) #line vty 0 4
R3 (config-line) #login local
R3 (config-line) #autocommand access-enable host timeout 5- čim se korisnik prijavi na ruter, izvršit će se autokomanda koja će omogućiti pristup mreži 192.168.30.0. Telnet sesija će tada biti zatvorena. Pristup mreži će ostati i biće zatvoren nakon 5 minuta čekanja.

Refleksivni ACL - dozvoliti promet izvan mreže samo ako je pokrenut iznutra. U početku je sav saobraćaj sa strane zatvoren. Pristupna lista pamti parametre korisničkih sesija, koje daju zahtjev prema van. Odgovor na ove zahtjeve se provjerava u odnosu na parametre korisničke sesije. Reflektivni ACL-ovi imaju samo privremene unose koji se kreiraju automatski sa svakom sesijom. Reflektivni ACL se ne primjenjuju direktno na sučelje, već su ugniježđeni unutar proširenog ACL-a koji se primjenjuje na sučelje. Reflektivni ACL-ovi mogu se definirati samo u proširenim imenovanim ACL-ovima i mogu se koristiti sa bilo kojim ACL-ovima.
R2 (config) #ip pristupna lista proširena OUTBOUNDFILTERS- proglašavamo imenovani prošireni ACL za odlazni promet.
R2 (config-ext-nacl) #permit tcp 192.168.0.0 0.0.255.255 bilo koji odražava TCPTRAFFIC- pravimo da ruter prati tcp promet koji je pokrenut iznutra i pohranjuje ga u varijablu TCPTRAFFIC.
R2 (config-ext-nacl) #permit icmp 192.168.0.0 0.0.255.255 bilo koji odražava ICMPTRAFFIC- pravimo da ruter prati icmp promet koji je pokrenut iznutra i pohranjuje ga u varijablu ICMPTRAFFIC.
R2 (config) #ip pristupna lista proširena INBOUNDFILTERS- proglašavamo imenovani prošireni ACL za dolazni saobraćaj.
R2 (config-ext-nacl) #evaluate TCPTRAFFIC- prisiljavamo ruter da uporedi parametre dolaznog tcp saobraćaja sa TCPTRAFFIC promenljivom kreiranom pravilom OUTBOUNDFILTERS.
R2 (config-ext-nacl) #evaluate ICMPTRAFFIC- prisiljavamo ruter da uporedi parametre dolaznog icmp saobraćaja sa ICMPTRAFFIC varijablom kreiranom pravilom OUTBOUNDFILTERS.
R2 (config) #interfejs serijski 0/1/0
R2 (config-if) #ip pristupna-grupa INBOUNDFILTERS in- primenjujemo ACL za dolazni saobraćaj na interfejs.
R2 (config-if) #ip pristupna grupa OUTBOUNDFILTERS out- primjenjujemo ACL za odlazni promet na interfejs.

Vremenski ACL - Određuje vrijeme u kojem je određeni unos aktivan u proširenom ACL-u.
R1 (konfiguracija) # vremenski raspon SVAKI DAN- vremensku varijablu deklariramo SVAKI DAN.
R1 (config-time-range) #periodično ponedjeljak srijeda petak 8:00 do 17:00- za ovu varijablu dodjeljujemo listu vremena u koju dodajemo dane u sedmici i vrijeme.
R1 (config) # pristupna lista 101 dozvola tcp 192.168.10.0 0.0.0.255 bilo koji eq telnet vremenski raspon SVAKI DAN- primjenjujemo varijablu na pravilo.
R1 (config) #interface s0 / 0/0
R1 (config-if) #ip pristupna grupa 101 izlaz- povezujemo ACL sa interfejsom.

Nastavljamo da razvijamo našu malu ugodnu mrežu Lift mi Ap. Već smo razgovarali o pitanjima rutiranja i stabilnosti, a sada smo, konačno, porasli za povezivanje na Internet. Dosta zatvorenosti u našem korporativnom okruženju!
Ali razvojem se pojavljuju i novi problemi.
Prvo je virus paralizirao web server, a zatim je neko provalio crva, koji se proširio mrežom, zauzimajući dio propusnog opsega. I neki negativac je stekao naviku brute-force ssh lozinki na server.
Možete li zamisliti šta će početi kada se povežemo na Internet?!
Dakle, danas:
1) učenje da konfigurišete različite liste za kontrolu pristupa
2) pokušaj da se shvati razlika između ograničavanja dolaznog i odlaznog saobraćaja
3) razumijemo kako NAT funkcionira, njegove prednosti, mane i mogućnosti
4) u praksi ćemo organizovati internet vezu preko NAT-a i povećati sigurnost mreže korišćenjem pristupnih lista.

Lista kontrole pristupa

Dakle, šta imamo da kažemo o pristupnim listama? Zapravo, tema je relativno jednostavna i ne kopiraju se samo lijeni sa CCNA kursa. Ali, ne raskidamo li našu nevjerovatnu priču na komade zbog nekih predrasuda?

Koja je svrha pristupnih lista? Čini se da je očigledan odgovor ograničiti pristup: zabraniti nekome da nešto radi, na primjer. Generalno, to je tačno, ali se mora shvatiti u širem smislu: ne radi se samo o bezbednosti. Tako je, u početku, vjerovatno bilo tako, odavde dozvola i poricati prilikom postavljanja. Ali u stvarnosti, ACL je svestran i moćan mehanizam za filtriranje. Uz njihovu pomoć možete odrediti na koga ćete zakačiti određene politike, a ko neće, ko će učestvovati u određenim procesima, a ko neće, koga ograničavamo u brzini na 56k, a kome na 56M.
Da bi bilo malo jasnije, dajmo jednostavan primjer. Na osnovu pristupnih lista, usmjeravanje zasnovano na politikama (PBR) radi. Ovdje možete napraviti tako da dolazni paketi od mreže 192.168.1.0/24 poslane su na sljedeći skok 10.0.1.1 i od mreža 192.168.2.0/24 na 10.0.2.1 (imajte na umu da se normalno rutiranje oslanja na odredišnu adresu paketa i automatski se svi paketi šalju na jedan sljedeći skok):

Na kraju članka, primjer postavljanja i.

ACL tipovi

Ok, zaboravimo ovaj tekst na neko vrijeme.
Uopšteno govoreći, pristupne liste su različite:

• Standard
• Prošireno
• Dynamic
• Refleksivno
• Timephased

Danas ćemo se fokusirati na prva dva, a o svima njima možete pročitati više iz tsiska.

Ulazni i odlazni promet

Za početak, hajde da shvatimo jednu stvar. Šta je ulazni i odlazni saobraćaj? Ovo će nam trebati u budućnosti. Dolazni saobraćaj je onaj koji dolazi na interfejs izvana.

Odlazni je onaj koji se šalje sa interfejsa ka spolja.

Pristupnu listu možete primijeniti ili na dolazni promet, tada neželjeni paketi neće ni doći do rutera i, shodno tome, dalje do mreže, ili na odlazni, tada paketi stignu do rutera, obrađuju ih, stignu do cilja interfejs i samo ga spustite.

Standardna lista pristupa samo provjerava adresu pošiljaoca. Prošireno - adresa pošiljaoca, adresa primaoca i port. Preporučuje se postavljanje standardnih ACL-ova što bliže primaocu (kako se ne bi smanjili više nego što je potrebno), a proširene ACL-ove bliže pošiljaocu (kako bi se neželjeni promet odbacio što je prije moguće).

Vježbajte

Hajdemo odmah na praksu. Na što bismo ovo ograničili u našoj maloj mreži Lift mi Up?

1. WEB server. Dozvolite svima pristup na TCP portu 80 (HTTP protokol). Za uređaj sa kojeg će se vršiti kontrola (imamo administratora) potrebno je da otvorite telnet i ftp, ali mi ćemo mu dati puni pristup. Svi ostali se gase
2. File server. Do njega moramo doći stanovnicima Lift mi Up preko portova za dijeljene foldere, a sve ostalo preko FTP-a.
3. Mail server. Ovdje imamo pokrenute SMTP i POP3, odnosno TCP portove 25 i 110. Otvaramo i kontrolni pristup za administratora. Blokiramo druge
4. Za budući DNS server potrebno je da otvorite UDP port 53
5. Dozvolite ICMP poruke na mreži servera
6. S obzirom da imamo Ostale mreže za sve nestranačke ljude koji nisu ušli u FEO, VET i Računovodstvo, ograničit ćemo ih svima, i dati samo određeni pristup (uključujući nas i administratora)
7. Opet, u kontrolnu mrežu treba pustiti samo administratora, i naravno njegovu voljenu osobu.
8. Nećemo stvarati prepreke komunikaciji između zaposlenih u odjeljenju

1) Pristup WEB-serveru

Ovdje imamo politiku koja zabranjuje sve što nije dozvoljeno. Dakle, sada treba nešto otvoriti, a sve ostalo zatvoriti.
Pošto štitimo mrežu servera, listu ćemo okačiti i na interfejs koji ide prema njima, odnosno na FE0 / 0.3. Pitanje je samo na in ili kod van da li treba da uradimo ovo? Ako ne želimo da šaljemo pakete prema serverima koji su već na ruteru, onda će to biti odlazni saobraćaj. Odnosno, odredišne ​​adrese (odredište) će biti u mreži servera (od kojih ćemo izabrati na koji server ide saobraćaj), a izvorne adrese (izvor) mogu biti bilo koje - kako iz naše korporativne mreže tako i sa interneta .
Još jedna napomena: pošto ćemo filtrirati po odredišnoj adresi (neka pravila za WEB server, druga za mail server), onda nam je potrebna proširena lista kontrole pristupa, samo što nam ona to dozvoljava.

Pravila u pristupnoj listi se provjeravaju redom od vrha do dna do prve utakmice. Čim jedno od pravila proradi, bez obzira da li je dozvoljeno ili odbijeno, provjera se zaustavlja i obrada prometa se zasniva na pokrenutom pravilu.
Odnosno, ako želimo da zaštitimo WEB server, onda pre svega treba da damo dozvolu, jer ako konfigurišemo u prvom redu deny ip bilo koji- onda će uvek raditi i saobraćaj neće ići uopšte. Bilo koji- ovo je posebna riječ koja označava mrežnu adresu i povratnu masku 0.0.0.0 0.0.0.0 i znači da apsolutno svi čvorovi iz bilo koje mreže potpadaju pod pravilo. Još jedna posebna riječ je domaćin- to znači masku 255.255.255.255 - odnosno tačno jednu određenu adresu.
Dakle, prvo pravilo: dozvoli pristup svima na portu 80
msk-arbat-gw1 (config-ext-nacl) # napomena WEB
bilo koji host 172.16.0.2 eq 80

Mi dozvoljavamo ( dozvola) TCP saobraćaj sa bilo kog hosta ( bilo koji) ugostiti ( domaćin- tačno jedna adresa) 172.16.0.2, adresirana na 80. port.
Pokušavamo objesiti ovu pristupnu listu na FE0 / 0.3 interfejs:
msk-arbat-gw1 (config-subif) # IP pristupna grupa Izlaz servera van

Provjeravamo sa bilo kojeg od naših povezanih računara:

Kao što vidite, stranica se otvara, ali šta je sa pingom?

I tako iz bilo kojeg drugog čvora?

Činjenica je da nakon svih pravila u cisk ACL-u, implicitno deny ip bilo koji(implicitno poricanje). Šta ovo znači za nas? Svaki paket koji napušta interfejs i ne odgovara nijednom od pravila iz ACL-a je implicitno odbijen i odbacuje se. Odnosno, barem ping, barem ftp, barem ništa ovdje neće raditi.

Idemo dalje: potrebno je dati pun pristup računaru sa kojeg će se vršiti kontrola. Ovo će biti kompjuter našeg administratora sa adresom 172.16.6.66 sa Druge mreže.
Svako novo pravilo se automatski dodaje na kraj liste ako već postoji:
msk-arbat-gw1 (config) #
msk-arbat-gw1 (config-ext-nacl) # dozvoli tcp host 172.16.6.66 host 172.16.0.2 opseg 20 ftp
msk-arbat-gw1 (config-ext-nacl) # dozvoli tcp host 172.16.6.66 host 172.16.0.2 eq telnet

To je sve. Provjeravamo sa željenog čvora (pošto serveri u RT-u ne podržavaju telnet, provjeravamo na FTP-u):

Odnosno, FTP poruka je stigla na ruter i trebala bi napustiti FE0 / 0.3 interfejs. Ruter provjerava i vidi da li paket odgovara pravilu koje smo dodali i prosljeđuje ga.

I sa stranog čvora

FTP paket ne odgovara nijednom pravilu, osim implicitnog deny ip any any, i odbacuje se.

2) Pristup serveru datoteka

Ovdje bi prije svega trebalo odlučiti ko će biti „stanovnik“, kome treba omogućiti pristup. Naravno, to su oni koji imaju adresu iz mreže 172.16.0.0/16 - samo će oni imati pristup.
Sada sa zajedničkim folderima. U većini modernih sistema za to se već koristi SMB protokol kojem je potreban port TCP 445. Na starijim verzijama korišćen je NetBios koji se napajao preko tri porta: UDP 137 i 138 i TCP 139. Nakon što smo se dogovorili sa našim administratorom, mi smo će konfigurirati port 445 (iako provjerite u okviru RT-a, naravno, neće raditi). Ali osim ovoga, potrebni su nam portovi za FTP - 20, 21, i to ne samo za interne hostove, već i za konekcije sa Interneta:
msk-arbat-gw1 (config) # ip lista pristupa proširena Izlaz servera
msk-arbat-gw1 (config-ext-nacl) # dozvoli tcp 172.16.0.0 0.0.255.255 host 172.16.0.3 eq 445
msk-arbat-gw1 (config-ext-nacl) # dozvoli tcp bilo koji host 172.16.0.3 raspon 20 21

Ovdje smo ponovo primijenili konstrukciju raspon 20 21- da biste naveli nekoliko portova u jednom redu. Za FTP, općenito govoreći, samo port 21 nije dovoljan. Činjenica je da ako otvorite samo njega, tada će se za vas izvršiti autorizacija, ali prijenos datoteka neće.

0.0.255.255 - maska ​​zamjenskog znaka. O čemu se radi, govorićemo malo kasnije.

3) Pristup mail serveru

Nastavljamo da razvijamo praksu - sada sa mail serverom. Kao dio iste pristupne liste, dodajemo nove zapise koji su nam potrebni.
Umjesto brojeva portova za široko korištene protokole, možete navesti njihova imena:
msk-arbat-gw1 (config) # ip lista pristupa proširena Izlaz servera
msk-arbat-gw1 (config-ext-nacl) #dozvoli tcp bilo koji host 172.16.0.4 eq pop3
msk-arbat-gw1 (config-ext-nacl) #permit tcp bilo koji host 172.16.0.4 eq smtp

4) DNS server

msk-arbat-gw1 (config) # ip lista pristupa proširena Izlaz servera
msk-arbat-gw1 (config-ext-nacl) # dozvola udp 172.16.0.0 0.0.255.255 host 172.16.0.5 eq 53

5) ICMP

Ostaje popraviti situaciju s pingom. U redu je dodati pravila na kraj liste, ali je nekako estetski ugodno vidjeti ih na početku.
Za ovo koristimo jednostavnu prevaru. Da biste to učinili, možete koristiti uređivač teksta, na primjer. Kopirajte ACL dio iz show run tamo i dodajte sljedeće redove:
nema proširene liste pristupa za IP servere
ip pristupna lista proširena Izlaz servera
dozvoli icmp bilo koji bilo koji
primjedba WEB



primjedba FILE


primjedba MAIL


primjedba DNS

U prvom redu brišemo postojeću listu, zatim je kreiramo iznova i navodimo sva nova pravila onim redom koji nam je potreban. Sa naredbom u trećem redu, dozvolili smo da svi ICMP paketi prođu sa bilo kojeg hosta na bilo koji host.

Zatim samo kopirajte sve skupa i zalijepite u konzolu. Interfejs interpretira svaku liniju kao posebnu naredbu i izvršava je. Stoga smo staru listu zamijenili novom.
Provjeravamo da li postoji ping:

Divno.

Ova varalica je dobra za početnu konfiguraciju ili ako tačno znate šta radite. Na proizvodnoj mreži, kada daljinski konfigurišete ACL, rizikujete da ostanete bez pristupa konfigurabilnom komadu hardvera.

Da biste umetnuli pravilo na početku ili gdje god želite, možete koristiti ovaj trik:
ip pristupna lista proširena Izlaz servera
1 dozvola icmp bilo koji bilo koji

Svako pravilo na listi je numerisano određenim korakom, a ako stavite broj ispred riječi dozvoli / zabrani, onda će pravilo biti dodano ne na kraj, već na mjesto koje vam je potrebno. Nažalost, ova funkcija ne radi u RT-u.
Ako je to iznenada potrebno (svi uzastopni brojevi između pravila su zauzeti), uvijek možete prenumerisati pravila (u ovom primjeru broj prvog pravila je 10 (prvi broj), a povećanje je 10):
ip pristupna lista resequence Servers-out 10 10

Kao rezultat, lista pristupa na mreži servera će izgledati ovako:
ip pristupna lista proširena Izlaz servera
dozvoli icmp bilo koji bilo koji
primjedba WEB
dozvoli tcp bilo kojem hostu 172.16.0.2 eq www
dozvoli tcp host 172.16.6.66 host 172.16.0.2 opseg 20 ftp
dozvoli tcp host 172.16.6.66 host 172.16.0.2 eq telnet
primjedba FILE
dozvola tcp 172.16.0.0 0.0.255.255 host 172.16.0.3 eq 445
dozvoli tcp bilo kojem hostu 172.16.0.3 raspon 20 21
primjedba MAIL
dozvoli tcp bilo kojem hostu 172.16.0.4 eq pop3
dozvoli tcp bilo koji host 172.16.0.4 eq smtp
primjedba DNS
dozvola udp 172.16.0.0 0.0.255.255 host 172.16.0.5 eq 53

Sada naš administrator ima pristup samo WEB serveru. Omogućite mu potpuni pristup cijeloj mreži. Ovo je prvi domaći zadatak.

6) Prava korisnika sa Druge mreže

Do sada nam je bilo potrebno držati van neko negdje, pa smo obratili pažnju na odredišnu adresu i okačili pristupnu listu na saobraćaj koji izlazi sa interfejsa. Sada nam treba ne osloboditi: Nijedan zahtjev sa računara na drugoj mreži ne bi trebao izlaziti izvan granica. Pa, naravno, osim onih koje izričito dozvoljavamo.
msk-arbat-gw1 (config) # proširena lista pristupa ip Ostalo-u

msk-arbat-gw1 (config-ext-nacl) # dozvoli ip host 172.16.6.61 bilo koji



Ovdje nismo mogli prvo odbiti sve, a onda dozvoliti elitu, jer bi apsolutno svi paketi potpali pod pravilo deny ip bilo koji i dozvola ne bi funkcionisalo uopšte.
Primjenjujemo na interfejs. Ovaj put na ulazu:
msk-arbat-gw1 (config) #int fa0 / 0.104
msk-arbat-gw1 (config-subif) #ip pristupna-grupa Ostalo-u in

to jest, svi IP paketi sa hosta sa adresom 172.16.6.61 ili 172.16.6.66 su dozvoljeni za slanje gde god su namenjeni. Zašto i ovdje koristimo proširenu pristupnu listu? Uostalom, čini se da samo provjeravamo adresu pošiljaoca. Zato što smo administratoru dali pun pristup, ali gost kompanije Lift mi Up, na primjer, koji uđe u istu mrežu, nema apsolutno nikakav pristup ničemu drugom osim Internetu.

7) Kontrolna mreža

Ništa komplikovano. Pravilo će izgledati ovako:
msk-arbat-gw1 (config) # proširena lista pristupa ip Upravljački izlaz
msk-arbat-gw1 (config-ext-nacl) # napomena IAM
msk-arbat-gw1 (config-ext-nacl) # dozvoli ip host 172.16.6.61 172.16.1.0 0.0.0.255
msk-arbat-gw1 (config-ext-nacl) # napomena ADMIN
msk-arbat-gw1 (config-ext-nacl) # dozvoli ip host 172.16.6.66 172.16.1.0 0.0.0.255

Ovaj ACL se primjenjuje na FE 0 / 0.2 sučelje:
msk-arbat-gw1 (config) # int fa0 / 0.2
msk-arbat-gw1 (config-subif) #ip pristupna grupa Izlaz za upravljanje

8) Nema više ograničenja

Spreman

Maska i reverzna maska

Do sada smo bez objašnjenja davali čudan parametar oblika 0.0.255.255, koji sumnjivo podsjeća na masku podmreže.
Pomalo je teško razumjeti, ali upravo se ovo - obrnuta maska ​​- koristi za određivanje hostova koji će odgovarati pravilu.
Da biste razumjeli šta je reverzna maska, morate znati šta je obična maska. Počnimo s najjednostavnijim primjerom.

Redovna mreža sa 256 adresa: 172.16.5.0/24, na primjer. Šta znači ovaj unos?
A to znači upravo sljedeće

IP adresa. Decimalni zapis	172	16	5	0
IP adresa. Binarna notacija	10101100	00010000	00000101	00000000
	11111111	11111111	11111111	00000000
	255	255	255	0

IP adresa je 32-bitni parametar podijeljen na 4 dijela koje ste navikli vidjeti u decimalnim zapisima.
Podmrežna maska ​​je takođe dugačka 32 bita - to je zapravo šablon, šablon kojem pripada adresa podmreže. Tamo gdje su jedinice u maski, vrijednost se ne može promijeniti, odnosno dio 172.16.5 je potpuno nepromijenjen i bit će isti za sve hostove u ovoj podmreži, ali onaj gdje se nule mijenjaju.
To jest, u našem primjeru, 172.16.5.0/24 je mrežna adresa, a domaćini će biti 172.16.5.1-172.16.5.254 (poslednjih 255 se emituje), jer je 00000001 1, a 11111110 razgovaramo o 254 o zadnjem oktetu adrese). / 24 znači da je dužina maske 24 bita, odnosno imamo 24 jedinice - nepromijenjeni dio i 8 nula.
Drugi slučaj je kada imamo masku, na primjer, 30 bita, a ne 24.
Na primjer 172.16.2.4/30. Hajde da to napišemo ovako:

IP adresa. Decimalni zapis	172	16	2	4
IP adresa. Binarna notacija	10101100	00010000	00000010	00000100
Subnet maska. Binarna notacija	11111111	11111111	11111111	11111100
Subnet maska. Decimalni zapis	255	255	255	252

Kao što vidite, samo posljednja dva bita se mogu promijeniti za ovu podmrežu. Zadnji oktet može imati sljedeće 4 vrijednosti:
00000100 - adresa podmreže (4 u decimali)
00000101 - adresa čvora (5)
00000110 - adresa čvora (6)
00000111 - emitiranje (7)
Sve izvan ovoga je već druga podmreža

Odnosno, sada bi vam trebalo biti malo jasno da je maska ​​podmreže niz od 32 bita, gdje su prvo jedinice, što znači adresa podmreže, zatim nule, što znači adresu hosta. U ovom slučaju, naizmjenične nule i jedinice u maski ne mogu se izmjenjivati. To jest, maska ​​je 11111111.11100000.11110111.00000000 nemoguće

Šta je džoker?
Za ogromnu većinu administratora i nekih inženjera, ovo nije ništa drugo nego obrnuto od uobičajene maske. Odnosno, nule prvo postavljaju adresu dijela koji se nužno mora podudarati, a jedinice, naprotiv, slobodnog dijela.
Odnosno, u prvom primjeru koji smo uzeli, ako želite filtrirati sve hostove iz podmreže 172.16.5.0/24, onda ćete postaviti pravilo u Access listi:
…. 172.16.5.0 0.0.0.255
Zato što bi obrnuta maska ​​izgledala ovako:

00000000.00000000.00000000.11111111

U drugom primjeru s mrežom 172.16.2.4/30, inverzna maska ​​će izgledati ovako: 30 nula i dvije jedinice:

Reverzna maska. Binarna notacija	00000000	00000000	00000000	00000011
Reverzna maska. Decimalni zapis	0	0	0	3

Shodno tome, parametar u pristupnoj listi će izgledati ovako:
…. 172.16.2.4 0.0.0.3
Kasnije, kada pojedete psa na pogrešnim proračunima maski i inverznih maski, sjetit ćete se najčešće korištenih brojeva, broja domaćina u određenoj maski, shvatit ćete da se u opisanim situacijama dobija zadnji oktet inverzne maske oduzimanjem posljednjeg okteta regularne maske od 255 (255-252 = 3), itd. U medjuvremenu treba vredno raditi i brojati)

Ali u stvari, obrnuta maska ​​je nešto bogatiji alat, ovdje možete kombinovati adrese unutar iste podmreže ili čak kombinirati podmreže, ali glavna razlika je u tome što možete mijenjati nule i jedinice. Ovo vam omogućava, na primjer, da filtrirate određeni host (ili grupu) u više podmreža s jednom linijom.

Primjer 1

Dato: mreža 172.16.16.0/24
potrebno: filtriraj prve 64 adrese (172.16.16.0-172.16.16.63)
Rješenje: 172.16.16.0 0.0.0.63

Primjer 2

Dato: mreže 172.16.16.0/24 i 172.16.17.0/24
potrebno: filtrirati adrese iz obje mreže
Rješenje: 172.16.16.0 0.0.1.255

Primjer 3

Dato: Mreže 172.16.0.0-172.16.255.0
potrebno: filter host sa adresom 4 iz svih podmreža
Rješenje: 172.16.0.4 0.0.255.0

ACL rad u slikama

Hipotetička mreža:

1) Na ruteru RT1 na FE0/1 interfejsu je dozvoljeno sve osim ICMP-a.

2) Na ruteru RT2, SSH i TELNET su onemogućeni na FE0/1 interfejsu

Testovi
kliknuti
1) Ping sa PC1 na Server1

2) TELNET sa PC1 na Server1

3) SSH sa PC1 na Server2

4) Ping sa servera 2 na PC1

Supplementi

1) Pravila za odlazni saobraćaj (out) neće filtrirati saobraćaj samog uređaja. Odnosno, ako negdje trebate zabraniti pristup samoj tsiski, onda ćete morati filtrirati dolazni promet na ovom interfejsu (povratiti promet sa mjesta gdje želite zabraniti pristup).

2) C ACL bi trebao biti pažljiviji. Uz malu grešku u pravilu, pogrešan redoslijed postavki ili čak loše osmišljenu listu, možete ostati bez pristupa uređaju.
Na primjer, želite da blokirate pristup bilo gdje za mrežu 172.16.6.0/24, osim za svoju adresu 172.16.6.61, i postavite pravila ovako:
deny ip 172.16.6.0 0.0.0.255 bilo koji


Čim primenite ACL na interfejs, odmah gubite pristup ruteru, jer potpadate pod prvo pravilo, a drugo nije ni provereno.
Druga neugodna situacija koja vam se može dogoditi: promet koji nije trebao proći ispod ACL-a.
Zamislite ovu situaciju: imamo pasivni FTP server u našoj server sobi. Da biste mu pristupili, otvorili ste port 21 u ACL-u Serveri-out... Nakon uspostavljanja početne veze, FTP server govori klijentu port na kojem je spreman za slanje/primanje datoteka, na primjer, 1523. Klijent pokušava da uspostavi TCP vezu na ovom portu, ali naiđe na izlaz ACL servera, gde nema takve dozvole - tako se priča o uspešnom transferu završava. U našem primjeru iznad, gdje smo konfigurirali pristup serveru datoteka, pristup smo otvorili tek 20. i 21., jer je to dovoljno za primjer. U stvarnom životu, morate petljati. Nekoliko primjera ACL konfiguracije za uobičajene slučajeve.

3) Iz druge tačke slijedi vrlo sličan i zanimljiv problem.
Mislili ste, na primjer, okačiti sljedeće ACL-ove na internet sučelje:
access-list out permit tcp host 1.1.1.1 host 2.2.2.2 eq 80
access-list u dozvoli tcp host 2.2.2.2 bilo koji eq 80

Čini se: hostu sa adresom 1.1.1.1 je dozvoljen pristup na 80. portu do servera 2.2.2.2 (prvo pravilo). I nazad sa servera 2.2.2.2 konekcije unutra su dozvoljene.
Ali nijansa je u tome što računar 1.1.1.1 uspostavlja vezu NA 80. portu, ali sa nekog drugog, na primjer, 1054, odnosno paket odgovora sa servera dolazi na socket 1.1.1.1:1054, ne pada prema pravilu u ACL-u na IN i odbačen zbog implicitnog deny ip any any.
Da biste izbjegli takvu situaciju, a ne otvarali portove s cijelim paketom, možete pribjeći ovom triku u ACL-u na:
dozvoliti tcp host 2.2.2.2 bilo koji uspostavljen.

Detalji takvog rješenja u jednom od sljedećih članaka.

4) Govoreći o modernom svijetu, ne možete zaobići takav alat kao što su grupe objekata (Object-group).

Recimo da morate da sastavite ACL koji izdaje tri specifične adrese na Internet na tri identična porta sa perspektivom proširenja broja adresa i portova. Kako to izgleda bez poznavanja grupa objekata:
ip pristupna lista proširena NA INTERNET
dozvoli tcp host 172.16.6.66 bilo koji eq 80
dozvoli tcp host 172.16.6.66 bilo koji eq 8080
dozvoli tcp host 172.16.6.66 bilo koji eq 443
dozvoli tcp host 172.16.6.67 bilo koji eq 80
dozvoli tcp host 172.16.6.67 bilo koji eq 8080
dozvoli tcp host 172.16.6.67 bilo koji eq 443
dozvoli tcp host 172.16.6.68 bilo koji eq 80
dozvoli tcp host 172.16.6.68 bilo koji eq 8080
dozvoli tcp host 172.16.6.68 bilo koji eq 443

Kako se broj parametara povećava, postaje sve teže održavati takav ACL i lako je pogriješiti prilikom konfigurisanja.
Ali ako se okrenemo grupama objekata, onda to poprima sljedeći oblik:
usluga grupe objekata INET-PORTS
opis Portovi dozvoljeni za neke hostove
tcp eq www
tcp eq 8080
tcp eq 443

Mreža grupe objekata HOSTS-TO-INET
opis Domaćini su dozvoljeni da pretražuju mrežu
host 172.16.6.66
host 172.16.6.67
host 172.16.6.68

Ip pristupna lista proširena INET-OUT
dopustiti grupu objekata INET-PORTS grupu objekata HOSTS-TO-INET bilo

na prvi pogled izgleda malo prijeteće, ali ako pogledate, vrlo je zgodno.

4) Iz izlaza naredbe mogu se dobiti vrlo korisne informacije za rješavanje problema prikaži ip pristupne liste% ACL ime%... Pored stvarne liste pravila za navedeni ACL, ova naredba prikazuje broj podudaranja za svako pravilo.

Msk-arbat-gw1 # sh ip pristupne liste nat-inet
Proširena IP pristupna lista nat-inet




dozvoli ip host 172.16.6.61 bilo koji
(4 utakmice (e))

I dodavanje na kraju svakog pravila log, moći ćemo primati poruke o svakom meču u konzoli. (ovo drugo ne radi u PT)

NAT

Prevođenje mrežnih adresa je nezamjenjiv mehanizam u domaćinstvu od 1994. godine. Mnoge sesije o tome su prekinute i paketi su izgubljeni.
Najčešće vam je potreban za povezivanje vaše lokalne mreže na Internet. Činjenica je da teoretski postoji 255 * 255 * 255 * 255 = 4 228 250 625,4 milijarde adresa. Čak i kada bi svaki stanovnik planete imao samo jedan kompjuter, više ne bi bilo dovoljno adresa. I ovdje, osim što pegle nisu spojene na internet. Pametni ljudi su to shvatili još početkom 90-ih i, kao privremeno rješenje, predložili podjelu adresnog prostora na javni (bijeli) i privatni (privatni, sivi).
Potonji uključuju tri raspona:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Možete ih slobodno koristiti na svojoj privatnoj mreži i stoga će se, naravno, ponavljati. Šta je sa jedinstvenošću? Kome će odgovoriti WEB-server, koji je primio zahtjev sa povratnom adresom 192.168.1.1? Rostelecom? Tatneft kompanije? Ili tvoja soba Dink? Na velikom internetu niko ne zna ništa o privatnim mrežama — one se ne rutiraju.
Ovdje na scenu stupa NAT. Uglavnom, ovo je prevara, nameštaljka. Na push uređaju se vaša privatna adresa, grubo rečeno, jednostavno zamjenjuje bijelom adresom, koja će se pojaviti dalje u paketu dok putuje do WEB servera. Ali bijele adrese su vrlo dobro usmjerene, a paket će se sigurno vratiti na uređaj za zatezanje.
Ali kako će ono, zauzvrat, shvatiti šta dalje s njim? Ovdje ćemo se pozabaviti ovim.

NAT tipovi

Statički

U ovom slučaju, jedna interna adresa se konvertuje u jednu eksternu. U isto vrijeme, svi zahtjevi koji dolaze na eksternu adresu biće emitovani na internu. Kao da je ovaj host vlasnik ove bijele IP adrese.

Konfigurisano sljedećom naredbom:
Ruter (config) # ip nat unutar izvora statički 172.16.6.5 198.51.100.2

Šta se dešava:
1) Čvor 172.16.6.5 se obraća WEB serveru. Šalje IP paket sa 192.0.2.2 kao adresom primaoca i 172.16.6.5 kao pošiljaocem.

2) Preko korporativne mreže, paket se isporučuje na gateway 172.16.6.1, gdje je konfigurisan NAT

3) Prema konfigurisanoj komandi, ruter uklanja trenutno IP zaglavlje i menja ga u novo, gde se kao adresa pošiljaoca već pojavljuje bela adresa 198.51.100.2.

4) Preko velikog Interneta, ažurirani paket stiže do servera 192.0.2.2.

5) Vidi da se odgovor mora poslati na 198.51.100.2 i priprema odgovorni IP paket. Adresa servera je 192.0.2.2 kao adresa pošiljaoca, odredišna adresa je 198.51.100.2

6) Paket leti nazad preko interneta, a ne činjenica da na isti način.

7) Uređaj za biranje označava da svi zahtjevi na adresu 198.51.100.2 moraju biti preusmjereni na 172.16.6.5. Ruter ponovo uklanja TCP segment skriven unutra i postavlja novo IP zaglavlje (izvorna adresa se ne mijenja, odredišna adresa je 172.16.6.5).

8) Preko interne mreže paket se vraća inicijatoru, koji ni ne zna kakva su mu se čuda dešavala na granici.
I tako će biti sa svima.
Štaviše, ako je veza pokrenuta sa Interneta, paketi automatski, prolazeći kroz uređaj za zatezanje, idu na interni host.

Ovaj pristup je koristan kada imate server unutar vaše mreže kojem je potreban potpun pristup izvana. Naravno, ne možete koristiti ovu opciju ako želite pustiti tri stotine hostova na Internet preko jedne adrese. Ova NAT opcija vam neće pomoći da sačuvate bijele IP adrese, ali ipak može biti korisna.

Dynamic

Imate skup bijelih adresa, na primjer, vaš provajder vam je dodijelio 198.51.100.0/28 mrežu sa 16 adresa. Dvije od njih (prva i posljednja) su mrežna adresa i broadcast adresa, još dvije adrese su dodijeljene opremi za rutiranje. Možete koristiti 12 preostalih adresa za NAT i osloboditi svoje korisnike preko njih.
Situacija je slična statičnom NAT-u - jedna privatna adresa je prevedena u jednu eksternu - ali sada vanjska nije jasno fiksirana, već će se birati dinamički iz specificiranog raspona.
Ovako je konfigurisan:
Ruter (config) #ip nat pool lol_pool 198.51.100.3 198.51.100.14

Specificiran skup (opseg) javnih adresa iz kojeg će biti odabrana adresa za natiranje
Ruter (konfiguracija)
# pristupna lista 100 dozvola ip 172.16.6.0 0.0.0.255 bilo

Postavljamo pristupnu listu koja dozvoljava da prođu svi paketi sa izvornom adresom 172.16.6.x, gdje X kreće se od 0-255.
Ruter (config) #ip nat unutar liste izvora 100 bazen lol_pool

Ovom komandom spajamo kreirani ACL i bazen.

Ova opcija također nije univerzalna, također ne možete pustiti svojih 300 korisnika na Internet ako nemate 300 vanjskih adresa. Kada se potroše bijele adrese, niko novi neće moći pristupiti internetu. Istovremeno će raditi oni korisnici koji su već uspjeli da prigrabe eksternu adresu za sebe. Tim će vam pomoći da izbacite sve trenutne emisije i besplatne vanjske adrese. clear ip nat prijevod *
Osim dinamičke alokacije vanjskih adresa, ovaj dinamički NAT se razlikuje od statičkog NAT-a po tome što bez posebne konfiguracije prosljeđivanja portova, eksterno povezivanje na jednu od adresa skupa više nije moguće.

Mnogo na jedan

Sljedeći tip ima nekoliko imena: NAT Overload, Port Address Translation (PAT), IP Masquerading, Many-to-One NAT.
Prezime govori samo za sebe - preko jedne eksterne adrese mnoge privatne izlaze u svijet. To vam omogućava da riješite problem s nedostatkom vanjskih adresa i pustite sve na svijet.
Ovdje bi bilo potrebno dati objašnjenje kako to funkcionira. Može se zamisliti kako se dvije privatne adrese prevode u jednu, ali kako ruter razumije ko treba proslijediti paket vraćen sa interneta na ovu adresu?
Sve je vrlo jednostavno:
Pretpostavimo da postoje paketi koji dolaze od dva hosta na internoj mreži do preuzimača. Oba sa zahtjevom prema WEB serveru 192.0.2.2.
Podaci sa hostova izgledaju ovako:

Ruter otkriva IP paket sa prvog hosta, izdvaja TCP segment iz njega, ispisuje ga i saznaje sa kojeg porta se uspostavlja veza. Ima eksternu adresu 198.51.100.2 na koju će se promijeniti adresa iz interne mreže.
Zatim odabere slobodan port, na primjer, 11874. I šta će dalje? On pakuje sve podatke sloja aplikacije u novi TCP segment, gdje 80 ostaje kao odredišni port (za njega WEB server čeka na konekcije), a port pošiljatelja se mijenja sa 23761 na 11874. Ovaj TCP segment je inkapsuliran u novi IP- paket u kojem se IP adresa pošiljaoca mijenja sa 172.16.6.5 na 198.51.100.2.
Isto se dešava i za paket sa drugog hosta, samo se bira sledeći slobodni port, na primer 11875. „Slobodan“ znači da još uvek nije zauzet drugim takvim vezama.
Podaci koji se šalju na Internet sada će izgledati ovako.

U svoju NAT tabelu unosi podatke pošiljaoca i primaoca

Za WEB server to su dva potpuno različita zahtjeva, koje mora obraditi svaki pojedinačno. Nakon toga šalje odgovor koji izgleda ovako:

Kada jedan od ovih paketa stigne do našeg rutera, on uparuje podatke u ovom paketu sa svojim unosima u NAT tabeli. Ako se pronađe podudaranje, dešava se suprotan postupak - paket i TCP segment se vraćaju na svoje originalne parametre samo kao odredište:

A sada se paketi isporučuju preko interne mreže do početnih kompjutera, koji ni ne znaju da su negdje njihovi podaci tako grubo tretirani na granici.

Svaki vaš zahtjev je zasebna veza. Odnosno, pokušali ste da otvorite WEB stranicu - ovo je HTTP protokol koji koristi port 80. Da biste to uradili, vaš računar mora da uspostavi TCP sesiju sa udaljenim serverom. Takvu sesiju (TCP ili UDP) definiraju dvije utičnice: lokalna IP adresa: lokalni port i udaljena IP adresa: udaljeni port. U normalnoj situaciji imate jednu vezu računar-server, u slučaju NAT veze biće dve, takoreći: ruter-server i računar misli da ima sesiju računar-server.

Postavka se prilično razlikuje: s dodatnim preopterećenjem riječi:
Ruter (config) # pristupna lista 101 dozvola 172.16.4.0 0.0.0.255
Ruter (config) #ip nat unutar liste izvora 101 interfejs fa0 / 1 preopterećenja

U isto vrijeme, naravno, moguće je konfigurirati skup adresa:
Ruter (config) #ip nat pool lol_pool 198.51.100.2 198.51.100.14
Ruter (config) # pristupna lista 100 dozvola 172.16.6.0 0.0.0.255
Ruter (config) #ip nat unutar liste izvora 100 bazen lol_pool preopterećenja

Port forwarding

Inače, kažu i prosljeđivanje porta ili mapiranje.
Kada smo prvi put počeli da pričamo o NAT-u, imali smo prevod jedan-na-jedan i svi zahtevi koji su dolazili izvana automatski su bili preusmereni na interni host. Na ovaj način bi bilo moguće izložiti server izvan Interneta.
Ali ako nemate takvu mogućnost - ograničeni ste na bijele adrese, ili ne želite to izlagati van s cijelom gomilom portova, što učiniti?
Možete odrediti da svi zahtjevi koji dolaze na određenu bijelu adresu i određeni port rutera trebaju biti preusmjereni na ispravan port željene interne adrese.
Ruter (config) #ip nat unutar izvora statički tcp 172.16.0.2 80 198.51.100.2 80 proširivo

Upotreba ove naredbe znači da će TCP zahtjev sa Interneta na adresu 198.51.100.2 na portu 80 biti preusmjeren na internu adresu 172.16.0.2 na istom 80. portu. Naravno, također možete proslijediti UDP i preusmjeriti s jednog porta na drugi. Ovo može biti korisno, na primjer, ako imate dva računara kojima trebate pristupiti preko RDP-a izvana. RDP koristi port 3389. Ne možete proslijediti isti port na različite hostove (kada koristite istu eksternu adresu). Stoga, možete učiniti sljedeće:
Ruter (config) # ip nat unutar izvora statički tcp 172.16.6.61 3389 198.51.100.2 3389
Ruter (config) # ip nat unutar izvora statički tcp 172.16.6.66 3389 198.51.100.2 3398

Zatim, da biste došli do računara 172.16.6.61, pokrećete RDP sesiju na portu 198.51.100.2:3389, a na 172.16.6.66 - 198.51.100.2:3398. Ruter će sve rasuti tamo gdje treba.

Inače, ova naredba je poseban slučaj prve: ip nat unutar izvora static 172.16.6.66 198.51.100.2. Samo u ovom slučaju govorimo o prosljeđivanju cjelokupnog prometa, au našim primjerima - specifičnih portova TCP protokola.

Ovako NAT u osnovi radi. Mnogo je članaka napisano o njegovim karakteristikama, prednostima i nedostacima, ali oni se ne mogu zanemariti.

Slabosti i prednosti NAT-a

+

- Kao prvo NAT čuva javne IP adrese. Zapravo za to je i stvoren. Preko jedne adrese, teoretski je moguće izdati više od 65000 sivih adresa (po broju portova).
- Drugo, PAT i dinamički NAT je u određenoj mjeri zaštitni zid, koji sprječava vanjske veze da dođu do krajnjih računala, koji možda nemaju svoj zaštitni zid i antivirusni program. Činjenica je da ako paket stigne do drajvera izvana, što se ovdje ne očekuje ili ne dozvoljava, on se jednostavno odbacuje.
Da bi se paket preskočio i obradio, moraju biti ispunjeni sljedeći uslovi:
1) Mora postojati unos u NAT tabeli za ovu eksternu adresu, naveden kao adresa pošiljaoca u paketu
I
2) Port pošiljaoca u paketu mora odgovarati portu za ovu bijelu adresu u unosu
I
3) Odredišni port u paketu je isti kao i port u unosu.
ILI
Prosljeđivanje porta je konfigurirano.
Ali ne morate da smatrate NAT baš kao zaštitni zid – ovo nije ništa drugo do njegov dodatni bonus.

- Treće, NAT skriva unutrašnju strukturu vaše mreže od znatiželjnih očiju - kada pratite rutu izvana, nećete vidjeti ništa osim uređaja za guranje.

-

NAT ima neke nedostatke. Najopipljivije su možda sljedeće:
- Neki protokoli ne mogu raditi preko NAT-a bez štaka. Na primjer, FTP ili protokoli za tuneliranje (iako sam jednostavno postavio FTP u laboratoriji, u stvarnom životu to može stvoriti gomilu problema)
- Drugi problem leži u činjenici da sa jedne adrese dolazi mnogo zahtjeva na jedan server. Mnogi su se uvjerili u to, kada odete na neki Rapidshare, a on kaže da je već bila konekcija sa vašeg IP-a, mislite da "laže, kuče", ali komšija već sisa. Iz istog razloga došlo je do problema sa ICQ-om, kada su serveri odbili da se registruju.
- Problem sada nije hitan: opterećenje procesora i RAM-a. Budući da je količina posla prilično velika u usporedbi s jednostavnim usmjeravanjem (neophodno je ne samo pogledati IP zaglavlje, potrebno ga je ukloniti, ukloniti TCP zaglavlje, dodati ga u tablicu, pričvrstiti nova zaglavlja) u malim uredima postoje problemi sa ovim.
Naišao sam na takvu situaciju.
Jedno od mogućih rješenja je premještanje NAT funkcije na poseban PC ili na specijalizirani uređaj, na primjer, Cisco ASA.
Za velike igrače, čiji ruteri okreću 3-4 BGP full-view, sada to nije problem.

Šta još trebate znati?
- NAT se uglavnom koristi za omogućavanje pristupa Internetu hostovima sa privatnim adresama. Ali postoje i druge namjene - komunikacija između dvije privatne mreže sa preklapajućim adresnim prostorima.
Na primjer, vaša kompanija kupuje podružnicu u Aktyubinsku. Vaše adresiranje je 10.0.0.0-10.1.255.255, a oni imaju 10.1.1.0-10.1.10.255. Opsezi se očigledno preklapaju, nećete moći da konfigurišete rutiranje, jer se ista adresa može pojaviti u Aktyubinsku i u vašem sedištu.
U ovom slučaju, NAT je konfigurisan na spoju. Pošto nemamo sive adrese, možemo odabrati, na primjer, raspon 10.2.1.0-10.2.10.255 i napraviti prijenos jedan na jedan:
10.1.1.1-10.2.1.1
10.1.1.2-10.2.1.2
…
10.1.10.255-10.2.10.255

U velikim igračkama za odrasle, NAT se može implementirati na posebnoj ploči (a često i jeste) i neće raditi bez nje. A na kancelarijskim žlijezdama, naprotiv, ima gotovo uvijek.

Sa širokim usvajanjem IPv6, potreba za NAT-om će se smanjiti. Već sada se veliki kupci počinju zanimati za funkcionalnost NAT64 - to je kada imate pristup svijetu preko IPv4, a interna mreža je već na IPv6

Naravno, ovo je samo površan pogled na NAT i još uvijek postoji more nijansi u kojima će vam samoobrazovanje pomoći da se ne utopite.

NAT praksa

Šta stvarnost traži od nas?
1) Kontrolna mreža uopće nema pristup Internetu
2) Domaćini iz VET mreže imaju pristup samo specijalizovanim sajtovima, na primer, sajtu
3) Drage dame iz računovodstva treba da probiju prozor u svet klijenata-banka.
4) FEO ne treba nigdje biti pušten, osim finansijskog direktora
5) U Drugoj mreži, našem računaru i računaru administratora - daćemo im pun pristup Internetu. Svi ostali se mogu otvoriti na pismeni zahtjev.
6) Ne zaboravimo na filijale u Sankt Peterburgu i Kemerovu. Radi jednostavnosti, hajde da konfigurišemo puni pristup za enikis iz ovih podmreža.
7) Sa serverima, posebna pjesma. Za njih ćemo konfigurirati prosljeđivanje portova. Sve što nam treba:
a) WEB-server mora biti dostupan na portu 80
b) Mail server 25. i 110
c) Datotečni server je dostupan iz svijeta preko FTP-a.
8) Računari admina i naši moraju biti dostupni sa interneta preko RDP-a. Zapravo, ovo je pogrešan način - za udaljenu vezu morate koristiti VPN konekciju i već ste na lokalnoj mreži koristiti RDP, ali ovo je tema za jedan sasvim drugi članak.

Prvo, pripremimo mjesto za testiranje:

Internet konekcija će biti organizovana preko postojeće veze koju obezbeđuje provajder.
Ide na mrežu provajdera. Podsjećamo vas da je sve u ovom oblaku apstraktna mreža, koja se u stvari može sastojati od desetina rutera i stotina svičeva. Ali treba nam nešto upravljivo i predvidljivo, pa smo postavili još jedan ruter ovdje. S jedne strane, postoji veza do njega sa prekidača, s druge strane postoji server na Internetu.

Potrebni su nam sljedeći serveri:
1. Dvije klijent banke za računovođe (sperbank.ru, mmm-bank.ru)
2.site za PTOshnikov
3. Yandex (yandex.ru)

Za takvu vezu podići ćemo još jedan vlan na msk-arbat-gw1. Njegov broj je, naravno, u skladu sa provajderom. Neka bude VLAN 6
Pretpostavimo da nam provajder nudi podmreža 198.51.100.0/28... Prve dvije adrese se koriste za organizaciju veze (198.51.100.1 i 198.51.100.2), a ostale koristimo kao skup za NAT. Međutim, niko nas uopće ne brani da koristimo adresu 198.51.100.2 za bazen. Pa uradimo to: bazen: 198.51.100.2-198.51.100.14
Radi jednostavnosti, pretpostavimo da su naši javni serveri na istoj podmreži:
192.0.2.0/24 .
Već znate kako postaviti vezu i adrese.
Pošto imamo samo jedan ruter u mreži provajdera, a sve mreže su direktno povezane na njega, nema potrebe za konfigurisanjem rutiranja.
Ali naš msk-arbat-gw1 mora znati gdje slati pakete na Internet, tako da nam je potrebna zadana ruta:
msk-arbat-gw1 (config) # ip ruta 0.0.0.0 0.0.0.0 198.51.100.1

Sada po redu

Prvo, postavite skup adresa
msk-arbat-gw1 (config) # ip nat pool main_pool 198.51.100.2 198.51.100.14 netmask 255.255.255.240

Sada prikupljamo ACL:
msk-arbat-gw1 (config) # ip pristupna lista proširena nat-inet

1) Kontrolna mreža

uopšte nema pristup internetu
Spreman

2) Domaćini iz VET mreže

Imajte pristup samo specijalizovanim sajtovima, na primer, sajtu
msk-arbat-gw1 (config-ext-nacl) # dozvola tcp 172.16.3.0 0.0.0.255 host 192.0.2.2 eq 80

3) Računovodstvo

Dajemo pristup svim hostovima na oba servera
msk-arbat-gw1 (config-ext-nacl) # dozvoli ip 172.16.5.0 0.0.0.255 host 192.0.2.3
msk-arbat-gw1 (config-ext-nacl) # dozvoli ip 172.16.5.0 0.0.0.255 host 192.0.2.4

4) FEO

Dozvolu dajemo samo finansijskom direktoru - ovo je samo jedan domaćin.
msk-arbat-gw1 (config-ext-nacl) # dozvoli ip host 172.16.4.123 bilo koji

5) Ostalo

Naši računari sa punim pristupom
msk-arbat-gw1 (config-ext-nacl) # dozvoli ip host 172.16.6.61 bilo koji
msk-arbat-gw1 (config-ext-nacl) # dozvoli ip host 172.16.6.66 bilo koji

6) Filijale u Sankt Peterburgu i Kemerovu

Neka adrese Enikijeva budu iste: 172.16.x.222
msk-arbat-gw1 (config-ext-nacl) # dozvoli ip host 172.16.16.222 bilo koji
msk-arbat-gw1 (config-ext-nacl) # dozvoli ip host 172.16.17.222 bilo koji
msk-arbat-gw1 (config-ext-nacl) # dozvoli ip host 172.16.24.222 bilo koji

Ovako ACL sada izgleda u potpunosti:
ip pristupna lista proširena nat-inet
primjedba PTO
dozvola tcp 172.16.3.0 0.0.0.255 host 192.0.2.2 eq www
primjedba RAČUNOVODSTVO
dozvola ip 172.16.5.0 0.0.0.255 host 192.0.2.3
dozvola ip 172.16.5.0 0.0.0.255 host 192.0.2.4
primjedba FEO
dozvoli ip host 172.16.4.123 bilo koji
primjedba IAM
dozvoli ip host 172.16.6.61 bilo koji
primjedba ADMIN
dozvoli ip host 172.16.6.66 bilo koji
primjedba SPB_VSL_ISLAND
dozvoli ip host 172.16.16.222 bilo koji
primjedba SPB_OZERKI
dozvoli ip host 172.16.17.222 bilo koji
primjedba KMR
dozvoli ip host 172.16.24.222 bilo koji

Pokreni:
msk-arbat-gw1 (config) # ip nat unutar liste izvora nat-inet pool main_pool preopterećenje

Ali sreća neće biti potpuna bez prilagođavanja interfejsa:
Na vanjskom interfejsu morate dati komandu ip nat vani
interni: ip nat unutra
msk-arbat-gw1 (config) # int fa0 / 0.101
msk-arbat-gw1 (config) # int fa0 / 0.102
msk-arbat-gw1 (config-subif) # ip nat unutra
msk-arbat-gw1 (config) # int fa0 / 0.103
msk-arbat-gw1 (config-subif) # ip nat unutra
msk-arbat-gw1 (config) # int fa0 / 0.104
msk-arbat-gw1 (config-subif) # ip nat unutra
msk-arbat-gw1 (config) # int fa0 / 1.6
msk-arbat-gw1 (config-subif) # ip nat izvan

Ovo će omogućiti ruteru da shvati gdje da očekuje obradu paketa i gdje da ih pošalje kasnije.

Da bi serveri na Internetu bili dostupni po imenu domene, bilo bi dobro da dobijemo DNS server na našoj mreži:

Naravno, morate ga registrirati na onim uređajima sa kojih ćemo provjeravati pristup:

Šou se mora nastaviti!

Sve je dostupno sa administratorskog računara:

Iz PTO mreže postoji pristup samo web lokaciji na 80. portu (HTTP):

U FEO mreži samo 4.123 izlazi u svijet (findirector)

U računovodstvu rade samo sajtovi banaka klijenata. Ali, pošto je dozvola u potpunosti data IP protokolu, oni se mogu pingovati:

7) Serveri

Ovdje moramo konfigurirati prosljeđivanje portova tako da im se može pristupiti sa interneta:

a) Web server

msk-arbat-gw1 (config) # ip nat unutar izvora statički tcp 172.16.0.2 80 198.51.100.2 80

Odmah provjeravamo, na primjer, možemo li to učiniti sa testnog računara sa adresom 192.0.2.7.
Sada ništa neće raditi, jer za mrežu servera nemamo sučelje konfigurirano za msk-arbat-gw1:
msk-arbat-gw1 (config) # int fa0 / 0.3
msk-arbat-gw1 (config-subif) # ip nat unutra

I sada:

b) File server

msk-arbat-gw1 (config) # ip nat unutar izvora statički tcp 172.16.0.3 20 198.51.100.3 20
msk-arbat-gw1 (config) # ip nat unutar izvora statički tcp 172.16.0.3 21 198.51.100.3 21

Za ovo smo u ACL serverima otvorili i portove 20-21 za sve

c) Mail server

msk-arbat-gw1 (config) # ip nat unutar izvora statički tcp 172.16.0.4 25 198.51.100.4 25
msk-arbat-gw1 (config) # ip nat unutar izvora statički tcp 172.16.0.4 110 198.51.100.4 110

Takođe nije teško provjeriti. Slijedite upute:
Prvo smo postavili mail server. Označavamo domen i kreiramo dva korisnika.

Zatim dodajemo domenu u DNS. Ovaj korak je opcionalan - serveru možete pristupiti i putem IP adrese, ali zašto ne?

Konfigurišemo računar sa naše mreže:

Izvana:

Priprema pisma:

Na lokalnom hostu kliknite na Primi:

8) Pristup preko RDP-a administratorskim računarima i našim

msk-arbat-gw1 (config) # ip nat unutar izvora statički tcp 172.16.6.61 3389 198.51.100.10 3389
msk-arbat-gw1 (config) # ip nat unutar izvora statički tcp 172.16.6.66 3389 198.51.100.10 3398

Sigurnost

Na kraju, jedna primjedba. Najvjerovatnije, uređaj za zatezanje, vaš IP nat izvana gleda prema van sa svojim sučeljem - na Internet. Stoga, ne bi škodilo da okačite ACL na ovom interfejsu, gde negirate, dozvolite ono što vam treba. Nećemo se zadržavati na ovom pitanju u ovom članku.

Ovim je završeno prvo upoznavanje sa NAT tehnologijom.
Kao još jedan DZ, odgovorite na pitanje zašto nema pristupa internetu sa kompjutera Enikijevih u Sankt Peterburgu i Kemerovu. Uostalom, već smo ih dodali na pristupnu listu.

Otpustite materijale

pristupna lista 101 dozvola ip 192.168.2.0 0.0.0.255 bilo koji

Kreirajte mapu rute, gdje označavamo da ako je paket iz mreže 192.168.2.0/24, tada za njega dodijelite next-hop 10.0.2.1 (umjesto 10.0.1.1)

Mapa rute KLIJENTOVA dozvola 5
odgovara IP adresi 101
postaviti ip next-hop 10.0.2.1

Primijenite mapu na interfejs:
ip politika route-map CLIENT

Ovo je samo jedna od aplikacija moćnog alata Policy-Based Routing, koji se, nažalost, ne implementira ni u jednom obliku u RT-u.

Ograničenje stope
Koristeći isti primjer, ograničit ćemo brzinu za mrežu 192.168.1.0/24 na 1,5 Mb/s, a za 192.168.2.0/24 na 64 kb/s.
Na 10.0.1.1 možete pokrenuti sljedeće komande:
Ruter (config) # pristupna lista 100 dozvola ip 192.168.1.0 0.0.0.255 bilo koji
Ruter (config) # pristupna lista 101 dozvola ip 192.168.2.0 0.0.0.255 bilo koji
Ruter (config) # interfejs fa0 / 0
Usmjerivač (config-if) # izlazna-ograničena pristupna grupa 100 1544000 64000 64000 conform-action transmit over-action pad
Ruter (config-if) # izlazna-ograničenje brzine pristup-grupa 101 64000 16000 16000 konform-akcija prijenos prekoračenja akcije pad

Autori:

Marat Eucariot
Maxim aka Gluck

Posebno hvala Dmitriju JDimi na pomoći u pripremi ovog članka.