Konfigurisanje proširenih pristupnih lista u Cisco-u. Imenovana proširena lista pristupa

Nastavljamo da razvijamo našu malu ugodnu mrežu Lift mi Up. Već smo razgovarali o pitanjima rutiranja i stabilnosti, a sada smo konačno porasli za povezivanje na Internet. Dosta zatvorenosti u našem korporativnom okruženju!
Ali razvojem se pojavljuju novi problemi.
Prvo je virus paralizirao web server, a zatim je neko provalio crva, koji se proširio mrežom, zauzimajući dio propusnog opsega. I neki negativac je također stekao naviku da pogađa ssh lozinke za server.
Možete li zamisliti šta će se dogoditi kada se povežemo na internet?!
Dakle, danas:
1) naučite da konfigurišete različite liste kontrole pristupa (Lista kontrole pristupa)
2) pokušava shvatiti razliku između ograničavanja dolaznog i odlaznog saobraćaja
3) razumjeti kako NAT funkcionira, njegove prednosti, mane i mogućnosti
4) u praksi ćemo organizovati internet vezu preko NAT-a i povećati sigurnost mreže korišćenjem pristupnih lista.

Lista kontrole pristupa

Dakle, šta imamo da kažemo o pristupnim listama? U stvari, tema je relativno jednostavna i samo su je lijeni ljudi kopirali sa CCNA kursa. Ali zar ne bismo trebali rastrgati našu nevjerovatnu priču zbog nekih predrasuda?

Koja je svrha pristupnih lista? Čini se da je potpuno očigledan odgovor ograničiti pristup: zabraniti nekome da nešto radi, na primjer. Uopšteno govoreći, to je tačno, ali morate to shvatiti u širem smislu: ne radi se samo o sigurnosti. Odnosno, u početku je to vjerovatno bio slučaj, dakle dozvola I poricati prilikom postavljanja. Ali u stvarnosti, ACL je svestran i moćan mehanizam za filtriranje. Uz njihovu pomoć možete odrediti kome ćete dodijeliti određene politike, a kome ne, ko će učestvovati u određenim procesima, a ko neće, koga ograničavamo na brzinu do 56k, a koga na 56M.
Da bi bilo malo jasnije, dajmo jednostavan primjer. Usmjeravanje zasnovano na politikama (PBR) radi na osnovu pristupnih lista. Ovdje možete to učiniti tako da dolazni paketi od mreže 192.168.1.0/24 poslane su na sljedeći skok 10.0.1.1 i od mreža 192.168.2.0/24 na 10.0.2.1 (imajte na umu da je normalno rutiranje zasnovano na odredišnoj adresi paketa i da se automatski svi paketi šalju na jedan sljedeći skok):

Na kraju članka nalazi se primjer postavljanja i .

Vrste ACL-ova

Ok, zaboravimo ove tekstove na neko vrijeme.
Uopšteno govoreći, pristupne liste su različite:

• Standard
• Napredno
• Dynamic
• Refleksivno
• Vremenski zasnovano

Pažnju ćemo danas usmjeriti na prva dva, a više o njima možete pročitati iz ciske.

Dolazni i odlazni saobraćaj

Za početak, razjasnimo jednu stvar. Šta podrazumevate pod dolaznim i odlaznim saobraćajem? Ovo će nam trebati u budućnosti. Dolazni saobraćaj je onaj koji dolazi na interfejs izvana.

Odlazni je onaj koji se šalje sa interfejsa ka spolja.

Pristupnu listu možete primijeniti ili na dolazni promet, tada neželjeni paketi neće ni stići do rutera i, shodno tome, dalje u mrežu, ili na odlazni promet, tada paketi stignu do rutera, obrađuju ih, stižu do ciljni interfejs i ispuštaju se samo na njega.

Standardna lista pristupa samo provjerava adresu pošiljaoca. Prošireno - adresa pošiljaoca, adresa primaoca i port. Preporučuje se postavljanje standardnih ACL-ova što bliže primaocu (kako se ne bi smanjili više nego što je potrebno), a proširene - bliže pošiljaocu (da bi se neželjeni promet odbacio što je prije moguće).

Vježbajte

Hajdemo odmah na praksu. Što bismo trebali ograničiti u našoj maloj mreži “Lift mi Up”?

1. WEB server. Omogućite pristup svima TCP port 80 (HTTP protokol). Za uređaj sa kojeg će se vršiti kontrola (imamo administratora), potrebno je otvoriti telnet i ftp, ali mi ćemo to dati pun pristup. Svi ostali spuštaju slušalice
2. File server. Trebali bismo imati stanovnike Lift Mi Up-a da mu pristupe preko portova za dijeljene foldere, a svi ostali preko FTP-a.
3. Mail server. Ovdje imamo pokrenute SMTP i POP3, odnosno TCP portove 25 i 110. Također otvaramo pristup za upravljanje za administratora. Blokiramo druge
4. Za budući DNS server morate otvoriti UDP port 53
5. Dozvolite ICMP poruke mreži servera
6. S obzirom da imamo mrežu Ostalo za sve nestranačke ljude koji nisu uključeni u FEO, PTO i Odsjek računovodstva, ograničit ćemo ih sve, i dati samo određeni pristup (uključujući nas i administratora)
7. Još jednom, samo administratoru, i naravno vašoj voljenoj osobi, treba dozvoliti u kontrolnu mrežu
8. Nećemo stvarati prepreke u komunikaciji među zaposlenicima odjela.

1) Pristup WEB serveru

Ovdje imamo politiku zabrane svega što nije dozvoljeno. Dakle, sada treba nešto otvoriti, a sve ostalo zatvoriti.
Pošto štitimo mrežu servera, list ćemo okačiti na interfejs koji ide prema njima, odnosno na FE0/0.3 Pitanje je samo na in ili kod van da li treba da uradimo ovo? Ako ne želimo da šaljemo pakete prema serverima koji su već na ruteru, onda će to biti odlazni saobraćaj. Odnosno, imaćemo odredišne ​​adrese u mreži servera (sa kojih ćemo birati na koji server ide saobraćaj), a izvorne adrese mogu biti bilo koje - i sa naše korporativne mreže i sa interneta.
Još jedna napomena: pošto ćemo filtrirati i po odredišnoj adresi (postoje neka pravila za WEB server, a druga za mail server), trebat će nam proširena lista kontrole pristupa; ona nam to jedino dozvoljava .

Pravila u pristupnoj listi se provjeravaju redoslijedom od vrha do dna do prvog podudaranja. Čim se pokrene jedno od pravila, bez obzira da li je dopušteno ili odbijeno, provjera se zaustavlja i promet se obrađuje na osnovu pokrenutog pravila.
Odnosno, ako želimo da zaštitimo WEB server, onda pre svega treba da damo dozvolu, jer ako konfigurišemo u prvom redu deny ip any- tada će uvijek raditi i saobraćaj uopće neće teći. Bilo koji- ovo je posebna riječ koja označava mrežnu adresu i obrnutu masku 0.0.0.0 0.0.0.0 i znači da apsolutno svi čvorovi iz bilo koje mreže potpadaju pod pravilo. Još jedna posebna riječ je domaćin- to znači masku 255.255.255.255 - odnosno tačno jednu specifičnu adresu.
Dakle, prvo pravilo: dozvoli pristup svima na portu 80
msk-arbat-gw1(config-ext-nacl)# napomena WEB
bilo koji host 172.16.0.2 eq 80

Dopustiti ( dozvola) TCP saobraćaj sa bilo kog čvora ( bilo koji) ugostiti ( domaćin- tačno jedna adresa) 172.16.0.2, adresirana na port 80.
Pokušajmo priložiti ovu pristupnu listu sučelju FE0/0.3:
msk-arbat-gw1(config-subif)# IP pristupna grupa Serveri-out van

Provjeravamo sa bilo kojeg od naših povezanih računara:

Kao što vidite, stranica se otvara, ali šta je sa pingom?

I tako iz bilo kojeg drugog čvora?

Činjenica je da nakon svih pravila u Cisco ACL-ovima, implicitno deny ip any(implicitno poricanje). Šta ovo znači za nas? Svaki paket koji napušta sučelje i ne odgovara nijednom pravilu u ACL-u podliježe implicitnom odbijanju i odbacuje se. To jest, čak ni ping, čak ni FTP, ili bilo šta drugo ovdje neće raditi.

Idemo dalje: trebamo dati potpuni pristup računaru sa kojeg će se vršiti kontrola. Ovo će biti kompjuter našeg administratora sa adresom 172.16.6.66 sa Druge mreže.
Svako novo pravilo se automatski dodaje na kraj liste ako već postoji:
msk-arbat-gw1(config)#
msk-arbat-gw1(config-ext-nacl)# dozvoli tcp host 172.16.6.66 host 172.16.0.2 opseg 20 ftp
msk-arbat-gw1(config-ext-nacl)# dozvoli tcp host 172.16.6.66 host 172.16.0.2 eq telnet

To je sve. Provjeravamo sa željenog čvora (pošto serveri u Republici Tatarstan ne podržavaju telnet, provjeravamo na FTP-u):

To jest, FTP poruka je stigla na ruter i trebala bi napustiti FE0/0.3 interfejs. Ruter provjerava i vidi da li paket odgovara pravilu koje smo dodali i prosljeđuje ga.

I sa stranog čvora

FTP paket ne odgovara nijednom pravilu osim implicitnog deny ip any any i odbacuje se.

2) Pristup serveru datoteka

Ovdje, prije svega, treba da odlučimo ko će biti „rezident“ i kome treba dati pristup. Naravno, to su oni koji imaju adresu sa mreže 172.16.0.0/16 - samo će oni imati pristup.
Sada sa zajedničkim folderima. U većini savremeni sistemi Za to se već koristi SMB protokol za koji je potreban port TCP 445. Na starijim verzijama korišćen je NetBios koji se napajao preko tri porta: UDP 137 i 138 i TCP 139. Nakon što smo se dogovorili sa našim administratorom, konfigurisaćemo port 445 ( međutim, provjeri u RT-u, naravno da neće raditi). Ali osim ovoga, trebat će nam portovi za FTP - 20, 21, i to ne samo za interne hostove, već i za veze sa Interneta:
msk-arbat-gw1(config)# ip lista pristupa proširena Izlaz servera
msk-arbat-gw1(config-ext-nacl)# dozvoli tcp 172.16.0.0 0.0.255.255 host 172.16.0.3 eq 445
msk-arbat-gw1(config-ext-nacl)# dozvoli tcp bilo koji host 172.16.0.3 raspon 20 21

Ovdje smo ponovo primijenili dizajn raspon 20 21- da biste naveli nekoliko portova u jednom redu. Za FTP, općenito govoreći, samo port 21 nije dovoljan. Činjenica je da ako otvorite samo njega, tada ćete biti autorizirani, ali prijenos datoteka neće.

0.0.255.255 - maska ​​zamjenskog znaka. O čemu se radi, pričaćemo malo kasnije.

3) Pristup mail serveru

Nastavljamo da stječemo praksu - sada sa mail serverom. Unutar iste pristupne liste dodajemo nove zapise koji su nam potrebni.
Umjesto brojeva portova za široko korišćene protokole, možete navesti njihova imena:
msk-arbat-gw1(config)# ip lista pristupa proširena Izlaz servera
msk-arbat-gw1(config-ext-nacl)#dozvoli tcp bilo koji host 172.16.0.4 eq pop3
msk-arbat-gw1(config-ext-nacl)#permit tcp bilo koji host 172.16.0.4 eq smtp

4) DNS server

msk-arbat-gw1(config)# ip lista pristupa proširena Izlaz servera
msk-arbat-gw1(config-ext-nacl)# dozvola udp 172.16.0.0 0.0.255.255 host 172.16.0.5 eq 53

5) ICMP

Ostaje samo da se popravi ping situacija. Nema ničeg lošeg u dodavanju pravila na kraj liste, ali nekako će biti estetski ugodnije vidjeti ih na početku.
Za ovo koristimo jednostavnu prevaru. Da biste to učinili, možete koristiti uređivač teksta, na primjer. Kopirajte dio o ACL-u iz show run tamo i dodajte sljedeće redove:
nema proširene liste pristupa za IP servere
ip pristupna lista proširena Izlaz servera
dozvoli icmp bilo koji bilo koji
primjedba WEB



primjedba FILE


primjedba MAIL


primjedba DNS

Prvi red brišemo postojeća lista, zatim ga ponovo kreiramo i listamo sva nova pravila onim redosledom koji nam je potreban. Sa naredbom u trećem redu, dozvolili smo prolazak svih ICMP paketa sa bilo kojeg hosta na bilo koji host.

Zatim jednostavno sve masovno kopiramo i zalijepimo u konzolu. Interfejs interpretira svaku liniju kao posebnu naredbu i izvršava je. Tako smo staru listu zamijenili novom.
Provjeravamo da li postoji ping:

Divno.

Ova "varalica" je dobra za početnu konfiguraciju ili ako tačno razumijete šta radite. Na radnoj mreži, kada daljinski konfigurišete ACL-ove, rizikujete da ostanete bez pristupa hardveru koji postavljate.

Za umetanje pravila na početak ili na bilo koji drugi Pravo mesto, možete pribjeći ovoj tehnici:
ip pristupna lista proširena Izlaz servera
1 dozvola icmp bilo koji bilo koji

Svako pravilo na listi je numerisano određenim korakom, a ako stavite broj ispred reči dozvoli/zabrani, pravilo će biti dodato ne na kraj, već na mesto koje vam je potrebno. Nažalost, ova funkcija ne radi u RT-u.
Ako je iznenada potrebno (svi uzastopni brojevi između pravila su zauzeti), uvijek možete prenumerirati pravila (u ovom primjeru, broj prvog pravila je dodijeljen 10 (prvi broj), a povećanje je 10):
ip pristupna lista resequens Servers-out 10 10

Kao rezultat, lista pristupa za mrežu servera će izgledati ovako:
ip pristupna lista proširena Izlaz servera
dozvoli icmp bilo koji bilo koji
primjedba WEB
dozvoli tcp bilo kojem hostu 172.16.0.2 eq www
dozvoli tcp host 172.16.6.66 host 172.16.0.2 opseg 20 ftp
dozvoli tcp host 172.16.6.66 host 172.16.0.2 eq telnet
primjedba FILE
dozvola tcp 172.16.0.0 0.0.255.255 host 172.16.0.3 eq 445
dozvoli tcp bilo kojem hostu 172.16.0.3 opseg 20 21
primjedba MAIL
dozvoli tcp bilo kojem hostu 172.16.0.4 eq pop3
dozvoliti tcp bilo koji host 172.16.0.4 eq smtp
primjedba DNS
dozvola udp 172.16.0.0 0.0.255.255 host 172.16.0.5 eq 53

Trenutno naš administrator ima pristup samo WEB serveru. Omogućite mu potpuni pristup cijeloj mreži. Ovo je prvi domaći zadatak.

6) Prava korisnika sa Druge mreže

Do sada nam je bilo potrebno ne puštaj unutra neko negdje, pa smo obratili pažnju na odredišnu adresu i priložili pristupnu listu saobraćaju koji izlazi sa interfejsa. Sada nam treba ne puštaj: Nijedan zahtjev sa računara na drugoj mreži ne bi trebao izlaziti izvan granica. Pa, naravno, osim onih koje izričito dozvoljavamo.
msk-arbat-gw1(config)# proširena lista pristupa ip Ostalo-u

msk-arbat-gw1(config-ext-nacl)# dozvoli ip host 172.16.6.61 bilo koji



Ovdje nismo mogli prvo odbiti sve, a zatim dozvoliti nekolicinu odabranih, jer bi apsolutno svi paketi potpali pod pravilo deny ip any I dozvola ne bi funkcionisalo uopšte.
Primjenjujemo ga na interfejs. Ovaj put na ulazu:
msk-arbat-gw1(config)#int fa0/0.104
msk-arbat-gw1(config-subif)#ip pristupna-grupa Ostalo-u in

to jest, svim IP paketima sa hosta sa adresom 172.16.6.61 ili 172.16.6.66 je dozvoljeno da se prosleđuju gde god da su namenjeni. Zašto ovdje također koristimo proširenu pristupnu listu? Uostalom, čini se da samo provjeravamo adresu pošiljaoca. Zato što smo administratoru dali pun pristup, ali gost kompanije “Lift mi Up”, na primjer, koji uđe u istu mrežu, nema apsolutno nikakav pristup ničemu osim Internetu.

7) Kontrolna mreža

Ništa komplikovano. Pravilo će izgledati ovako:
msk-arbat-gw1(config)# proširena lista pristupa za IP
msk-arbat-gw1(config-ext-nacl)# napomena IAM
msk-arbat-gw1(config-ext-nacl)# dozvoli ip host 172.16.6.61 172.16.1.0 0.0.0.255
msk-arbat-gw1(config-ext-nacl)# napomena ADMIN
msk-arbat-gw1(config-ext-nacl)# dozvoli ip host 172.16.6.66 172.16.1.0 0.0.0.255

Ovaj ACL primjenjujemo na sučelje FE 0/0.2:
msk-arbat-gw1(config)# int fa0/0.2
msk-arbat-gw1(config-subif)#ip pristupna grupa Izlaz za upravljanje

8) Nema više ograničenja

Spreman

Maska i reverzna maska

Do sada smo, bez objašnjenja, davali čudan parametar poput 0.0.255.255, koji sumnjivo podsjeća na masku podmreže.
Malo je teško razumjeti, ali ovo je ono što se obrnuta maska ​​koristi da bi se odredilo koji će domaćini biti podvrgnuti pravilu.
Da biste razumjeli šta je reverzna maska, morate znati šta je obična maska. Počnimo s najjednostavnijim primjerom.

Redovna mreža sa 256 adresa: 172.16.5.0/24, na primjer. Šta znači ovaj unos?
A to znači upravo sljedeće

IP adresa. Decimalni zapis	172	16	5	0
IP adresa. Binarna notacija	10101100	00010000	00000101	00000000
	11111111	11111111	11111111	00000000
	255	255	255	0

IP adresa je 32-bitni parametar podijeljen na 4 dijela, koje ste navikli vidjeti u decimalnom obliku.
Podmrežna maska ​​je takođe dugačka 32 bita - to je zapravo šablon, šablon koji određuje adresu podmreže adrese. Tamo gdje u maski ima jedinica vrijednost se ne može mijenjati, odnosno dio 172.16.5 je potpuno nepromijenjen i bit će isti za sve hostove na ovoj podmreži, ali dio gdje postoje nule varira.
To jest, u našem primjeru, 172.16.5.0/24 je mrežna adresa, a hostovi će biti 172.16.5.1-172.16.5.254 (poslednjih 255 se emituje), jer 00000001 je 1, a 11111110 razgovaramo o 254 o zadnjem oktetu adrese). /24 znači da je dužina maske 24 bita, odnosno imamo 24 jedinice - nepromijenjeni dio i 8 nula.
Drugi slučaj je kada je naša maska, na primjer, 30 bita, a ne 24.
Na primjer 172.16.2.4/30. Hajde da to zapišemo ovako:

IP adresa. Decimalni zapis	172	16	2	4
IP adresa. Binarna notacija	10101100	00010000	00000010	00000100
Subnet maska. Binarna notacija	11111111	11111111	11111111	11111100
Subnet maska. Decimalni zapis	255	255	255	252

Kao što vidite, samo posljednja dva bita se mogu promijeniti za ovu podmrežu. Zadnji oktet može imati sljedeće 4 vrijednosti:
00000100 - adresa podmreže (4 u decimali)
00000101 - adresa čvora (5)
00000110 - adresa čvora (6)
00000111 - emitiranje (7)
Sve izvan ovoga je druga podmreža

Odnosno, sada bi vam trebalo biti malo jasno da je maska ​​podmreže niz od 32 bita, gdje su prvo jedinice, što znači adresa podmreže, a zatim su nule, što znači adresu hosta. U ovom slučaju, nule i jedinice u maski se ne mogu izmjenjivati. To jest, maska ​​je 11111111.11100000.11110111.00000000 nemoguće

Šta je obrnuta maska ​​(zamjenski znak)?
Za ogromnu većinu administratora i nekih inženjera, ovo nije ništa drugo nego inverzija uobičajene maske. Odnosno, nule prvo postavljaju adresu dijela koji se nužno mora podudarati, a jedinice, naprotiv, slobodnog dijela.
To jest, u prvom primjeru koji smo uzeli, ako želite filtrirati sve hostove iz podmreže 172.16.5.0/24, tada ćete postaviti pravilo u pristupnoj tablici:
…. 172.16.5.0 0.0.0.255
Zato što će maska ​​obrnuto izgledati ovako:

00000000.00000000.00000000.11111111

U drugom primjeru s mrežom 172.16.2.4/30, obrnuta maska ​​će izgledati ovako: 30 nula i dvije jedinice:

Reverzna maska. Binarna notacija	00000000	00000000	00000000	00000011
Reverzna maska. Decimalni zapis	0	0	0	3

Shodno tome, parametar u pristupnoj listi će izgledati ovako:
…. 172.16.2.4 0.0.0.3
Kasnije, kada jedete psa pri računanju maski i reverznih maski, sjetit ćete se najčešće korištenih brojeva, broja domaćina u određenoj maski, i shvatit ćete da se u opisanim situacijama dobiva zadnji oktet obrnute maske. oduzimanjem zadnjeg okteta regularne maske od 255 (255-252 =3), itd. U međuvremenu, morate se truditi i računati)

Ali u stvari, obrnuta maska ​​je malo bogatiji alat, ovdje možete kombinirati adrese unutar iste podmreže ili čak kombinirati podmreže, ali najvažnija razlika je u tome što možete mijenjati nule i jedinice. Ovo vam omogućava, na primjer, da filtrirate određeni host (ili grupu) u više podmreža s jednom linijom.

Primjer 1

Dato: mreža 172.16.16.0/24
potrebno: filtrirajte prve 64 adrese (172.16.16.0-172.16.16.63)
Rješenje: 172.16.16.0 0.0.0.63

Primjer 2

Dato: mreže 172.16.16.0/24 i 172.16.17.0/24
potrebno: filtrirati adrese iz obje mreže
Rješenje: 172.16.16.0 0.0.1.255

Primjer 3

Dato: Mreže 172.16.0.0-172.16.255.0
potrebno: filter host sa adresom 4 iz svih podmreža
Rješenje: 172.16.0.4 0.0.255.0

ACL rad u slikama

Hipotetička mreža:

1) Na ruteru RT1 na interfejsu FE0/1 sve je dozvoljeno za ulazak osim ICMP-a.

2) Na ruteru RT2 na interfejsu FE0/1, SSH i TELNET je zabranjen izlazak

Testovi
kliknuti
1) Ping sa PC1 na Server1

2) TELNET sa PC1 na Server1

3) SSH sa PC1 na Server2

4) Ping sa servera2 na PC1

Dodaci

1) Pravila koja se primjenjuju na odlazni promet neće filtrirati promet samog uređaja. Odnosno, ako negdje trebate zabraniti pristup samom Cisco-u, onda ćete morati filtrirati dolazni saobraćaj na ovom interfejsu (odgovorni saobraćaj odakle treba da zabranite pristup).

2) Morate biti oprezni sa ACL-ovima. Mala greška u pravilu, netačan redoslijed konfiguracije ili općenito loše osmišljena lista mogu vas ostaviti bez pristupa uređaju.
Na primjer, želite da blokirate pristup bilo gdje za mrežu 172.16.6.0/24, osim za vašu adresu 172.16.6.61 i postavite pravila ovako:
deny ip 172.16.6.0 0.0.0.255 bilo koji


Čim primenite ACL na interfejs, odmah ćete izgubiti pristup ruteru, jer potpadate pod prvo pravilo, a drugo nije ni provereno.
Druga neugodna situacija koja vam se može dogoditi: promet koji nije trebao proći ispod ACL-a.
Zamislite ovu situaciju: imamo FTP server u pasivnom režimu u serverskoj sobi. Da biste mu pristupili otvorili ste 21. port u ACL-u Serveri-out. Nakon uspostavljanja početne veze, FTP server obavještava klijenta o portu na kojem je spreman za prijenos/primanje datoteka, na primjer, 1523. Klijent pokušava uspostaviti TCP vezu na ovom portu, ali nailazi na izlaz ACL servera, gdje nema takve dozvole - i tako se priča o uspješnom prijenosu završava. U našem primjeru iznad, gdje smo podesili pristup serveru datoteka, pristup smo otvorili tek 20. i 21. jer je to dovoljno za primjer. IN pravi zivot moraćete da petljate. Nekoliko primjera ACL konfiguracija za uobičajene slučajeve.

3) Vrlo sličan i zanimljiv problem slijedi iz tačke 2.
Da li ste hteli da, na primer, stavite sledeće ACL-ove na internet interfejs:
access-list out permit tcp host 1.1.1.1 host 2.2.2.2 eq 80
access-list u dozvoli tcp host 2.2.2.2 bilo koji eq 80

Čini se: hostu sa adresom 1.1.1.1 je dozvoljen pristup preko porta 80 do servera 2.2.2.2 (prvo pravilo). I nazad sa servera 2.2.2.2, unutrašnje veze su dozvoljene.
Ali nijansa je u tome što računar 1.1.1.1 uspostavlja vezu sa portom 80, ali sa nekog drugog porta, na primer, 1054, odnosno paket odgovora sa servera stiže na soket 1.1.1.1:1054, ne potpada pod pravilo u ACL-u je na IN i odbacuje se zbog implicitnog deny ip any any.
Da biste izbjegli ovu situaciju, a ne otvorili čitav niz portova, možete pribjeći ovom triku u ACL-u u:
dozvoliti tcp host 2.2.2.2 bilo koji uspostavljen.

Detalji ovog rješenja naći ćete u jednom od sljedećih članaka.

4) Govoreći o modernom svijetu, ne može se zanemariti takav alat kao što su objektne grupe (Object-group).

Recimo da treba da kreirate ACL koji oslobađa tri specifične adrese na Internetu na tri identična porta sa mogućnošću proširenja broja adresa i portova. Kako to izgleda bez poznavanja grupa objekata:
IP pristupna lista proširena NA INTERNET
dozvoli tcp host 172.16.6.66 bilo koji eq 80
dozvoli tcp host 172.16.6.66 bilo koji eq 8080
dozvoli tcp host 172.16.6.66 bilo koji eq 443
dozvoli tcp host 172.16.6.67 bilo koji eq 80
dozvoli tcp host 172.16.6.67 bilo koji eq 8080
dozvoli tcp host 172.16.6.67 bilo koji eq 443
dozvoli tcp host 172.16.6.68 bilo koji eq 80
dozvoli tcp host 172.16.6.68 bilo koji eq 8080
dozvoli tcp host 172.16.6.68 bilo koji eq 443

Kako se broj parametara povećava, održavanje takvog ACL-a postaje sve teže i lako je pogriješiti prilikom konfiguriranja.
Ali ako se okrenemo grupama objekata, ona poprima sljedeći oblik:
usluga grupe objekata INET-PORTS
opis Portovi dozvoljeni za neke hostove
tcp eq www
tcp eq 8080
tcp eq 443

Mreža grupa objekata HOSTS-TO-INET
opis Domaćini su dozvoljeni da pretražuju mrežu
host 172.16.6.66
host 172.16.6.67
host 172.16.6.68

IP pristupna lista proširena INET-OUT
dozvoli grupu objekata INET-PORTS grupu objekata HOSTS-TO-INET bilo

Na prvi pogled izgleda malo prijeteće, ali ako pogledate, vrlo je zgodno.

4) Vrlo korisne informacije za rješavanje problema mogu se dobiti iz izlaza naredbe prikaži IP pristupne liste %ACL ime%. Pored stvarne liste pravila za navedeni ACL, ova naredba prikazuje broj podudaranja za svako pravilo.

Msk-arbat-gw1#sh IP pristupne liste nat-inet
Proširena IP pristupna lista nat-inet




dozvoliti ip host 172.16.6.61 bilo koji
(4 meč(a))

I dodavanjem na kraju bilo kojeg pravila log, moći ćemo primati poruke o svakom meču u konzoli. (ovo drugo ne radi u PT)

NAT

Prevođenje mrežnih adresa je apsolutno neophodan mehanizam u ekonomiji od 1994. godine. Mnoge sesije o tome su prekinute i paketi su izgubljeni.
Najčešće je potrebno za povezivanje vaše lokalne mreže na Internet. Činjenica je da teoretski postoji 255*255*255*255=4,228,250,625.4 milijarde adresa. Čak i kada bi svaki stanovnik planete imao samo jedan kompjuter, više ne bi bilo dovoljno adresa. Ali ovdje se pegle ne povezuju na internet. Pametni ljudi To su shvatili još početkom 90-ih i, kao privremeno rješenje, predložili podjelu adresnog prostora na javni (bijeli) i privatni (privatni, sivi).
Potonji uključuje tri raspona:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Ovo možete besplatno koristiti na vašoj privatnoj mreži, tako da će se, naravno, ponavljati. Šta je sa jedinstvenošću? Kome će odgovoriti WEB server kada primi zahtjev sa povratnom adresom 192.168.1.1? Rostelecom? Kompanija Tatneft? Ili vaš zatvoreni Long? Na velikom Internetu niko ne zna ništa o privatnim mrežama - one se ne rutiraju.
Ovdje na scenu stupa NAT. By uglavnom, ovo je obmana, nameštaljka. Na uređaju za trljanje vaša privatna adresa se, grubo rečeno, jednostavno zamjenjuje bijelom adresom, koja će se pojaviti dalje u paketu dok putuje do WEB servera. Ali bele adrese se rutiraju veoma dobro, i paket će se definitivno vratiti nazad na uređaj za trljanje.
Ali kako će on, zauzvrat, shvatiti šta dalje s njim? Hajde da shvatimo ovo.

NAT tipovi

Statički

U ovom slučaju, jedna interna adresa se konvertuje u jednu eksternu adresu. U isto vrijeme, svi zahtjevi koji dolaze na eksternu adresu biće prevedeni na internu. Kao da je ovaj host vlasnik ove bijele IP adrese.

Konfigurirano sljedećom naredbom:
Ruter (config)# ip nat unutar izvora statički 172.16.6.5 198.51.100.2

Šta se dešava:
1) Čvor 172.16.6.5 pristupa WEB serveru. Šalje IP paket gdje je odredišna adresa 192.0.2.2, a adresa pošiljatelja 172.16.6.5.

2) Paket se isporučuje preko korporativne mreže na gateway 172.16.6.1, gdje je NAT konfigurisan

3) Prema konfigurisanoj komandi, ruter uklanja trenutno IP zaglavlje i menja ga u novo, gde se bela adresa 198.51.100.2 već pojavljuje kao adresa pošiljaoca.

4) Preko Interneta, ažurirani paket stiže na server 192.0.2.2.

5) Vidi da se odgovor mora poslati na 198.51.100.2 i priprema odgovorni IP paket. Kao adresa pošiljaoca, sama adresa servera je 192.0.2.2, adresa odredišta je 198.51.100.2

6) Paket leti nazad preko Interneta, a ne nužno istom rutom.

7) Uređaj za trljanje pokazuje da sve zahtjeve na adresu 198.51.100.2 treba preusmjeriti na 172.16.6.5. Ruter ponovo uklanja TCP segment skriven unutra i postavlja novo IP zaglavlje (izvorna adresa se ne mijenja, odredišna adresa je 172.16.6.5).

8) By interna mreža paket se vraća inicijatoru, koji ni ne zna kakva su mu se čuda desila na granici.
I tako će biti sa svima.
Štaviše, ako je veza pokrenuta sa Interneta, paketi automatski, prolazeći kroz uređaj za trljanje, stižu do internog hosta.

Ovaj pristup je koristan kada imate server unutar vaše mreže kojem je potreban potpun pristup izvana. Naravno, ne možete koristiti ovu opciju ako želite da izložite tri stotine hostova Internetu preko jedne adrese. Ova NAT opcija ni na koji način neće pomoći u očuvanju bijelih IP adresa, ali ipak može biti korisna.

Dynamic

Imate skup bijelih adresa, na primjer, vaš provajder vam je dodijelio mrežu 198.51.100.0/28 sa 16 adresa. Dvije od njih (prva i posljednja) su mrežna adresa i broadcast adresa, još dvije adrese su dodijeljene opremi za rutiranje. Možete koristiti preostalih 12 adresa za NAT i preko njih osloboditi svoje korisnike.
Situacija je slična statičnom NAT-u - jedna privatna adresa je prevedena u jednu eksternu - ali sada vanjska nije jasno fiksirana, već će se birati dinamički iz datog raspona.
Konfigurisan je ovako:
Router(config)#ip nat pool lol_pool 198.51.100.3 198.51.100.14

Specificirao skup (opseg) javnih adresa iz kojih će biti odabrana adresa koja će se natirati
ruter (konfiguracija)
#access-list 100 dozvola ip 172.16.6.0 0.0.0.255 bilo koji

Postavljamo pristupnu listu koja dozvoljava sve pakete sa izvornom adresom 172.16.6.x, gdje X varira 0-255.
Router(config)#ip nat unutar liste izvora 100 bazen lol_pool

Ovom naredbom povezujemo kreirani ACL i bazen.

Ova opcija također nije univerzalna; također nećete moći pustiti svakog od svojih 300 korisnika na Internet ako nemate 300 vanjskih adresa. Kada se potroše bijele adrese, niko novi neće moći pristupiti Internetu. Istovremeno će raditi oni korisnici koji su već uspjeli da prigrabe eksternu adresu za sebe. Tim će vam pomoći da izbacite sve trenutne emisije i oslobodite vanjske adrese clear ip nat prijevod *
Osim dinamičke alokacije vanjskih adresa, ovaj dinamički NAT se razlikuje od statičkog NAT-a po tome što bez posebne konfiguracije prosljeđivanja portova, vanjska veza na jednu od adresa spremišta više nije moguća.

Mnogo-prema-jedan

Sljedeći tip ima nekoliko imena: NAT preopterećenje, prevođenje adrese porta (PAT), IP maskiranje, više-na-jedan NAT.
Prezime govori samo za sebe - preko jedne eksterne adrese mnoge privatne izlaze u svijet. To vam omogućava da riješite problem s nedostatkom vanjskih adresa i pustite sve na svijet.
Ovdje bismo trebali dati objašnjenje kako ovo funkcionira. Možete zamisliti kako se dvije privatne adrese prevode u jednu, ali kako ruter razumije ko treba proslijediti paket vraćen sa interneta na ovu adresu?
Sve je vrlo jednostavno:
Pretpostavimo da paketi stižu sa dva hosta na internoj mreži na uređaj za trljanje. Oba sa zahtjevom na WEB server 192.0.2.2.
Podaci sa hostova izgledaju ovako:

Ruter otkriva IP paket sa prvog hosta, izdvaja TCP segment iz njega, ispisuje ga i saznaje sa kojeg porta se uspostavlja veza. Ima eksternu adresu 198.51.100.2 na koju će se promijeniti adresa iz interne mreže.
Zatim bira slobodan port, na primjer, 11874. I što dalje radi? Pakuje sve podatke na nivou aplikacije u novi TCP segment, gdje odredišni port i dalje ostaje 80 (ovo je mjesto gdje WEB server čeka na konekcije), a port pošiljatelja se mijenja sa 23761 na 11874. Ovaj TCP segment je inkapsuliran u novu IP adresu paket u kojem se IP adresa pošiljaoca mijenja sa 172.16.6.5 na 198.51.100.2.
Ista stvar se dešava i za paket sa drugog hosta, samo se bira sledeći slobodni port, na primer 11875. „Slobodan“ znači da nije već zauzet drugim takvim konekcijama.
Podaci koji se šalju na Internet sada će izgledati ovako.

Unosi podatke o pošiljaocima i primaocima u svoju NAT tabelu

Za WEB server to su dva potpuno različita zahtjeva, koje mora obraditi svaki pojedinačno. Nakon toga šalje odgovor koji izgleda ovako:

Kada jedan od ovih paketa stigne do našeg rutera, on uparuje podatke u ovom paketu sa svojim unosima u NAT tabeli. Ako se pronađe podudaranje, dolazi do obrnute procedure - paket i TCP segment se vraćaju na svoje originalne parametre samo kao odredište:

A sada se paketi isporučuju preko interne mreže do početnih računara, koji ni ne shvaćaju da su negdje njihovi podaci tako grubo tretirani na granici.

Svaki poziv koji uputite je zasebna veza. Odnosno, pokušali ste da otvorite WEB stranicu - ovo je HTTP protokol koji koristi port 80. Da biste to uradili, vaš računar mora da uspostavi TCP sesiju sa udaljenim serverom. Takvu sesiju (TCP ili UDP) određuju dvije utičnice: lokalna IP adresa: lokalna luka I udaljenu IP adresu: udaljeni port. U normalnoj situaciji imate jednu vezu računar-server, ali u slučaju NAT-a biće dve veze: ruter-server i računar misli da ima sesiju računar-server.

Postavka se prilično razlikuje: s dodatnim preopterećenjem riječi:
Router(config)#access-list 101 dozvola 172.16.4.0 0.0.0.255
Router(config)#ip nat unutar liste izvora 101 interfejs fa0/1 preopterećenja

U ovom slučaju, naravno, ostaje moguće konfigurirati skup adresa:
Router(config)#ip nat pool lol_pool 198.51.100.2 198.51.100.14
Router(config)#access-list 100 dozvola 172.16.6.0 0.0.0.255
Router(config)#ip nat unutar liste izvora 100 bazen lol_pool preopterećenja

Port Forwarding

Inače kažu i prosljeđivanje porta ili mapiranje.
Kada smo prvi put počeli da pričamo o NAT-u, imali smo emitovanje jedan na jedan i svi zahtevi koji su dolazili izvana automatski su bili preusmereni na interni host. Na ovaj način bi bilo moguće izložiti server Internetu.
Ali ako nemate takvu priliku - ograničeni ste u bijelim adresama ili ne želite izložiti cijelu gomilu portova van, što da radite?
Možete odrediti da svi zahtjevi dolaze na određenu bijelu adresu i određena luka ruter mora biti preusmjeren na ispravan port željene interne adrese.
Router(config)#ip nat unutar izvora statički tcp 172.16.0.2 80 198.51.100.2 80 proširivo

Upotreba ove naredbe znači da će TCP zahtjev koji dolazi sa Interneta na adresu 198.51.100.2 na portu 80 biti preusmjeren na internu adresu 172.16.0.2 na istom portu 80. Naravno, također možete proslijediti UDP i preusmjeriti s jednog porta na drugi. Ovo, na primjer, može biti korisno ako imate dva računara kojima je potreban pristup preko RDP-a izvana. RDP koristi port 3389. Ne možete proslijediti isti port na različiti domaćini(kada koristite jednu eksternu adresu). Dakle, možete učiniti ovo:
Router(config)# ip nat unutar izvora statički tcp 172.16.6.61 3389 198.51.100.2 3389
Router(config)# ip nat unutar izvora statički tcp 172.16.6.66 3389 198.51.100.2 3398

Zatim, da biste došli do računara 172.16.6.61, pokrećete RDP sesiju na portu 198.51.100.2:3389, a na 172.16.6.66 - 198.51.100.2:3398. Ruter će sam distribuirati sve gdje je potrebno.

Inače, ova komanda jeste poseban slučaj prvi: ip nat unutar izvora static 172.16.6.66 198.51.100.2. Samo u ovom slučaju govorimo o prosljeđivanju cjelokupnog prometa, au našim primjerima - specifičnih portova TCP protokola.

Ovako u generalni nacrt NAT funkcije. Mnogo je članaka napisano o njegovim karakteristikama i prednostima i nedostacima, ali oni se ne mogu zanemariti.

Slabosti i prednosti NAT-a

+

- Kao prvo NAT vam omogućava da sačuvate javne IP adrese. Upravo za to je i stvoren. Preko jedne adrese teoretski je moguće izdati više od 65.000 sive adrese(prema broju portova).
- Drugo, PAT i dinamički NAT su u određenoj mjeri zaštitni zid koji sprječava eksterne veze dosegnuti krajnje računare koji možda nemaju vlastiti zaštitni zid i antivirus. Činjenica je da ako paket dođe izvana u uređaj za trljanje koji se ovdje ne očekuje ili nije dozvoljen, on se jednostavno odbacuje.
Da bi se paketu omogućilo da prođe i obradi, moraju biti ispunjeni sljedeći uslovi:
1) Mora postojati unos u NAT tabeli za ovu eksternu adresu navedenu kao izvornu adresu u paketu
I
2) Izvorni port u paketu mora odgovarati portu za tu bijelu adresu u unosu
I
3) Odredišni port u paketu odgovara portu u unosu.
ILI
Prosljeđivanje portova je konfigurirano.
Ali ne morate smatrati NAT baš kao zaštitni zid - to nije ništa više od dodatne prednosti.

- Treće, NAT se skriva od radoznale oči unutrašnju strukturu vaše mreže - kada pratite rutu izvana, nećete vidjeti ništa osim uređaja za natiranje.

-

NAT takođe ima nedostatke. Najznačajniji od njih su možda sljedeći:
- Neki protokoli ne mogu raditi preko NAT-a bez štaka. Na primjer, FTP ili protokoli za tuneliranje (uprkos koliko sam lako postavio FTP u laboratoriji, u stvarnom životu to može stvoriti mnogo problema)
- Drugi problem leži u činjenici da ima mnogo zahtjeva sa jedne adrese na jedan server. Mnogi su se uvjerili u to, kada odete na neki Rapidshare, a tamo piše da je već bila veza sa vašeg IP-a, pomislite da "lažete, psu jedno", a komšija je taj koji već sisa. Iz istog razloga došlo je do problema sa ICQ-om kada su serveri odbili registraciju.
- Sada nije baš hitan problem: opterećenje procesora i RAM-a. Budući da je količina posla prilično velika u odnosu na jednostavno rutiranje (ne trebate samo pogledati IP zaglavlje, morate ga ukloniti, ukloniti TCP zaglavlje, unijeti ga u tabelu, dodati nova zaglavlja) u malim uredima postoje problemi sa ovim.
Naišao sam na ovu situaciju.
Jedan od moguća rješenja- prenesite NAT funkciju na poseban računar ili na specijalizovani uređaj, na primer Cisco ASA.
Za velike igrače čiji ruteri pokreću 3-4 BGP full-view, to sada nije problem.

Šta još trebate znati?
- NAT se uglavnom koristi za pružanje pristupa Internetu hostovima sa privatnim adresama. Ali postoji još jedna aplikacija - komunikacija između dvije privatne mreže s adresnim prostorima koji se sijeku.
Na primjer, vaša kompanija kupuje filijalu u Aktobeu. Vaše adresiranje je 10.0.0.0-10.1.255.255, a njihovo 10.1.1.0-10.1.10.255. Opsezi se jasno preklapaju; ne postoji način da se konfiguriše rutiranje, jer ista adresa može biti u Aktobeu i u vašem sjedištu.
U ovom slučaju, NAT je konfigurisan na spoju. S obzirom da nemamo dovoljno sivih adresa, možemo odabrati, na primjer, raspon 10.2.1.0-10.2.10.255 i izvršiti prijenos jedan na jedan:
10.1.1.1-10.2.1.1
10.1.1.2-10.2.1.2
…
10.1.10.255-10.2.10.255

U velikim igračkama za odrasle, NAT se može implementirati na zasebnoj ploči (i često jeste) i neće raditi bez njega. Na kancelarijskom hardveru, naprotiv, gotovo uvijek postoji.

Sa širokim usvajanjem IPv6, potreba za NAT-om će nestati. Već sada se veliki kupci počinju zanimati za funkcionalnost NAT64 - to je kada imate pristup svijetu preko IPv4, a interna mreža je već na IPv6

Naravno, ovo je samo površan pogled na NAT i još uvijek postoji more nijansi u kojima će vam samoobrazovanje pomoći da se ne utopite.

NAT Practice

Šta stvarnost traži od nas?
1) Kontrolna mreža uopće nema pristup internetu
2) Domaćini iz VET mreže imaju pristup samo specijalizovanim sajtovima, na primer sajtu
3) Lijepe dame iz računovodstva treba da otvore prozor u svijet klijenata banaka.
4) FEO ne treba puštati nigde osim finansijskom direktoru
5) Na Drugoj mreži, našem računaru i računaru administratora - daćemo im potpuni pristup internetu. Svi ostali ga mogu otvoriti na pismeni zahtjev.
6) Ne zaboravimo na filijale u Sankt Peterburgu i Kemerovu. Radi jednostavnosti, hajde da konfigurišemo puni pristup za korisnike iz ovih podmreža.
7) Serveri su druga stvar. Za njih ćemo konfigurirati prosljeđivanje portova. Sve što nam treba:
a) WEB server mora biti dostupan na portu 80
b) Mail server 25. i 110
c) Datotečni server je dostupan iz svijeta preko FTP-a.
8) Računari administratora i naši moraju biti dostupni sa Interneta preko RDP-a. Zapravo, ovo je pogrešan put - za daljinska veza morate koristiti VPN vezu i već na lokalnoj mreži koristiti RDP, ali ovo je tema za poseban, potpuno drugačiji članak.

Prvo, pripremimo mjesto za testiranje:

Internet veza će biti organizovana preko postojeće veze koju obezbeđuje provajder.
Ide u mrežu provajdera. Podsjećamo vas da je sve u ovom oblaku apstraktna mreža, koja se u stvarnosti može sastojati od desetina rutera i stotina svičeva. Ali treba nam nešto upravljivo i predvidljivo, pa ovdje također instaliramo ruter. Na jednoj strani je link sa prekidača, na drugoj je server na Internetu.

Biće nam potrebni sledeći serveri:
1. Dvije banke klijenata za računovođe (sperbank.ru, mmm-bank.ru)
2. web stranica za studente stručnog osposobljavanja
3. Yandex (yandex.ru)

Za takvu vezu podići ćemo još jedan vlan na msk-arbat-gw1. Njegov broj je, naravno, dogovoren sa provajderom. Neka to bude VLAN 6
Pretpostavimo da nam provajder nudi podmreža 198.51.100.0/28. Prve dvije adrese se koriste za organizaciju veze (198.51.100.1 i 198.51.100.2), a preostale koristimo kao skup za NAT. Međutim, niko nas ne brani da za bazen koristimo adresu 198.51.100.2. Uradimo ovo: bazen: 198.51.100.2-198.51.100.14
Radi jednostavnosti, pretpostavimo da se naši javni serveri nalaze na istoj podmreži:
192.0.2.0/24 .
Već znate kako postaviti vezu i adrese.
Pošto imamo samo jedan ruter u mreži provajdera, a sve mreže su direktno povezane na njega, nema potrebe za konfigurisanjem rutiranja.
Ali naš msk-arbat-gw1 mora znati gdje slati pakete na Internet, tako da nam je potrebna zadana ruta:
msk-arbat-gw1(config)# ip ruta 0.0.0.0 0.0.0.0 198.51.100.1

Sada po redu

Prvo, postavimo skup adresa
msk-arbat-gw1(config)# ip nat pool main_pool 198.51.100.2 198.51.100.14 netmask 255.255.255.240

Sada prikupljamo ACL:
msk-arbat-gw1(config)# ip pristupna lista proširena nat-inet

1) Kontrolna mreža

uopće nema pristup internetu
Spreman

2) Domaćini iz VET mreže

Imaju pristup samo specijalizovanim sajtovima, na primer sajtu
msk-arbat-gw1(config-ext-nacl)# dozvola tcp 172.16.3.0 0.0.0.255 host 192.0.2.2 eq 80

3) Računovodstvo

Dajemo pristup svim hostovima na oba servera
msk-arbat-gw1(config-ext-nacl)# dozvoli ip 172.16.5.0 0.0.0.255 host 192.0.2.3
msk-arbat-gw1(config-ext-nacl)# dozvoli ip 172.16.5.0 0.0.0.255 host 192.0.2.4

4) FEO

Dozvolu dajemo samo finansijskom direktoru - ovo je samo jedan domaćin.
msk-arbat-gw1(config-ext-nacl)# dozvoli ip host 172.16.4.123 bilo koji

5)Ostalo

Naši računari sa punim pristupom
msk-arbat-gw1(config-ext-nacl)# dozvoli ip host 172.16.6.61 bilo koji
msk-arbat-gw1(config-ext-nacl)# dozvoli ip host 172.16.6.66 bilo koji

6) Filijale u Sankt Peterburgu i Kemerovu

Neka Eniki adrese budu iste: 172.16.x.222
msk-arbat-gw1(config-ext-nacl)# dozvoli ip host 172.16.16.222 bilo koji
msk-arbat-gw1(config-ext-nacl)# dozvoli ip host 172.16.17.222 bilo koji
msk-arbat-gw1(config-ext-nacl)# dozvoli ip host 172.16.24.222 bilo koji

Ovako sada izgleda cijeli ACL:
ip pristupna lista proširena nat-inet
primjedba PTO
dozvola tcp 172.16.3.0 0.0.0.255 host 192.0.2.2 eq www
primjedba RAČUNOVODSTVO
dozvola ip 172.16.5.0 0.0.0.255 host 192.0.2.3
dozvola ip 172.16.5.0 0.0.0.255 host 192.0.2.4
primjedba FEO
dozvoli ip host 172.16.4.123 bilo koji
primjedba IAM
dozvoliti ip host 172.16.6.61 bilo koji
primjedba ADMIN
dozvoli ip host 172.16.6.66 bilo koji
primjedba SPB_VSL_ISLAND
dozvoliti ip host 172.16.16.222 bilo koji
primjedba SPB_OZERKI
dozvoliti ip host 172.16.17.222 bilo koji
primjedba KMR
dozvoliti ip host 172.16.24.222 bilo koji

Pokrenimo:
msk-arbat-gw1(config)# ip nat unutar izvorne liste nat-inet pool main_pool preopterećenje

Ali sreća neće biti potpuna bez prilagođavanja interfejsa:
On eksterni interfejs treba dati komandu ip nat vani
sa unutrašnje strane: ip nat unutra
msk-arbat-gw1(config)# int fa0/0.101
msk-arbat-gw1(config)# int fa0/0.102
msk-arbat-gw1(config-subif)# ip nat unutra
msk-arbat-gw1(config)# int fa0/0.103
msk-arbat-gw1(config-subif)# ip nat unutra
msk-arbat-gw1(config)# int fa0/0.104
msk-arbat-gw1(config-subif)# ip nat unutra
msk-arbat-gw1(config)# int fa0/1.6
msk-arbat-gw1(config-subif)# ip nat spolja

Ovo će omogućiti ruteru da shvati gdje može očekivati ​​pakete koje treba obraditi i gdje ih kasnije poslati.

Tako da serveri na Internetu budu dostupni putem ime domena, bilo bi dobro da imamo DNS server na našoj mreži:

Naravno, potrebno ga je registrovati na onim uređajima sa kojih ćemo provjeravati pristup:

Šou se mora nastaviti!

Sve je dostupno sa administratorskog računara:

Iz PTO mreže postoji pristup samo web stranici preko porta 80 (HTTP):

U FEO mreži samo 4.123 izlazi u svijet (finirektor)

U računovodstvu rade samo stranice klijent-banke. Ali, pošto je dozvola u potpunosti data IP protokolu, možete ih pingovati:

7) Serveri

Ovdje moramo konfigurirati prosljeđivanje portova tako da im se može pristupiti sa Interneta:

a) Web server

msk-arbat-gw1(config)# ip nat unutar izvora statički tcp 172.16.0.2 80 198.51.100.2 80

Provjerimo odmah, na primjer, možemo li to učiniti sa testnog računara sa adresom 192.0.2.7.
Sada ništa neće raditi, jer za mrežu servera nemamo sučelje konfigurirano za msk-arbat-gw1:
msk-arbat-gw1(config)# int fa0/0.3
msk-arbat-gw1(config-subif)# ip nat unutra

I sada:

b) File server

msk-arbat-gw1(config)# ip nat unutar izvora statički tcp 172.16.0.3 20 198.51.100.3 20
msk-arbat-gw1(config)# ip nat unutar izvora statički tcp 172.16.0.3 21 198.51.100.3 21

U tu svrhu, u ACL Servers-out otvorili smo i portove 20-21 za sve

c) Mail server

msk-arbat-gw1(config)# ip nat unutar izvora statički tcp 172.16.0.4 25 198.51.100.4 25
msk-arbat-gw1(config)# ip nat unutar izvora statički tcp 172.16.0.4 110 198.51.100.4 110

Takođe nije teško provjeriti. Slijedite upute:
Prvo postavljamo mail server. Određujemo domenu i kreiramo dva korisnika.

Zatim dodajte domenu u DNS. Ovaj korak je opcionalan - serveru možete pristupiti putem IP adrese, ali zašto ne?

Podešavanje računara sa naše mreže:

Iz vanjskog:

Pripremamo pismo:

On localhost kliknite na Primi:

8) Pristup preko RDP-a administratorskim i našim računarima

msk-arbat-gw1(config)# ip nat unutar izvora statički tcp 172.16.6.61 3389 198.51.100.10 3389
msk-arbat-gw1(config)# ip nat unutar izvora statički tcp 172.16.6.66 3389 198.51.100.10 3398

Sigurnost

Još jedna napomena. Najvjerovatnije, vaš uređaj za trljanje gleda van sa svojim IP nat vanjskim interfejsom - na Internet. Stoga, ne bi škodilo da okačite ACL na ovaj interfejs, gde odbijate, dozvoljavate, ono što vam treba. Nećemo se zadržavati na ovom pitanju u ovom članku.

U ovom trenutku, prvo upoznavanje sa NAT tehnologijom se može smatrati završenim.
Kao još jedan DZ, odgovorite na pitanje zašto nema pristupa internetu sa Eniki kompjutera u Sankt Peterburgu i Kemerovu. Uostalom, već smo ih dodali na pristupnu listu.

Otpustite materijale

pristupna lista 101 dozvola ip 192.168.2.0 0.0.0.255 bilo

Kreiramo mapu rute, gdje označavamo da ako je paket iz mreže 192.168.2.0/24, tada mu dodijelimo next-hop 10.0.2.1 (umjesto 10.0.1.1)

Mapa rute KLIJENTOVA dozvola 5
odgovara IP adresi 101
postaviti ip next-hop 10.0.2.1

Primjenjujemo mapu na interfejs:
ip politika route-map CLIENT

Ovo je samo jedna od upotreba moćan alat Rutiranje zasnovano na politici, koje se, nažalost, ne primjenjuje ni u kom obliku u Republici Tatarstan.

Ograničenje stope
Koristeći isti primjer, ograničit ćemo brzinu za mrežu 192.168.1.0/24 na 1,5 Mb/s, a za 192.168.2.0/24 na 64 kb/s.
Na 10.0.1.1 možete pokrenuti sljedeće komande:
Ruter(config)# pristupna lista 100 dozvola ip 192.168.1.0 0.0.0.255 bilo koji
Ruter(config)# pristupna lista 101 dozvola ip 192.168.2.0 0.0.0.255 bilo
Ruter(config)# interfejs fa0/0
Router(config-if)# rate-limit output access-group 100 1544000 64000 64000 conform-action transmit over-action drop
Router(config-if)# rate-limit output access-group 101 64000 16000 16000 conform-action transmit over-action pad

Autori:

Marat Eucariot
Maxim aka Gluck

Posebno zahvaljujemo Dmitriju JDimi na pomoći u pripremi članka.

ACL (Access Control List) je lista kontrole pristupa. Pristupne liste omogućavaju mrežnim inženjerima da identifikuju različite vrste paketa. Da biste to učinili, ACL konfiguracija navodi vrijednosti koje Cisco ruter može pronaći u zaglavljima IP, TCP, UDP itd. Na primjer, pristupna lista može prepoznati paket sa izvornom IP adresom 1.1.1.1, ili paketi čija je odredišna IP adresa u 10.1 podmreži .1.0/24, ili paketi sa TCP odredišnim portom 23 (Telnet). Najčešće se pristupne liste koriste kao filter paketa.

ACL se koristi na:

1. Interfejs: za filtriranje paketa
2. Telnet: za ograničavanje pristupa ruteru
3. VPN: da odredite koji promet treba biti šifriran
4. QoS: za određivanje saobraćaja koji treba obraditi
5. NAT: za određivanje IP adresa koje treba prevesti

Same liste pristupa su lista izraza koji dozvoljavaju ili odbijaju nešto. ACL se primjenjuje na određeno sučelje iu jednom smjeru (ulazni ili odlazni). Na ovaj način, ACL-ovi se mogu primijeniti na pakete koji ulaze u ruter prije nego što odluči da ih proslijedi. Ili na odlazne pakete, nakon što ruter odluči da preusmjeri i prosljeđuje paket na ovaj interfejs.

Pogledajmo jednostavan primjer. Kada paket stigne sa LAN1 (lokalne interne mreže) na interfejs f0/0, ruter provjerava dolazni promet koristeći ACL striktno redoslijedom kojim su izrazi napisani. Ako ACL dozvoli da paket prođe, onda ga ruter šalje na interfejs f0/1. Prije slanja paketa, ruter provjerava odlazni promet koristeći ACL i tek nakon toga donosi odluku o njegovom slanju ISP-u (Internet Service Provider).

Kada koristite ACL za filtriranje paketa, možete odabrati samo jednu od dvije akcije. Konfiguracijske komande koriste ključne riječi deny i permit, što znači odbijanje paketa ili dozvolu njegovog prijenosa.

Postoje dvije vrste ACL-ova:

1. Standardno - može provjeriti samo IP adrese pošiljatelja paketa
2. Prošireno - može provjeriti izvorne/odredišne ​​adrese, tip protokola, UDP/TCP portove

ACL-ovi su označeni rednim brojevima (standardni od 1 do 99, prošireni sa 100 na 199), a također simbolična imena.

Pogledajmo nekoliko važnih pravila u vezi s ACL-ovima:

1. Ne možete postaviti više od jedne pristupne liste po interfejsu, protokolu, smeru;
2. ACL ne utiče na saobraćaj koji generiše sam ruter;
3. Za filtriranje paketa koristi se obrnuta WildCard maska ​​(na primjer, 0.0.255.255 odgovara 255.255.0.0)
4. Čim se paket podudara s jednom od ACL linija, ruter poduzima akciju navedenu u toj liniji liste i zaustavlja daljnje uparivanje
5. Na kraju svake pristupne liste nalazi se implicitno zabrani bilo koji - zabrani sve

Standardne numerisane liste pristupa koriste sljedeću globalnu naredbu:

pristupna lista (1-99) (dozvola | zabrani) (adresa | bilo koji | host) (izvorni zamjenski znak)

Svaki numerirani ACL sadrži jednu ili više naredbi liste pristupa s bilo kojim brojem iz raspona predstavljenog u gornjoj sintaksnoj liniji. Pored ACL broja, svaka naredba sadrži odabranu akciju (dozvoli ili zabrani) i logiku prepoznavanja. Parametri komande liste pristupa:

1. dozvola - dozvoliti
2. odbiti - zabraniti
3. adresa - odbiti ili dozvoliti određenu mrežu (navedite njenu IP adresu)
4. bilo - zabraniti ili dozvoliti sve
5. host — odbiti ili dozvoliti hostu (navesti njegovu IP adresu)
6. source-wildcard - reverzna maska

Nakon kreiranja pristupne liste, potrebno je da je primenite na određenom interfejsu:

IP pristupna grupa (ACL broj ili ime) (in | out)

Gdje je in je ulazni smjer, out je odlazni smjer.

Idemo sada na praksu. Prvo, postavimo jednostavnu mrežu koja će uključivati ​​administratorski laptop, obične korisničke računare i server. Ovo je neophodno uraditi. tako da samo administrator ima pristup serveru. IP plan i dijagram su u prilogu.

Po tradiciji, za one koji će sastaviti ovo kolo za praćenje paketa, predstavljam puna konfiguracija svi uređaji sa opisima komandi.

Switch>enable Switch#configure terminal Switch(config)#vlan 2 - create vlan 2 Switch(config-vlan)#name Admin - naziv za vlan 2 Switch(config)#vlan 3 - kreirajte vlan 3 Switch(config-vlan)#name Server - naziv za vlan 3 Switch(config)#vlan 10 - kreirajte vlan 10 Switch(config-vlan)#name User"s - naziv za vlan 10 Switch(config)#opseg interfejsa fa0/1 - fa0/9 - prilagođavanje interfejsa korisnicima Switch(config-if-range)#description Korisnici - opis interfejsa Switch(config-if-range)#switchport mode accessSwitch(config-if-range)#switchport access vlan 10 - tagging frames 10 VLAN Switch(config-if-range)#exit Switch(config)#interface fa0/10 - konfigurirati interfejse prema Serveru Switch(config-if)#description Server - opis interfejsa- konfigurirajte port na označeni način rada Switch(config-if)#switchport pristup vlan 3 - označavanje 3 VLAN okvira Switch(config-if)#exit Switch(config)#interface fa0/20 - konfigurirati interfejse prema Administratoru Switch(config-if)#description Admin - opis interfejsa Pristup načinu rada Switch(config-if)#switchport - konfigurirajte port na označeni način rada Switch(config-if)#switchport pristup vlan 2 - označavanje okvira 2 VLAN Switch(config-if)#exit Switch(config)#interface fa0/24 - konfigurirati interfejse prema ruteru Switch(config-if)#description Router - opis interfejsa Switch(config-if)#switchport mode trunk - konfigurirajte port u neoznačeni način rada Switch(config-if)#switchport trunk dozvoljen vlan 2-3,10 - preskočite VLAN 2-3.10 Switch(config-if)#exit Switch(config)#do write - sačuvajte konfiguraciju

Ruter>omogući - idite na napredni način rada Router#configure terminal - idite u konfiguracijski mod Router(config)#interface fa0/0 - insistiramo na portu prema Switchu Router(config-if)#description Prekidač - opis interfejsa Router(config-if)#bez gašenja - fizički uključiti interfejs Router(config-if)#exit Router(config)#interface fa0/0.2 - postavljanje podinterfejsa za Admin podmrežu Router(config-subif)#description Admin - opis interfejsa dot1q 2 - označavanje sa 2 VLAN-a Ruter(config-subif)#ip adresa 172.16.0.1 255.255.255.0 - postavite podrazumevani gateway za administratora Router(config-subif)#exit - postavljanje sučelja podmreže za podmrežu servera Router(config-subif)#description Server - opis interfejsa Router(config-subif)#enkapsulacija dot1q 3 - označavanje sa 3 VLAN-a Router(config-subif)#ip adresa 172.16.1.1 255.255.255.0 - Router(config-subif)#exit Router(config)#interface fa0/0.10 - postavljanje sučelja podmreže za korisničku podmrežu Ruter(config-subif)#description Korisnici - opis interfejsa Router(config-subif)#enkapsulacija dot1q 10 - označavanje sa 10 VLAN Ruter(config-subif)#ip adresa 172.16.2.1 255.255.255.0 - postavite podrazumevani gateway za servere Router(config-subif)#exit

Pokrećemo ping sa računara korisnika na server

Kao što vidite, postoji pristup. Za pristup nam je potreban samo administrator. Da bismo to uradili, potrebno je da kreiramo pristupnu listu (neka ima serijski broj 10), u kojoj ćemo svim paketima od administratora (172.16.0.100) dozvoliti pristup podmreži servera (172.16.1.0/24). Zatim primjenjujemo ovo pravilo na podinterfejs fa0/0.3 (za servere) za sve odlazne pakete.

Router(config)#access-list 10 dozvoli hostu 172.16.0.100 - kreiramo pristupnu listu u kojoj dozvoljavamo administratoru hosta Router(config)#interface fa0/0.3Router(config-subif)#ip access-group 10 out - primijeniti postavke pristupne liste na podinterfejsu

Testiranje postavki. Pokrećemo ping sa računara korisnika prema serveru.

Piše da je odredišni host nedostupan - odredišni host je nedostupan.

Pokrećemo ping sa administratorskog računara.

Ping radi, što znači da je ACL ispravno konfigurisan. Šta se dešava kada pingujemo server sa administratorskog laptopa? Paket prvo stiže na fa0/0.2 web interfejs rutera. Na ovom interfejsu nisu konfigurisane liste pristupa, što znači da paket prolazi dalje. Ruter gleda u svoju tabelu rutiranja i vidi da je podmreža servera na podinterfejsu fa0/0.3. Prije slanja paketa, ruter vidi da je ACL 10 vezan za ovaj interfejs. ovu listu pristup, postoji samo jedan unos - dozvoli slanje paketa samo na host 172.16.0.100 (administratorov laptop). Ruter gleda u IP paket i vidi izvornu adresu 172.16.0.100, a zatim šalje paket u podmrežu servera. IP paket sa bilo čim drugim osim 172.16.0.100 će biti odbačen, pošto na kraju ACL 10 postoji implicitno zabrani bilo šta - zabrani sve.

Sada pređimo na proširene liste pristupa. Korisnici na našoj mreži moraju imati pristup skladištenje datoteka i web stranicu. Prethodno smo im potpuno ograničili pristup serveru. Moramo ispraviti situaciju, a proširene liste pristupa će nam pomoći u tome. Proširene liste pristupa mogu provjeriti IP adrese izvora/pošiljatelja, tip protokola, UDP/TCP portove. U našoj situaciji bit će potrebno provjeriti brojeve portova. Ako korisnik pristupa serveru na dozvoljenom portu, ruter dozvoljava takav paket. Dozvoljeni portovi: 80 (HTTP - pristup web stranici), 21 (FTP - pristup skladištu datoteka). HTTP protokoli i FTP rade preko TCP-a. Takođe, za prepoznavanje imena domena, na našem serveru se podiže DNS. DNS server radi na portu 53.

Postavićemo proširenu pristupnu listu na fa0/0.3 podinterfejs. Ali ovo sučelje već ima pristupnu listu. Zapamtite pravilo: Ne možete postaviti više od jedne pristupne liste na interfejs. Dakle, morat ćete izbrisati prethodno kreiranu pristupnu listu. Premjestit ćemo pravilo kreirano za administratora na novu proširenu listu s imenom Server-out.

Konfiguracija za ruter:

Router(config)#bez liste pristupa 10 dozvoli hostu 172.16.0.100 - izbrisati prethodnu pristupnu listu Router(config)#interface fa0/0.3 - postavljanje podinterfejsa za servere Ruter(config-subif)#nema IP pristupne grupe 10 izlaz - izbrisati prethodne postavke pristupna lista Router(config-subif)#exit Router(config)#ip access-list extended Server-out - kreirati proširenu pristupnu listu Router(config-ext-nacl)#permit ip host 172.16.0.100 host 172.16.1.2 - dajemo administratoru potpuni pristup serveru Router(config-ext-nacl)#permit tcp bilo koji host 172.16.1.2 eq 80 - dozvolite bilo kojem hostu da pristupi serveru putem HTTP-a Router(config-ext-nacl)#permit tcp bilo koji host 172.16.1.2 eq 21 - dozvolite bilo koji pristup serveru putem FTP-a Router(config-ext-nacl)#permit tcp bilo koji host 172.16.1.2 eq 53 - dozvolite bilo kom hostu da pristupi serveru preko DNS-a Router(config-ext-nacl)#exit Router(config)#interface fa0/0.3 Router(config-if)#ip access-group Server-out

Sa administratorskog računara dolazi ping do servera:

Nema pinga sa računara korisnika:

Provjerimo sa računara korisnika da li DNS upiti prolaze do servera. Da bismo to učinili, pokrenimo uslužni program nslookup- koji određuje IP adresu imenu domene.

DNS upiti prolaze bez problema. Provjerimo pristup našoj uslovnoj web stranici putem pretraživača:

Konačno, povežite se na FTP server:

Veza je uspjela!

Teorijski dio.

ACL liste za kontrolu pristupa je sekvencijalna lista pravila koja se koriste za dozvoljavanje ili uskraćivanje protoka paketa unutar mreže na osnovu informacija sadržanih u listi. Bez liste pristupa, svi paketi unutar mreže su dozvoljeni bez ograničenja za sve dijelove mreže. Pristupna lista se može koristiti za kontrolu distribucije i dobivanje informacija o promjenama u tabelama ruta i, što je najvažnije, za osiguranje sigurnost. Sigurnosna politika posebno uključuje zaštitu od spoljni napadi, ograničenja pristupa između odjela organizacije i raspodjela mrežnog opterećenja.

Pristupna lista vam omogućava da koristite ruter kao firewall, zaštitni zid, za odbijanje ili ograničavanje pristupa internoj mreži iz eksternu mrežu na primjer, internet. Zaštitni zid se obično postavlja na tačkama veze između dve mreže.

Standardni ACL

Kada koristite standardne ACL-ove, jedini kriterijum za određivanje da li je paket dozvoljen ili odbijen je izvorna IP adresa tog paketa. Format elementa pristupne liste je sljedeći

Router(config)# pristupna lista br. dozvola | zabrani izvornu adresu izvornu masku,

gdje je № cijeli broj – broj pristupne liste, izvorna adresa je adresa izvora paketa, izvorna maska ​​je maska ​​u inverznom obliku primijenjena na adresu, dozvola je da se dozvoli prolazak paketa, deny je zabraniti prolaz paketa. Broj br. određuje da li element pristupne liste pripada određenoj pristupnoj listi sa brojem br. Prva naredba access-list specificira prvi element pristupne liste, druga naredba specificira drugi element liste pristupa, itd. Ruter obrađuje svaku pristupnu listu koju definira element po element od vrha do dna. To jest, ako izvorna adresa paketa, uzimajući u obzir masku, zadovoljava uslov elementa liste, tada ruter ne obrađuje dalje elemente liste. Stoga, kako bi se izbjegla nepotrebna obrada, na početak liste treba staviti elemente koji definišu opštije uslove. Višestruke liste pristupa mogu se definirati unutar rutera. Standardni broj liste mora biti u rasponu od 1 – 99. Maska u pristupnoj listi je navedena u inverznom obliku, na primjer, maska ​​255.255.0.0 izgleda kao 0.0.255.255.

Cisco ruteri pretpostavljaju da su sve adrese koje nisu eksplicitno navedene u pristupnoj listi odbijene. To jest, postoji nevidljivi element na kraju pristupne liste

Router(config)# pristupna lista # deny 0.0.0.0 255.255.255.255

Dakle, ako želimo da dozvolimo samo saobraćaj sa adrese 1.1.1.1 i da odbijemo sav drugi saobraćaj, samo stavite jedan element u pristupnu listu

Router(config)# pristupna lista 77 dozvola 1.1.1.1 0.0.0.0.

Ovdje pretpostavljamo da smo organizirali pristupnu listu sa brojem 77.

Razmotrimo mogućnost korištenja standardnih pristupnih lista za niz adresa. Uzmimo za primjer raspon 10.3.16.0 – 10.3.31.255. Da biste dobili inverznu masku, možete oduzeti mlađu adresu od visoke adrese i dobiti 0.0.15.255. Tada se naredbom može specificirati primjer elementa liste

Router(config)# pristupna lista 100 dozvola 10.3.16.0 0.0.15.255

Da bi pristupna lista počela da radi svoj posao, mora se primeniti na interfejs pomoću naredbe

Ruter(config-if)# ip pristup-grupa pristup-listi-broj ulaza ili izlaza

Pristupna lista se može koristiti ili kao ulaz (in) ili kao izlaz (out). Kada koristite pristupnu listu kao ulaz, ruter prima ulazni paket i provjerava njegovu ulaznu adresu u odnosu na elemente liste. Ruter dozvoljava da se paket usmjeri do odredišnog interfejsa ako se paket podudara sa elementima liste dopuštenja, ili odbacuje paket ako se poklapa sa elementima liste zabrane. Ako koristite izlaznu pristupnu listu, ruter prima ulazni paket, usmjerava ga do odredišnog interfejsa i tek onda obrađuje ulaznu adresu paketa prema elementima pristupne liste tog interfejsa. Zatim, ruter ili dozvoljava paketu da napusti interfejs ili ga odbacuje u skladu sa dozvoljavajućim i odbijajućim elementima liste, respektivno. Tako se prethodno kreirana lista sa brojem 77 primenjuje na Ethernet 0 interfejs rutera kao ulazna lista sa komandama

Router(config)# int Ethernet 0

Ruter(config-if)# IP pristupna grupa 77 in

Ova ista lista se primenjuje na Ethernet 0 interfejs rutera kao izlazna lista korišćenjem komandi

Ruter(config-if)# IP pristupna grupa 77 izlaz

Otkažite listu na interfejsu pomoću naredbe br

Ruter(config-if)# nema IP pristupne grupe 77 izlaza

Počnimo stvarati više složene liste pristup. Razmotrimo mrežu na slici 1. Hajde da dozvolimo sve pakete koji dolaze iz mreže 10.1.1.0 /25 (10.1.1.0 255.255.255.128), ali zabranimo sve pakete koji dolaze iz mreže 10.1.1.128 /25 (10.1.1.125.5.25). Takođe želimo da odbijemo sve pakete koji potiču iz 15.1.1.0 /24 mreže (15.1.1.0 255.255.255.0), osim paketa sa jednog hosta na 15.1.1.5. Dozvoljavamo sve ostale pakete. Dajemo listi broj 2. Redoslijed naredbi za završetak zadatka bit će sljedeći

Router(config)#

Router(config)# pristupna lista 2 dozvola 15.1.1.5 0.0.0.0

Router(config)#

Router(config)#

Obratite pažnju na odsustvo elementa koji omogućava mrežu 10.1.1.0 255.255.255.128. Njegovu ulogu igra posljednji element access-list 2 dozvola 0.0.0.0 255.255.255.255.

Hajde da se pobrinemo da završimo zadatak.

1. Dozvolite sve pakete koji potiču iz mreže 10.1.1.0 255.255.255.128.

Poslednji red u pristupnoj listi zadovoljava ovaj kriterijum. Nema potrebe da izričito dozvolite ovu mrežu u našoj pristupnoj listi jer na listi nema linija koje odgovaraju ovoj mreži osim poslednje dozvole linije dozvole 0.0.0.0 255.255.255.255.

Prvi red na listi ispunjava ovaj kriterijum. Važno je napomenuti tip inverzne maske 0.0.0.127 za ovu mrežu. Ova maska ​​specificira da ne treba uzeti u obzir posljednjih sedam bitova četvrtog okteta adrese, koji su dodijeljeni adresiranju u ovoj podmreži. Maska za ovu mrežu je 255.255.255.128, što kaže da posljednjih sedam bitova četvrtog okteta definiraju adresiranje na ovoj mreži.

3. Zabrani sve pakete koji potiču iz mreže 15.1.1.0 255.255.255.0, sa izuzetkom paketa sa jednog hosta sa adresom 15.1.1.5

Slika 9.1.

Ovaj zahtjev zadovoljavaju drugi i treći red naše pristupne liste. Važno je napomenuti da pristupna lista ne implementira ovaj zahtjev onim redoslijedom kojim je definirana. Važno je zapamtiti da se pristupna lista obrađuje od vrha do dna i kada se pronađe prvo podudaranje, obrada paketa se zaustavlja. Prvo zahtijevamo da se odbiju svi paketi koji potiču iz mreže 15.1.1.0 255.255.255.0 i tek onda dopuste paketi sa adrese 15.1.1.5. Ako preuredimo drugu i treću naredbu u naredbama koje definiraju pristupnu listu, tada će cijela mreža 15.1.1.0 biti odbijena dok se host 15.1.1.5 ne dozvoli. Odnosno, adresa 15.1.1.5 će odmah na početku biti odbijena opštijim kriterijumom zabrani 15.1.1.0 0.0.0.255.

4. Dozvolite sve ostale pakete

Posljednja komanda rješava sve adrese koje se ne podudaraju s prve tri naredbe.

Dakle, imamo sljedeći niz akcija za implementaciju pristupne liste.

1. Definirajte kriterije pristupa i ograničenja.

2. Implementirajte ih koristeći naredbe access-list, kreirajući pristupnu listu sa određenim brojem.

3. Primijenite listu na određeno sučelje bilo kao ulazno ili odlazno.

Hajde da se fokusiramo na poslednju tačku. IN opšti slučaj standardnu ​​pristupnu listu treba postaviti što bliže odredištu, a ne izvoru paketa. Iako mogu postojati izuzeci. Budući da standardna lista pristupa radi samo sa izvornim adresama, detaljna konfiguracija nije uvijek moguća. Potreban je napor da se izbjegnu neželjene konfiguracije pristupa. Ako se lista nalazi blizu izvora paketa, onda je vrlo vjerovatno da će pristup uređajima na kojima se ne vrši konfiguracija pristupa biti otežan.

Navedite sigurnosnu politiku za mrežu na slici 1. Naš cilj je kreiranje politike za računar A (adresa 1.1.1.2 mreže 1.1.1.0/24), koja uključuje sve uređaje na lokalnoj mreži 15.1.1.0 /24, koji uključuje računar C (15.1.1.5) će dozvoliti samo računaru C da pristupi računaru A. Takođe želimo da kreiramo politiku koja zabranjuje daljinski pristup na računar A sa bilo kojeg uređaja na lokalnoj mreži 10.1.1.128 / 25 računara D (10.1.1.133). Dozvoljavamo sav drugi promet. Na slici 1, računar PC5 (15.1.1.5) igra ulogu proizvoljnog predstavnika lokalne mreže 15.1.1.0/24, za razliku od računara C.

Listiranje je ključno za implementaciju takve politike. Uzmimo prethodno kreiranu listu sa brojem 2. Ako se lista napravi kao izlaz na serijskom interfejsu rutera 2, tada će zadatak za računar A biti završen, ali će postojati ograničenja u saobraćaju između drugih lokalnih mreža. Sličnu situaciju dobijamo ako ovu listu učinimo ulazom na serijski interfejs rutera 1. Ako ovu listu postavimo kao izlaz na Ethernet A interfejs rutera 1, tada će zadatak biti završen bez ikakvih nuspojava.

Prošireni ACL-ovi

Sa standardnim ACL-om možete odrediti samo izvornu adresu, a maska ​​je opciona. U proširenim ACL-ovima morate navesti i odredišnu adresu i izvornu adresu s maskama. Možete dodati dodatne informacije o protokolu za izvor i odredište. Na primjer, TCP i UDP smiju specificirati broj porta, a ICMP-u je dozvoljeno specificirati tip poruke. Kao i kod standardnih ACL-ova, možete koristiti opciju dnevnika za prijavu.

Opšti oblik naredbe za generiranje niza pristupne liste

pristupna lista pristupna lista-broj (dozvola | zabrani) protokol izvor izvor-zamjenski znak odredište odredišni zamjenski znak,

gdje je pristupna lista-broj -100-199|2000-2699, protokol - ip, icmp, tcp, gre, udp, igrp, eigrp, igmp, ipinip, nos i ospf. Za izvorni port ili odredišni port, možete koristiti broj porta ili njegovu oznaku bgp, chargen, daytime, discard, domain, echo, finger, ftp, ftp-data, gopher, ime hosta, irc, klogin, kshell, lpd , nntp, pop2, pop3, smtp, sunrpc, syslog, tacacs-ds, talk, telnet, time, uucp, whois i www. Operator je eq (jednako), neq (nije jednako), gt (veće od), lt (manje od), range (dva porta su specificirana za određivanje raspona).

Kao i kod standardnih ACL-ova, prošireni ACL bi trebao biti vezan za sučelje ili za promet koji dolazi na sučelje

Ruter(config-if)# ip pristupna grupa №ACL in

ili za saobraćaj koji napušta interfejs

Ruter(config-if)# ip pristupna grupa №ACL izlaz

ovdje #ACL je broj liste.

Primjeri proširenih ACL elemenata

Dozvolite SMTP sa svih strana za host

Router(config)# access-list 111 dozvoli tcp bilo koji host 172.17.11.19 eq 25

Dozvolite telnetu s bilo kojeg mjesta za host

Router(config)# access-list 111 dozvoli tcp bilo koji host 172.17.11.19 eq 23

Prošireni ACL vam omogućava da fino podesite prava pristupa.

Imenovani ACL-ovi

Imenovani ACL-ovi se pominju imenom, a ne brojem, što ih čini jasnijim i lakšim za upotrebu. Za kreiranje imenovanog ACL-a postoji komanda

Router(config)# ip access-list proširena ACL_name

Router(config-ext-nacl)# permit|deny IP_protocol source_IP_address wildcard_mask destination_IP_address wildcard_mask

Da biste dovršili kreiranje liste, izdajte naredbu za izlaz.

Ime imenovane liste razlikuje velika i mala slova. Komande za kreiranje neimenovane liste slične su komandama za kreiranje numerisanih stavki liste, ali je proces kreiranja drugačiji. Morate koristiti ip ključnu riječ prije glavnog ACL izraza i na taj način ući u konfiguracijski način za tu imenovanu listu. U ovom načinu počinjete ključne riječi dozvoliti ili zabraniti i ne treba unositi pristupnu listu na početku svakog reda.

Vezivanje imenovanih ACL-ova za interfejs se vrši pomoću naredbe

Router(config)# tip interfejsa port_№

Router(config-if)# ip pristupna grupa ACL_name in|out

ACL-ovi se obrađuju od vrha do dna. Saobraćaj koji se najčešće ponavlja treba obraditi na vrhu liste. Čim se paket koji obrađuje lista podudara sa elementom liste, obrada tog paketa se zaustavlja. Standardne ACL-ove treba postaviti bliže odredištu gdje se promet treba filtrirati. Izlazne proširene ACL-ove treba postaviti što je bliže moguće izvoru paketa koji se filtriraju, a ulazne ACL-ove treba postaviti bliže odredištu gdje bi se promet trebao filtrirati.

Imenovani ACL-ovi vam omogućavaju da sami uređujete. Da biste to učinili, morate upisati naredbu koja je korištena za njegovo kreiranje

Router(config)# ip access-list proširena ACL_name

Koristite vertikalne tipke sa strelicama da pronađete liniju liste koju želite promijeniti. Promijenite ga pomoću horizontalnih strelica. Pritisnite enter. Novi red će biti dodan na kraj liste. Stari neće biti uništen. Da biste ga uništili, unesite ne na početku reda.

Da biste uredili numeričke ACL-ove, morate ga uništiti i kreirati ponovo, ili urediti listu van mreže i učitati je u uređaj koristeći.

Praktični dio.

1. Učitajmo topologiju prikazanu na slici 2 u simulator.

Slika 9.2.

Dodelimo adrese interfejsima (maska ​​255.255.255.240) prema tabeli. Ne zaboravite na svoj DCE uređaj serijska veza podesite sinhronizaciju.

	Router2	Router1	Router4
Ethernet	24.17.2.2	24.17.2.1
Serial		24.17.2.17	24.17.2.18

Konfigurirajmo RIP rutiranje

Router1(config)# ruter rip

Router1(config-ruter)# verzija 2

Router1(config-ruter)# mreža 24.0.0.0

Router2(config)# ruter rip

Router1(config-ruter)# verzija 2

Router2(config-ruter)# mreža 24.0.0.0

Router4(config)# ruter rip

Router1(config-ruter)# verzija 2

Router4(konfiguracija-ruter)# mreža 24.0.0.0

Provjerite svoju mrežu sa ping komande a posebno da možete pingovati Ethernet0 interfejs (24.17.2.2) rutera 2 sa rutera 4

Router4# ping 24.17.2.2

Kreirajmo standardnu ​​pristupnu listu koja neće dozvoliti ruteru 2 da pinguje sa rutera 4. Da bismo to uradili, blokiramo jedinu adresu 24.17.2.18 rutera 4 i dozvoljavamo ostatak saobraćaja. Napravit ćemo listu na ruteru pomoću 2 komande

Router2(config)# pristupna lista 1 zabrani 24.17.2.18 0.0.0.0

Router2(config)# pristupna lista 1 dozvola 0.0.0.0 255.255.255.255

Router2(config)# interfejs FastEthernet0/0

Router2(config-if)# IP pristupna grupa 1 in

Provjerimo da li pristupna lista radi. Da bismo to učinili, pogledajmo radnu konfiguraciju

Router2# prikaži run-config

Takođe možemo vidjeti listu primijenjenu na sučelje pomoću naredbe “show ip interface”. Pronađite red “Innbound access list is 1” u izlaznim informacijama.

Router2# prikaži ip interfejs

Komanda “show access-lists” će nam pokazati sadržaj kreirane pristupne liste.

Router2# prikaži pristupne liste

Imajte na umu da je host 24.17.2.18 ekvivalentan 24.17.2.18 0.0.0.0. Sada, kada pokušavate pingovati Ethernet0 interfejs (24.17.2.2) rutera 2 sa rutera 4

Router4# ping 24.17.2.2

Dobijamo string “UUUUU”, što znači da pristupna lista radi ispravno.

1. Kreirajmo i učitajmo topologiju na slici 2 u simulator.

Slika 9.3.

Dodijelite adrese interfejsima (maska ​​255.255.255.0) prema tabeli

	Router2	Router1	Router3	Router4
Ethernet 0	160.10.1.2	160.10.1.1	175.10.1.2	180.10.1.2
Ethernet 1		175.10.1.1	180.10.1.1

Hajde da konfigurišemo OSPF rutiranje

Router1(config)# ruter ospf 1

Router1(config-ruter)#

Router1(config-ruter)#

Router2(config)# ruter ospf 1

Router2(config-ruter)# mreža 160.10.1.0 0.0.0.255 područje 0

Router3(config) # ruter ospf 1

Router3(config-ruter)# mreža 175.10.1.0 0.0.0.255 područje 0

Router3(config-ruter)#

Router4(config)# ruter ospf 1

Router4(konfiguracija-ruter)# mreža 180.10.1.0 0.0.0.255 područje 0

Za provjeru, pingirajte ekstremne tačke

router2#ping 180.10.1.2

router4#ping 160.10.1.2

Kreirajmo standardnu ​​pristupnu listu za filtriranje saobraćaja koji dolazi na ethernet0 interfejs prvog rutera1 i dozvolimo saobraćaj sa 175.10.1.0 podmreže (router3) i blokiramo saobraćaj sa drugih uređaja.

router1(config)# pristupna lista 1 dozvola 175.10.1.0 0.0.0.255

Provjerite je li kreiran

ruter1# prikaži pristupnu listu

router1(config)# interfejs FastEthernet1/0

router1(config-if)# IP pristupna grupa 1 in

ruter1# prikaži run-config

Provjerite vezu između rutera 3 i 2 i između rutera 4 i 2.

router3# ping 160.10.1.2

router4# ping 160.10.1.2

Trebalo bi da postoji veza između rutera 3 i 2, ali ne i između rutera 4 i 2.

Hajde da promenimo pristupnu listu i dozvolimo saobraćaj sa podmreže 180.10.1.0 (router4) i blokiramo saobraćaj sa drugih uređaja.

router1(config)# nema pristupne liste 2

router1(config)# pristupna lista 2 dozvola 180.10.1.0 0.0.0.255

Provjerite da li se promijenilo

ruter1# prikaži pristupnu listu

Priložite listu kao ulaz na Ethernet interfejs 1

router1(config)# interfejs FastEthernet1/0

router1(config-if)# IP pristupna grupa 1 in

Provjerite vezu s komandom

ruter1# prikaži run-config

Provjerite vezu između rutera 3 i 2 i između rutera 4 i 2.

router3# ping 160.10.1.2

router4# ping 160.10.1.2

Trebalo bi da postoji veza između rutera 4 i 2, ali ne i između rutera 3 i 2.

3. Implementirajte i provjerite IP konfiguraciju za mrežu na slici 1 i koristite OSPF za implementaciju dinamičkog usmjeravanja.

Za ruter 1

router1(config)# ruter ospf 1

router1(config-router)#

router1(config-router)# mreža 1.1.1.0 0.0.0.255 područje 0

router1(config-router)# mreža 10.1.1.0 0.0.0.127 područje 0

Za ruter 2

Router2(config)# ruter ospf 1

Router2(config-router)# mreža 10.1.1.128 0.0.0.127 područje 0

Router2(config-router)# mreža 15.1.1.0 0.0.0.255 područje 0

Router2(config-router)# mreža 2.2.2.0 0.0.0.255 područje 0

Provjerite mrežnu funkcionalnost: morate pingovati bilo koje sučelje s bilo kojeg uređaja. Ili jednostavnije: svi računari A, B, C, D, PC5 moraju pingovati jedan drugog u parovima.

Kreirajmo pristupnu listu iz teorijskog dijela

3.1 Uključeno ruter 1 kreirajte pristupnu listu

router1(config)# pristupna lista 2 zabrani 10.1.1.128 0.0.0.127

router1(config)# access-list 2 permit host 15.1.1.5

router1(config)# pristupna lista 2 zabrani 15.1.1.0 0.0.0.255

router1(config)# pristupna lista 2 dozvola 0.0.0.0 255.255.255.255

i primijeniti ga na Ethernet0 sučelje kao izlaz

router1(config)# interfejs FastEthernet0/0

router1(config-if)# IP pristupna grupa 2 izlaz

Napravite snimak ekrana rezultata izvršenja naredbe

ruter1# prikaži pristupnu listu

Od do	A	B	C	E	D
A	+	+	+	-	-
B	+	+	+	+	+
C	+	+	+	+	+
E	-	+	+	+	+
D	-	+	+	+	+

Tabela 1

Vidimo da je sigurnosna politika iz teorijskog dijela u potpunosti implementirana.

3.2 Uklonite ACL sa interfejsa e0 i primenite ga kao ulaz na interfejs s0

router1(config)# interfejs fa0/0

router1(config-if)# nema IP pristupne grupe 2

router1(config-if)# int s2/0

router1(config-if)# IP pristupna grupa 2 in

Pingujemo A, B, C, PC5, D u parovima. Rezultat bi trebao biti sljedeća pristupna matrica

Od do	A	B	C	E	D
A	+	+	+	-	-
B	+	+	+	-	-
C	+	+	+	+	+
E	-	-	+	+	+
D	-	-	+	+	+

tabela 2

Vidimo da je sada saobraćaj između mreža 10.1.1.0/25 i 10.1.1.128/25 zabranjen. Saobraćaj takođe nije moguć između mreže 10.1.1.0/25 i mreže 15.1.1.0/24, sa izuzetkom računara C sa adresom 15.1.1.5.

4. Koristimo topologiju i konfiguraciju tačke 1 ovog laboratorijskog rada

Otkažite konfiguraciju pristupa napravljenu u koraku 1

Router2(config)# nema pristupne liste 1 zabrani 24.17.2.18 0.0.0.0

Router2(config)# nema pristupne liste 1 dozvola 0.0.0.0 255.255.255.255

Primijenimo listu na Ethernet sučelje rutera 2

Router2(config)# interfejs fa0/0

Router2(config-if)# nema IP pristupne grupe 1 in

Dozvolimo telnet pristup ruteru1 na njegova dva interfejsa sa lozinkom router1

Router1(config)# linija vty 0 4

Router1(config-line)# Ulogovati se

Router1(config-line)# lozinka ruter1

Naši EACL-ovi će raditi nekoliko različitih stvari. Prvo, dozvolićemo samo telnetu iz podmreže serijske veze 24.17.2.16/240 da se prijavi na ruter1

router1(conf)# access-list 101 dozvola tcp 24.17.2.16 0.0.0.15 bilo koji eq telnet log

Opcija dnevnika će uzrokovati da ruter pokaže izlaz kada se aktivira lista pristupa.

Dozvolimo sav promet iz Ethernet 0 podmreže 24.17.2.0/240 na ruteru1

router1(conf)# pristupna lista 102 dozvola ip 24.17.2.0 0.0.0.15 bilo koji

Provjerimo instalaciju lista

router1#prikaži pristupnu listu

Sada da primenimo liste na interfejse za dolazne pakete

router1(conf)# interfejs Serial2/0

router1(conf-if)# IP pristupna grupa 101 in

router1(conf-if)# interfejs fa0/0

router1(conf-if)# IP pristupna grupa 102 in

Da provjerite da li su EACL-ovi prisutni na sučeljima, koristite naredbu

ruter1# prikaži run-config

ruter1# prikaži ip interfejs

Provjerimo funkcioniranje EACL-a. Hajde da se pridružimo routeru4 i bezuspješno pokušamo pingirati Serial2/0 sučelje na routeru1

router4# ping 24.17.2.17

EACL broj 101 blokira ping. Ali mora dozvoliti telnet

router4# telnet 24.17.2.17

Uspješno. Unesite lozinku router1. Prompt router4# se promijenio u router1>. Istovremenim pritiskom ctrl-shift-6 i zatim 6, vratit ćemo se na router4. Dnevnik će nam pokazati da je EACL 101 pokrenut na ruteru1

Pogledajmo broj sesije i prekinimo telnet vezu

router4# show session

router4# prekinuti vezu 1

Hajde da se pridružimo routeru2 i vidimo da li možemo pingovati Serial0 interfejs na routeru4.

Router2# ping 24.17.2.18

Zašto je bilo neuspješno? Paket počinje u Router2, prolazi kroz Router1 (log će nam pokazati da je EACL 102 pokrenut na routeru1

) i dolazi na Router4. Na Router4 se ponovo formatira i šalje nazad na Router1. Kada Router4 ponovo formatira paket, izvorna adresa postaje odredišna adresa, a odredišna adresa postaje adresa izvora. Kada paket stigne na Serial0 interfejs na ruteru1, on se odbija, pošto je njegova izvorna adresa jednaka IP adresi Serial0 interfejsa na ruteru4 24.17.2.17, a ovde je dozvoljen samo tcp.

Hajde da se pridružimo routeru2 i vidimo možemo li pingovati Ethernet0 sučelje na router1.

ruter2# ping 24.17.2.1

Uspješno. Isto za telnet

ruter2# telnet 24.17.2.1

EACL-ovi uspješno rade. Dnevnik će nam pokazati da je EACL 102 pokrenut na ruteru1.

Imajte na umu da dnevnik također stalno prikazuje RIP ažuriranja

5. Imenovani ACL-ovi

Otkažimo EACL vezivanje za interfejse na ruteru1

router1(conf)# interfejs Serial0

router1(conf-if)# nema IP pristupne grupe 101 in

router1(conf-if)# interfejs Ethernet0

router1(conf-if)# nema IP pristupne grupe 102 in

i otkažite EACL na ruteru1

router1(conf)# nema pristupne liste 101

router1(conf)# nema pristupne liste 102

Postavimo zadatak da zabranimo samo pingove od routera4 do routera2 u cijeloj mreži. Lista pristupa može se nalaziti i na ruteru1 i na ruteru2. Iako je preporučljivo postaviti ACL bliže izvoru (da bi se smanjio promet), u ovom primjeru ćemo postaviti imenovanu listu pod nazivom deny_ping na router2.

router2(config)# ip pristupna lista proširena deny_ping

router2(config-ext-nacl)# deny icmp 24.17.2.18 0.0.0.0 24.17.2.2 0.0.0.0 log

router2(config-ext-nacl)# dozvoli ip bilo koji dnevnik

Prva naredba specificira da kreiramo imenovanu proširenu pristupnu listu koja se zove deny_ping. Druga naredba specificira zabranu ICMP prometa sa izvornom adresom striktno 24.17.2.18 i odredišnom adresom striktno 24.17.2.2. Treća komanda dozvoljava preostali IP saobraćaj.

Provjerimo kreiranje liste

ruter2# prikaži pristupnu listu

Sve je ispravno, vidimo u prvom redu samo još jedan oblik naredbe deny icmp 24.17.2.18 0.0.0.0 24.17.2.2 0.0.0.0 log.

Primijenimo listu na ulazni promet Ethernet0 interfejsa na ruteru2

Router2(conf)# interfejs Ethernet0

Router2(conf-if)# ip pristupna grupa deny_ping in

Hajde da spojimo router4 i ping router2

router4# ping 24.17.2.2

Neuspjeh. Hajde da spojimo router1 i ping router2

Router1# ping 24.17.2.2

Uspjeh. Hajde da se pridružimo routeru2 i pogledamo dvije odvojene poruke dnevnika: prvu o odbijanju pinga s routera4 i drugu o dopuštanju pinga s routera1

6. Pogledajmo složenija pitanja proširenih pristupnih lista. Kreirajmo topologiju

.

Slika 9.4.

Koristite prekidače 1912. Router1 je 805 modela. Router2 je 1605 modela.

Dodijelite IP adrese ruterima

Konfigurišemo RIP na Router1 i Router2

Router(config)# ruter rip

Router(config-router)# mreža 1.0.0.0

Interfejsi svih uređaja moraju biti pingabilni sa svih uređaja.

6.1. Lista pristupa od mreže do lokacije.

Napravimo listu koja dozvoljava saobraćaj sa lokalne mreže računara PC4 i PC5 na lokalnu mrežu računara PC1 i zabranjuje saobraćaj sa lokalne mreže računara PC2 i PC3 na lokalnu mrežu računara PC1. Pošto saobraćaj dolazi od rutera2 do rutera1, pristupnu listu treba postaviti na serijski2/0 interfejs rutera1 za dolazni saobraćaj

Router1(conf)# pristupna lista 100 dozvola ip 1.1.1.0 0.0.0.127 1.1.3.0 0.0.0.255 log

Router1(conf)# pristupna lista 100 dozvola ip 1.1.2.0 0.0.0.255 bilo koji dnevnik

Prva komanda direktno rješava problem, a druga omogućava emitiranje RIP protokola. Hajde da proverimo kreaciju

Router1# prikaži pristupnu listu

Primijenimo pristupnu listu na interfejs.

Router1(conf)# interfejs Serial2/0

Router1(conf-if)# IP pristupna grupa 100 in

Da biste testirali pristupnu listu, pokušajte da pingujete PC1 sa PC2, PC3, PC4 i PC5.

PC# Ping 1.1.3.2

Za PC2 i PC3 neće biti pingova. Za PC4 i PC5 pingovi će raditi. Pristupna lista radi. Pogledajte logove na ruteru1

6.2. Host-to-host pristupna lista.

Kreirajmo pristupnu listu na ruteru2 koja blokira pristup PC5 samo sa PC2. Možete kontrolirati pokušaje pristupa koristeći evidenciju na routeru2.

Router2(conf)# access-list 101 deny ip 1.1.1.130 0.0.0.0 1.1.1.3 0.0.0.0 log

Router2(conf)# access-list 101 permit ip bilo koji bilo koji

Hajde da proverimo kreaciju

Router2# prikaži pristupnu listu

Primijenite pristupnu listu na ruter s brzim Ethernet interfejsom2

Router2(conf)# interfejs FastEthernet0/0

Router2(conf-if)# IP pristupna grupa 101 in

Pridružite se PC2 i provjerite da ne možete zakačiti PC5

PC2# Ping 1.1.1.3

Dnevnik će se pojaviti na routeru2

Pridružite se PC3 i provjerite da li možete zakačiti PC5.

PC3# Ping 1.1.1.3

Dnevnik će se pojaviti na routeru2

6.3. Lista pristupa host mreži.

Prvo da izbrišemo prethodne liste pristup sa interfejsa Router1 i Router2.

Router1(conf)# interfejs Serial2/0

Router1(conf-if)# nema IP pristupne grupe 100 in

Router2(conf)# interfejs FastEthernet0/0

Router2(conf-if)# nema IP pristupne grupe 101 in

Kreirajmo proširenu pristupnu listu koja blokira sav saobraćaj ka PC1 sa lokalne mreže računara PC2 i PC3. Pošto blokiramo sav promet, koristit ćemo IP protokol.

Router2(conf)#access-list 102 deny ip 1.1.1.128 0.0.0.127 1.1.3.2 0.0.0.0 log

Router2(conf)#access-list 102 dozvoliti ip bilo koji bilo koji

Hajde da proverimo kreaciju

Router2# prikaži pristupnu listu

Primijenite listu na odlazni promet na Serial2/0 Router2 interfejsu

Router2(conf)# interfejs Serial2/0

Router2(conf-if)# ip pristupna grupa 102 izlaz

Da biste proverili listu, pokušajte da pingujete PC1 (1.1.3.2) sa PC2 i PC3. Pingovi neće proći. Iz nekog razloga simulator ne daje dnevnik na Router2 konzoli. Ali možete vidjeti efekat ovako

Vidite da se nakon svakog neuspješnog pinga povećava broj podudarnih paketa.

Kontrolna pitanja

1. Šta je ACL?

2. Koja adresa je kriterij za dozvoljavanje/odbijanje paketa?

3. Gdje se koriste ACL-ovi?

4. Kako postaviti ACL element i šta je inverzna maska?

5. Kako ruter rukuje ACL elementima?

6. Koji element je uvijek implicitan u ACL-u?

7. Kako primijeniti ACL na sučelje, a zatim ga otkazati?

8. Koja je razlika između ulaznog ACL-a i izlaznog ACL-a?

10. Koje tri naredbe možete koristiti za provjeru sadržaja ACL-a i vezivanja za sučelje.

11. Šta filtriraju prošireni ACL-ovi?

12. Koju dodatnu funkcionalnost imaju prošireni ACL-ovi u odnosu na standardne ACL-ove?

13. Da li je moguće ograničiti promet na određenu TCP/IP uslugu korištenjem proširenih ACL-ova?

14. Opišite proceduru za kreiranje imenovanog ACL-a.

15. Kako urediti određeni red u numeričkom ACL-u?

16. Kako urediti određeni red u imenovanom ACL-u?

17. Koja je razlika između formata naredbi za unos numeričkih i imenovanih ACL elemenata?

Povezane informacije.

Danas ću vam reći kako filtrirati promet na mreži koristeći liste kontrole pristupa. Pogledajmo kako funkcionišu, šta su i čemu su namenjeni. Kasnije ću pokazati kako su konfigurisani u Cisco IOS-u i objaviti arhivu sa laboratorijskim radom da konsolidujete svoje znanje.

Uvod

ACL (Lista kontrole pristupa) je skup tekstualni izrazi, koji nešto dozvoljavaju ili nešto zabranjuju. Obično ACL dozvoljava ili odbija IP pakete, ali između ostalog može pogledati unutar IP paketa, vidjeti tip paketa, TCP i UDP portove. Također ACL postoji za razne mrežni protokoli(IP, IPX, AppleTalk i tako dalje). U osnovi, korištenje pristupnih lista se razmatra sa stanovišta filtriranja paketa, odnosno filtriranje paketa je neophodno u situacijama kada imate opremu na granici interneta i vaše privatne mreže i trebate filtrirati nepotreban promet.
Postavljate ACL na dolazni pravac i blokirate nepotrebne vrste saobraćaja.

Teorija

Funkcionalnost ACL-a je da klasifikuje saobraćaj, prvo ga morate provjeriti, a zatim nešto učiniti s njim ovisno o tome gdje se ACL primjenjuje. ACL se primjenjuje svuda, na primjer:

• Na interfejsu: filtriranje paketa
• Na Telnet liniji: ograničenja pristupa ruteru
• VPN: koji promet treba šifrirati
• QoS: koji promet treba obraditi prioritetno?
• NAT: koje adrese emitovati

Da biste primijenili ACL-ove za sve ove komponente, morate razumjeti kako one rade. I prije svega ćemo se dotaknuti filtriranja paketa. U odnosu na filtriranje paketa, ACL-ovi se postavljaju na interfejse, sami se kreiraju nezavisno, a tek onda se pričvršćuju na interfejs. Čim ga pričvrstite na interfejs, ruter počinje da gleda saobraćaj. Ruter razmatra promet kao dolazni i odlazni. Saobraćaj koji ulazi u ruter naziva se dolaznim, a promet koji napušta se naziva odlaznim. Prema tome, ACL-ovi se postavljaju na dolazni ili odlazni pravac.

Paket stiže iz vaše privatne mreže na sučelje rutera fa0/1, ruter provjerava da li postoji ACL na interfejsu ili ne, ako postoji, onda se dalja obrada vrši prema pravilima pristupne liste strogo redosledom kojim su izrazi napisani, ako pristupna lista dozvoljava paketu da prođe, onda u ovom slučaju Ruter šalje paket provajderu preko interfejsa fa0/0, ako pristupna lista ne dozvoljava paketu da prođe, paket se uništava. Ako nema pristupne liste, paket prolazi bez ikakvih ograničenja. Pre slanja paketa provajderu, ruter takođe proverava interfejs fa0/0 da li postoji odlazni ACL. Poenta je da se ACL može priključiti na interfejs kao dolazni ili odlazni. Na primjer, imamo ACL sa pravilom da zabranimo svim čvorovima na Internetu da šalju pakete u našu mrežu.
Dakle, na koji interfejs treba da priključim ovaj ACL? Ako priključimo ACL interfejsu fa0/1 kao odlazni, to neće biti sasvim ispravno, iako će ACL raditi. Ruter prima eho zahtjev za neki čvor na privatnoj mreži, provjerava na sučelju fa0/0 da vidi da li postoji ACL, nema ga, zatim provjerava interfejs fa0/1, postoji ACL na ovom interfejsu, to je konfigurisan kao odlazni, sve je ispravno, paket ne prodire u mrežu, ali ga ruter uništava. Ali ako priključimo ACL na interfejs fa0/0 kao dolazni, paket će biti uništen čim stigne na ruter. Posljednje rješenje je ispravno, budući da ruter manje opterećuje svoje računarske resurse. Proširene ACL-ove treba postaviti što bliže izvoru, dok standardne ACL-ove treba postaviti što bliže primaocu.. Ovo je neophodno kako se paketi ne bi uzalud slali preko cijele mreže.

Sam ACL je skup tekstualnih izraza koji govore dozvola(dozvoli) ili poricati(onemogući), a obrada se vrši striktno redosledom kojim su izrazi navedeni. U skladu s tim, kada paket stigne do interfejsa, provjerava se da li ima prvi uvjet; ako se prvi uvjet podudara s paketom, daljnja obrada se zaustavlja. Paket će ili krenuti dalje ili će biti uništen.
opet, ako paket odgovara uslovu, ne obrađuje se dalje. Ako se prvi uslov ne poklapa, obrađuje se drugi uslov, ako se podudara, obrada se zaustavlja, ako ne, obrađuje se treći uslov, i tako sve dok se svi uslovi ne provere, ako se nijedan od uslova ne poklapa, paket se jednostavno uništava. Zapamtite, na svakom kraju liste postoji implicitno zabrani bilo koji (zabrani sav promet). Budite vrlo oprezni s ovim pravilima koja sam istaknuo jer su konfiguracijske greške vrlo česte.

ACL-ovi su podijeljeni u dvije vrste:

• standardno: može samo provjeriti izvorne adrese
• Prošireno: može provjeriti izvorne adrese, kao i adrese primatelja, u slučaju IP-a, također tip protokola i TCP/UDP portove

Pristupne liste su označene ili brojevima ili simboličkim imenima. ACL-ovi se također koriste za različite mrežne protokole. Mi ćemo zauzvrat raditi sa IP-om. One su označene na sledeći način, numerisane pristupne liste:

• standardno: od 1 do 99
• napredno: od 100 do 199

ACL-ovi znakova se također dijele na standardne i proširene. Da vas podsjetim da napredni mogu provjeriti mnogo više od standardnih, ali i rade sporije, jer morate pogledati unutar paketa, za razliku od standardnih gdje gledamo samo polje Source Address. Prilikom kreiranja ACL-a, svaki unos pristupne liste je označen rednim brojem, po defaultu u rasponu od deset (10, 20, 30, itd.). Zahvaljujući tome, možete izbrisati određeni unos i umetnuti drugi na njegovo mjesto, ali ova funkcija se pojavila u Cisco IOS 12.3; prije 12.3, morali ste izbrisati ACL, a zatim ga potpuno ponovo kreirati. Ne možete postaviti više od 1 pristupne liste po interfejsu, po protokolu, po pravcu. Dozvolite mi da objasnim: ako imamo ruter i on ima interfejs, možemo postaviti samo jednu pristupnu listu za dolazni pravac za IP protokol, na primer, broj 10. Drugo pravilo u vezi sa samim ruterima je ACL ne utiče na saobraćaj koji generiše sam ruter.
Za filtriranje adresa u ACL-u, koristi se WildCard maska. Ovo je obrnuta maska. Uzimamo izraz šablona: 255.255.255.255 i oduzimamo uobičajenu masku od šablona.
255.255.255.255-255.255.255.0, dobijamo masku od 0.0.0.255, što je uobičajena maska ​​255.255.255.0, samo 0.0.0.255 je maska ​​WildCard.

Vrste ACL-ova

Dinamički (Dinamički ACL)

Omogućava vam da uradite sledeće, na primer, imate ruter koji je povezan sa nekim serverom i moramo da blokiramo pristup njemu iz spoljašnjeg sveta, ali u isto vreme postoji nekoliko ljudi koji se mogu povezati na server.
Postavljamo dinamičku pristupnu listu, prilažemo je dolaznom smjeru, a zatim se ljudi koji se trebaju povezati preko Telneta na ovaj uređaj, kao rezultat toga, dinamički ACL otvara put do servera, a osoba može ići, recimo, preko HTTP-a da dođete do servera. Podrazumevano, nakon 10 minuta ovaj prolaz se zatvara i korisnik je prisiljen ponovo na Telnet da se poveže sa uređajem.

Refleksivni ACL

Ovdje je situacija malo drugačija, kada čvor na lokalnoj mreži pošalje TCP zahtjev na Internet, moramo imati otvorenu propusnicu da bi stigao TCP odgovor da bismo uspostavili vezu. Ako nema prolaza, nećemo moći uspostaviti vezu, a napadači mogu iskoristiti ovaj prolaz, na primjer, da prodru u mrežu. Reflektivni ACL-ovi rade na ovaj način: pristup je potpuno blokiran (zabrani bilo koji), ali se formira još jedan poseban ACL koji može pročitati parametre korisničkih sesija koje su generirane iz lokalne mreže i otvoriti prolaz da im odbije bilo koji, kao rezultat ispostavilo se da oni neće moći da se instaliraju sa Internet kompleksa. A tokom sesije, odgovori će biti generisani iz lokalne mreže.

ACL zasnovan na vremenu

Redovni ACL, ali sa vremenskim ograničenjem, možete unijeti poseban raspored koji aktivira određeni unos liste pristupa. I da bismo napravili takav trik, na primjer, napišemo pristupnu listu u kojoj zabranjujemo HTTP pristup tokom radnog dana i okačimo je na sučelje rutera, odnosno zaposlenici preduzeća dolaze na posao, njihov HTTP pristup je odbijen, radni dan je gotov, HTTP pristup je otvoren,
molim vas, ako želite, surfajte internetom.

Postavke

Sami ACL-ovi se kreiraju odvojeno, odnosno to je jednostavno lista koja se kreira u globalnoj konfiguraciji, zatim se dodeljuje interfejsu i tek onda počinje da radi. Potrebno je zapamtiti neke točke kako biste pravilno konfigurirali pristupne liste:

• Obrada se vrši striktno onim redom kojim su napisani uslovi
• Ako paket odgovara uslovu, ne obrađuje se dalje
• Na kraju svake pristupne liste nalazi se implicitno zabrani bilo koji (zabrani sve)
• Proširene ACL-ove treba postaviti što bliže izvoru, dok standardne ACL-ove treba postaviti što bliže primaocu.
• Ne možete postaviti više od 1 pristupne liste po interfejsu, po protokolu, po pravcu
• ACL ne utiče na saobraćaj koji generiše sam ruter
• Za filtriranje adresa koristi se WildCard maska

Standardna lista pristupa

Router(config)# pristupna lista <номер списка от 1 до 99> (dozvola | odbijanje | primjedba) (adresa | bilo koji | domaćin)

• dozvola: dopustiti
• poricati: zabraniti
• primjedba: komentar o pristupnoj listi
• adresa: odbiti ili dozvoliti mrežu
• bilo koji: sve dozvoljavamo ili odbijamo
• domaćin: dozvoliti ili zabraniti hostu
• izvorni zamjenski znak: WildCard mrežna maska
• dnevnik: omogući evidentiranje paketa koji prolaze ovaj unos ACL

Proširena lista pristupa

Router(config)# pristupna lista <номер списка от 100 до 199> (dozvola | odbijanje | primjedba) izvor protokola [ operater operand] [ luka <порт или название протокола>

• izvor protokola: koji protokol ćemo dozvoliti ili zatvoriti (ICMP, TCP, UDP, IP, OSPF, itd.)
• poricati: zabraniti
• operater:
  A.B.C.D - adresa primaoca
  bilo koji - bilo koji odredišni host
  eq - samo paketi na ovom portu
  gt - samo paketi sa velikim brojem porta
  domaćin - jedini konačni domaćin
  lt - samo paketi sa manjim brojem porta
  neq - samo paketi koji nisu uključeni ovaj broj luka
  opseg - opseg porta
• luka: broj porta (TCP ili UDP), možete odrediti ime
• osnovano: dozvoliti prolaz TCP segmenata koji su dio već kreirane TCP sesije

U prilogu interfejsa

Ruter(config-if)# IP pristupna grupa <номер списка или имя ACL> (unutra | van)

• u: dolazni pravac
• van: odlazni pravac

Imenovane pristupne liste

Router(config)# IP pristupna lista (standardno | prošireno) (<номер ACL> | <имя ACL>}
Ruter(config-ext-nacl)# (zadano | zabrani | izlaz | ne | dozvola | primjedba)

• standard: standardni ACL
• produženo: prošireni ACL
• zadano: postavite komandu na zadanu vrijednost

Ograničavanje pristupa ruteru

R(konfiguracija)# line vty 0 4 - idite u režim za postavljanje virtuelnih linija.
R(config-line)# lozinka <пароль>
R(config-line)# Ulogovati se
R(config-line)# pristupna klasa 21 in- postavite login i lozinku, a također dodijelite pristupnu listu sa dozvoljenim IP adresama.

Dinamičke liste pristupa

R3(konfiguracija)# korisničko ime Student lozinka 0 cisco - kreiranje korisnika za povezivanje putem Telneta.
R3(konfiguracija)# pristupna lista 101 dozvoli tcp bilo kojem hostu 10.2.2.2 eq telnet
R3(konfiguracija)# pristupna lista 101 dinamička lista testova timeout 15 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 - dozvoli svim čvorovima da se povežu na server preko Telneta.
R3(config)#interfejs serijski 0/0/1
R3(config-if)# IP pristupna grupa 101 in - dodijeliti 101 ACL sučelju u dolaznom smjeru.
R3(konfiguracija)# line vty 0 4
R3 (konfiguracijski red)# login local
R3 (konfiguracijski red)# autocommand access-enable host timeout 5 - čim se korisnik autentifikuje, mreža 192.168.30.0 će biti dostupna, nakon 5 minuta neaktivnosti sesija će biti zatvorena.

Reflektivne liste pristupa

R2(konfiguracija)# IP pristupna lista proširena OUTBOUNDFILTERS
R2(config-ext-nacl)# dozvola tcp 192.168.0.0 0.0.255.255 bilo koji odraz TCPTRAFFIC
R2(config-ext-nacl)# dozvola icmp 192.168.0.0 0.0.255.255 bilo koji odraz ICMPTRAFFIC - prisiljavamo ruter da prati promet koji je pokrenut iznutra.
R2(konfiguracija)# IP pristupna lista proširena INBOUNDFILTERS
R2(config-ext-nacl)# evaluirati TCPTRAFFIC
R2(config-ext-nacl)# evaluirati ICMPTRAFFIC - kreirajte dolaznu politiku koja zahtijeva od rutera da provjeri dolazni promet da vidi da li je pokrenut iznutra i veže TCPTRAFFIC za INBOUNDFILTERS.
R2(konfiguracija)# interfejs serijski 0/1/0
R2(config-if)# IP pristupna grupa INBOUNDFILTERS in
R2(config-if)# IP pristupna grupa OUTBOUNDFILTERS out - primijeniti dolazni i odlazni ACL na sučelje.

Rok

R1(konfiguracija)# vremenski raspon SVAKI DRUGI DAN
R1 (vremenski raspon konfiguracije)# periodično Ponedjeljak Srijeda Petak 8:00 do 17:00 - kreirajte listu vremena u koje dodajemo dane u sedmici i vrijeme.
R1(konfiguracija)# pristupna lista 101 dozvola tcp 192.168.10.0 0.0.0.255 bilo koji eq telnet vremenski raspon SVAKI DAN - primijeniti vremenski raspon na ACL.
R1(config)#interfejs s0/0/0
R1(config-if)# IP pristupna grupa 101 out - dodijelite ACL interfejsu.

Rješavanje problema

R# prikaži pristupne liste(ACL broj | ime) - pogledajte informacije o pristupnoj listi.
R# prikaži pristupne liste- pogledajte sve pristupne liste na ruteru.

Primjer

ruter# prikaži pristupne liste
Proširena lista pristupa IP-u nick
dozvoli ip host 172.168.1.1 host 10.0.0.5
odbiti bilo koji ip bilo koji (16 podudaranja)
Standardna IP pristupna lista nick5
dozvola 172.16.0.0 0.0.255.255

Vidimo da imamo dva ACL-a (standardni i prošireni) koji se zovu nick i nick5. Prva lista dozvoljava hostu 172.16.1.1 da pristupi hostu 10.0.0.5 preko IP-a (to znači da su svi protokoli koji rade preko IP-a dozvoljeni). Sav drugi promet je odbijen prikazan je deny ip bilo kojom naredbom. Pored ovog uslova u našem primjeru piše (16 podudaranja). Ovo pokazuje da je 16 paketa ispunilo ovaj uslov.
Drugi ACL dozvoljava promet iz bilo kojeg izvora na 172.16.0.0/16 mreži.

Vježbajte

Sakupio sam laboratorije Packet Tracer iz poglavlja 5 CCNA 4 ACL kursa. Ukoliko imate želju da svoje znanje učvrstite u praksi, molimo -

ACL- liste kontrole pristupa.

Možete dodijeliti jednu listu:
- svaki protokol
- svaki interfejs
- dolazni i odlazni saobraćaj

ACL nema uticaja na saobraćaj koji generiše sam ruter.

Oni su:
Standardni ACL-ovi - filtrirajte pakete samo prema izvornoj IP adresi
Prošireni ACL-ovi - filtrirajte prema:
- izvorna IP adresa
- odredišna IP adresa
- TCP ili UDP izvorni portovi
- TCP ili UDP odredišni portovi
- tip protokola (ime ili broj)

i:
1. Numerirani ACL-ovi:
- od 1 do 99 i od 1300 do 2000 - standardni IP ACL
- od 100 do 199 i od 2000 do 2699 - prošireni IP ACL-ovi
2. Imenovani - pogodniji su za upotrebu, jer možete odrediti njihovu svrhu. Zahtjevi za ime:
- može sadržavati slova i brojeve
- očekuje se da imena budu napisana velikim slovima
- imena ne mogu sadržavati razmake ili znakove interpunkcije
Možete dodavati i uklanjati unose u imenovane ACL-ove.

Kako se koriste ACL-ovi
1. Kreirajte ACL specificiranjem broja ili imena i specificirajte uvjete.
2. Dodijelite ACL sučelju ili terminalnoj liniji.

Kako funkcionira standardni ACL?
1. Paket stiže na interfejs
2. Provjerava se da li postoji ACL na ulazu sučelja.
3. Provjerava da li je ACL standardan.
4. Izvorna adresa se upoređuje sa prvim zapisom.
5. Ako se ne podudara, upoređuje se sa sljedećim unosom.
6. Ako se ne podudara ni sa jednim zapisom, odbacuje se.
7. Ako se poklapa sa bilo kojim zapisom, preskače ili odbacuje prema pravilu.
8. Ako prođe, traži odredišnu adresu u tabeli usmjeravanja.
9. Ako postoji, šalje ga na traženi interfejs.
10. Ako nije, odbacite ga.

Pravila postavljanja ACL-a:
- Standardni ACL-ovi bi trebali biti locirani bliže odredišnoj mreži
- Prošireni ACL-ovi - bliže izvornoj mreži.

Kreiranje numeriranog standardnog ACL-a
Router(config)#access-list pristup-list-broj izvor
Na primjer:
R1(konfiguracija)# access-list 10 napomena Dozvola za 192.168.0.0 LAN - opisati ACL ili svaki unos u ACL-u
R1(konfiguracija)# pristupna lista 10 dozvola 192.168.0.0 - za razrednu mrežu
R1(konfiguracija)# pristupna lista 10 dozvola 192.168.5.0 0.0.0.128 - za besklasnu mrežu
Uklanjanje ACL-a
R1(konfiguracija)# nema pristupne liste 10

Zamjenska maska ​​se formira oduzimanjem maske tražene mreže od maske 255.255.255.0, na primjer
255.255.255.255
-
255.255.15.0
=
0.0.240.255

U ACL-u, umjesto izvorne adrese, možete navesti:
- umjesto 0.0.0.0 255.255.255.255 - bilo koji
- umjesto konkretnu adresu tip hosta 192.168.5.12 0.0.0.0 - host 192.168.5.12

Primjena numeriranog standardnog ACL-a na sučelje
Ruter(config-if)#ip pristupna grupa (broj-liste-pristupa | ime-pristupne-liste) (unutra | van)
Na primjer, ACL 10:
R1(konfiguracija)# pristupna lista 10 dozvola 192.168.0.0
R1(konfiguracija)# pristupna lista 10 dozvola 192.168.5.0 0.0.0.128
primijenjen na ulazu Fastethernet 0/1 interfejsa
R1(config)# interfejs f0/1
R1(config-if)#IP pristupna grupa 10 in

Postavljanje ACL-a za virtualne terminalne linije (umjesto parametra pristupna grupa korišteno pristupna klasa):
R1(config-line)# pristupna klasa pristup-list-broj (unutra | van)
Na primjer
R1(konfiguracija)# pristupna lista 22 dozvola 192.168.1.0
R1(konfiguracija)# pristupna lista 22 dozvola 192.168.2.0
R1(config)# linija vty 0 4- mora biti dodijeljen svim vtys, jer korisnik se može povezati na bilo koji od njih
R1(config-line)# lokalna prijava
R1(konfiguracijski red)# transportni ulaz telnet
R1(config-line)# IP pristup-klasa 22 in

Uređivanje numerisanih ACL-ova
Prilikom uređivanja numerisanih ACL-ova, unosi se ubacuju redoslijedom kojim su uneseni. Ne možete umetnuti novi unos između dva već unesena. Ako i dalje trebate ovo da uradite, onda:
- Kopirajte sva pravila iz konfiguracije u notepad.
- Unesite potrebne unose.
- Uklonite sve AC
- Kopirajte sve unose iz notesa
- Ubacujemo ga u konfiguraciju.

Imenovani standardni ACL-ovi
R1(konfiguracija)# IP pristupna lista standard NAME- proglasiti imenovani standardni ACL
R1(config-std-nacl)# primjedba Deny za domaćina 192.168.0.13 - opisati ACL
R1(config-std-nacl)# odbija192.168.0.13 - kreirati pravila
R1(config-std-nacl)# dozvola192.168.0.0 0.0.0.255
R1(config-std-nacl)# sučelje Fa0/0
R1(config-if)#ip pristupna grupa NAME out- veže ACL na interfejs
Nije potrebno imenovati ACL-ove velikim slovima. Ovo je urađeno radi pogodnosti.

Pogledajte i provjerite ACL
Naredba koja se koristi je:
Router# pokazuje pristupne liste (pristup-lista-mumber | ime)
Na primjer,
R1# prikazuje pristupne liste- prikazuje sve ACL-ove
R1# prikazuje liste pristupa 10- prikazuje ACL broj 10
R1# prikazuje pristupne liste NAM- prikazuje ACL sa imenom NAM

Uređivanje imenovanih ACL-ova
Imenovani ACL-ovi imaju prednost u odnosu na numerirane. Lakše ih je uređivati. Svi unosi pravila u imenovanim ACL-ovima imaju redni broj u koracima od 10. Tj. prvo pravilo je označeno brojem 10, drugo je označeno brojem 20, itd.
Stoga, za imenovane ACL-ove, možete izbrisati određene unose, kao i dodati unose između postojećih pravila, dodjeljujući im broj između brojeva pravila između kojih se dodaje novo pravilo.
Na primjer, imamo ACL sa sljedećim unosima:
R1# prikazuje pristupne liste

10 dozvola 192.168.10.10

Moramo dodati još jedno pravilo:
R1(konfiguracija)# pristupna lista standard WEBSERVER
R1(config-std-nacl)# 15 dozvola192.168.10.13

Evo šta se dogodilo:
R1# prikazuje pristupne liste
Standardna IP lista pristupa WEBSERVER
10 dozvola 192.168.10.10
15 dozvola 192.168.10.13
20 deny 192.168.10.0, zamjenski bitovi 0.0.0.255
30 deny 192.168.12.0, zamjenski bitovi 0.0.0.255

Prošireni ACL-ovi
Proširene pristupne liste omogućavaju preciznije filtriranje saobraćaja, zbog čega se češće koriste. Osim adrese izvora, provjeravaju i:
- protokol (IP, ICMP, TCP, UDP, itd.)
- odredišna adresa
- broj porta (ne interfejs)

Sintaksa proširene numerirane ACL komande
Router(config)#access-list pristup-list-broj protokol izvor odredište
gdje:
pristup-list-broj- ACL broj (100-199 i 2000-2699)
poricati- blokirati saobraćaj
dozvola- dozvoliti saobraćaj
primjedba- opis pravila ili ACL-a
protokol- naziv ili broj protokola. To su uglavnom IP, ICMP, TCP, UDP.
izvor- adresa izvora
izvorni zamjenski znak- maska ​​obrnutog izvora
odredište- odredišna adresa
odredišni zamjenski znak- maska ​​obrnutog odredišta
operater- upoređuje brojeve portova. Možda: lt-manje od, gt-veće od, eq-jednako, neq-nije jednako, domet- uključuje domet.
luka- broj porta
uspostavljena- Samo TCP - označava uspostavljenu vezu.

Primjer
R1(config)#access-list 103 dozvola tcp 192.168.10.0 0.0.0.255 bilo koji eq 80- dozvoli pristup preko porta 80 iz mreže 192.168.10.0
R1(config)#access-list 103 dozvola tcp 192.168.10.0 0.0.0.255 bilo koji eq 443- dozvoli pristup preko porta 443 iz mreže 192.168.10.0
R1(config)#access-list 104 dozvola tcp bilo koji 192.168.10.0 0.0.0.255 uspostavljen- dozvoli uspostavljene TCP veze na mrežu 192.168.10.0.

Prošireni ACL-ovi se dodeljuju interfejsima na isti način kao i standardni. Na primjer:
R1(config)# interfejs f0/1
R1(config-if)#ip pristupna grupa 103 izlaz
R1(config-if)#IP pristupna grupa 104 in

Kreiranje imenovanog proširenog ACL-a
R1(konfiguracija)# IP pristupna lista proširena SURFANJE- proglasiti imenovani prošireni ACL za odlazni promet
R1(config-ext-nacl)# pernit tcp 192.168.10.0 0.0.0.255 bilo koji eq 80 - kreirati pravila
R1(config-ext-nacl)# pernit tcp 192.168.10.0 0.0.0.255 bilo koji eq 443
R1(konfiguracija)# pristupna lista proširena PRETRAŽIVANJE- proglasiti imenovani prošireni ACL za dolazni promet
R1(config-ext-nacl)# pernit tcp bilo koji 192.168.10.0 0.0.0.255 uspostavljena- kreirati pravila

Složeni ACL-ovi
Standardni i prošireni ACL-ovi mogu biti osnova za složene ACL-ove za poboljšanje funkcionalnosti. Oni su:
- Dinamičan
- Reflektirajuže
- Sa vremenskim ograničenjem

Dinamički ACL-ovi - Ako korisnik treba da pristupi bilo kom uređaju iza rutera, prvo se mora autentifikovati na ruteru putem Telneta. Nakon toga, ruter je uključen određeno vrijeme daje pristup, nakon čega ćete morati ponovo da se autentifikujete.
R1(config)#korisničko ime Lozinka učenika 0 cisco— kreirajte korisnike za povezivanje putem Telneta bez privilegija.
R3(config)#access-list 101 dozvoliti tcp bilo koji host 10.2.2.2 eq telnet- omogućavaju vam da se povežete na ruter s bilo kojeg mjesta
R3(config)#access-list 101 dinamička lista testova timeout 15 dozvola ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255- dodajte dinamički unos pod nazivom testlist, koji će raditi tek nakon uspostavljanja veze preko Telneta u trajanju od 15 minuta, a zatim će se isključiti. Ovo pravilo dozvoljava pristup sa mreže 192.168.10.0 na mrežu 192.168.30.0.
R3(config)#interfejs serijski 0/0/1
R3(config-if)#ip pristupna grupa 101 in— dodijeliti ACL 101 sučelju u dolaznom smjeru.
R3(config)#line vty 0 4
R3(config-line)#login local
R3(config-line)#autocommand access-enable host timeout 5— čim se korisnik prijavi na ruter, izvršit će se autokomanda koja će omogućiti pristup mreži 192.168.30.0. Telnet sesija će se tada zatvoriti. Pristup mreži će ostati i biće zatvoren nakon 5 minuta čekanja.

Refleksivni ACL-ovi - dozvoliti promet izvan mreže samo ako je pokrenut iznutra. U početku je saobraćaj izvana zatvoren. Pristupna lista pamti parametre korisničkih sesija koje izdaju zahtjev prema van. Odgovor na ove zahtjeve se provjerava u skladu s parametrima korisničke sesije. Reflektivni ACL-ovi imaju samo privremene unose koji se kreiraju automatski sa svakom sesijom. Reflektivni ACL-ovi se ne primjenjuju direktno na sučelje, već su ugniježđeni unutar proširenog ACL-a koji se primjenjuje na sučelje. Reflektivni ACL-ovi mogu se definirati samo u proširenim imenovanim ACL-ovima i mogu se koristiti s vašim omiljenim ACL-ovima.
R2(config)#ip pristupna lista proširena IZLAZNI FILTERI- proglasiti imenovani prošireni ACL za odlazni promet.
R2(config-ext-nacl)#permit tcp 192.168.0.0 0.0.255.255 bilo koji odražava TCPTRAFFIC- prisiljavamo ruter da prati tcp promet koji je pokrenut iznutra i pohranjuje ga u TCPTRAFFIC varijablu.
R2(config-ext-nacl)#permit icmp 192.168.0.0 0.0.255.255 bilo koji odražava ICMPTRAFFIC— prisiljavamo ruter da nadgleda icmp promet koji je pokrenut iznutra i pohranjuje ga u varijablu ICMPTRAFFIC.
R2(config)#ip pristupna lista proširena INBOUNDFILTERS- proglasiti imenovani prošireni ACL za dolazni promet.
R2(config-ext-nacl)#evaluacija TCPTRAFFIC-a- prisiljavamo ruter da uporedi parametre dolaznog tcp prometa sa TCPTRAFFIC varijablom kreiranom pravilom OUTBOUNDFILTERS.
R2(config-ext-nacl)#procjeni ICMPTRAFFIC— prisiljavamo ruter da uporedi parametre dolaznog icmp prometa sa ICMPTRAFFIC varijablom kreiranom pravilom OUTBOUNDFILTERS.
R2(config)#interface serijski 0/1/0
R2(config-if)#ip pristupna-grupa INBOUNDFILTERS in- primijeniti ACL za dolazni promet na sučelje.
R2(config-if)#ip pristupna-grupa OUTBOUNDFILTERS out- primijeniti ACL za odlazni promet na sučelje.

Vremenski ograničeni ACL - određuje vrijeme kada je određeni unos aktivan u proširenom ACL-u.
R1(config)#vremenski raspon SVAKI DAN- deklarisati vremensku varijablu SVAKI DAN.
R1(config-time-range)#periodično ponedjeljak srijeda petak 8:00 do 17:00— dodelite listu vremena ovoj varijabli, u koju dodajemo dane u nedelji i vreme.
R1(config)#access-list 101 dozvola tcp 192.168.10.0 0.0.0.255 bilo koji eq telnet vremenski raspon SVAKI DAN— primijeniti varijablu na pravilo.
R1(config)#interfejs s0/0/0
R1(config-if)#ip pristupna grupa 101 izlaz— dodelite ACL interfejsu.