Konfiguriranje popisa proširenog pristupa u Ciscu. Nazvan prošireni Access-list

Nastavljamo razvijati našu malu udobnu mrežu Lift mi Up. Već smo razgovarali o problemima usmjeravanja i stabilnosti, a sada smo konačno narasli da se povežemo na Internet. Dosta zatvaranja u naše korporativno okruženje!
Ali s razvojem pojavljuju se novi problemi.
Najprije je virus paralizirao web poslužitelj, zatim je netko nabio crva koji se proširio mrežom, zauzimajući dio propusnosti. A neki zlikovac također je stekao naviku pogađanja ssh lozinki poslužitelju.
Možete li zamisliti što će se dogoditi kada se spojimo na internet?!
Dakle danas:
1) naučite konfigurirati različite popise kontrole pristupa (Access Control List)
2) pokušava razumjeti razliku između ograničavanja dolaznog i odlazni promet
3) razumjeti kako NAT radi, njegove prednosti, nedostatke i mogućnosti
4) u praksi ćemo organizirati internetsku vezu putem NAT-a i povećati sigurnost mreže korištenjem pristupnih lista.

Popis kontrole pristupa

Dakle, što imamo za reći o pristupnim listama? Zapravo, tema je relativno jednostavna i samo su je lijeni ljudi prepisali s CCNA tečaja. Ali ne bismo li zbog nekih predrasuda trebali raskinuti našu nevjerojatnu priču?

Koja je svrha pristupnih lista? Čini se da je potpuno očit odgovor ograničiti pristup: zabraniti nekome da nešto radi, na primjer. Općenito, to je točno, ali to morate shvatiti u širem smislu: ne radi se samo o sigurnosti. To jest, u početku je to vjerojatno bio slučaj, dakle dozvola I poricati prilikom postavljanja. Ali u stvarnosti, ACL je svestran i moćan mehanizam filtriranja. Uz njihovu pomoć možete odrediti kome dodijeliti određene politike, a kome ne, tko će sudjelovati u određenim procesima, a tko ne, kome ograničavamo brzinu do 56k, a kome do 56M.
Da bi bilo malo jasnije, dajmo jednostavan primjer. Usmjeravanje temeljeno na pravilima (PBR) radi na temelju popisa pristupa. To možete učiniti ovdje tako da dolazni paketi iz mreže 192.168.1.0/24 poslane su na next-hop 10.0.1.1, i iz mreža 192.168.2.0/24 na 10.0.2.1 (imajte na umu da se normalno usmjeravanje temelji na odredišnoj adresi paketa i automatski se svi paketi šalju na jedan sljedeći skok):

Na kraju članka nalazi se primjer postavljanja i .

Vrste ACL-ova

U redu, zaboravimo na neko vrijeme ove tekstove.
Općenito govoreći, liste pristupa su različite:

• Standard
• Napredna
• Dinamičan
• Refleksivna
• Na temelju vremena

Danas ćemo se posvetiti prva dva, a više o njima možete pročitati na cisci.

Dolazni i odlazni promet

Za početak, razjasnimo jednu stvar. Što podrazumijevate pod dolaznim i odlaznim prometom? Ovo će nam trebati u budućnosti. Dolazni promet je onaj koji na sučelje dolazi izvana.

Odlazni je onaj koji se šalje sa sučelja prema van.

Pristupnu listu možete primijeniti ili na dolazni promet, tada neželjeni paketi neće ni doći do usmjerivača i, shodno tome, dalje u mrežu, ili na odlazni promet, tada paketi stižu do usmjerivača, on ih obrađuje, dolaze do ciljno sučelje i ispuštaju se samo na njega.

Standardna pristupna lista provjerava samo adresu pošiljatelja. Prošireno - adresa pošiljatelja, adresa primatelja i port. Preporuča se postavljanje standardnih ACL-ova što je moguće bliže primatelju (kako ne bi smanjili više nego što je potrebno), a proširene - bliže pošiljatelju (kako bi se neželjeni promet ispustio što je prije moguće).

Praksa

Prijeđimo odmah na vježbu. Što bismo trebali ograničiti u našoj maloj mreži “Lift mi Up”?

1. WEB poslužitelj. Dopusti pristup svima TCP priključak 80 (HTTP protokol). Za uređaj sa kojeg će se vršiti kontrola (imamo admina) potrebno je otvoriti telnet i ftp, ali mi ćemo ga dati puni pristup. Svi ostali spuštaju slušalicu
2. Datotečni poslužitelj. Stanovnici Lift Mi Up-a trebali bismo mu pristupiti preko portova za dijeljene mape, a svi ostali putem FTP-a.
3. Mail poslužitelj. Ovdje imamo pokrenute SMTP i POP3, odnosno TCP portove 25 i 110. Također otvaramo pristup upravljanju za administratora. Blokiramo druge
4. Za budući DNS poslužitelj potrebno je otvoriti UDP port 53
5. Dopusti ICMP poruke mreži poslužitelja
6. Budući da imamo drugu mrežu za sve nestranačke osobe koje nisu uključene u FEO, PTO i računovodstveni odjel, sve ćemo ih ograničiti i dati samo dio pristupa (uključujući nas i administratora)
7. Još jednom, samo administratoru, i naravno vašoj voljenoj osobi, treba dopustiti pristup kontrolnoj mreži
8. Nećemo stvarati prepreke u komunikaciji među zaposlenicima odjela.

1) Pristup WEB poslužitelju

Ovdje imamo politiku zabrane svega što nije dopušteno. Dakle, sada treba nešto otvoriti, a sve ostalo zatvoriti.
Budući da štitimo mrežu poslužitelja, objesit ćemo list na sučelje koje ide prema njima, odnosno na FE0/0.3 Pitanje je samo na u ili na van trebamo li ovo učiniti? Ako ne želimo slati pakete prema poslužiteljima koji su već na ruteru, onda će to biti odlazni promet. Odnosno, imat ćemo odredišne ​​adrese u mreži poslužitelja (s kojih ćemo birati na koji poslužitelj ide promet), a izvorne adrese mogu biti bilo što - i iz naše korporativne mreže i s Interneta.
Još jedna napomena: budući da ćemo također filtrirati prema odredišnoj adresi (postoje neka pravila za WEB poslužitelj, a druga za poslužitelj e-pošte), trebat će nam proširena lista kontrole pristupa; ona je jedina koja nam to omogućuje .

Pravila na popisu za pristup provjeravaju se redoslijedom od vrha prema dnu do prvog podudaranja. Čim se jedno od pravila aktivira, bez obzira radi li se o dopuštenju ili odbijanju, provjera prestaje i promet se obrađuje na temelju pokrenutog pravila.
Odnosno, ako želimo zaštititi WEB poslužitelj, onda prije svega moramo dati dopuštenje, jer ako konfiguriramo u prvom redu odbiti ip bilo koji- tada će uvijek raditi i promet uopće neće teći. Bilo koje- ovo je posebna riječ koja označava mrežnu adresu i obrnutu masku 0.0.0.0 0.0.0.0 i znači da apsolutno svi čvorovi iz bilo koje mreže potpadaju pod pravilo. Još jedna posebna riječ je domaćin- znači masku 255.255.255.255 - odnosno točno jednu jedinu specificiranu adresu.
Dakle, prvo pravilo: dopustite pristup svima na portu 80
msk-arbat-gw1(config-ext-nacl)# primjedba WEB
bilo koji host 172.16.0.2 eq 80

Dopusti ( dozvola) TCP promet s bilo kojeg čvora ( bilo koji) domaćin ( domaćin- točno jedna adresa) 172.16.0.2, adresiran na port 80.
Pokušajmo priložiti ovu pristupnu listu sučelju FE0/0.3:
msk-arbat-gw1(config-subif)# ip access-group Servers-out van

Provjeravamo s bilo kojeg od naših povezanih računala:

Kao što vidite, stranica se otvara, ali što je s pingom?

I tako iz bilo kojeg drugog čvora?

Činjenica je da nakon svih pravila u Cisco ACL-ovima, implicitna odbiti ip bilo koji(implicitno poricanje). Što to znači za nas? Svaki paket koji napušta sučelje, a ne odgovara nijednom pravilu u ACL-u, podliježe implicitnom odbijanju i odbacuje se. To jest, čak ni ping, čak ni FTP, niti bilo što drugo ovdje neće raditi.

Idemo dalje: moramo dati puni pristup računalu s kojeg će se vršiti kontrola. Ovo će biti računalo našeg administratora s adresom 172.16.6.66 iz druge mreže.
Svako novo pravilo automatski se dodaje na kraj popisa ako već postoji:
msk-arbat-gw1(config)#
msk-arbat-gw1(config-ext-nacl)# dopuštenje tcp host 172.16.6.66 host 172.16.0.2 raspon 20 ftp
msk-arbat-gw1(config-ext-nacl)# dopuštenje tcp host 172.16.6.66 host 172.16.0.2 eq telnet

To je sve. Provjeravamo sa željenog čvora (budući da poslužitelji u Republici Tatarstan ne podržavaju telnet, provjeravamo na FTP-u):

To jest, FTP poruka je stigla na usmjerivač i trebala bi napustiti FE0/0.3 sučelje. Usmjerivač provjerava i vidi odgovara li paket pravilu koje smo dodali te ga prosljeđuje.

I to iz stranog čvora

FTP paket ne odgovara niti jednom pravilu osim implicitnog deny ip any any i odbacuje se.

2) Pristup poslužitelju datoteka

Ovdje prije svega treba odlučiti tko će biti “stanovnik” i kome treba omogućiti pristup. Naravno, radi se o onima koji imaju adresu iz mreže 172.16.0.0/16 - samo će oni dobiti pristup.
Sada s dijeljenim mapama. U većini moderni sustavi Za to se već koristi SMB protokol koji zahtijeva port TCP 445. Na starijim verzijama korišten je NetBios koji je išao kroz tri porta: UDP 137 i 138 i TCP 139. U dogovoru s našim administratorom konfigurirat ćemo port 445 ( međutim provjeri unutar RT-a, naravno da neće ići). Ali osim toga, trebat će nam portovi za FTP - 20, 21, i to ne samo za interne hostove, već i za veze s Interneta:
msk-arbat-gw1(config)# ip access-list extended Servers-out
msk-arbat-gw1(config-ext-nacl)# dopuštenje tcp 172.16.0.0 0.0.255.255 host 172.16.0.3 eq 445
msk-arbat-gw1(config-ext-nacl)# dopuštenje tcp bilo koji host 172.16.0.3 raspon 20 21

Ovdje smo ponovno primijenili dizajn raspon 20 21- kako biste odredili nekoliko portova u jednom retku. Za FTP, općenito govoreći, samo port 21 nije dovoljan. Činjenica je da ako otvorite samo njega, tada ćete biti autorizirani, ali prijenos datoteka neće.

0.0.255.255 - maska ​​zamjenskog znaka. Razgovarat ćemo o tome što je ovo malo kasnije.

3) Pristup mail serveru

Nastavljamo stjecati praksu - sada s poslužiteljem pošte. Unutar iste pristupne liste dodajemo nove zapise koji su nam potrebni.
Umjesto brojeva portova za široko korištene protokole, možete odrediti njihova imena:
msk-arbat-gw1(config)# ip access-list extended Servers-out
msk-arbat-gw1(config-ext-nacl)#dozvoli tcp bilo koji host 172.16.0.4 eq pop3
msk-arbat-gw1(config-ext-nacl)#dozvoli tcp bilo koji host 172.16.0.4 eq smtp

4) DNS poslužitelj

msk-arbat-gw1(config)# ip access-list extended Servers-out
msk-arbat-gw1(config-ext-nacl)# dopuštenje udp 172.16.0.0 0.0.255.255 host 172.16.0.5 eq 53

5) ICMP

Ostaje samo popraviti situaciju s pingom. Nema ništa loše u dodavanju pravila na kraj liste, ali nekako će estetski biti ugodnije vidjeti ih na početku.
Za to koristimo jednostavnu varku. Da biste to učinili, možete koristiti uređivač teksta, na primjer. Kopirajte članak o ACL-u iz show run-a tamo i dodajte sljedeće retke:
no ip access-list extended Servers-out
ip access-list prošireni Servers-out
dopustiti icmp bilo koji bilo koji
primjedba WEB



primjedba DATOTEKA


primjedba POŠTA


primjedba DNS

Prvi redak brišemo postojeći popis, zatim ga ponovno kreiramo i ispisujemo sva nova pravila redoslijedom koji nam je potreban. Naredbom u trećem retku dopustili smo prolaz svih ICMP paketa s bilo kojeg računala na bilo koje računalo.

Zatim jednostavno sve masovno kopiramo i zalijepimo u konzolu. Sučelje interpretira svaki redak kao zasebnu naredbu i izvršava je. Stoga smo stari popis zamijenili novim.
Provjeravamo postoji li ping:

Predivno.

Ova "prevara" je dobra za početnu konfiguraciju ili ako točno razumijete što radite. Na radnoj mreži, kada daljinski konfigurirate ACL-ove, riskirate da ostanete bez pristupa hardveru koji postavljate.

Za umetanje pravila na početak ili na bilo koji drugi Pravo mjesto, možete pribjeći ovoj tehnici:
ip access-list prošireni Servers-out
1 dopustiti icmp bilo koji bilo koji

Svako pravilo na popisu numerirano je određenim korakom, a ako stavite broj ispred riječi dopustiti/odbiti, pravilo će biti dodano ne na kraj, već na mjesto koje vam je potrebno. Nažalost, ova značajka ne radi u RT-u.
Ako iznenada bude potrebno (svi uzastopni brojevi između pravila su zauzeti), uvijek možete prenumerirati pravila (u ovom primjeru, broj prvog pravila je dodijeljen 10 (prvi broj) i inkrement je 10):
ip access-list resequence Servers-out 10 10

Kao rezultat toga, popis pristupa za mrežu poslužitelja izgledat će ovako:
ip access-list prošireni Servers-out
dopustiti icmp bilo koji bilo koji
primjedba WEB
dopustiti tcp bilo koji host 172.16.0.2 eq www
dozvoli tcp host 172.16.6.66 host 172.16.0.2 raspon 20 ftp
dozvoli tcp host 172.16.6.66 host 172.16.0.2 eq telnet
primjedba DATOTEKA
dopuštenje tcp 172.16.0.0 0.0.255.255 host 172.16.0.3 eq 445
dozvoli tcp bilo koji host 172.16.0.3 raspon 20 21
primjedba POŠTA
dozvoli tcp bilo koji host 172.16.0.4 eq pop3
dopustiti tcp bilo koji host 172.16.0.4 eq smtp
primjedba DNS
dozvola udp 172.16.0.0 0.0.255.255 host 172.16.0.5 eq 53

Trenutno naš administrator ima pristup samo WEB poslužitelju. Dajte mu puni pristup cijeloj mreži. Ovo je prva domaća zadaća.

6) Prava korisnika iz Druge mreže

Do sada smo trebali ne puštaj unutra netko negdje, pa smo obratili pozornost na odredišnu adresu i priložili pristupnu listu prometu koji izlazi iz sučelja. Sada trebamo ne puštaj: Zahtjevi s računala na drugoj mreži ne smiju izlaziti izvan granica. Pa, naravno, osim onih koje izričito dopuštamo.
msk-arbat-gw1(config)# ip access-list extended Other-in

msk-arbat-gw1(config-ext-nacl)# dopustiti ip host 172.16.6.61 bilo koji



Ovdje nismo mogli prvo odbiti sve, a zatim dopustiti nekolicini odabranih, jer bi apsolutno svi paketi potpali pod pravilo odbiti ip bilo koji I dozvola uopće ne bi funkcioniralo.
Primjenjujemo ga na sučelje. Ovaj put na ulazu:
msk-arbat-gw1(config)#int fa0/0.104
msk-arbat-gw1(config-subif)#ip access-group Other-in u

to jest, svi IP paketi s glavnog računala s adresom 172.16.6.61 ili 172.16.6.66 mogu se proslijediti kamo god im je odredište. Zašto ovdje također koristimo proširenu pristupnu listu? Uostalom, čini se da provjeravamo samo adresu pošiljatelja. Zato što smo administratoru dali puni pristup, ali gost npr. tvrtke “Lift mi Up” koji uđe u istu mrežu nema apsolutno nikakav pristup ničemu osim Internetu.

7) Kontrolna mreža

Ništa komplicirano. Pravilo će izgledati ovako:
msk-arbat-gw1(config)# ip access-list extended Management-out
msk-arbat-gw1(config-ext-nacl)# primjedba IAM
msk-arbat-gw1(config-ext-nacl)# dozvola ip host 172.16.6.61 172.16.1.0 0.0.0.255
msk-arbat-gw1(config-ext-nacl)# napomena ADMIN
msk-arbat-gw1(config-ext-nacl)# dozvola ip host 172.16.6.66 172.16.1.0 0.0.0.255

Ovaj ACL primjenjujemo na izlaz na sučelje FE 0/0.2:
msk-arbat-gw1(config)# int fa0/0.2
msk-arbat-gw1(config-subif)#ip access-group Izlaz upravljanja

8) Nema više ograničenja

Spreman

Maska i naličje maske

Do sada smo bez objašnjenja davali čudan parametar poput 0.0.255.255, koji sumnjivo podsjeća na subnet masku.
Malo je teško za razumjeti, ali ovo je ono što se obrnuta maska ​​koristi za određivanje koji će hostovi biti predmet pravila.
Da biste razumjeli što je obrnuta maska, morate znati što je obična maska. Počnimo s najjednostavnijim primjerom.

Obična mreža s 256 adresa: 172.16.5.0/24, na primjer. Što ovaj unos znači?
A to znači upravo sljedeće

IP adresa. Decimalni zapis	172	16	5	0
IP adresa. Binarni zapis	10101100	00010000	00000101	00000000
	11111111	11111111	11111111	00000000
	255	255	255	0

IP adresa je 32-bitni parametar podijeljen u 4 dijela, koji ste navikli vidjeti u decimalnom obliku.
Podmrežna maska ​​je također dugačka 32 bita – to je zapravo predložak, šablona koja određuje podmrežnu adresu adrese. Tamo gdje su jedinice u maski, vrijednost se ne može promijeniti, odnosno dio 172.16.5 je potpuno nepromijenjen i bit će isti za sve hostove na ovoj subneti, ali dio gdje su nule varira.
To jest, u našem primjeru, 172.16.5.0/24 je mrežna adresa, a hostovi će biti 172.16.5.1-172.16.5.254 (posljednjih 255 je emitirano), jer je 00000001 1, a 11111110 je 254 (govorimo oko posljednjeg okteta adrese). /24 znači da je duljina maske 24 bita, odnosno imamo 24 jedinice - nepromijenjeni dio i 8 nula.
Drugi slučaj je kada je naša maska, na primjer, 30 bita, a ne 24.
Na primjer 172.16.2.4/30. Zapišimo to ovako:

IP adresa. Decimalni zapis	172	16	2	4
IP adresa. Binarni zapis	10101100	00010000	00000010	00000100
Maska podmreže. Binarni zapis	11111111	11111111	11111111	11111100
Maska podmreže. Decimalni zapis	255	255	255	252

Kao što vidite, samo se zadnja dva bita mogu promijeniti za ovu podmrežu. Posljednji oktet može imati sljedeće 4 vrijednosti:
00000100 - podmrežna adresa (4 u decimalnom)
00000101 - adresa čvora (5)
00000110 - adresa čvora (6)
00000111 - emitiranje (7)
Sve izvan ovoga je druga podmreža

Odnosno, sad bi vam trebalo biti malo jasno da je maska ​​podmreže niz od 32 bita, gdje su prvo jedinice, znači adresa podmreže, a zatim nule, što znači adresa hosta. U ovom slučaju, nule i jedinice u maski ne mogu se izmjenjivati. Odnosno, maska ​​je 11111111.11100000.11110111.00000000 nemoguće

Što je obrnuta maska ​​(džoker)?
Za veliku većinu administratora i nekih inženjera ovo nije ništa više od inverzije uobičajene maske. To jest, nule prvo postavljaju adresu dijela koji se nužno mora podudarati, a jedinice, naprotiv, slobodni dio.
To jest, u prvom primjeru koji smo uzeli, ako želite filtrirati sve hostove iz podmreže 172.16.5.0/24, tada ćete postaviti pravilo na Access listi:
…. 172.16.5.0 0.0.0.255
Zato što će obrnuta maska ​​izgledati ovako:

00000000.00000000.00000000.11111111

U drugom primjeru s mrežom 172.16.2.4/30 obrnuta maska ​​će izgledati ovako: 30 nula i dvije jedinice:

Obrnuta maska. Binarni zapis	00000000	00000000	00000000	00000011
Obrnuta maska. Decimalni zapis	0	0	0	3

Sukladno tome, parametar na pristupnoj listi izgledat će ovako:
…. 172.16.2.4 0.0.0.3
Kasnije, kada pojedete psa na računskim maskama i obrnutim maskama, prisjetit ćete se najčešće korištenih brojeva, broja domaćina u pojedinoj maski, te ćete shvatiti da se u opisanim situacijama dobiva zadnji oktet obrnute maske. oduzimanjem posljednjeg okteta regularne maske od 255 (255-252 =3), itd. U međuvremenu, morate naporno raditi i računati)

No zapravo, obrnuta maska ​​je malo bogatiji alat, ovdje možete kombinirati adrese unutar iste podmreže ili čak kombinirati podmreže, ali najvažnija razlika je što možete izmjenjivati ​​nule i jedinice. To vam omogućuje, na primjer, filtriranje određenog računala (ili grupe) preko više podmreža s jednom linijom.

Primjer 1

dano: mreža 172.16.16.0/24
Potrebno: filtrirajte prve 64 adrese (172.16.16.0-172.16.16.63)
Riješenje: 172.16.16.0 0.0.0.63

Primjer 2

dano: mreže 172.16.16.0/24 i 172.16.17.0/24
Potrebno: filtrirati adrese s obje mreže
Riješenje: 172.16.16.0 0.0.1.255

Primjer 3

dano: Mreže 172.16.0.0-172.16.255.0
Potrebno: filter host s adresom 4 iz svih podmreža
Riješenje: 172.16.0.4 0.0.255.0

ACL rad u slikama

Hipotetska mreža:

1) Na usmjerivaču RT1 na sučelju FE0/1 sve je dozvoljeno za unos osim ICMP-a.

2) Na usmjerivaču RT2 na sučelju FE0/1 zabranjen je izlaz SSH i TELNET-a

Testovi
kliknuti
1) Ping s PC1 na Server1

2) TELNET od PC1 do Server1

3) SSH od PC1 do Server2

4) Ping s Server2 na PC1

Dodaci

1) Pravila koja se primjenjuju na odlazni promet (out) neće filtrirati promet samog uređaja. Odnosno, ako negdje trebate zabraniti pristup samom Ciscu, tada ćete morati filtrirati dolazni promet na ovom sučelju (promet odgovora odakle trebate zabraniti pristup).

2) Morate biti oprezni s ACL-ovima. Mala pogreška u pravilu, netočan redoslijed konfiguracije ili općenito loše osmišljen popis mogli bi vas ostaviti bez pristupa uređaju.
Na primjer, želite blokirati pristup bilo gdje za mrežu 172.16.6.0/24, osim za svoju adresu 172.16.6.61 i postavite pravila ovako:
zabrani ip 172.16.6.0 0.0.0.255 bilo koji


Čim primijenite ACL na sučelje, odmah ćete izgubiti pristup usmjerivaču, jer potpadate pod prvo pravilo, a drugo nije niti provjereno.
Druga neugodna situacija koja vam se može dogoditi: promet koji nije trebao proći ispod ACL-a.
Zamislite ovu situaciju: imamo FTP poslužitelj u pasivnom načinu rada u sobi s poslužiteljem. Da biste mu pristupili otvorili ste 21. port u ACL-u Poslužitelji isključeni. Nakon što se uspostavi početna veza, FTP poslužitelj obavještava klijenta o portu na kojem je spreman za prijenos/primanje datoteka, na primjer, 1523. Klijent pokušava uspostaviti TCP vezu na ovom portu, ali nailazi na ACL Servers-out, gdje nema takve dozvole - i time priča o uspješnom prijenosu završava. U našem primjeru iznad, gdje smo postavili pristup poslužitelju datoteka, otvorili smo pristup samo 20. i 21., jer je to dovoljno za primjer. U stvaran život morat ćeš petljati. Nekoliko primjera ACL konfiguracija za uobičajene slučajeve.

3) Vrlo sličan i zanimljiv problem proizlazi iz točke 2.
Jeste li htjeli, na primjer, staviti sljedeće ACL-ove na internet sučelje:
access-list out permit tcp host 1.1.1.1 host 2.2.2.2 eq 80
access-list u dozvoli tcp host 2.2.2.2 bilo koji eq 80

Čini se: hostu s adresom 1.1.1.1 dopušten je pristup preko porta 80 poslužitelju 2.2.2.2 (prvo pravilo). I natrag s poslužitelja 2.2.2.2, dopuštene su ulazne veze.
Ali ovdje je nijansa da računalo 1.1.1.1 uspostavlja vezu NA port 80, ali s nekog drugog porta, na primjer, 1054, odnosno paket odgovora s poslužitelja stiže na socket 1.1.1.1: 1054, ne spada pod pravilo u ACL-u je na IN i odbacuje se zbog implicitnog deny ip any any.
Kako biste izbjegli ovu situaciju i ne otvorili cijelu hrpu portova, možete pribjeći ovom triku u ACL-u na u:
dopustiti tcp host 2.2.2.2 bilo koji uspostavljen.

Pojedinosti ovog rješenja pronaći ćete u jednom od sljedećih članaka.

4) Govoreći o suvremenom svijetu, ne može se zanemariti takav alat kao što su grupe objekata (Object-group).

Recimo da trebate stvoriti ACL koji oslobađa tri specifične adrese na Internetu na tri identična priključka s mogućnošću proširenja broja adresa i priključaka. Kako to izgleda bez poznavanja grupa objekata:
ip access-list prošireni TO-INTERNET
dozvoli tcp host 172.16.6.66 bilo koji eq 80
dozvoli tcp host 172.16.6.66 bilo koji eq 8080
dozvoli tcp host 172.16.6.66 bilo koji eq 443
dozvoli tcp host 172.16.6.67 bilo koji eq 80
dozvoli tcp host 172.16.6.67 bilo koji eq 8080
dozvoli tcp host 172.16.6.67 bilo koji eq 443
dozvoli tcp host 172.16.6.68 bilo koji eq 80
dozvoli tcp host 172.16.6.68 bilo koji eq 8080
dozvoli tcp host 172.16.6.68 bilo koji eq 443

Kako se broj parametara povećava, održavanje takvog ACL-a postaje sve teže, a lako je pogriješiti prilikom konfiguriranja.
Ali ako pogledamo grupe objekata, one poprimaju sljedeći oblik:
usluga objektne grupe INET-PORTS
opis Portovi dopušteni za neke hostove
tcp eq www
tcp eq 8080
tcp eq 443

Mreža grupe objekata HOSTS-TO-INET
opis Domaćini mogu pregledavati mrežu
domaćin 172.16.6.66
domaćin 172.16.6.67
domaćin 172.16.6.68

IP access-list prošireni INET-OUT
dopustiti grupu objekata INET-PORTS grupu objekata HOSTS-TO-INET bilo koji

Na prvi pogled izgleda malo prijeteće, ali ako pogledate, vrlo je zgodno.

4) Vrlo korisne informacije za rješavanje problema mogu se dobiti iz izlaza naredbe prikaži IP access-lists %ACL name%. Uz stvarni popis pravila za navedeni ACL, ova naredba prikazuje broj podudaranja za svako pravilo.

Msk-arbat-gw1#sh ip pristupne liste nat-inet
Proširena IP pristupna lista nat-inet




dopustiti IP host 172.16.6.61 bilo koji
(4 podudaranja)

I dodavanjem na kraju bilo kojeg pravila log, moći ćemo primati poruke o svakoj utakmici u konzolu. (ovo zadnje ne radi na PT)

NAT

Prijevod mrežnih adresa apsolutno je neophodan mehanizam u gospodarstvu od 1994. Mnoge sesije o tome su prekinute i paketi su izgubljeni.
Najčešće je potreban za spajanje lokalne mreže na Internet. Činjenica je da teoretski postoji 255*255*255*255=4 228 250 625. 4 milijarde adresa. Čak i kada bi svaki stanovnik planeta imao samo jedno računalo, više ne bi bilo dovoljno adresa. Ali ovdje se glačala ne spajaju na internet. Pametni ljudi To su shvatili još početkom 90-ih i kao privremeno rješenje predložili podjelu adresnog prostora na javni (bijeli) i privatni (privatni, sivi).
Potonji uključuje tri raspona:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Oni su besplatni za korištenje na vašoj privatnoj mreži, pa će se naravno ponavljati. Što je s jedinstvenošću? Kome će WEB poslužitelj odgovoriti kada dobije zahtjev s povratnom adresom 192.168.1.1? Rostelecom? Tatneft tvrtka? Ili vaš unutarnji Long? Na velikom Internetu nitko ne zna ništa o privatnim mrežama – one nisu rutirane.
Ovdje NAT stupa na scenu. Po uglavnom, ovo je obmana, namještaljka. Na uređaju za trljanje vaša se privatna adresa, grubo rečeno, jednostavno zamijeni bijelom adresom, koja će se pojaviti dalje u paketu dok on putuje do WEB poslužitelja. Ali bijele adrese se jako dobro usmjeravaju i paket će se sigurno vratiti natrag na uređaj za trljanje.
Ali kako će ono, zauzvrat, razumjeti što dalje s njim? Hajdemo shvatiti ovo.

NAT vrste

Statički

U ovom slučaju, jedna interna adresa se pretvara u jednu vanjsku adresu. Istovremeno, svi zahtjevi koji dolaze na vanjsku adresu bit će prevedeni na internu. Kao da je ovaj host vlasnik ove bijele IP adrese.

Konfigurirano sljedećom naredbom:
Usmjerivač (konfiguracija)# ip nat unutar izvora statički 172.16.6.5 198.51.100.2

Što se događa:
1) Čvor 172.16.6.5 pristupa WEB poslužitelju. Šalje IP paket gdje je odredišna adresa 192.0.2.2, a adresa pošiljatelja 172.16.6.5.

2) Paket se isporučuje putem korporativne mreže na pristupnik 172.16.6.1, gdje je NAT konfiguriran

3) Prema konfiguriranoj naredbi, usmjerivač uklanja trenutno IP zaglavlje i mijenja ga u novo, gdje se bijela adresa 198.51.100.2 već pojavljuje kao adresa pošiljatelja.

4) Preko interneta, ažurirani paket doseže poslužitelj 192.0.2.2.

5) Vidi da odgovor mora biti poslan na 198.51.100.2 i priprema IP paket odgovora. Kao adresa pošiljatelja, sama adresa poslužitelja je 192.0.2.2, odredišna adresa je 198.51.100.2

6) Paket se vraća natrag putem interneta, i to ne nužno istom rutom.

7) Uređaj za trljanje označava da se svi zahtjevi na adresu 198.51.100.2 trebaju preusmjeriti na 172.16.6.5. Usmjerivač ponovno uklanja TCP segment skriven unutra i postavlja novo IP zaglavlje (izvorna adresa se ne mijenja, odredišna adresa je 172.16.6.5).

8) Od strane interna mreža paket se vraća inicijatoru, koji ni ne zna kakva su mu se čuda dogodila na granici.
I tako će biti sa svima.
Štoviše, ako je veza pokrenuta s Interneta, paketi automatski, prolazeći kroz uređaj za trljanje, dolaze do internog glavnog računala.

Ovaj pristup je koristan kada imate poslužitelj unutar svoje mreže kojem je potreban potpun pristup izvana. Naravno, ovu opciju ne možete koristiti ako preko jedne adrese želite Internetu izložiti tri stotine hostova. Ova NAT opcija nikako neće pomoći u očuvanju bijelih IP adresa, ali svejedno može biti korisna.

Dinamičan

Imate skup bijelih adresa, na primjer, vaš pružatelj vam je dodijelio mrežu 198.51.100.0/28 sa 16 adresa. Dvije od njih (prva i zadnja) su mrežna adresa i adresa emitiranja, još dvije adrese dodijeljene su opremi za pružanje usmjeravanja. Preostalih 12 adresa možete koristiti za NAT i putem njih osloboditi svoje korisnike.
Situacija je slična statičkom NAT-u - jedna privatna adresa se prevodi u jednu vanjsku - ali sada vanjska adresa nije jasno fiksirana, već će se birati dinamički iz zadanog raspona.
Konfiguriran je ovako:
Router(config)#ip nat pool lol_pool 198.51.100.3 198.51.100.14

Naveden skup (raspon) javnih adresa iz kojih će se odabrati adresa za natiranje
Usmjerivač (konfiguracija)
#access-list 100 dozvola ip 172.16.6.0 0.0.0.255 bilo koji

Postavljamo pristupnu listu koja dopušta sve pakete s izvornom adresom 172.16.6.x, gdje x varira 0-255.
Router(config)#ip nat unutar popisa izvora 100 pool lol_pool

Ovom naredbom povezujemo kreirani ACL i pool.

Ova opcija također nije univerzalna; također nećete moći pustiti sve od svojih 300 korisnika na Internet ako nemate 300 vanjskih adresa. Nakon što se bijele adrese potroše, nitko novi neće moći pristupiti internetu. U isto vrijeme, oni korisnici koji su već uspjeli zgrabiti vanjsku adresu za sebe će raditi. Tim će vam pomoći da odbacite sva trenutna emitiranja i oslobodite vanjske adrese čisti ip nat prijevod *
Osim dinamičke dodjele vanjskih adresa, ovaj se dinamički NAT razlikuje od statičkog NAT-a po tome što bez posebne konfiguracije prosljeđivanja portova vanjska veza s jednom od adresa skupa više nije moguća.

Više prema jednom

Sljedeći tip ima nekoliko naziva: NAT Overload, Port Address Translation (PAT), IP Masquerading, Many-to-One NAT.
Prezime govori samo za sebe - preko jedne vanjske adrese u svijet odlaze mnoge privatne. To vam omogućuje da riješite problem s nedostatkom vanjskih adresa i pustite sve u svijet.
Ovdje bismo trebali dati objašnjenje kako to funkcionira. Možete zamisliti kako se dvije privatne adrese prevode u jednu, ali kako usmjerivač razumije tko treba proslijediti paket vraćen s Interneta na tu adresu?
Sve je vrlo jednostavno:
Pretpostavimo da paketi stižu od dva računala na internoj mreži do uređaja za trljanje. Oba sa zahtjevom prema WEB serveru 192.0.2.2.
Podaci s hostova izgledaju ovako:

Usmjerivač otkriva IP paket s prvog hosta, izdvaja TCP segment iz njega, ispisuje ga i otkriva s kojeg se porta uspostavlja veza. Ima vanjsku adresu 198.51.100.2, na koju će se promijeniti adresa iz interne mreže.
Zatim odabire slobodni port, na primjer, 11874. I što dalje radi? Pakira sve podatke na razini aplikacije u novi TCP segment, gdje odredišni port i dalje ostaje 80 (ovo je mjesto gdje WEB poslužitelj čeka veze), a port pošiljatelja se mijenja s 23761 na 11874. Ovaj TCP segment je enkapsuliran u novi IP paket u kojem se IP adresa pošiljatelja mijenja iz 172.16.6.5 u 198.51.100.2.
Ista stvar se događa za paket s drugog hosta, samo je odabran sljedeći slobodni port, na primjer 11875. "Slobodan" znači da nije već zauzet drugim takvim vezama.
Podaci koji se šalju na Internet sada će izgledati ovako.

Unosi podatke pošiljatelja i primatelja u svoju NAT tablicu

Za WEB poslužitelj to su dva potpuno različita zahtjeva, koje mora obraditi svaki pojedinačno. Nakon toga šalje odgovor koji izgleda ovako:

Kada jedan od ovih paketa stigne do našeg usmjerivača, on povezuje podatke u tom paketu sa svojim unosima u NAT tablici. Ako se pronađe podudaranje, događa se obrnuti postupak - paket i TCP segment se vraćaju na svoje originalne parametre samo kao odredište:

I sada se paketi preko interne mreže isporučuju početnim računalima, koja niti ne shvaćaju da se negdje na granici s njihovim podacima tako grubo postupalo.

Svaki vaš poziv je zasebna veza. Odnosno, pokušali ste otvoriti WEB stranicu - to je HTTP protokol koji koristi port 80. Da biste to učinili, vaše računalo mora uspostaviti TCP sesiju s udaljenim poslužiteljem. Takvu sesiju (TCP ili UDP) određuju dva soketa: lokalna IP adresa: lokalna luka I udaljena IP adresa: daljinski priključak. U normalnoj situaciji imate jednu vezu računalo-poslužitelj, ali u slučaju NAT-a bit će dvije veze: usmjerivač-poslužitelj i računalo misli da ima sesiju računalo-poslužitelj.

Postavka se prilično razlikuje: s dodatnim preopterećenjem riječi:
Router(config)#access-list 101 dozvola 172.16.4.0 0.0.0.255
Router(config)#ip nat unutar popisa izvora 101 sučelja fa0/1 preopterećenje

U ovom slučaju, naravno, ostaje moguće konfigurirati skup adresa:
Router(config)#ip nat pool lol_pool 198.51.100.2 198.51.100.14
Router(config)#access-list 100 dozvola 172.16.6.0 0.0.0.255
Router(config)#ip nat unutar popisa izvora 100 pool lol_pool preopterećenje

Port Forwarding

Inače kažu i port forwarding ili mapping.
Kad smo tek počeli govoriti o NAT-u, imali smo emitiranje jedan na jedan i svi zahtjevi koji dolaze izvana automatski su preusmjereni na interni host. Na taj način bilo bi moguće izložiti poslužitelj Internetu.
Ali ako nemate takvu priliku - ograničeni ste u bijelim adresama ili ne želite izložiti cijelu hrpu portova prema van, što trebate učiniti?
Možete odrediti da svi zahtjevi koji dolaze na određenu bijelu adresu i određena luka usmjerivač mora biti preusmjeren na ispravan port željene interne adrese.
Router(config)#ip nat unutar izvora statički tcp 172.16.0.2 80 198.51.100.2 80 proširiv

Korištenje ove naredbe znači da će TCP zahtjev koji dolazi s interneta na adresu 198.51.100.2 na portu 80 biti preusmjeren na internu adresu 172.16.0.2 na istom portu 80. Naravno, također možete proslijediti UDP i preusmjeriti s jednog porta na drugi. Ovo, primjerice, može biti korisno ako imate dva računala kojima je potreban pristup putem RDP-a izvana. RDP koristi port 3389. Ne možete proslijediti isti port na različiti domaćini(kada koristite jednu vanjsku adresu). Dakle, možete učiniti ovo:
Router(config)# ip nat unutar izvora statički tcp 172.16.6.61 3389 198.51.100.2 3389
Router(config)# ip nat unutar izvora statički tcp 172.16.6.66 3389 198.51.100.2 3398

Zatim, da biste došli do računala 172.16.6.61, pokrećete RDP sesiju na portu 198.51.100.2:3389, a na 172.16.6.66 - 198.51.100.2:3398. Ruter će sam distribuirati sve gdje je potrebno.

Usput, ova naredba je poseban slučaj prvi: ip nat unutar izvora statički 172.16.6.66 198.51.100.2. Samo u ovom slučaju govorimo o prosljeđivanju cjelokupnog prometa, au našim primjerima - specifičnih portova TCP protokola.

Ovako u opći nacrt NAT funkcije. Mnogo je članaka napisano o njegovim značajkama i prednostima/protiv, ali ne mogu se zanemariti.

Slabosti i prednosti NAT-a

+

- Kao prvo NAT vam omogućuje spremanje javnih IP adresa. To je upravo ono za što je stvoren. Preko jedne adrese teoretski ih je moguće izdati više od 65.000 sive adrese(po broju priključaka).
- Drugo, PAT i dinamički NAT su u određenoj mjeri vatrozid koji sprječava vanjske veze doći do krajnjih računala koja možda nemaju vlastiti vatrozid i antivirus. Činjenica je da ako izvana do uređaja za trljanje dođe paket koji se ovdje ne očekuje ili nije dopušten, jednostavno se odbacuje.
Da bi paket bio dopušten i obrađen, moraju biti ispunjeni sljedeći uvjeti:
1) Mora postojati unos u NAT tablici za ovu vanjsku adresu navedenu kao izvornu adresu u paketu
I
2) Izvorni port u paketu mora odgovarati portu za tu bijelu adresu u unosu
I
3) Odredišni port u paketu odgovara portu u unosu.
ILI
Prosljeđivanje priključka je konfigurirano.
Ali ne morate NAT promatrati baš kao vatrozid - to nije ništa više od dodatne pogodnosti.

- Treći, NAT se skriva od znatiželjnih očiju unutarnju strukturu vaše mreže - kada pratite rutu izvana, nećete vidjeti ništa izvan uređaja za kretanje.

-

NAT također ima nedostatke. Najznačajniji od njih su možda sljedeći:
- Neki protokoli ne mogu raditi kroz NAT bez štaka. Na primjer, FTP ili protokoli tuneliranja (unatoč tome koliko sam lako postavio FTP u laboratoriju, u stvarnom životu to može stvoriti mnogo problema)
- Još jedan problem leži u činjenici da ima puno zahtjeva s jedne adrese na jedan server. Mnogi su tome svjedočili, kad odeš na neki Rapidshare, pa ti kaže da je već bila veza s tvog IP-a, ti misliš da "lažeš, pseto jedno", a susjed ti je već sranje. Iz istog razloga bilo je problema s ICQ-om kada su poslužitelji odbili registraciju.
- Sada ne baš hitan problem: opterećenje procesora i RAM-a. Budući da je količina posla prilično velika u usporedbi s jednostavnim usmjeravanjem (ne trebate samo pogledati IP zaglavlje, morate ga ukloniti, ukloniti TCP zaglavlje, unijeti ga u tablicu, dodati nova zaglavlja) u malim uredima postoje problemi s ovim.
Naišao sam na ovu situaciju.
Jedan od moguća rješenja- prenijeti NAT funkciju na zasebno računalo ili na specijalizirani uređaj, na primjer Cisco ASA.
Za velike igrače čiji ruteri pokreću 3-4 BGP full-view, to sada nije problem.

Što još trebate znati?
- NAT se uglavnom koristi za pružanje pristupa Internetu hostovima s privatnim adresama. Ali postoji još jedna primjena - komunikacija između dvije privatne mreže s isprepletenim adresnim prostorima.
Na primjer, vaša tvrtka kupuje podružnicu u Aktobeu. Vaša adresa je 10.0.0.0-10.1.255.255, a njihova je 10.1.1.0-10.1.10.255. Rasponi se jasno preklapaju; ne postoji način za konfiguriranje usmjeravanja, jer ista adresa može biti u Aktobeu iu vašem sjedištu.
U ovom slučaju, NAT je konfiguriran na spoju. Budući da nemamo dovoljno sivih adresa, možemo odabrati, na primjer, raspon 10.2.1.0-10.2.10.255 i napraviti jedan-na-jedan emitiranje:
10.1.1.1-10.2.1.1
10.1.1.2-10.2.1.2
…
10.1.10.255-10.2.10.255

U velikim igračkama za odrasle, NAT se može implementirati na zasebnoj ploči (i često jest) i neće raditi bez njega. Na uredskom hardveru, naprotiv, gotovo uvijek postoji.

Sa širokim usvajanjem IPv6, potreba za NAT-om će nestati. Već sada se veliki kupci počinju zanimati za funkcionalnost NAT64 - to je kada imate pristup svijetu putem IPv4, a interna mreža je već na IPv6

Naravno, ovo je samo površan pogled na NAT i još uvijek postoji more nijansi u kojima će vam samoobrazovanje pomoći da se ne utopite.

NAT praksa

Što stvarnost traži od nas?
1) Kontrolna mreža uopće nema pristup internetu
2) Domaćini iz VET mreže imaju pristup samo specijaliziranim stranicama, na primjer, stranici
3) Lijepe dame iz odjela računovodstva trebaju otvoriti prozor u svijet klijenata banaka.
4) FEO ne bi trebao biti pušten nigdje osim financijskom direktoru
5) Na drugoj mreži, naše računalo i računalo administratora - dat ćemo im puni pristup internetu. Svi ostali ga mogu otvoriti na pismeni zahtjev.
6) Ne zaboravimo na podružnice u St. Petersburgu i Kemerovu. Radi jednostavnosti, konfigurirajmo puni pristup za korisnike iz ovih podmreža.
7) Poslužitelji su druga stvar. Za njih ćemo konfigurirati prosljeđivanje portova. Sve što trebamo:
a) WEB poslužitelj mora biti dostupan na portu 80
b) Mail server na 25. i 110
c) Poslužitelj datoteka dostupan je iz svijeta putem FTP-a.
8) Računala administratora i naša moraju biti dostupna s interneta putem RDP-a. Zapravo je ovo pogrešan način - za udaljena veza morate koristiti VPN vezu i, već na lokalnoj mreži, koristiti RDP, ali to je tema za poseban, sasvim drugi članak.

Prvo pripremimo mjesto za testiranje:

Priključak na Internet bit će organiziran putem postojećeg linka kojeg pruža davatelj.
Ide u mrežu pružatelja usluga. Podsjećamo vas da je sve u ovom oblaku apstraktna mreža, koja se u stvarnosti može sastojati od desetaka rutera i stotina preklopnika. Ali trebamo nešto upravljivo i predvidljivo, pa ovdje također instaliramo ruter. S jedne strane je link sa switcha, s druge je server na internetu.

Trebat će nam sljedeći poslužitelji:
1. Dvije klijentske banke za računovođe (sperbank.ru, mmm-bank.ru)
2. web stranica za učenike strukovnog obrazovanja
3. Yandex (yandex.ru)

Za takvu vezu podići ćemo još jedan vlan na msk-arbat-gw1. Njegov broj, naravno, dogovara se s davateljem usluga. Neka to bude VLAN 6
Pretpostavimo da nam pružatelj pruža podmreža 198.51.100.0/28. Prve dvije adrese služe za organiziranje veze (198.51.100.1 i 198.51.100.2), a preostale koristimo kao skup za NAT. Međutim, nitko nam ne brani da za pool koristimo adresu 198.51.100.2. Napravimo to: bazen: 198.51.100.2-198.51.100.14
Radi jednostavnosti, pretpostavimo da se naši javni poslužitelji nalaze na istoj podmreži:
192.0.2.0/24 .
Već znate kako postaviti vezu i adrese.
Budući da imamo samo jedan usmjerivač u mreži pružatelja usluga, a sve su mreže povezane izravno na njega, nema potrebe za konfiguriranjem usmjeravanja.
Ali naš msk-arbat-gw1 mora znati kamo poslati pakete na Internet, pa nam treba zadana ruta:
msk-arbat-gw1(config)# ip ruta 0.0.0.0 0.0.0.0 198.51.100.1

Sada po redu

Prvo, postavimo skup adresa
msk-arbat-gw1(config)# ip nat pool main_pool 198.51.100.2 198.51.100.14 mrežna maska ​​255.255.255.240

Sada prikupljamo ACL:
msk-arbat-gw1(config)# ip access-list prošireni nat-inet

1) Kontrolna mreža

uopće nema pristup internetu
Spreman

2) Domaćini iz VET mreže

Imaju pristup samo specijaliziranim stranicama, na primjer, stranici
msk-arbat-gw1(config-ext-nacl)# dopuštenje tcp 172.16.3.0 0.0.0.255 host 192.0.2.2 eq 80

3) Računovodstvo

Dajemo pristup svim hostovima na oba poslužitelja
msk-arbat-gw1(config-ext-nacl)# dozvola ip 172.16.5.0 0.0.0.255 host 192.0.2.3
msk-arbat-gw1(config-ext-nacl)# dozvola ip 172.16.5.0 0.0.0.255 host 192.0.2.4

4) FEO

Dozvolu dajemo samo financijskom direktoru - ovo je samo jedan domaćin.
msk-arbat-gw1(config-ext-nacl)# dopustiti ip host 172.16.4.123 bilo koji

5) Ostalo

Naša računala s punim pristupom
msk-arbat-gw1(config-ext-nacl)# dopustiti ip host 172.16.6.61 bilo koji
msk-arbat-gw1(config-ext-nacl)# dopustiti ip host 172.16.6.66 bilo koji

6) Podružnice u St. Petersburgu i Kemerovu

Neka Eniki adrese budu iste: 172.16.x.222
msk-arbat-gw1(config-ext-nacl)# dopustiti ip host 172.16.16.222 bilo koji
msk-arbat-gw1(config-ext-nacl)# dopustiti ip host 172.16.17.222 bilo koji
msk-arbat-gw1(config-ext-nacl)# dopustiti ip host 172.16.24.222 bilo koji

Ovako sada izgleda cijeli ACL:
ip pristupna lista prošireni nat-inet
primjedba PTO
dopuštenje tcp 172.16.3.0 0.0.0.255 host 192.0.2.2 eq www
primjedba RAČUNOVODSTVO
dopustiti ip 172.16.5.0 0.0.0.255 host 192.0.2.3
dopustiti ip 172.16.5.0 0.0.0.255 host 192.0.2.4
primjedba FEO
dopustiti IP host 172.16.4.123 bilo koji
primjedba IAM
dopustiti IP host 172.16.6.61 bilo koji
primjedba ADMIN
dopustiti IP host 172.16.6.66 bilo koji
primjedba SPB_VSL_OTOK
dopustiti ip host 172.16.16.222 bilo koji
primjedba SPB_OZERKI
dopustiti ip host 172.16.17.222 bilo koji
primjedba KMR
dopustiti ip host 172.16.24.222 bilo koji

Pokrenimo:
msk-arbat-gw1(config)# ip nat unutar popisa izvora nat-inet bazen main_pool preopterećenje

Ali sreća neće biti potpuna bez prilagođavanja sučelja:
Na vanjsko sučelje treba dati naredbu ip nat izvana
Iznutra: ip nat unutra
msk-arbat-gw1(config)# int fa0/0.101
msk-arbat-gw1(config)# int fa0/0.102
msk-arbat-gw1(config-subif)# ip nat unutar
msk-arbat-gw1(config)# int fa0/0.103
msk-arbat-gw1(config-subif)# ip nat unutar
msk-arbat-gw1(config)# int fa0/0.104
msk-arbat-gw1(config-subif)# ip nat unutar
msk-arbat-gw1(config)# int fa0/1.6
msk-arbat-gw1(config-subif)# ip nat izvana

To će usmjerivaču omogućiti da razumije gdje može očekivati ​​pakete koje treba obraditi i kamo ih kasnije poslati.

Tako da su poslužitelji na Internetu dostupni putem naziv domene, bilo bi lijepo da imamo DNS poslužitelj na našoj mreži:

Naravno, potrebno ga je registrirati na onim uređajima s kojih ćemo provjeravati pristup:

Predstava se mora nastaviti!

Sve je dostupno s računala administratora:

Iz PTO mreže postoji pristup web stranici samo preko porta 80 (HTTP):

U FEO mreži samo 4.123 izlazi u svijet (finirector)

U odjelu računovodstva rade samo stranice klijent-banka. No, budući da je dopuštenje u potpunosti dano IP protokolu, možete ih pingati:

7) Poslužitelji

Ovdje moramo konfigurirati prosljeđivanje porta tako da im se može pristupiti s interneta:

a) Web poslužitelj

msk-arbat-gw1(config)# ip nat unutar izvora statički tcp 172.16.0.2 80 198.51.100.2 80

Provjerimo odmah, na primjer, možemo li to učiniti s testnog računala s adresom 192.0.2.7.
Sada ništa neće raditi, jer za mrežu poslužitelja nemamo sučelje konfigurirano za msk-arbat-gw1:
msk-arbat-gw1(config)# int fa0/0.3
msk-arbat-gw1(config-subif)# ip nat unutar

A sada:

b) Datotečni poslužitelj

msk-arbat-gw1(config)# ip nat unutar izvora statički tcp 172.16.0.3 20 198.51.100.3 20
msk-arbat-gw1(config)# ip nat unutar izvora statički tcp 172.16.0.3 21 198.51.100.3 21

U tu svrhu smo u ACL Servers-out također otvorili portove 20-21 za sve

c) Poslužitelj pošte

msk-arbat-gw1(config)# ip nat unutar izvora statički tcp 172.16.0.4 25 198.51.100.4 25
msk-arbat-gw1(config)# ip nat unutar izvora statički tcp 172.16.0.4 110 198.51.100.4 110

Također nije teško provjeriti. Slijedi upute:
Prvo postavljamo mail server. Određujemo domenu i kreiramo dva korisnika.

Zatim dodajte domenu DNS-u. Ovaj korak nije obavezan - možete pristupiti poslužitelju putem IP-a, ali zašto ne?

Postavljanje računala iz naše mreže:

Iz vanjskog:

Pripremamo pismo:

Na lokalni domaćin kliknite Primi:

8) Pristup putem RDP-a administratorskim i našim računalima

msk-arbat-gw1(config)# ip nat unutar izvora statički tcp 172.16.6.61 3389 198.51.100.10 3389
msk-arbat-gw1(config)# ip nat unutar izvora statički tcp 172.16.6.66 3389 198.51.100.10 3398

Sigurnost

Još jedna konačna napomena. Najvjerojatnije vaš uređaj za trljanje gleda van sa svojim ip nat vanjskim sučeljem - na Internet. Stoga, ne bi škodilo objesiti ACL na ovo sučelje, gdje odbijate, dopuštate, ono što trebate. U ovom članku nećemo se zadržavati na ovom pitanju.

U ovom trenutku, prvo upoznavanje s NAT tehnologijom može se smatrati dovršenim.
Kao drugi DZ, odgovorite na pitanje zašto nema pristupa internetu s Eniki računala u Sankt Peterburgu i Kemerovu. Uostalom, već smo ih dodali na pristupnu listu.

Otpuštanje materijala

access-list 101 dozvola ip 192.168.2.0 0.0.0.255 bilo koji

Kreiramo mapu rute, gdje označavamo da ako je paket s mreže 192.168.2.0/24, tada mu dodijelimo next-hop 10.0.2.1 (umjesto 10.0.1.1)

Route-map KLIJENT dozvola 5
odgovara ip adresi 101
postavi IP next-hop 10.0.2.1

Kartu primjenjujemo na sučelje:
ip policy route-map KLIJENT

Ovo je samo jedna od namjena moćan alat Policy-Based Routing, koji se, nažalost, ni u kojem obliku ne provodi u Republici Tatarstan.

Ograničenje brzine
Na istom primjeru ograničit ćemo brzinu za mrežu 192.168.1.0/24 na 1,5 Mb/s, a za 192.168.2.0/24 na 64 kb/s.
Na 10.0.1.1 možete pokrenuti sljedeće naredbe:
Router(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 bilo koji
Router(config)# access-list 101 permit ip 192.168.2.0 0.0.0.255 bilo koji
Router(config)# sučelje fa0/0
Router(config-if)# rate-limit output access-group 100 1544000 64000 64000 conform-action slanje prekoračenje-akcija pad
Router(config-if)# rate-limit output access-group 101 64000 16000 16000 conform-action slanje prekoračenje-action drop

Autori:

Marat eukariotski
Maksim zvani Gluck

Posebno zahvaljujemo Dmitriju JDimi na pomoći u pripremi članka.

ACL (Access Control List) je popis za kontrolu pristupa. Pristupne liste omogućuju mrežnim inženjerima da identificiraju različite vrste paketa. Da biste to učinili, ACL konfiguracija navodi vrijednosti koje Cisco usmjerivač može pronaći u zaglavljima IP, TCP, UDP itd. Na primjer, pristupna lista može prepoznati paket s izvornom IP adresom 1.1.1.1, ili paketi čija je odredišna IP adresa u podmreži 10.1 .1.0/24, ili paketi s TCP odredišnim portom 23 (Telnet). Najčešće se pristupne liste koriste kao filter paketa.

ACL se koristi na:

1. Sučelje: za filtriranje paketa
2. Telnet: za ograničavanje pristupa usmjerivaču
3. VPN: za određivanje prometa koji treba šifrirati
4. QoS: za određivanje prometa koji treba obraditi
5. NAT: za određivanje IP adresa koje treba prevesti

Sami pristupni popisi su popis izraza koji nešto dopuštaju ili zabranjuju. ACL se primjenjuje na određeno sučelje i u jednom smjeru (ulazni ili odlazni). Na taj se način ACL-ovi mogu primijeniti na pakete koji ulaze u usmjerivač prije nego što ih on odluči proslijediti. Ili na odlazne pakete, nakon što usmjerivač odluči preusmjeriti i proslijedi paket ovom sučelju.

Pogledajmo jednostavan primjer. Kada paket stigne iz LAN1 (lokalne interne mreže) na sučelje f0/0, usmjerivač provjerava dolazni promet koristeći ACL strogo redoslijedom kojim su izrazi napisani. Ako ACL dopušta prolaz paketa, usmjerivač ga šalje sučelju f0/1. Prije slanja paketa ruter provjerava odlazni promet pomoću ACL-a i tek nakon toga donosi odluku o slanju ISP-u (Internet Service Provider).

Kada koristite ACL za filtriranje paketa, možete odabrati samo jednu od dvije akcije. Konfiguracijske naredbe koriste ključne riječi deny i permit, što znači odbijanje paketa ili dopuštenje njegovog prijenosa.

Postoje dvije vrste ACL-ova:

1. Standardno - može provjeriti samo IP adrese pošiljatelja paketa
2. Prošireno - može provjeriti izvorne/odredišne ​​adrese, vrstu protokola, UDP/TCP portove

ACL-ovi su označeni sekvencijskim brojevima (standardni od 1 do 99, prošireni od 100 do 199), a također simbolična imena.

Pogledajmo nekoliko važnih pravila u vezi s ACL-ovima:

1. Ne možete postaviti više od jedne pristupne liste po sučelju, protokolu, smjeru;
2. ACL ne utječe na promet koji generira sam usmjerivač;
3. Za filtriranje paketa koristi se obrnuta zamjenska maska ​​(na primjer, 0.0.255.255 odgovara 255.255.0.0)
4. Čim se paket podudara s jednom od linija ACL-a, usmjerivač poduzima radnju navedenu u toj liniji popisa i zaustavlja daljnje podudaranje
5. Na kraju svake pristupne liste postoji implicitni deny any - deny everything

Standardne numerirane pristupne liste koriste sljedeću globalnu naredbu:

access-list (1-99) (dozvoli | zabrani) (adresa | bilo koji | host) (izvorni-zamjenski znak)

Svaki numerirani ACL sadrži jednu ili više naredbi popisa pristupa s bilo kojim brojem iz raspona predstavljenog u retku sintakse iznad. Osim ACL broja, svaka naredba sadrži odabranu radnju (dopusti ili zabrani) i logiku prepoznavanja. Parametri naredbe Access-list:

1. dopustiti – dopustiti
2. uskratiti – zabraniti
3. adresa - zabrani ili dopusti određenu mrežu (odredi njezinu IP adresu)
4. bilo koji - sve zabraniti ili dopustiti
5. host — zabrani ili dopusti host (navedite njegovu IP adresu)
6. izvorni zamjenski znak - obrnuta maska

Nakon što izradite popis pristupa, morate ga primijeniti na određeno sučelje:

ip pristupna grupa (ACL broj ili naziv) (ulaz | izlaz)

Gdje je in dolazni smjer, out je odlazni smjer.

Idemo sada na praksu. Prvo, postavimo jednostavnu mrežu koja će uključivati ​​prijenosno računalo administratora, računala običnih korisnika i poslužitelj. To je potrebno učiniti. tako da samo administrator ima pristup poslužitelju. IP plan i shema su u prilogu.

Po tradiciji, za one koji će sastaviti ovaj sklop za praćenje paketa, predstavljam puna konfiguracija svi uređaji s opisima naredbi.

Switch>enable Switch#configure terminal Switch(config)#vlan 2 - stvoriti vlan 2 Switch(config-vlan)#name Admin - naziv za vlan 2 Switch(config)#vlan 3 - kreirajte vlan 3 Switch(config-vlan)#name Server - naziv za vlan 3 Switch(config)#vlan 10 - stvoriti vlan 10 Switch(config-vlan)#name User"s - naziv za vlan 10 Switch(config)#raspon sučelja fa0/1 - fa0/9 - prilagoditi sučelja prema korisnicima Switch(config-if-range)#description Korisnici - opis sučelja Switch(config-if-range)#switchport mod accessSwitch(config-if-range)#switchport pristup vlan 10 - označavanje okvira 10 VLAN Switch(config-if-range)#exit Switch(config)#interface fa0/10 - konfigurirati sučelja prema poslužitelju Switch(config-if)#description Server - opis sučelja- konfigurirajte port na označeni način rada Switch(config-if)#switchport pristup vlan 3 - označavanje 3 VLAN okvira Switch(config-if)#exit Switch(config)#interface fa0/20 - konfigurirati sučelja prema administratoru Switch(config-if)#description Admin - opis sučelja Switch(config-if)#switchport način pristupa - konfigurirajte port na označeni način rada Switch(config-if)#switchport pristup vlan 2 - označavanje okvira 2 VLAN Switch(config-if)#exit Switch(config)#interface fa0/24 - konfigurirati sučelja prema ruteru Switch(config-if)#description Usmjerivač - opis sučelja Switch(config-if)#switchport mode trunk - konfigurirajte port na neoznačeni način rada Switch(config-if)#switchport trunk dozvoljen vlan 2-3,10 - preskoči VLAN 2-3.10 Switch(config-if)#exit Switch(config)#do write - spremite konfiguraciju

Usmjerivač>omogući - idite na napredni način rada Router#configure terminal - idite na način konfiguracije Router(config)#interface fa0/0 - inzistiramo port prema Switchu Router(config-if)#description Prekidač - opis sučelja Usmjerivač (config-if)#nema isključivanja - fizički uključiti sučelje Router(config-if)#exit Router(config)#interface fa0/0.2 - postavljanje podsučelja za Admin subnet Router(config-subif)#description Admin - opis sučelja točka1q 2 - označavanje s 2 VLAN-a Usmjerivač(config-subif)#ip adresa 172.16.0.1 255.255.255.0 - postavite zadani pristupnik za administratora Usmjerivač(config-subif)#izlaz - postavljanje podmrežnog sučelja za podmrežu poslužitelja Usmjerivač(config-subif)#opis poslužitelja - opis sučelja Usmjerivač(config-subif)#enkapsulacija točka1q 3 - označavanje s 3 VLAN-a Router(config-subif)#ip adresa 172.16.1.1 255.255.255.0 - Router(config-subif)#exit Router(config)#interface fa0/0.10 - postavljanje podmrežnog sučelja za korisničku podmrežu Router(config-subif)#description Korisnici - opis sučelja Usmjerivač(config-subif)#enkapsulacija točka1q 10 - označavanje s 10 VLAN Usmjerivač(config-subif)#ip adresa 172.16.2.1 255.255.255.0 - postavite zadani pristupnik za poslužitelje Usmjerivač(config-subif)#izlaz

Pokrećemo ping s korisničkog računala na poslužitelj

Kao što vidite, postoji pristup. Potreban nam je samo administrator da ima pristup. Za to moramo napraviti pristupnu listu (neka ima redni broj 10), u kojoj ćemo svim paketima s administratorskog (172.16.0.100) omogućiti pristup podmreži poslužitelja (172.16.1.0/24). Zatim primjenjujemo ovo pravilo na podsučelje fa0/0.3 (za poslužitelje) za sve odlazne pakete.

Router(config)#access-list 10 permit host 172.16.0.100 - kreirati pristupnu listu u kojoj dopuštamo admin host Router(config)#interface fa0/0.3Router(config-subif)#ip access-group 10 out - primijenite postavke liste pristupa na podsučelju

Testiranje postavki. Pokrećemo ping s računala korisnika prema serveru.

Piše Destination host unreachable - odredišni host je nedostupan.

Pokrećemo ping s administratorskog računala.

Ping radi, što znači da je ACL ispravno konfiguriran. Što se događa kada pingamo poslužitelj s laptopa administratora? Paket prvo stiže na fa0/0.2 web sučelje rutera. Nema pristupnih lista konfiguriranih na ovom sučelju, što znači da paket prolazi dalje. Usmjerivač gleda svoju tablicu usmjeravanja i vidi da je podmreža poslužitelja na podsučelju fa0/0.3. Prije slanja paketa, usmjerivač vidi da je ACL 10 priključen na ovo sučelje. ovaj popis pristup, postoji samo jedan unos - dopustiti slanje paketa samo na host 172.16.0.100 (administratorovo prijenosno računalo). Usmjerivač gleda IP paket i vidi izvornu adresu 172.16.0.100 i zatim šalje paket podmreži poslužitelja. IP paket s bilo čim drugim osim 172.16.0.100 bit će odbačen jer na kraju ACL-a 10 postoji implicitno zabrani sve - zabrani sve.

Prijeđimo sada na popise proširenog pristupa. Korisnici na našoj mreži moraju imati pristup pohranjivanje datoteka i web stranica. Prethodno smo potpuno ograničili njihov pristup poslužitelju. Moramo ispraviti situaciju, au tome će nam pomoći proširene pristupne liste. Proširene liste pristupa mogu provjeriti IP adrese izvora/pošiljatelja, vrstu protokola, UDP/TCP portove. U našoj situaciji bit će potrebno provjeriti brojeve portova. Ako korisnik pristupa poslužitelju na dopuštenom portu, ruter dopušta takav paket. Dopušteni portovi: 80 (HTTP - pristup web stranici), 21 (FTP - pristup pohrani datoteka). HTTP protokoli i FTP rade preko TCP-a. Također, za prepoznavanje imena domena, DNS je podignut na našem poslužitelju. DNS poslužitelj radi na portu 53.

Postavit ćemo proširenu pristupnu listu na podsučelje fa0/0.3. Ali ovo sučelje već sadrži pristupnu listu. Zapamtite pravilo: Ne možete postaviti više od jedne pristupne liste na sučelje. Stoga ćete morati izbrisati prethodno stvorenu pristupnu listu. Premjestit ćemo pravilo stvoreno za administratora na novi prošireni popis s imenom Server-out.

Konfiguracija za ruter:

Router(config)#no access-list 10 permit host 172.16.0.100 - brisanje prethodne pristupne liste Router(config)#interface fa0/0.3 - postavljanje podsučelja za poslužitelje Router(config-subif)#no ip access-group 10 out - izbrisati prethodne postavke popis pristupa Router(config-subif)#exit Router(config)#ip access-list extended Server-out - stvoriti proširenu pristupnu listu Router(config-ext-nacl)#permit ip host 172.16.0.100 host 172.16.1.2 - administratoru dajemo puni pristup poslužitelju Router(config-ext-nacl)#permit tcp any host 172.16.1.2 eq 80 - dopustite svakom hostu pristup poslužitelju putem HTTP-a Router(config-ext-nacl)#permit tcp any host 172.16.1.2 eq 21 - dopustite bilo kojem hostu pristup poslužitelju putem FTP-a Router(config-ext-nacl)#permit tcp any host 172.16.1.2 eq 53 - dopustite bilo kojem hostu pristup poslužitelju putem DNS-a Router(config-ext-nacl)#exit Router(config)#interface fa0/0.3 Router(config-if)#ip access-group Server-out out

S računala administratora postoji ping prema poslužitelju:

Nema pinga s korisničkog računala:

Provjerimo s računala korisnika prolaze li DNS upiti do poslužitelja. Da bismo to učinili, pokrenimo uslužni program nslookup- koji određuje IP adresu za naziv domene.

DNS upiti prolaze bez problema. Provjerimo pristup našoj uvjetnoj web stranici putem preglednika:

Na kraju se spojite na FTP poslužitelj:

Povezivanje je bilo uspješno!

Teorijski dio.

ACL popisa za kontrolu pristupa sekvencijalni je popis pravila koja se koriste za dopuštanje ili odbijanje protoka paketa unutar mreže na temelju informacija sadržanih u popisu. Bez pristupne liste, svi paketi unutar mreže dopušteni su bez ograničenja za sve dijelove mreže. Pristupna lista može se koristiti za kontrolu distribucije i dobivanje informacija o promjenama u tablicama ruta i, što je najvažnije, za osiguranje sigurnosti. Sigurnosna politika posebno uključuje zaštitu od vanjski napadi, ograničenja pristupa između odjela organizacije i raspodjela mrežnog opterećenja.

Pristupna lista vam omogućuje da usmjerivač koristite kao vatrozid, vatrozid, za odbijanje ili ograničavanje pristupa internoj mreži s vanjska mreža, na primjer, Internet. Vatrozid se obično postavlja na spojne točke između dviju mreža.

Standardni ACL

Kada koristite standardne ACL-ove, jedini kriterij za određivanje je li paket dopušten ili odbijen je izvorna IP adresa tog paketa. Format elementa liste pristupa je sljedeći

Usmjerivač (konfiguracija) # access-list No. dozvola | odbiti izvornu adresu izvornu masku,

gdje je № cijeli broj – broj pristupne liste, izvorna-adresa je adresa izvora paketa, izvorna-maska ​​je maska ​​u obrnutom obliku primijenjena na adresu, dozvola je za dopuštanje prolaza paketa, deny je za odbijanje prolaz paketa. Broj br. određuje pripada li element pristupne liste određenoj pristupnoj listi s brojem br. Prva naredba access-list specificira prvi element pristupne liste, druga naredba specificira drugi element pristupne liste, i tako dalje. Usmjerivač obrađuje svaku pristupnu listu koju definira element po element od vrha do dna. To jest, ako izvorna adresa paketa, uzimajući u obzir masku, zadovoljava uvjet elementa popisa, tada usmjerivač ne obrađuje daljnje elemente popisa. Stoga, kako bi se izbjegla nepotrebna obrada, elemente koji definiraju općenitije uvjete treba staviti na početak popisa. Unutar usmjerivača moguće je definirati više popisa pristupa. Standardni broj popisa mora biti u rasponu od 1 – 99. Maska u pristupnom popisu navedena je u obrnutom obliku, na primjer, maska ​​255.255.0.0 izgleda kao 0.0.255.255.

Cisco usmjerivači pretpostavljaju da su sve adrese koje nisu izričito navedene na popisu pristupa odbijene. To jest, postoji nevidljivi element na kraju pristupne liste

Usmjerivač (konfiguracija) # access-list # deny 0.0.0.0 255.255.255.255

Dakle, ako želimo dopustiti samo promet s adrese 1.1.1.1 i zabraniti sav ostali promet, samo stavite jedan element u pristupnu listu

Usmjerivač (konfiguracija) # access-list 77 dozvola 1.1.1.1 0.0.0.0.

Ovdje pretpostavljamo da smo organizirali pristupnu listu s brojem 77.

Razmotrimo mogućnost korištenja standardnih pristupnih lista za niz adresa. Uzmimo za primjer raspon 10.3.16.0 – 10.3.31.255. Da biste dobili inverznu masku, možete oduzeti mlađu adresu od visoke adrese i dobiti 0.0.15.255. Zatim se naredbom može odrediti primjer elementa liste

Usmjerivač (konfiguracija) # access-list 100 dozvola 10.3.16.0 0.0.15.255

Kako bi pristupna lista počela raditi svoj posao, mora se primijeniti na sučelje pomoću naredbe

Usmjerivač (config-if)# ip access-group access-list-number in or out

Pristupna lista se može koristiti ili kao ulaz (in) ili kao izlaz (out). Kada koristite pristupnu listu kao ulaz, usmjerivač prima ulazni paket i provjerava svoju ulaznu adresu prema elementima liste. Usmjerivač dopušta usmjeravanje paketa do odredišnog sučelja ako se paket podudara s elementima popisa dopuštenih ili odbacuje paket ako se podudara s elementima popisa zabrane. Ako koristite izlaznu pristupnu listu, usmjerivač prima ulazni paket, usmjerava ga do odredišnog sučelja i tek onda obrađuje ulaznu adresu paketa prema elementima pristupne liste tog sučelja. Zatim, usmjerivač ili dopušta paketu da napusti sučelje ili ga odbacuje u skladu s dopuštajućim i odbijajućim elementima liste. Dakle, prethodno kreirana lista s brojem 77 primjenjuje se na Ethernet 0 sučelje rutera kao ulazna lista s naredbama

Usmjerivač (konfiguracija) # int Ethernet 0

Usmjerivač (config-if)# ip pristupna grupa 77 in

Ovaj isti popis primjenjuje se na Ethernet 0 sučelje usmjerivača kao izlazni popis pomoću naredbi

Usmjerivač (config-if)# ip pristupna grupa 77 van

Otkažite popis na sučelju pomoću naredbe Ne

Usmjerivač (config-if)# nema ip pristupne grupe 77 van

Počnimo stvarati više složene liste pristup. Razmotrimo mrežu na slici 1. Dopustimo sve pakete koji dolaze iz mreže 10.1.1.0 /25 (10.1.1.0 255.255.255.128), ali zabranimo sve pakete koji dolaze iz mreže 10.1.1.128 /25 (10.1.1.128 255.255.255.128). Također želimo zabraniti sve pakete koji potječu iz mreže 15.1.1.0 /24 (15.1.1.0 255.255.255.0), osim paketa s jednog hosta na 15.1.1.5. Dopuštamo sve ostale pakete. Dodijelimo popisu broj 2. Redoslijed naredbi za dovršetak zadatka bit će sljedeći

Usmjerivač (konfiguracija) #

Usmjerivač (konfiguracija) # access-list 2 dozvola 15.1.1.5 0.0.0.0

Usmjerivač (konfiguracija) #

Usmjerivač (konfiguracija) #

Obratite pozornost na nedostatak elementa za omogućavanje mreže 10.1.1.0 255.255.255.128. Njegovu ulogu igra posljednji element pristupna lista 2 dozvola 0.0.0.0 255.255.255.255.

Pobrinimo se da izvršimo zadatak.

1. Dopusti sve pakete koji potječu iz mreže 10.1.1.0 255.255.255.128.

Posljednji redak na popisu pristupa zadovoljava ovaj kriterij. Nema potrebe izričito dopustiti ovu mrežu na našem pristupnom popisu budući da na popisu nema redaka koji odgovaraju ovoj mreži osim posljednje dozvole za liniju dozvole 0.0.0.0 255.255.255.255.

Prvi red na popisu ispunjava ovaj kriterij. Važno je napomenuti vrstu inverzne maske 0.0.0.127 za ovu mrežu. Ova maska ​​specificira da ne bismo trebali uzeti u obzir zadnjih sedam bitova četvrtog okteta adrese, koji su dodijeljeni adresiranju u ovoj podmreži. Maska za ovu mrežu je 255.255.255.128, što govori da zadnjih sedam bitova četvrtog okteta definira adresiranje na ovoj mreži.

3. Odbijte sve pakete koji potječu iz mreže 15.1.1.0 255.255.255.0, s izuzetkom paketa s jednog hosta s adresom 15.1.1.5

Slika 9.1.

Ovaj zahtjev zadovoljavaju drugi i treći red naše pristupne liste. Važno je napomenuti da popis pristupa ne implementira ovaj zahtjev redoslijedom kojim je definiran. Važno je zapamtiti da se pristupna lista obrađuje od vrha prema dolje i kada se pronađe prvo podudaranje, obrada paketa se zaustavlja. Prvo zahtijevamo da svi paketi koji potječu iz mreže 15.1.1.0 255.255.255.0 budu odbijeni, a tek onda da se dopuste paketi s adrese 15.1.1.5. Ako preuredimo drugu i treću naredbu u naredbama koje definiraju popis pristupa, tada će cijela mreža 15.1.1.0 biti odbijena dok se ne dopusti host 15.1.1.5. To jest, adresa 15.1.1.5 će odmah biti odbijena na početku općenitijim kriterijem odbijanja 15.1.1.0 0.0.0.255.

4. Dopusti sve druge pakete

Posljednja naredba rješava sve adrese koje ne odgovaraju prve tri naredbe.

Dakle, imamo sljedeći slijed radnji za implementaciju liste pristupa.

1. Definirajte kriterije i ograničenja pristupa.

2. Implementirajte ih pomoću naredbi access-list, stvarajući pristupnu listu s određenim brojem.

3. Primijenite popis na određeno sučelje kao ulazno ili izlazno.

Usredotočimo se na posljednju točku. U opći slučaj standardnu ​​pristupnu listu treba postaviti što je moguće bliže odredištu, a ne izvoru paketa. Iako može biti izuzetaka. Budući da standardna pristupna lista radi samo s izvornim adresama, detaljna konfiguracija nije uvijek moguća. Potreban je napor da se izbjegnu neželjene konfiguracije pristupa. Ako je popis postavljen blizu izvora paketa, vrlo je vjerojatno da će pristup uređajima na kojima nije izvršena konfiguracija pristupa biti otežan.

Specificirajmo sigurnosnu politiku za mrežu na slici 1. Naš cilj je stvoriti politiku za računalo A (adresa 1.1.1.2 mreže 1.1.1.0/24), koja uključuje sve uređaje na lokalnoj mreži 15.1.1.0 /24, koji uključuje računalo C (15.1.1.5) omogućit će samo računalu C pristup računalu A. Također želimo stvoriti pravilo koje zabranjuje daljinski pristup na računalo A s bilo kojeg uređaja na lokalnoj mreži 10.1.1.128 / 25 računala D (10.1.1.133). Sav ostali promet dopuštamo. Na slici 1 računalo PC5 (15.1.1.5) igra ulogu proizvoljnog predstavnika lokalne mreže 15.1.1.0/24, različito od računala C.

Uvrštavanje je ključno za provedbu takve politike. Uzmimo prethodno kreiranu listu s brojem 2. Ako se lista ispiše na serijskom sučelju usmjerivača 2, tada će zadatak za računalo A biti dovršen, ali će postojati ograničenja prometa između ostalih lokalnih mreža. Sličnu situaciju dobivamo ako ovaj popis učinimo ulazom na serijskom sučelju usmjerivača 1. Ako ovaj popis postavimo kao izlaz na Ethernet A sučelje usmjerivača 1, tada će zadatak biti dovršen bez ikakvih nuspojava.

Prošireni ACL-ovi

Sa standardnim ACL-om možete navesti samo izvornu adresu, a maska ​​nije obavezna. U proširenim ACL-ovima morate navesti i adresu odredišta i adresu izvora s maskama. Možete dodati dodatne informacije o protokolu za izvor i odredište. Na primjer, TCP i UDP smiju navesti broj porta, a ICMP-u je dopušteno navesti vrstu poruke. Kao i kod standardnih ACL-ova, za prijavu možete koristiti opciju zapisnika.

Opći obrazac naredbe za generiranje niza liste pristupa

pristupni popis broj pristupnog popisa (dozvoli | zabrani) protokol izvor izvorni zamjenski znak odredište odredišni zamjenski znak,

gdje je broj liste pristupa -100-199|2000-2699, protokol - ip, icmp, tcp, gre, udp, igrp, eigrp, igmp, ipinip, nos i ospf. Za izvorni ili odredišni port možete koristiti broj porta ili njegovu oznaku bgp, chargen, daytime, discard, domain, echo, finger, ftp, ftp-data, gopher, hostname, irc, klogin, kshell, lpd , nntp, pop2, pop3, smtp, sunrpc, syslog, tacacs-ds, talk, telnet, vrijeme, uucp, whois i www. Operator je eq (jednako), neq (nije jednako), gt (veće od), lt (manje od), raspon (navedena su dva porta za određivanje raspona).

Kao i kod standardnih ACL-ova, prošireni ACL treba biti vezan za sučelje ili za promet koji dolazi do sučelja

Router(config-if)# ip access-group №ACL in

ili za promet koji napušta sučelje

Router(config-if)# ip access-group №ACL out

ovdje je #ACL broj liste.

Primjeri proširenih ACL elemenata

Dopustite SMTP-u sa svih strana da bude domaćin

Router(config)# access-list 111 permit tcp any host 172.17.11.19 eq 25

Dopustite da telnet bude host s bilo kojeg mjesta

Router(config)# access-list 111 permit tcp any host 172.17.11.19 eq 23

Prošireni ACL omogućuje fino podešavanje prava pristupa.

Imenovani ACL-ovi

Imenovani ACL-ovi se nazivaju imenom, a ne brojem, što ih čini jasnijima i lakšima za korištenje. Za stvaranje imenovanog ACL-a postoji naredba

Router(config)# ip access-list extended ACL_name

Router(config-ext-nacl)# dozvola|zabrani IP_protokol izvor_IP_adresa maska_zamjenskog_znaka odredišna_IP_adresa maska_zamjenskog_znaka

Da biste dovršili izradu popisa, izdajte naredbu izlaz.

Ime imenovanog popisa razlikuje velika i mala slova. Naredbe za stvaranje neimenovanog popisa slične su naredbama za stvaranje numeriranih stavki popisa, ali je postupak stvaranja drugačiji. Morate koristiti ključnu riječ ip prije glavne ACL izjave i time ući u način konfiguracije za taj imenovani popis. U ovom načinu rada s kojim počinjete ključne riječi dopustiti ili odbiti i ne bi trebao ulaziti u popis pristupa na početku svakog retka.

Povezivanje imenovanih ACL-ova na sučelje vrši se naredbom

Router(config)# vrsta sučelja port_№

Router(config-if)# ip access-group ACL_name in|out

ACL-ovi se obrađuju odozgo prema dolje. Promet koji se najčešće ponavlja treba obraditi na vrhu liste. Čim se paket koji obrađuje lista podudara s elementom liste, obrada tog paketa se zaustavlja. Standardne ACL-ove treba postaviti bliže odredištu gdje se promet treba filtrirati. Izlazni prošireni ACL-ovi trebaju biti smješteni što je moguće bliže izvoru paketa koji se filtriraju, a ulazni ACL-ovi trebaju biti postavljeni bliže odredištu gdje se promet treba filtrirati.

Imenovani ACL-ovi omogućuju vam da se sami uređuju. Da biste to učinili, morate upisati naredbu koja je korištena za stvaranje

Router(config)# ip access-list extended ACL_name

Pomoću okomitih tipki sa strelicama pronađite redak popisa koji želite promijeniti. Promijenite ga pomoću vodoravnih strelica. Pritisni enter. Novi redak bit će dodan na kraj popisa. Stara neće biti uništena. Da biste ga uništili, unesite ne na početku retka.

Da biste uredili numeričke ACL-ove, morate ga uništiti i ponovno izraditi ili urediti popis izvan mreže i učitati ga u uređaj pomoću.

Praktični dio.

1. Učitajmo topologiju prikazanu na slici 2 u simulator.

Slika 9.2.

Dodijelimo adrese sučeljima (maska ​​255.255.255.240) prema tablici. Ne zaboravite na svoj DCE uređaj serijska veza postaviti sinkronizaciju.

	Usmjerivač2	Usmjerivač1	Usmjerivač4
Ethernet	24.17.2.2	24.17.2.1
Serijski		24.17.2.17	24.17.2.18

Konfigurirajmo RIP usmjeravanje

Router1(config)# ruter rip

Router1 (config- router)# verzija 2

Router1 (config- router)# mreža 24.0.0.0

Router2(config)# ruter rip

Router1 (config- router)# verzija 2

Router2 (config- router)# mreža 24.0.0.0

Router4(config)# ruter rip

Router1 (config- router)# verzija 2

Router4 (config- router)# mreža 24.0.0.0

Provjerite svoju mrežu s ping naredbe a posebno da možete pingati Ethernet0 sučelje (24.17.2.2) Routera 2 s Routera 4

Router4# ping 24.17.2.2

Kreirajmo standardnu ​​pristupnu listu koja neće dopustiti usmjerivaču 2 da pinguje od usmjerivača 4. Da bismo to učinili, blokiramo jedinu adresu 24.17.2.18 usmjerivača 4 i dopustimo ostatak prometa. Popis ćemo kreirati na routeru pomoću 2 naredbe

Router2(config)# access-list 1 deny 24.17.2.18 0.0.0.0

Router2(config)# pristupna lista 1 dozvola 0.0.0.0 255.255.255.255

Router2(config)# sučelje FastEthernet0/0

Router2(config-if)# ip pristupna grupa 1 in

Provjerimo je li pristupna lista pokrenuta. Da bismo to učinili, pogledajmo radnu konfiguraciju

Router2# prikaži run-config

Također možemo vidjeti popis primijenjen na sučelje pomoću naredbe “show ip interface”. Pronađite redak "Innbound access list is 1" u izlaznim informacijama.

Router2# prikaži ip sučelje

Naredba “show access-lists” će nam pokazati sadržaj kreirane pristupne liste.

Router2# prikaži popise pristupa

Imajte na umu da je host 24.17.2.18 ekvivalentan 24.17.2.18 0.0.0.0. Sada, kada pokušavate pingati Ethernet0 sučelje (24.17.2.2) usmjerivača 2 s usmjerivača 4

Router4# ping 24.17.2.2

Dobivamo niz "UUUUU", što znači da pristupna lista radi ispravno.

1. Kreirajmo i učitajmo topologiju na slici 2 u simulator.

Slika 9.3.

Dodijelite adrese sučeljima (maska ​​255.255.255.0) prema tablici

	Usmjerivač2	Usmjerivač1	Usmjerivač3	Usmjerivač4
Ethernet 0	160.10.1.2	160.10.1.1	175.10.1.2	180.10.1.2
Ethernet 1		175.10.1.1	180.10.1.1

Konfigurirajmo OSPF usmjeravanje

Router1(config)# usmjerivač ospf 1

Router1 (config- router)#

Router1 (config- router)#

Router2(config)# usmjerivač ospf 1

Router2 (config- router)# mreža 160.10.1.0 0.0.0.255 područje 0

Router3 (config) # usmjerivač ospf 1

Router3(config- router)# mreža 175.10.1.0 0.0.0.255 područje 0

Router3(config- router)#

Router4(config)# usmjerivač ospf 1

Router4 (config- router)# mreža 180.10.1.0 0.0.0.255 područje 0

Za provjeru pingajte krajnje točke

router2#ping 180.10.1.2

router4#ping 160.10.1.2

Kreirajmo standardnu ​​pristupnu listu za filtriranje prometa koji dolazi na ethernet0 sučelje 1. routera1 i dopustimo promet iz podmreže 175.10.1.0 (router3) i blokiramo promet s drugih uređaja.

router1(config)# pristupna lista 1 dozvola 175.10.1.0 0.0.0.255

Provjerite je li kreiran

router1# prikaži popis pristupa

router1(config)# sučelje FastEthernet1/0

router1(config-if)# ip pristupna grupa 1 in

router1# prikaži run-config

Provjerite vezu između usmjerivača 3 i 2 te između usmjerivača 4 i 2.

router3# ping 160.10.1.2

router4# ping 160.10.1.2

Trebala bi postojati veza između usmjerivača 3 i 2, ali ne između usmjerivača 4 i 2.

Promijenimo pristupnu listu i dopustimo promet s podmreže 180.10.1.0 (router4) i blokirajmo promet s drugih uređaja.

router1(config)# nema popisa pristupa 2

router1(config)# pristupna lista 2 dozvola 180.10.1.0 0.0.0.255

Provjerite je li se promijenio

router1# prikaži popis pristupa

Priložite popis kao ulaz na Ethernet sučelje 1

router1(config)# sučelje FastEthernet1/0

router1(config-if)# ip pristupna grupa 1 in

Provjerite vezu s naredbom

router1# prikaži run-config

Provjerite vezu između usmjerivača 3 i 2 te između usmjerivača 4 i 2.

router3# ping 160.10.1.2

router4# ping 160.10.1.2

Trebala bi postojati veza između usmjerivača 4 i 2, ali ne između usmjerivača 3 i 2.

3. Implementirajte i provjerite IP konfiguraciju za mrežu na slici 1 i koristite OSPF za implementaciju dinamičkog usmjeravanja.

Za ruter 1

router1(config)# usmjerivač ospf 1

router1(config-router)#

router1(config-router)# mreža 1.1.1.0 0.0.0.255 područje 0

router1(config-router)# mreža 10.1.1.0 0.0.0.127 područje 0

Za ruter 2

Router2(config)# usmjerivač ospf 1

Router2 (config-router)# mreža 10.1.1.128 0.0.0.127 područje 0

Router2 (config-router)# mreža 15.1.1.0 0.0.0.255 područje 0

Router2 (config-router)# mreža 2.2.2.0 0.0.0.255 područje 0

Provjerite mrežnu funkcionalnost: morate pingati bilo koje sučelje s bilo kojeg uređaja. Ili jednostavnije: sva računala A, B, C, D, PC5 moraju pingati jedno drugo u parovima.

Kreirajmo pristupnu listu iz teorijskog dijela

3.1 Uključeno ruter 1 izradite popis pristupa

router1(config)# pristupna lista 2 zabrani 10.1.1.128 0.0.0.127

router1(config)# access-list 2 permit host 15.1.1.5

router1(config)# pristupna lista 2 zabrani 15.1.1.0 0.0.0.255

router1(config)# pristupna lista 2 dozvola 0.0.0.0 255.255.255.255

i primijenite ga na Ethernet0 sučelje kao izlaz

router1(config)# sučelje FastEthernet0/0

router1(config-if)# ip pristupna grupa 2 van

Napravite snimku zaslona rezultata izvršenja naredbe

router1# prikaži popis pristupa

Od do	A	B	C	E	D
A	+	+	+	-	-
B	+	+	+	+	+
C	+	+	+	+	+
E	-	+	+	+	+
D	-	+	+	+	+

stol 1

Vidimo da je sigurnosna politika iz teorijskog dijela u potpunosti provedena.

3.2 Uklonite ACL sa sučelja e0 i primijenite ga kao ulaz na sučelje s0

router1(config)# sučelje fa0/0

router1(config-if)# nema izlaza IP pristupne grupe 2

router1(config-if)# int s2/0

router1(config-if)# ip pristupna grupa 2 in

U paru pingamo A, B, C, PC5, D. Rezultat bi trebao biti sljedeća matrica pristupa

Od do	A	B	C	E	D
A	+	+	+	-	-
B	+	+	+	-	-
C	+	+	+	+	+
E	-	-	+	+	+
D	-	-	+	+	+

tablica 2

Vidimo da je sada promet između mreža 10.1.1.0/25 i 10.1.1.128/25 zabranjen. Promet također nije moguć između mreže 10.1.1.0/25 i mreže 15.1.1.0/24, s izuzetkom računala C s adresom 15.1.1.5.

4. Koristimo topologiju i konfiguraciju iz točke 1. ovog laboratorijskog rada

Otkažite konfiguraciju pristupa napravljenu u koraku 1

Router2(config)# nema popisa pristupa 1 odbiti 24.17.2.18 0.0.0.0

Router2(config)# nema pristupne liste 1 dozvola 0.0.0.0 255.255.255.255

Primijenimo popis na Ethernet sučelje usmjerivača 2

Router2(config)# sučelje fa0/0

Router2(config-if)# nema ip pristupne grupe 1 in

Omogućimo telnet pristup routeru1 na njegova dva sučelja s lozinkom router1

Router1(config)# linija vty 0 4

Router1(config-line)# prijaviti se

Router1(config-line)# lozinka router1

Naši EACL-ovi će raditi nekoliko različitih stvari. Prvo, samo ćemo dopustiti telnetu iz podmreže serijske veze 24.17.2.16/240 da se prijavi na router1

router1(conf)# access-list 101 dozvola tcp 24.17.2.16 0.0.0.15 bilo koji eq telnet dnevnik

Opcija zapisnika uzrokovat će da usmjerivač prikaže izlaz kada se pokrene pristupna lista.

Dopustimo sav promet s Ethernet 0 podmreže 24.17.2.0/240 na usmjerivaču1

router1(conf)# access-list 102 dozvola ip 24.17.2.0 0.0.0.15 bilo koji

Provjerimo instalaciju popisa

usmjerivač1#prikaži popis pristupa

Sada primijenimo popise na sučelja za dolazne pakete

router1(conf)# sučelje Serial2/0

router1(conf-if)# ip pristupna grupa 101 in

router1(conf-if)# sučelje fa0/0

router1(conf-if)# ip pristupna grupa 102 in

Za provjeru jesu li EACL-ovi prisutni na sučeljima, upotrijebite naredbu

router1# prikaži run-config

router1# prikaži ip sučelje

Provjerimo funkcioniranje EACL-a. Pridružimo se routeru4 i pokušajmo neuspješno pingati Serial2/0 sučelje na routeru1

router4# ping 24.17.2.17

EACL broj 101 blokiran ping. Ali mora dopustiti telnet

router4# telnet 24.17.2.17

Uspješno. Unesite lozinku router1. Prompt router4# promijenjen je u router1>. Istovremenim pritiskom na ctrl-shift-6 i zatim 6 vratit ćemo se na router4. Dnevnik će nam pokazati da je EACL 101 pokrenut na routeru1

Pogledajmo broj sesije i prekinimo telnet vezu

router4# pokazati sesiju

router4# odspojiti 1

Pridružimo se routeru2 i vidimo možemo li pingati Serial0 sučelje na routeru4.

Router2# ping 24.17.2.18

Zašto je bilo neuspješno? Paket počinje u Router2, prolazi kroz Router1 (zapis će nam pokazati da je EACL 102 pokrenut na Router1

) i dolazi na Router4. Na Routeru4 se ponovno formatira i šalje natrag na Router1. Kada Router4 ponovno formatira paket, adresa izvora postaje adresa odredišta, a adresa odredišta postaje adresa izvora. Kada paket stigne na Serial0 sučelje na router1, on biva odbijen, jer je njegova izvorna adresa jednaka IP adresi Serial0 sučelja na routeru4 24.17.2.17, a ovdje je dozvoljen samo tcp.

Pridružimo se routeru2 i vidimo možemo li pingati Ethernet0 sučelje na router1.

router2# ping 24.17.2.1

Uspješno. Isto za telnet

router2# telnet 24.17.2.1

EACL-ovi uspješno rade. Dnevnik će nam pokazati da je EACL 102 pokrenut na routeru1.

Imajte na umu da dnevnik također stalno prikazuje RIP ažuriranja

5. Imenovani ACL-ovi

Otkažimo EACL vezanje na sučelja na routeru1

router1(conf)# sučelje Serial0

router1(conf-if)# nema ip pristupne grupe 101 in

router1(conf-if)# sučelje Ethernet0

router1(conf-if)# nema ip pristupne grupe 102 in

i otkažite EACL na routeru1

router1(conf)# nema pristupne liste 101

router1(conf)# nema pristupne liste 102

Postavimo zadatak da zabrani samo pingove s routera4 na router2 u cijeloj mreži. Pristupna lista može se nalaziti i na usmjerivaču1 i na usmjerivaču2. Iako se preporučuje postavljanje ACL-a bliže izvoru (kako bi se smanjio promet), u ovom primjeru postavit ćemo imenovani popis pod nazivom deny_ping na router2.

router2(config)# ip access-list prošireni deny_ping

router2(config-ext-nacl)# zabrani icmp 24.17.2.18 0.0.0.0 24.17.2.2 0.0.0.0 dnevnik

router2(config-ext-nacl)# dopustiti ip bilo koji bilo koji zapisnik

Prva naredba navodi da stvaramo imenovanu proširenu pristupnu listu koja se zove deny_ping. Druga naredba specificira zabranu ICMP prometa s izvornom adresom striktno 24.17.2.18 i odredišnom adresom striktno 24.17.2.2. Treća naredba dopušta preostali IP promet.

Provjerimo izradu liste

router2# prikaži popis pristupa

Sve je točno, vidimo u prvom redu samo još jedan oblik naredbe deny icmp 24.17.2.18 0.0.0.0 24.17.2.2 0.0.0.0 log.

Primijenimo popis na ulazni promet Ethernet0 sučelja na routeru2

Router2(conf)# sučelje Ethernet0

Router2(conf-if)# ip access-group deny_ping in

Spojimo router4 i ping router2

router4# ping 24.17.2.2

Neuspjeh. Spojimo router1 i ping router2

Router1# ping 24.17.2.2

Uspjeh. Pridružimo se usmjerivaču2 i pogledajmo dvije odvojene poruke dnevnika: prva o odbijanju pinga s usmjerivača4, a druga o dopuštanju pinga s usmjerivača1

6. Pogledajmo složenije probleme proširenih popisa pristupa. Kreirajmo topologiju

.

Slika 9.4.

Koristite preklopnike 1912. Modeli usmjerivača 1 su 805. Modeli usmjerivača 2 su 1605.

Dodijelite IP adrese usmjerivačima

Konfiguriramo RIP na Router1 i Router2

Usmjerivač (konfiguracija) # ruter rip

Usmjerivač (config-router)# mreža 1.0.0.0

Sučelja svih uređaja moraju biti pingabilna sa svih uređaja.

6.1. Popis pristupa od mreže do stranice.

Kreirajmo listu koja dopušta promet iz lokalne mreže računala PC4 i PC5 u lokalnu mrežu računala PC1 i zabranjuje promet iz lokalne mreže računala PC2 i PC3 u lokalnu mrežu računala PC1. Budući da promet dolazi od usmjerivača2 do usmjerivača1, pristupnu listu treba postaviti na sučelje serial2/0 usmjerivača1 za dolazni promet

Router1(conf)# access-list 100 dozvola ip 1.1.1.0 0.0.0.127 1.1.3.0 0.0.0.255 log

Router1(conf)# access-list 100 dozvola ip 1.1.2.0 0.0.0.255 bilo koji dnevnik

Prva naredba izravno rješava problem, a druga omogućuje emitiranje RIP protokola. Provjerimo stvaranje

Router1# prikaži popis pristupa

Primijenimo pristupnu listu na sučelje.

Router1(conf)# sučelje Serial2/0

Router1(conf-if)# ip pristupna grupa 100 in

Za testiranje pristupne liste pokušajte pingati PC1 s PC2, PC3, PC4 i PC5.

PC# Ping 1.1.3.2

Za PC2 i PC3 neće biti pingova. Za PC4 i PC5 pingovi će raditi. Pristupna lista radi. Pogledajte zapisnike na routeru1

6.2. Host-to-host popis pristupa.

Kreirajmo popis pristupa na routeru2 koji blokira pristup PC5 samo s PC2. Možete kontrolirati pokušaje pristupa pomoću zapisa na routeru2.

Router2(conf)# access-list 101 deny ip 1.1.1.130 0.0.0.0 1.1.1.3 0.0.0.0 log

Router2(conf)# access-list 101 dozvola ip bilo koji bilo koji

Provjerimo stvaranje

Router2# prikaži popis pristupa

Primijenite pristupnu listu na usmjerivač brzog Ethernet sučelja2

Router2(conf)# sučelje FastEthernet0/0

Router2(conf-if)# ip pristupna grupa 101 in

Pridružite se PC2 i provjerite da ne možete prikvačiti PC5

PC2# Ping 1.1.1.3

Dnevnik će se pojaviti na routeru2

Pridružite se PC3 i provjerite možete li prikvačiti PC5.

PC3# Ping 1.1.1.3

Dnevnik će se pojaviti na routeru2

6.3. Popis pristupa mreži domaćina.

Prvo da izbrišemo prethodne liste pristup sa sučelja Router1 i Router2.

Router1(conf)# sučelje Serial2/0

Router1(conf-if)# nema ip pristupne grupe 100 in

Router2(conf)# sučelje FastEthernet0/0

Router2(conf-if)# nema ip pristupne grupe 101 in

Kreirajmo proširenu pristupnu listu koja blokira sav promet prema PC1 iz lokalne mreže računala PC2 i PC3. Budući da blokiramo sav promet, koristit ćemo IP protokol.

Router2(conf)#access-list 102 deny ip 1.1.1.128 0.0.0.127 1.1.3.2 0.0.0.0 log

Router2(conf)#access-list 102 dozvola ip bilo koji bilo koji

Provjerimo stvaranje

Router2# prikaži popis pristupa

Primijenite popis na odlazni promet na Serial2/0 Router2 sučelju

Router2(conf)# sučelje Serial2/0

Router2(conf-if)# ip pristupna grupa 102 van

Za provjeru popisa pokušajte pingati PC1 (1.1.3.2) s PC2 i PC3. Pingovi neće proći. Iz nekog razloga simulator ne daje zapisnik na konzoli Router2. Ali učinak možete vidjeti ovako

Vidite da se nakon svakog neuspješnog pinga povećava broj odgovarajućih paketa.

Kontrolna pitanja

1. Što je ACL?

2. Koja adresa je kriterij za dopuštanje/odbijanje paketa?

3. Gdje se koriste ACL-ovi?

4. Kako postaviti ACL element i što je inverzna maska?

5. Kako ruter rukuje ACL elementima?

6. Koji je element uvijek implicitan u ACL-u?

7. Kako primijeniti ACL na sučelje i zatim ga poništiti?

8. Koja je razlika između ulaznog ACL-a i izlaznog ACL-a?

10. Koje tri naredbe možete koristiti za provjeru sadržaja ACL-a i vezanja na sučelje.

11. Što filtriraju prošireni ACL-ovi?

12. Koje dodatne funkcije imaju prošireni ACL-ovi u odnosu na standardne ACL-ove?

13. Je li moguće ograničiti promet na određenu TCP/IP uslugu pomoću proširenih ACL-ova?

14. Opišite postupak za kreiranje imenovanog ACL-a.

15. Kako urediti određeni redak u numeričkom ACL-u?

16. Kako urediti određeni redak u imenovanom ACL-u?

17. Koja je razlika između formata naredbi za unos numeričkih i imenovanih ACL elemenata?

Povezane informacije.

Danas ću vam reći kako filtrirati promet na mreži pomoću popisa za kontrolu pristupa. Pogledajmo kako rade, što su i čemu su namijenjeni. Kasnije ću pokazati kako su konfigurirani u Cisco IOS-u i objaviti arhivu s laboratorijskim radom za konsolidaciju vašeg znanja.

Uvod

ACL (Access Control List) je skup tekstualni izrazi, koji nešto dopuštaju ili nešto zabranjuju. Obično ACL dopušta ili odbija IP pakete, ali između ostalog može pogledati unutar IP paketa, vidjeti vrstu paketa, TCP i UDP portove. Također ACL postoji za razne mrežni protokoli(IP, IPX, AppleTalk i tako dalje). Uglavnom, korištenje pristupnih lista razmatra se sa stajališta filtriranja paketa, odnosno filtriranje paketa je neophodno u situacijama kada imate opremu na granici interneta i svoje privatne mreže i trebate filtrirati nepotreban promet.
Postavljate ACL na dolazni smjer i blokirate nepotrebne vrste prometa.

Teorija

Funkcionalnost ACL-a je klasificirati promet, prvo ga morate provjeriti, a zatim učiniti nešto s njim ovisno o tome gdje je ACL primijenjen. ACL se primjenjuje posvuda, na primjer:

• Na sučelju: filtriranje paketa
• Na Telnet liniji: ograničenja pristupa usmjerivaču
• VPN: koji promet treba šifrirati
• QoS: koji promet treba obraditi s prioritetom?
• NAT: koje adrese za emitiranje

Da biste primijenili ACL-ove za sve ove komponente, morate razumjeti kako rade. Prije svega ćemo se dotaknuti filtriranja paketa. Vezano za filtriranje paketa, ACL-ovi se postavljaju na sučelja, sami se samostalno kreiraju i tek onda se prišrafljuju na sučelje. Čim ga prišrafite na sučelje, router počinje gledati promet. Usmjerivač promatra promet kao dolazni i odlazni. Promet koji ulazi u usmjerivač naziva se dolazni, promet koji ga napušta naziva se odlazni. U skladu s tim, ACL-ovi se postavljaju na dolazni ili odlazni smjer.

Paket stiže iz vaše privatne mreže na sučelje rutera fa0/1, ruter provjerava postoji li ACL na sučelju ili ne, ako postoji onda se daljnja obrada provodi prema pravilima pristupne liste strogo redoslijedom kojim su izrazi napisani, ako pristupna lista dopušta prolazak paketa, tada u ovom slučaju Usmjerivač šalje paket pružatelju preko sučelja fa0/0, ako pristupna lista ne dopušta prolazak paketa, paket se uništava. Ako nema liste pristupa, paket prolazi bez ikakvih ograničenja. Prije slanja paketa pružatelju, usmjerivač također provjerava sučelje fa0/0 na prisutnost odlaznog ACL-a. Poanta je da se ACL može priložiti sučelju kao dolazni ili odlazni. Na primjer, imamo ACL s pravilom zabrane svim čvorovima na Internetu da šalju pakete našoj mreži.
Dakle, na koje sučelje trebam priložiti ovaj ACL? Ako ACL priložimo sučelju fa0/1 kao odlazni, to neće biti sasvim ispravno, iako će ACL raditi. Usmjerivač prima echo zahtjev za neki čvor na privatnoj mreži, provjerava na sučelju fa0/0 da vidi postoji li ACL, nema ga, zatim provjerava sučelje fa0/1, postoji ACL na ovom sučelju, je konfiguriran kao odlazni, sve je ispravno paket ne prodire u mrežu, ali ga usmjerivač uništava. Ali ako priložimo ACL fa0/0 sučelju kao dolaznom, paket će biti uništen čim stigne na router. Posljednje rješenje je ispravno jer usmjerivač manje opterećuje svoje računalne resurse. Proširene ACL-ove treba postaviti što bliže izvoru, dok standardne ACL-ove treba postaviti što je moguće bliže primatelju.. To je potrebno kako se ne bi uzalud slali paketi po cijeloj mreži.

Sam ACL je skup tekstualnih izraza koji govore dozvola(dopustiti) ili poricati(onemogući), a obrada se provodi strogo redoslijedom kojim su navedeni izrazi. Prema tome, kada paket dođe do sučelja, provjerava se prvi uvjet; ako prvi uvjet odgovara paketu, daljnja obrada se zaustavlja. Paket će ili krenuti dalje ili će biti uništen.
Opet, ako paket odgovara uvjetu, ne obrađuje se dalje. Ako prvi uvjet ne odgovara, obrađuje se drugi uvjet, ako se poklapa, obrada se zaustavlja, ako ne, obrađuje se treći uvjet i tako dok se svi uvjeti ne provjere, ako nijedan od uvjeta ne odgovara, paket se jednostavno uništava. Zapamtite, na svakom kraju popisa postoji implicitni deny any (zabrani sav promet). Budite vrlo oprezni s ovim pravilima koja sam istaknuo jer su konfiguracijske pogreške vrlo česte.

ACL-ovi su podijeljeni u dvije vrste:

• Standard: može samo provjeriti izvorne adrese
• Prošireno: može provjeriti izvorne adrese, kao i adrese primatelja, u slučaju IP-a, također vrstu protokola i TCP/UDP portove

Liste pristupa označene su brojevima ili simboličnim imenima. ACL-ovi se također koriste za različite mrežne protokole. Mi ćemo zauzvrat raditi s IP-om. Oni su označeni na sljedeći način, numerirani pristupni popisi:

• Standard: od 1 do 99
• Napredna: od 100 do 199

ACL-ovi znakova također se dijele na standardne i proširene. Da vas podsjetim da napredni mogu provjeravati puno više od standardnih, ali rade i sporije, jer morate gledati unutar paketa, za razliku od standardnih gdje gledamo samo polje Source Address. Prilikom kreiranja ACL-a, svaki unos pristupne liste je označen rednim brojem, prema zadanim postavkama u rasponu od deset (10, 20, 30, itd.). Zahvaljujući tome, možete izbrisati određeni unos i umetnuti drugi umjesto njega, ali ova se značajka pojavila u Cisco IOS 12.3; prije 12.3 morali ste izbrisati ACL i zatim ga potpuno ponovno izraditi. Ne možete postaviti više od 1 liste pristupa po sučelju, po protokolu, po smjeru. Dopustite mi da objasnim: ako imamo usmjerivač i on ima sučelje, možemo postaviti samo jednu pristupnu listu za dolazni smjer za IP protokol, na primjer, broj 10. Drugo pravilo koje se odnosi na same usmjerivače je ACL ne utječe na promet koji generira sam usmjerivač.
Za filtriranje adresa u ACL-u koristi se maska ​​zamjenskog znaka. Ovo je obrnuta maska. Uzimamo izraz predloška: 255.255.255.255 i oduzimamo uobičajenu masku od predloška.
255.255.255.255-255.255.255.0, dobivamo masku 0.0.0.255, što je uobičajena maska ​​255.255.255.0, samo je 0.0.0.255 WildCard maska.

Vrste ACL-ova

Dinamički (Dinamički ACL)

Omogućuje vam da učinite sljedeće, na primjer, imate usmjerivač koji je spojen na neki poslužitelj i moramo blokirati pristup njemu iz vanjskog svijeta, ali u isto vrijeme postoji nekoliko ljudi koji se mogu spojiti na poslužitelj.
Postavljamo dinamičku pristupnu listu, prilažemo je dolaznom smjeru, a zatim se ljudi koji se trebaju povezati povezuju putem Telneta s ovim uređajem, kao rezultat toga, dinamički ACL otvara put do poslužitelja, a osoba tada može ići, recimo, putem HTTP-a da dođete do poslužitelja. Prema zadanim postavkama, nakon 10 minuta ovaj se prolaz zatvara i korisnik je prisiljen ponovo na Telnet kako bi se spojio na uređaj.

Refleksni ACL

Ovdje je situacija malo drugačija, kada čvor na lokalnoj mreži pošalje TCP zahtjev na Internet, moramo imati otvorenu propusnicu da bi stigao TCP odgovor za uspostavljanje veze. Ako nema prolaza, nećemo moći uspostaviti vezu, a napadači mogu iskoristiti taj prolaz, na primjer, za prodor u mrežu. Reflektivni ACL-ovi rade na ovaj način: pristup je potpuno blokiran (deny any), ali se formira drugi poseban ACL koji može čitati parametre korisničkih sesija koje su generirane iz lokalne mreže i otvoriti prolaz za zabranu bilo kojeg za njih, kao rezultat ispada da neće moći instalirati s internetskog spoja. A tijekom sesije, odgovori će se generirati iz lokalne mreže.

ACL na temelju vremena

Uobičajeni ACL, ali s vremenskim ograničenjem, možete unijeti poseban raspored koji aktivira određeni unos popisa pristupa. A da bismo napravili takav trik, na primjer, napišemo pristupnu listu u kojoj zabranjujemo HTTP pristup tijekom radnog dana i objesimo je na sučelje usmjerivača, odnosno zaposlenici poduzeća dolaze na posao, njihov HTTP pristup je odbijen, radni dan je završen, HTTP pristup je otvoren,
molim vas, ako želite, surfajte internetom.

postavke

Sami ACL-ovi se kreiraju zasebno, odnosno to je jednostavno lista koja se kreira u globalnom configu, zatim se dodjeljuje sučelju i tek onda počinje raditi. Potrebno je zapamtiti neke točke kako biste pravilno konfigurirali popise pristupa:

• Obrada se provodi strogo redoslijedom kojim su napisani uvjeti
• Ako paket odgovara uvjetu, ne obrađuje se dalje
• Na kraju svake pristupne liste postoji implicitni zabrani bilo koji (zabrani sve)
• Proširene ACL-ove treba postaviti što bliže izvoru, dok standardne ACL-ove treba postaviti što je moguće bliže primatelju.
• Ne možete postaviti više od 1 liste pristupa po sučelju, po protokolu, po smjeru
• ACL ne utječe na promet koji generira sam usmjerivač
• Maska WildCard koristi se za filtriranje adresa

Standardna pristupna lista

Usmjerivač (konfiguracija) # pristupna lista <номер списка от 1 до 99> (dozvoli | odbij | primjedba) (adresa | bilo koji | host)

• dozvola: dopustiti
• poreći: zabraniti
• napomena: komentar o pristupnoj listi
• adresa: zabraniti ili dopustiti mrežu
• bilo koji: sve dopuštamo ili uskraćujemo
• domaćin: dopustiti ili zabraniti host
• izvorni zamjenski znak: Zamjenska mrežna maska
• dnevnik: omogućiti bilježenje paketa koji prolaze ovaj unos ACL

Proširena pristupna lista

Usmjerivač (konfiguracija) # pristupna lista <номер списка от 100 до 199> (dozvoli | odbij | primjedba) izvor protokola [ operater operand] [ luka <порт или название протокола>

• izvor protokola: koji ćemo protokol dopustiti ili zatvoriti (ICMP, TCP, UDP, IP, OSPF, itd.)
• poreći: zabraniti
• operater:
  A.B.C.D - adresa primatelja
  bilo koji - bilo koji odredišni host
  eq - samo paketi na ovom portu
  gt - samo paketi s velikim brojem porta
  domaćin - jedini konačni domaćin
  lt - samo paketi s manjim brojem porta
  neq - samo paketi koji nisu uključeni ovaj broj luka
  raspon - raspon luka
• luka: broj priključka (TCP ili UDP), možete navesti naziv
• uspostavljeno: dopustiti prolaz TCP segmenata koji su dio već kreirane TCP sesije

Priključen na sučelje

Usmjerivač (config-if)# ip pristupna grupa <номер списка или имя ACL> (ulazi | izlazi)

• u: dolazni smjer
• van: odlazni smjer

Imenovani pristupni popisi

Usmjerivač (konfiguracija) # ip pristupna lista (standardno | prošireno) (<номер ACL> | <имя ACL>}
Usmjerivač (config-ext-nacl)# (zadano | odbiti | izlaz | ne | dopustiti | primjedba)

• standard: standardni ACL
• prošireno: prošireni ACL
• zadano: postavite naredbu na zadanu vrijednost

Ograničavanje pristupa usmjerivaču

R(config)# linija vty 0 4 - idite na način za postavljanje virtualnih linija.
R(config-line)# lozinka <пароль>
R(config-line)# prijaviti se
R(config-line)# pristupna klasa 21 u- postavite prijavu i lozinku, a također dodijelite pristupnu listu s dopuštenim IP adresama.

Dinamičke pristupne liste

R3 (konfiguracija) # Korisničko ime Student lozinka 0 cisco - kreirajte korisnike za povezivanje putem Telneta.
R3 (konfiguracija) # pristupna lista 101 dozvoli tcp bilo koji host 10.2.2.2 eq telnet
R3 (konfiguracija) # pristupna lista 101 dinamički popis testova timeout 15 dozvola ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 - dopustiti svim čvorovima da se povežu na poslužitelj putem Telneta.
R3 (config) # serijsko sučelje 0/0/1
R3(config-if)# ip pristupna grupa 101 in - dodijelite 101 ACL sučelju u dolaznom smjeru.
R3 (konfiguracija) # linija vty 0 4
R3(config-line)# prijavite se lokalno
R3(config-line)# autocommand access-enable host timeout 5 - čim se korisnik autentificira, mreža 192.168.30.0 bit će dostupna, nakon 5 minuta neaktivnosti sesija će biti zatvorena.

Reflektirajuće pristupne liste

R2 (konfiguracija) # ip access-list proširen IZLAZNI FILTRI
R2(config-ext-nacl)# dopustiti tcp 192.168.0.0 0.0.255.255 bilo koji odražavati TCPPROMET
R2(config-ext-nacl)# dopustiti icmp 192.168.0.0 0.0.255.255 bilo koji odražavati ICMPTRAFFIC - prisiljavamo ruter da prati promet koji je pokrenut iznutra.
R2 (konfiguracija) # ip access-list proširen ULAZNI FILTRI
R2(config-ext-nacl)# procijeniti TCPPROMET
R2(config-ext-nacl)# procijeniti ICMPTRAFFIC - kreirajte ulaznu politiku koja zahtijeva da usmjerivač provjeri dolazni promet da vidi je li pokrenut iznutra i veže TCPTRAFFIC za INBOUNDFILTERS.
R2 (konfiguracija) # sučelje serijski 0/1/0
R2(config-if)# ip pristupna grupa INBOUNDFILTERS u
R2(config-if)# ip pristupna grupa OUTBOUNDFILTERS out - primijenite dolazni i odlazni ACL na sučelje.

Vremensko ograničenje

R1(konfiguracija)# vremenski raspon SVAKI DRUGI DAN
R1(config-time-range)# periodički Ponedjeljak Srijeda Petak 8:00 do 17:00 - kreirajte popis vremena u koje dodajemo dane u tjednu i vrijeme.
R1(konfiguracija)# pristupna lista 101 dopustiti tcp 192.168.10.0 0.0.0.255 bilo koji eq telnet vremenski raspon EVERYOTHERDAY - primijeni vremenski raspon na ACL.
R1(konfiguracija)#sučelje s0/0/0
R1(config-if)# ip pristupna grupa 101 out - dodijelite ACL sučelju.

Rješavanje problema

R# prikaži popise pristupa(ACL broj | ime) - pogledajte podatke o pristupnoj listi.
R# prikaži popise pristupa- pogledajte sve pristupne liste na ruteru.

Primjer

Router # prikaži popise pristupa
Proširena IP pristupna lista nick
dopustiti ip host 172.168.1.1 host 10.0.0.5
zabrani ip bilo koji (16 podudaranja)
Standardna IP pristupna lista nadimak5
dozvola 172.16.0.0 0.0.255.255

Vidimo da imamo dva ACL-a (standardni i prošireni) koji se zovu nick i nick5. Prvi popis omogućuje hostu 172.16.1.1 pristup hostu 10.0.0.5 putem IP-a (to znači da su dopušteni svi protokoli koji rade preko IP-a). Sav ostali promet odbijen prikazuje se deny ip any any naredbom. Pored ovog uvjeta u našem primjeru piše (16 match(es)). Ovo pokazuje da je 16 paketa ispunilo ovaj uvjet.
Drugi ACL dopušta promet iz bilo kojeg izvora na mreži 172.16.0.0/16.

Praksa

Sakupio sam laboratorije Packet Tracera iz poglavlja 5 tečaja CCNA 4 ACL. Ako imate želju učvrstiti svoje znanje u praksi, molimo -

ACL- liste kontrole pristupa.

Jednu listu možete dodijeliti:
- svaki protokol
- svako sučelje
- dolazni i odlazni promet

ACL nema utjecaja na promet koji generira sam usmjerivač.

Tamo su:
Standardni ACL-ovi - filtrirajte pakete samo prema izvornoj IP adresi
Prošireni ACL-ovi - filtrirajte prema:
- izvorna IP adresa
- odredišna IP adresa
- TCP ili UDP izvorni priključci
- TCP ili UDP odredišni priključci
- vrsta protokola (ime ili broj)

I:
1. Numerirani ACL-ovi:
- od 1 do 99 i od 1300 do 2000 - standardni IP ACL-ovi
- od 100 do 199 i od 2000 do 2699 - prošireni IP ACL-ovi
2. Nazvani - prikladniji su za korištenje, jer možete odrediti njihovu svrhu. Zahtjevi za ime:
- može sadržavati slova i brojke
- imena se očekuju velikim slovima
- imena ne smiju sadržavati razmake ili interpunkcijske znakove
Možete dodavati i uklanjati unose u imenovane ACL-ove.

Kako se koriste ACL-ovi
1. Napravite ACL navođenjem broja ili naziva i navedite uvjete.
2. Dodijelite ACL sučelju ili terminalnoj liniji.

Kako funkcionira standardni ACL?
1. Paket stiže na sučelje
2. Provjerava se postoji li ACL na ulazu sučelja.
3. Provjerava je li ACL standardan.
4. Izvorna adresa se uspoređuje s prvim zapisom.
5. Ako ne odgovara, uspoređuje se sa sljedećim unosom.
6. Ako ne odgovara nijednom zapisu, odbacuje se.
7. Ako odgovara bilo kojem zapisu, preskače ili odbacuje prema pravilu.
8. Ako prođe, traži odredišnu adresu u tablici usmjeravanja.
9. Ako postoji, šalje ga na traženo sučelje.
10. Ako nije, odbacite ga.

Pravila postavljanja ACL-a:
- Standardni ACL-ovi bi se trebali nalaziti bliže odredišnoj mreži
- Prošireni ACL-ovi - bliže izvornoj mreži.

Stvaranje numeriranog standardnog ACL-a
Router(config)#access-list broj-pristupne liste izvor
Na primjer:
R1(konfiguracija)# access-list 10 primjedba Dozvola za 192.168.0.0 LAN - opišite ACL ili svaki unos u ACL-u
R1(konfiguracija)# access-list 10 dozvola 192.168.0.0 - za klasnu mrežu
R1(konfiguracija)# access-list 10 dozvola 192.168.5.0 0.0.0.128 - za besklasnu mrežu
Uklanjanje ACL-a
R1(konfiguracija)# nema pristupne liste 10

Zamjenska maska ​​se formira oduzimanjem maske tražene mreže od maske 255.255.255.0, na primjer
255.255.255.255
-
255.255.15.0
=
0.0.240.255

U ACL-u, umjesto adrese izvora, možete navesti:
- umjesto 0.0.0.0 255.255.255.255 - bilo koji
- umjesto određena adresa tip hosta 192.168.5.12 0.0.0.0 - host 192.168.5.12

Primjena numeriranog standardnog ACL-a na sučelje
Usmjerivač(config-if)#ip pristupna-grupa (broj-pristupne-liste | naziv-pristupne-liste) (ulazi | izlazi)
Na primjer, ACL 10:
R1(konfiguracija)# access-list 10 dozvola 192.168.0.0
R1(konfiguracija)# access-list 10 dozvola 192.168.5.0 0.0.0.128
primijenjen na ulazu Fastethernet 0/1 sučelja
R1(config)# sučelje f0/1
R1(config-if)#ip pristupna grupa 10 in

Postavljanje ACL-a za virtualne linije terminala (umjesto parametra pristupna grupa koristi se pristupna klasa):
R1(config-line)# pristupna klasa broj-pristupne liste (ulazi | izlazi)
Na primjer
R1(konfiguracija)# access-list 22 dozvola 192.168.1.0
R1(konfiguracija)# access-list 22 dozvola 192.168.2.0
R1(config)# linija vty 0 4- mora se dodijeliti svim vtyma, jer korisnik se može spojiti na bilo koji od njih
R1(config-line)# lokalna prijava
R1(config-line)# prijenosni unos telnet
R1(config-line)# ip access-class 22 in

Uređivanje numeriranih ACL-ova
Prilikom uređivanja numeriranih ACL-ova, unosi se umeću redoslijedom kojim su uneseni. Ne možete umetnuti novi unos između dva već upisana. Ako i dalje morate ovo učiniti, tada:
- Kopirajte sva pravila iz konfiguracije u bilježnicu.
- Unesite potrebne unose.
- Uklonite sve klima uređaje
- Kopirajte sve unose iz bilježnice
- Ubacujemo ga u konfiguraciju.

Imenovani standardni ACL-ovi
R1(konfiguracija)# ip pristupna lista standardna IME- deklarirati imenovani standardni ACL
R1(config-std-nacl)# primjedba Deny za domaćina 192.168.0.13 - opisati ACL
R1(config-std-nacl)# odbij192.168.0.13 - stvoriti pravila
R1(config-std-nacl)# dopuštenje192.168.0.0 0.0.0.255
R1(config-std-nacl)# sučelje Fa0/0
R1(config-if)#ip access-group NAME out- vezanje ACL-a na sučelje
ACL-ove nije potrebno imenovati velikim slovima. Ovo je učinjeno radi praktičnosti.

Pogledajte i provjerite ACL
Naredba koja se koristi je:
Router# prikazuje popise pristupa (access-list-mumber | ime)
Na primjer,
R1# prikazuje popise pristupa- prikazuje sve ACL-ove
R1# prikaži popise pristupa 10- prikazuje ACL broj 10
R1# prikazuje popise pristupa NAM- prikazuje ACL s imenom NAM

Uređivanje imenovanih ACL-ova
Imenovani ACL-ovi imaju prednost pred numeriranim. Lakše ih je urediti. Svi unosi pravila u imenovanim ACL-ovima imaju redni broj u koracima od 10. Tj. prvo pravilo je označeno brojem 10, drugo je označeno brojem 20 itd.
Stoga za imenovane ACL-ove možete brisati određene unose, kao i dodavati unose između postojećih pravila, dodjeljujući im broj između brojeva pravila između kojih se dodaje novo pravilo.
Na primjer, imamo ACL sa sljedećim unosima:
R1# prikazuje popise pristupa

10 dozvola 192.168.10.10

Moramo dodati još jedno pravilo:
R1(konfiguracija)# access-list standardni WEBSERVER
R1(config-std-nacl)# 15 dopuštenje192.168.10.13

Evo što se dogodilo:
R1# prikazuje popise pristupa
Standardna IP pristupna lista WEBSERVER
10 dozvola 192.168.10.10
15 dozvola 192.168.10.13
20 deny 192.168.10.0, zamjenski bitovi 0.0.0.255
30 deny 192.168.12.0, zamjenski bitovi 0.0.0.255

Prošireni ACL-ovi
Proširene pristupne liste omogućuju točnije filtriranje prometa, zbog čega se sve češće koriste. Osim adrese izvora, provjeravaju i:
- protokol (IP, ICMP, TCP, UDP, itd.)
- adresa odredišta
- broj porta (ne sučelje)

Sintaksa proširene numerirane ACL naredbe
Router(config)#access-list broj-pristupne liste protokol izvor odredište
Gdje:
broj-pristupne liste- ACL broj (100-199 i 2000-2699)
poricati- blokirati promet
dozvola- dopustiti promet
napomena- opis pravila ili ACL-a
protokol- naziv ili broj protokola. To su uglavnom IP, ICMP, TCP, UDP.
izvor- adresa izvora
izvorni zamjenski znak- maska ​​obrnutog izvora
odredište- adresa odredišta
odredište-zamjenski znak- maska ​​obrnutog odredišta
operater- uspoređuje brojeve portova. Možda: lt-manje od, gt-veće od, eq-jednako, neq-nije jednako, domet- uključuje raspon.
luka- broj priključka
uspostavljena- Samo TCP - označava uspostavljenu vezu.

Primjer
R1(config)#access-list 103 dopuštenje tcp 192.168.10.0 0.0.0.255 bilo koji eq 80- dopustite pristup preko porta 80 s mreže 192.168.10.0
R1(config)#access-list 103 dopuštenje tcp 192.168.10.0 0.0.0.255 bilo koji eq 443- dopustite pristup preko porta 443 iz mreže 192.168.10.0
R1(config)#access-list 104 dozvola tcp bilo koji 192.168.10.0 0.0.0.255 uspostavljen- dopustiti uspostavljene TCP veze na mrežu 192.168.10.0.

Prošireni ACL-ovi se dodjeljuju sučeljima na isti način kao i standardni. Na primjer:
R1(config)# sučelje f0/1
R1(config-if)#ip pristupna grupa 103 van
R1(config-if)#ip pristupna grupa 104 in

Stvaranje imenovanog proširenog ACL-a
R1(konfiguracija)# ip access-list prošireno SURFANJE- deklarirati imenovani prošireni ACL za odlazni promet
R1(config-ext-nacl)# pernit tcp 192.168.10.0 0.0.0.255 bilo koji eq 80 - stvoriti pravila
R1(config-ext-nacl)# pernit tcp 192.168.10.0 0.0.0.255 bilo koji eq 443
R1(konfiguracija)# access-list prošireni PREGLEDAVANJE- deklarirati imenovani prošireni ACL za dolazni promet
R1(config-ext-nacl)# pernit tcp bilo koji 192.168.10.0 0.0.0.255 uspostavljena- stvoriti pravila

Složeni ACL-ovi
Standardni i prošireni ACL-ovi mogu biti osnova za složene ACL-ove za poboljšanje funkcionalnosti. Tamo su:
- Dinamično
- Reflektirajuća
- S vremenskim ograničenjem

Dinamički ACL-ovi - Ako korisnik treba pristupiti bilo kojem uređaju iza usmjerivača, prvo se mora autentificirati na usmjerivaču putem Telneta. Nakon toga, ruter je uključen Određeno vrijeme daje pristup, nakon čega ćete se morati ponovno autentificirati.
R1(config)#username Student password 0 cisco— stvoriti korisnike za povezivanje putem Telneta bez privilegija.
R3(config)#access-list 101 dopuštenje tcp bilo koji host 10.2.2.2 eq telnet- omogućuju vam povezivanje s routerom s bilo kojeg mjesta
R3(config)#access-list 101 dinamički popis testova timeout 15 dozvola ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255- dodajte dinamički unos pod nazivom testlist, koji će raditi tek nakon uspostavljanja veze putem Telneta na 15 minuta, a zatim će se isključiti. Ovo pravilo dopušta pristup s mreže 192.168.10.0 na mrežu 192.168.30.0.
R3 (config) # serijsko sučelje 0/0/1
R3(config-if)#ip pristupna grupa 101 in— dodijelite ACL 101 sučelju u dolaznom smjeru.
R3(config)#line vty 0 4
R3(config-line)#lokalna prijava
R3(config-line)#autocommand access-enable host timeout 5— čim se korisnik prijavi na usmjerivač, izvršit će se autokomanda koja će omogućiti pristup mreži 192.168.30.0. Telnet sesija će se tada zatvoriti. Pristup mreži će ostati i zatvorit će se nakon 5 minuta čekanja.

Refleksivni ACL-ovi - dopustiti promet izvan mreže samo ako je pokrenut iznutra. U početku je promet izvana zatvoren. Pristupna lista pamti parametre korisničkih sesija koje izdaju zahtjev prema van. Odgovor na te zahtjeve provjerava se u skladu s parametrima korisničke sesije. Reflektivni ACL-ovi imaju samo privremene unose koji se automatski kreiraju sa svakom sesijom. Reflektivni ACL-ovi se ne primjenjuju izravno na sučelje, već su ugniježđeni unutar proširenog ACL-a koji se primjenjuje na sučelje. Reflektivni ACL-ovi mogu se definirati samo u proširenim imenovanim ACL-ovima i mogu se koristiti s vašim omiljenim ACL-ovima.
R2(config)#ip access-list extended OUTBOUNDFILTERS- deklarirati imenovani prošireni ACL za odlazni promet.
R2(config-ext-nacl)#dozvoli tcp 192.168.0.0 0.0.255.255 bilo koji odražava TCPPROMET- tjeramo usmjerivač da nadzire tcp promet koji je pokrenut iznutra i pohranjuje ga u varijablu TCPTRAFFIC.
R2(config-ext-nacl)#dozvoli icmp 192.168.0.0 0.0.255.255 bilo koji odražava ICMPTRAFFIC— tjeramo usmjerivač da nadzire icmp promet koji je pokrenut iznutra i pohranjuje ga u varijablu ICMPTRAFFIC.
R2(config)#ip access-list extended INBOUNDFILTERS- deklarirati imenovani prošireni ACL za dolazni promet.
R2(config-ext-nacl)#evaluate TCPTRAFFIC- tjeramo usmjerivač da usporedi parametre dolaznog tcp prometa s varijablom TCPTRAFFIC stvorenom pravilom OUTBOUNDFILTERS.
R2(config-ext-nacl)#evaluate ICMPTRAFFIC— tjeramo usmjerivač da usporedi parametre dolaznog icmp prometa s varijablom ICMPTRAFFIC stvorenom pravilom OUTBOUNDFILTERS.
R2 (config) # serijsko sučelje 0/1/0
R2(config-if)#ip access-group INBOUNDFILTERS in- primijeniti ACL za dolazni promet na sučelje.
R2(config-if)#ip access-group OUTBOUNDFILTERS out- primijeniti ACL za odlazni promet na sučelje.

Vremenski ograničen ACL - određuje vrijeme kada je određeni unos aktivan u proširenom ACL-u.
R1(config)#vremenski raspon SVAKI DRUGI DAN- deklarirati vremensku varijablu EVERYOTHERDAY.
R1(config-time-range)#periodic Ponedjeljak Srijeda Petak 8:00 do 17:00— ovoj varijabli dodijeliti popis vremena u koji dodajemo dane u tjednu i vrijeme.
R1(config)#access-list 101 dozvola tcp 192.168.10.0 0.0.0.255 bilo koji eq telnet vremenski raspon SVAKI DRUGI DAN— primijenite varijablu na pravilo.
R1(konfiguracija)#sučelje s0/0/0
R1(config-if)#ip access-group 101 out— dodijelite ACL sučelju.