Să creăm un ACL numit și să scriem regulile pentru acesta:
ip access-list extins HTTP_ONLY - creați o listă.
permittcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eqwww – configurați filtrarea traficului www.
permiticmp 172.22.34.96 0.0.0.15 host 172.22.34.62 – permite transmiterea traficului ICMP de la PC2 la Server.
interfațăgigabitEthernet 0/1
ipaccess-groupHTTP_ONLYin - plasarea listei pe interfață.
Pentru a verifica funcționarea listei aplicate, trimitem o cerere de ecou de la PC2 la Server (Figura 4.4) Apoi, se face o conexiune FTP nereușită de la PC2 la Server (Figura 4.4). Apoi, trebuie să deschideți un browser web pe PC2 și să introduceți adresa IP a serverului ca URL. Conexiunea ar trebui să aibă succes (figura 4.5).
Figura 4.4 - Solicitare eco și conexiune FTP la server de la PC2
Figura 4.5 - Conectarea la server printr-un browser web
5 Configurarea ACL-urilor extinse. Scenariul 2
În acest scenariu, dispozitivelor dintr-o rețea LAN li se permite să acceseze de la distanță dispozitivele de pe un alt LAN prin protocolul Telnet. Cu excepția ICMP, tot traficul din alte rețele este interzis. Diagrama rețelei este prezentată în Figura 5.1.
Figura 5.1 - Diagrama rețelei
Configurați un ACL numerotat extins cu următoarele comenzi:
lista de acces 199 permittcp 10.101.117.32 0.0.0.15 10.101.117.0 0.0.0.31 eqtelnet—Traficul protocolului Telnet în rețeaua 10.101.117.32/28 este permis pentru transmiterea către dispozitive din rețeaua 10.107.100.
access-list 199 permiticmpanyany - traficul ICMP este permis de pe orice dispozitiv și în orice direcție.
Tot restul traficului este dezactivat implicit.
interfață gigabitethernet0/2
ipaccess-group 199 out - plasarea listei pe interfață.
Pentru a testa funcționarea listei extinse, trebuie mai întâi să trimiteți cereri de ecou de la PCB către toate celelalte adrese IP din rețea (Figura 5.2). Apoi, cererile de eco sunt trimise de la PCA către toate celelalte adrese IP din rețea (Figura 5.3).
Figura 5.2 – Solicitare ecou de la RSV
Figura 5.3 - Solicitare ecou de la PCA
6 Configurarea ACL-urilor extinse. Scenariul 3
În acest scenariu dispozitive specifice Rețeaua LAN are permisiunea de a accesa mai multe servicii server situate pe Internet. Rețeaua utilizată este prezentată în Figura 6.1.
Figura 6.1 - Diagrama rețelei
Trebuie să utilizați un singur ACL numit pentru a implementa următoarele reguli:
1 Interziceți accesul prin HTTP și HTTPS de la PC1 la Server1 și Server2. Aceste servere sunt în interiorul cloudului, doar adresele lor IP sunt cunoscute.
2Blocați accesul FTP de la PC2 la Server1 și Server2.
3Blocați accesul ICMP de la PC3 la Server1 și Server2.
ACL-ul numit extins a fost configurat cu următoarele comenzi:
ip access-list extins ACL - creați o listă.
denytcphost 172.31.1.101 gazdă 64.101.255.254 eqwww– o regulă care interzice accesul de la PC1 la Server1, numai pentru HTTP.
denytcphost 172.31.1.101 host 64.101.255.254 eq 443 – o regulă care interzice accesul de la PC1 la Server1, numai pentru HTTPS.
denytcphost 172.31.1.101 host 64.103.255.254 eqwww – o regulă care interzice accesul de la PC1 la Server2, numai pentru HTTP.
denytcphost 172.31.1.101 host 64.103.255.254 eq 443 – o regulă care interzice accesul de la PC1 la Server2, numai pentru HTTPS.
denytcphost 172.31.1.102 host 64.101.255.254 eqftp – o regulă care interzice accesul de la PC2 la Server1, numai pentru FTP.
denytcphost 172.31.1.102 host 64.103.255.254 eqftp – o regulă care interzice accesul de la PC2 la Server2, doar pentru FTP.
denyicmphost 172.31.1.103 gazdă 64.101.255.254 – o regulă care interzice accesul ICMP de la PC3 la Server1.
denyicmphost 172.31.1.103 gazdă 64.103.255.254 – o regulă care interzice accesul ICMP de la PC3 la Server2.
permisipanyany - permite alt trafic IP.
interfațăgigabitEthernet 0/0
ipaccess-groupACLin - aplicați un ACL pe interfața și direcția corespunzătoare.
Verificarea ACL-ului extins se face după cum urmează: verificarea accesului la site-uri web de pe Server1 și Server2 utilizând browserul web PC1, precum și protocoalele HTTP și HTTPS (Figura 6.2), verificarea accesului FTP la Server1 și Server2 de pe PC1 (Figura 6.3), solicitări ecou sunt făcute către Server1 și Server2 de la PC1 (Figura 6.4). În mod similar, PC2 și PC3 sunt verificate. Acces cu succes la site-uri web de pe servere de pe PC2 și PC3 - în Figura 6.5. Acces FTP nereușit la servere de pe PC2 - în Figura 6.6. Ping-urile eșuate de la PC3 la servere sunt prezentate în Figura 6.7.
Figura 6.2 - Verificarea accesului prin HTTP și HTTPS
Figura 6.3 - Acces FTP la Server1 și Server2 de pe PC1
Figura 6.4 - Solicitări Echo către Server1 și Server2 de la PC1
Figura 6.5 - Accesarea cu succes a site-urilor web pe servere de pe PC2 și PC3
Figura 6.6 - Acces FTP nereușit la servere de pe PC2
Figura 6.7 - Ping-uri eșuate de la PC3 la servere
7 Dezvoltarea deprinderilor practice complexe
Ca parte a acestei misiuni complexitate crescută trebuie să finalizați schema de adresare, să configurați rutarea și să aplicați liste de control al accesului denumite. Diagrama rețelei utilizate este prezentată în Figura 7.1.
Figura 7.1 - Diagrama rețelei
În timpul lucrărilor de laborator au fost îndeplinite următoarele cerințe:
1 Rețeaua 172.16.128.0/19 este împărțită în două subrețele egale pentru utilizare în routerul Branch. Ultima adresă utilizabilă a celei de-a doua subrețele este atribuită interfeței GigabitEthernet 0/0. Ultima adresă utilizabilă a primei subrețele este atribuită interfața GigabitEthernet 0/1. Tabelul de adrese documentat este în Tabelul 1.
Tabelul 1 - Tabelul de adrese
Tabelul 1 a continuat
| ramură | G0/0 | 172.16.159.254 | 255.255.240.0 | Nu e disponibil |
| G0/1 | 172.16.143.254 | 255.255.240.0 | Nu e disponibil | |
| S0/0/0 | 192.168.0.2 | 255.255.255.252 | Nu e disponibil | |
| HQ1 | Adaptor de retea | 172.16.64.1 | 255.255.192.0 | 172.16.127.254 |
| HQ2 | Adaptor de retea | 172.16.0.2 | 255.255.192.0 | 172.16.63.254 |
| HQServer.pka | Adaptor de retea | 172.16.0.1 | 255.255.192.0 | 172.16.63.254 |
| B1 | Adaptor de retea | 172.16.144.1 | 255.255.240.0 | 172.16.159.254 |
| B2 | Adaptor de retea | 172.16.128.2 | 255.255.240.0 | 172.16.143.254 |
| BranchServer.pka | Adaptor de retea | 172.16.128.1 | 255.255.240.0 | 172.16.143.254 |
Atribuirea adreselor interfețelor se face cu următoarea comandă pe routerul Branch:
interfață gigabitEthernet0/0
adresa ip 172.16.159.254 255.255.240.0
interfață gigabitEthernet0/1
adresa IP 172.16.143.254 255.255.240.0
2Adresarea corespunzătoare este configurată pe B1, a fost folosită prima adresă liberă a rețelei la care este conectat. Setarea este prezentată în figura 7.2.
Figura 7.2 - Setarea de adresare pe B1
3 Routerul de ramură a fost configurat cu protocolul de rutare intern al gateway-ului îmbunătățit (EIGRP) conform următoarelor criterii:
a) toate cele trei rețele conectate sunt anunțate;
b) agregarea automată este dezactivată;
c) interfețele corespunzătoare sunt configurate ca pasive;
d) a fuzionat 172.16.128.0/19 pe interfața serială Serial 0/0/0 cu distanța administrativă 5.
Configurarea a fost efectuată cu următoarele comenzi:
rețea 168.0.0.0 0.0.0.3
retea 172.16.128.0 0.0.15.255
retea 172.16.144.0 0.0.15.255
interfață pasivă gigabitethernet0/0
interfață pasivă gigabitethernet0/1
interfață serial0/0/0
ipsummary-addresseigrp 1 172.16.128.0 255.255.224.0 5
4 O rută implicită este configurată pe routerul HQ care direcționează traficul către interfața S0/0/1. Ruta redistribuită către routerul Branch. Pentru aceasta au fost folosite următoarele comenzi:
ruta ip 0.0.0.0 0.0.0.0 serial0/0/1
redistribuistatic
5 subrețele LAN HQ pe interfața serială Serial 0/0/0 cu distanță administrativă 5. Comenzi:
interfaceserial0/0/0
ipsummaryaddresseigrp 1 172.16.0.0 255.255.128.0 5
6 A creat o listă de acces denumită HQServer pentru a preveni accesarea HQServer.pka pe toate computerele conectate la interfața GigabitEthernet 0/0 a routerului Branch. Tot restul traficului este permis. Configurat o listă de acces pe routerul corespunzător, atribuită interfeței corespunzătoare în direcția corespunzătoare. Pentru aceasta au fost folosite următoarele comenzi:
ipaccess-listextendedHQServer
denyipanyhost 172.16.0.1
permitip orice
interfață gigabitethernet0/0
IP acces-grup HQServer în
7 A creat o listă de acces denumită BranchServer pentru a împiedica toate computerele conectate la interfața GigabitEthernet 0/0 a routerului HQ să acceseze serviciile HTTP și HTTPS ale serverului Branch. Tot restul traficului este permis. O listă de acces a fost configurată pe routerul corespunzător și alocată interfeței corespunzătoare în direcția corespunzătoare.
IP access-list extins BranchServer
denytcp orice gazdă 172.16.128.1 eq 80
denytcp orice gazdă 172.16.128.1 eq 443
permitip orice
interfață gigabitethernet0/0
ipaccess-groupBranchServerin
Pentru verificare, cererile de eco au fost trimise de la B1 la HQServer.pka (fără succes, figura 7.3). Accesul web la BranchServer.pka de la HQ1 eșuează de asemenea (Figura 7.4).
Figura 7.3 - Solicitare Echo de la B1 la HQServer.pka
Figura 7.4 - Acces web la BranchServer.pka cu HQ1
© 2015-2019 site
Toate drepturile aparțin autorilor lor. Acest site nu pretinde autor, dar oferă utilizare gratuită.
Data creării paginii: 20-08-2016
Partea teoretică.
O listă de control al accesului ACL este o listă secvenţială de reguli care sunt utilizate pentru a permite sau a interzice fluxul de pachete într-o reţea pe baza informaţiilor furnizate în listă. Fără o listă de acces, toate pachetele din rețea sunt permise fără restricții pentru toate părțile rețelei. O listă de acces poate fi utilizată pentru a controla propagarea și a primi informații despre modificările aduse tabelelor de rutare și, cel mai important, pentru a asigura Securitate. Politica de securitate include în special protecția împotriva atacurilor externe, restricții de acces între departamentele organizației și distribuția sarcinii rețelei.
Lista de acces vă permite să utilizați routerul ca firewall, firewall, pentru a preveni sau restricționa accesul la rețeaua internă de la rețea externă, de exemplu, internetul. Un firewall este plasat de obicei în punctele de joncțiune între două rețele.
ACL standard
Când se utilizează ACL-uri standard, singurul criteriu pentru a determina dacă un pachet este permis sau refuzat este adresa IP sursă a acelui pachet. Formatul elementului listei de acces este următorul
Router(config)# lista de acces № permis | refuza adresa-sursă masca-sursă,
unde # este un număr întreg al listei de acces, adresa-sursă denotă adresa sursă a pachetului, masca-sursă este o mască inversă aplicată adresei, permisiunea este de a permite trecerea pachetului, refuzul de a refuza trecerea pachetului . Numărul # determină dacă un element al listei de acces aparține unei anumite liste de acces cu numărul #. Prima comandă access-list definește primul element al listei de acces, a doua comandă definește al doilea element al listei de acces și așa mai departe. Routerul procesează fiecare listă de acces definită în ea element cu element de sus în jos. Adică, dacă adresa-sursă a pachetului, ținând cont de masca, satisface condiția elementului de listă, atunci routerul nu procesează alte elemente ale listei. Prin urmare, pentru a evita prelucrarea inutilă, elementele care specifică condiții mai generale ar trebui plasate la începutul listei. În cadrul unui router pot fi definite mai multe liste de acces. Numărul standard al listei trebuie să fie în intervalul 1 - 99. Masca din lista de acces este specificată în formă inversă, de exemplu, masca 255.255.0.0 arată ca 0.0.255.255.
Routere Cisco presupunem că toate adresele care nu sunt menționate în mod explicit în lista de acces sunt refuzate. Adică există un element invizibil la sfârșitul listei de acces
Router(config)# lista de acces # deny 0.0.0.0 255.255.255.255
Deci, dacă vrem să permitem doar traficul de la adresa 1.1.1.1 și să refuzăm tot restul traficului, este suficient să punem un element în lista de acces
Router(config)# access-list 77 permis 1.1.1.1 0.0.0.0.
Aici se presupune că am organizat o listă de acces cu numărul 77.
Luați în considerare posibilitatea de a utiliza liste de acces standard pentru o serie de adrese. Luați, de exemplu, intervalul 10.3.16.0 - 10.3.31.255. Pentru a obține o mască inversă, puteți scădea adresa junior din adresa înaltă și obțineți 0.0.15.255. Apoi, un exemplu de element de listă poate fi specificat cu comanda
Router(config)# lista de acces 100 permis 10.3.16.0 0.0.15.255
Pentru ca lista de acces să înceapă să-și facă treaba, trebuie să fie aplicată la interfață folosind comanda
Router(config-if)# IP acces-grup acces-list-număr în sau în afara
O listă de acces poate fi aplicată fie ca intrare (in), fie ca ieșire (out). Când utilizați o listă de acces ca intrare, routerul primește pachetul de intrare și verifică adresa de intrare cu elementele listei. Routerul permite direcționarea pachetului către interfața de destinație dacă pachetul se potrivește cu elementele listei de permise sau renunță la pachet dacă se potrivește cu condițiile elementelor din lista de respingere. Dacă utilizați lista de acces ca ieșire, atunci routerul primește pachetul de intrare, îl direcționează către interfața de destinație și abia apoi procesează adresa de intrare a pachetului conform elementelor listei de acces ale acestei interfețe. În continuare, routerul fie permite pachetului să părăsească interfața, fie îl renunță în funcție de elementele listei de permis și, respectiv, de respingere. Astfel, lista creată anterior cu numărul 77 este aplicată interfeței Ethernet 0 a routerului ca listă de intrare prin comenzi
Router(config)# int Ethernet 0
Router(config-if)# grup de acces ip 77 in
Aceeași listă este aplicată interfeței Ethernet 0 a routerului ca listă de ieșire folosind comenzile
Router(config-if)# acces ip-grup 77 out
Lista de pe interfață este anulată folosind comanda Nu
Router(config-if)# fără acces IP-grup 77 ieșit
Să începem să creăm liste de acces mai complexe. Luați în considerare rețeaua din Figura 1. Să permitem toate pachetele care provin din rețeaua 10.1.1.0/25 (10.1.1.0 255.255.255.128), dar să respingem toate pachetele care provin din rețeaua 10.1.1.128/25 (10.1.1.5.1285.25. . De asemenea, dorim să refuzăm toate pachetele care provin din rețeaua 15.1.1.0/24 (15.1.1.0 255.255.255.0), cu excepția pachetelor de la o singură gazdă la 15.1.1.5. Permitem toate celelalte pachete. Să dăm lista cu numărul 2. Secvența de comenzi pentru a finaliza sarcina va fi următoarea
Router(config)#
Router(config)# permis-lista de acces 2 15.1.1.5 0.0.0.0
Router(config)#
Router(config)#
Rețineți absența unui element permisiv pentru rețea 10.1.1.0 255.255.255.128. Rolul său este jucat de ultimul element access-list 2 permis 0.0.0.0 255.255.255.255.
Să ne asigurăm că ne-am îndeplinit sarcina.
1. Permiteți toate pachetele care provin din rețea 10.1.1.0 255.255.255.128.
Ultima linie din lista de acces satisface acest criteriu. Nu este nevoie să permitem în mod explicit această rețea în lista noastră de acces, deoarece nu există nicio intrare în listă care să se potrivească cu această rețea, cu excepția ultimului permis permis 0.0.0.0 255.255.255.255.
Primul rând din listă îndeplinește acest criteriu. Este important să rețineți tipul de mască inversă 0.0.0.127 pentru această rețea. Această mască indică faptul că nu ar trebui să luăm în considerare ultimii șapte biți ai celui de-al patrulea octet al adresei care sunt alocați pentru adresare pe această subrețea. Masca pentru această rețea este 255.255.255.128, ceea ce spune că ultimii șapte biți ai celui de-al patrulea octet determină adresarea pe această rețea.
3. Interziceți toate pachetele care provin din rețeaua 15.1.1.0 255.255.255.0, cu excepția pachetelor de la o singură gazdă cu adresa 15.1.1.5
Figura 9.1.
Această cerință este îndeplinită de a doua și a treia linie a listei noastre de acces. Este important de menționat că lista de acces nu implementează această cerință în ordinea în care este specificată. Asigurați-vă că rețineți că lista de acces este procesată de sus în jos și la prima potrivire, procesarea pachetelor se oprește. Mai întâi trebuie să interzicem toate pachetele care provin din rețeaua 15.1.1.0 255.255.255.0 și abia apoi să permitem pachetele cu adresa 15.1.1.5. Dacă schimbăm a doua și a treia comandă în comenzile care definesc lista de acces, atunci întreaga rețea 15.1.1.0 va fi interzisă până când gazda 15.1.1.5 este permisă. Adică, adresa 15.1.1.5 va fi refuzată imediat la început prin criteriul de refuzare mai general 15.1.1.0 0.0.0.255.
4. Permiteți toate celelalte pachete
Ultima comandă rezolvă toate adresele care nu se potrivesc cu primele trei comenzi.
Astfel, avem următoarea secvență de acțiuni pentru implementarea listei de acces.
1. Definiți criteriile și restricțiile de acces.
2. Implementați-le folosind comenzile access-list, creând o listă de acces cu un anumit număr.
3. Aplicați lista la o anumită interfață, fie ca intrare sau ca ieșire.
Să ne oprim la ultimul punct. În general, lista de acces standard ar trebui să fie plasată cât mai aproape de destinație, mai degrabă decât de sursa pachetelor. Deși pot exista și excepții. Deoarece lista de acces standard funcționează numai cu adresele sursă, configurarea detaliată nu este întotdeauna posibilă. Sunt necesare eforturi pentru a evita configurațiile de acces nedorite. Dacă lista este plasată lângă sursa pachetelor, atunci este foarte probabil ca accesul la dispozitivele care nu au nicio configurație de acces să fie dificil.
Specificăm politica de securitate pentru rețea în Figura 1. Scopul nostru este să creăm o politică pentru computerul A (adresa 1.1.1.2 rețeaua 1.1.1.0/24), care dintre toate dispozitivele din rețeaua locală 15.1.1.0 /24 include computerul C (15.1.1.5) va permite accesul la computerul A numai de către computerul însuși C. De asemenea, dorim să creăm o politică care să interzică accesul de la distanță la computerul A de pe orice dispozitiv din rețeaua locală 10.1.1.128 / 25 a computerului D (10.1). .1.133). Permitem orice alt trafic. În Figura 1, PC5 (15.1.1.5) joacă rolul unui reprezentant arbitrar non-C al rețelei locale 15.1.1.0/24.
Amplasarea listei este esențială pentru implementarea unei astfel de politici. Să luăm lista creată anterior cu numărul 2. Dacă lista este scoasă pe interfața serială a routerului 2, atunci sarcina pentru computerul A va fi finalizată, dar vor exista restricții privind traficul între alte rețele locale. Obținem o situație similară dacă facem din această listă intrarea pe interfața serială a routerului 1. Dacă punem această listă ca ieșire pe interfața Ethernet A a routerului 1, atunci sarcina va fi finalizată fără efecte secundare.
ACL-uri extinse
Cu un ACL standard, puteți specifica doar adresa sursă, iar masca este opțională. În ACL-urile extinse, trebuie să specificați atât adresa de destinație, cât și adresa sursă cu metacaractere. Puteți adăuga informații suplimentare de protocol pentru sursă și destinație. De exemplu, TCP și UDP au permisiunea de a specifica un număr de port, în timp ce ICMP are permisiunea de a specifica un tip de mesaj. Ca și în cazul ACL-urilor standard, puteți utiliza opțiunea de jurnal pentru a vă înregistra.
Forma generală comenzi pentru generarea unei linii din lista de accesibilitate
access-list acces-list-number (permit | deny) protocol sursă sursă-wildcard destinație destinație-wildcard ,
unde access-list-number este -100-199|2000-2699, protocolul este ip, icmp, tcp, gre, udp, igrp, eigrp, igmp, ipinip, nos și ospf. Pentru un port-sursă sau un port de destinație, puteți utiliza numărul portului sau desemnarea portului bgp, chargen, daytime, discard, domain, echo, finger, ftp, ftp-data, gopher, hostname, irc, klogin, kshell, lpd , nntp, pop2, pop3, smtp, sunrpc, syslog, tacacs-ds, talk, telnet, time, uucp, whois și www. Operatorul este eq (egal), neq (nu este egal), gt (mai mare decât), lt (mai mic decât), interval (specificați două porturi pentru a defini un interval).
Ca și în cazul ACL-urilor standard, un ACL extins ar trebui să fie legat de o interfață sau pentru traficul de intrare pe o interfață
Router(config-if)# ip acces-grup #ACL în
sau pentru traficul care părăsește interfața
Router(config-if)# ip acces-grup #ACL out
unde #ACL este numărul listei.
Exemple de articole ACL extinse
Permiteți SMTP de oriunde să găzduiască
Router(config)# lista de acces 111 permite tcp orice gazdă 172.17.11.19 eq 25
Permiteți Telnet de oriunde să găzduiască
Router(config)# lista de acces 111 permite tcp orice gazdă 172.17.11.19 eq 23
ACL extins vă permite să reglați fin drepturile de acces.
ACL-uri denumite
ACL-urile denumite sunt menționate mai degrabă prin nume decât după număr, ceea ce le face mai ușor de citit și de înțeles. Există o comandă pentru a crea un ACL numit
Router(config)# ip access-list extins ACL_name
Router(config-ext-nacl)# permit|deny IP_protocol source_IP_address wildcard_mask destination_IP_address wildcard_mask
Pentru a finaliza crearea listei, lansați comanda de ieșire.
Numele listei denumite face distincție între majuscule și minuscule. Comenzile pentru crearea unei liste fără nume sunt similare cu comenzile pentru crearea articolelor dintr-o listă ordonată, dar procesul de creare este diferit. Trebuie să utilizați cuvântul cheie ip înainte de instrucțiunea ACL principală pentru a intra în modul de configurare pentru această listă numită. În acest mod, începeți cu Cuvinte cheie permite sau refuza și nu trebuie să includă o listă de acces la începutul fiecărei linii.
ACL-urile numite sunt legate la o interfață folosind comanda
Router(config)# tip de interfață port_#
Router(config-if)# ip acces-grup ACL_name in|out
ACL-urile sunt procesate de sus în jos. Traficul cel mai des repetat ar trebui procesat în partea de sus a listei. De îndată ce un pachet procesat de listă satisface un element al listei, procesarea acelui pachet este încheiată. ACL-urile standard ar trebui plasate mai aproape de destinația în care urmează să fie filtrat traficul. ACL-urile extinse de ieșire (out) ar trebui plasate cât mai aproape de sursa pachetelor filtrate, iar intrarea ar trebui plasată mai aproape de destinația unde traficul ar trebui filtrat.
ACL-urile denumite vă permit să vă editați. Pentru a face acest lucru, trebuie să tastați comanda care a fost folosită pentru a o crea.
Router(config)# ip access-list extins ACL_name
Utilizați tastele săgeți verticale pentru a găsi linia din lista pe care doriți să o modificați. Schimbați-l folosind săgețile orizontale. Apasa Enter. Linie nouă va fi adăugat la sfârșitul listei. Cel vechi nu va fi distrus. Pentru a o distruge, introduceți nu la începutul liniei.
Pentru a edita ACL-uri numerice, fie distrugeți-l și recreați-l, fie editați lista offline și descărcați-o pe dispozitiv folosind.
Partea practică.
1. Să încărcăm topologia prezentată în Figura 2 în simulator.
Figura 9.2.
Atribuiți adrese interfețelor (mască 255.255.255.240) conform tabelului. Nu uitați de dispozitivul DCE conexiune serială setați sincronizarea.
| Router2 | Router1 | Router4 | |
| ethernet | 24.17.2.2 | 24.17.2.1 | |
| Serial | 24.17.2.17 | 24.17.2.18 |
Să configuram rutarea RIP
Router1(config)# ruter rip
Router1(config-router)# versiunea 2
Router1(config-router)# rețeaua 24.0.0.0
Router2(config)# ruter rip
Router1(config-router)# versiunea 2
Router2(config-router)# rețeaua 24.0.0.0
Router4(config)# ruter rip
Router1(config-router)# versiunea 2
Router4(config-router)# rețeaua 24.0.0.0
Verificați-vă rețeaua cu comenzi pingși mai precis că puteți ping interfața ethernet0 (24.17.2.2) a routerului 2 de la routerul 4
Router4# ping 24.17.2.2
Să creăm o listă de acces standard care să nu permită ca routerul 2 să fie ping de la routerul 4. Pentru a face acest lucru, blocăm singura adresă 24.17.2.18 a routerului 4 și permitem restul traficului. Lista va fi creată pe router cu 2 comenzi
Router2(config)# lista de acces 1 refuză 24.17.2.18 0.0.0.0
Router2(config)# lista de acces 1 permis 0.0.0.0 255.255.255.255
Router2(config)# interfață FastEthernet0/0
Router2(config-if)# acces ip-grup 1in
Să verificăm dacă lista de acces rulează. Pentru a face acest lucru, vizualizați configurația de rulare
Router2# arată rularea-config
De asemenea, putem vedea că lista este aplicată unei interfețe folosind comanda „show ip interface”. Găsiți linia „Innbound access list is 1” în rezultat.
Router2# arata interfata ip
Comanda „show access-lists” ne va arăta conținutul listei de acces create.
Router2# afișează listele de acces
Rețineți că gazda 24.17.2.18 este echivalentă cu 24.17.2.18 0.0.0.0. Acum, când încercați să faceți ping la interfața Ethernet0 (24.17.2.2) a routerului 2 de la routerul 4
Router4# ping 24.17.2.2
Primim șirul „UUUUU”, ceea ce înseamnă că lista de acces funcționează corect.
- Să creăm și să încărcăm topologia în simulatorul din Figura 2,
Figura 9.3.
Atribuiți adrese interfețelor (mască 255.255.255.0) conform tabelului
| Router2 | Router1 | Router3 | Router4 | |
| Ethernet 0 | 160.10.1.2 | 160.10.1.1 | 175.10.1.2 | 180.10.1.2 |
| Ethernet 1 | 175.10.1.1 | 180.10.1.1 |
Să configuram rutarea OSPF
Router1(config)# router ospf 1
Router1(config-router)#
Router1(config-router)#
Router2(config)# router ospf 1
Router2(config-router)# retea 160.10.1.0 0.0.0.255 zona 0
Router3(config)# router ospf 1
Router3(config-router)# retea 175.10.1.0 0.0.0.255 zona 0
Router3(config-router)#
Router4(config)# router ospf 1
Router4(config-router)# retea 180.10.1.0 0.0.0.255 zona 0
Pentru a verifica, dați ping la punctele extreme
router2#ping 180.10.1.2
router4#ping 160.10.1.2
Să creăm o listă de acces standard pentru a filtra traficul care vine la interfața ethernet0 a primului router1 și a permite traficul de la subrețeaua 175.10.1.0 (router3) și a bloca traficul de la alte dispozitive.
router1(config)# access-list 1 permis 175.10.1.0 0.0.0.255
Verificați dacă este creat
router1# arată lista de acces
router1(config)# interfață FastEthernet1/0
router1(config-if)# acces ip-grup 1in
router1# arată rularea-config
Verificați conectivitatea între routerele 3 și 2 și între routerele 4 și 2.
router3# ping 160.10.1.2
router4# ping 160.10.1.2
Ar trebui să existe o conexiune între 3 și 2 routere, dar nu între 4 și 2.
Schimbați lista de acces și permiteți traficul din subrețeaua 180.10.1.0 (router4) și blocați traficul de pe alte dispozitive.
router1(config)# fara lista de acces 2
router1(config)# access-list 2 permis 180.10.1.0 0.0.0.255
Verificați dacă s-a schimbat
router1# arată lista de acces
Atașați lista ca intrare la interfața Ethernet 1
router1(config)# interfață FastEthernet1/0
router1(config-if)# acces ip-grup 1in
Verificați alăturarea cu comanda
router1# arată rularea-config
Verificați conectivitatea între routerele 3 și 2 și între routerele 4 și 2.
router3# ping 160.10.1.2
router4# ping 160.10.1.2
Ar trebui să existe o conexiune între 4 și 2 routere, dar nu între 3 și 2.
3. Implementați și verificați configurația IP pentru rețea din Figura 1 și aplicați OSPF pentru a oferi rutare dinamică.
Pentru router 1
router1(config)# router ospf 1
router1(config-router)#
router1(config-router)# retea 1.1.1.0 0.0.0.255 zona 0
router1(config-router)# rețea 10.1.1.0 0.0.0.127 zona 0
Pentru routerul 2
Router2(config)# router ospf 1
Router2(config-router)# retea 10.1.1.128 0.0.0.127 zona 0
Router2(config-router)# retea 15.1.1.0 0.0.0.255 zona 0
Router2(config-router)# retea 2.2.2.0 0.0.0.255 zona 0
Verificați dacă rețeaua funcționează: ar trebui să trimiteți ping la orice interfață de pe orice dispozitiv. Sau mai simplu: toate computerele A, B, C, D, PC5 ar trebui să facă ping reciproc în perechi.
Să creăm o listă de acces din partea teoretică
3.1 Pornit router 1 creați o listă de acces
router1(config)# lista de acces 2 refuza 10.1.1.128 0.0.0.127
router1(config)# lista de acces 2 permis gazdă 15.1.1.5
router1(config)# lista de acces 2 deny 15.1.1.0 0.0.0.255
router1(config)# lista de acces 2 permis 0.0.0.0 255.255.255.255
și aplicați-l la interfața Ethernet0 ca ieșire
router1(config)# interfață FastEthernet0/0
router1(config-if)# acces ip-grup 2 ieșire
Creați o captură de ecran a rezultatului comenzii
router1# arată lista de acces
| De la catre | A | B | C | E | D |
| A | + | + | + | - | - |
| B | + | + | + | + | + |
| C | + | + | + | + | + |
| E | - | + | + | + | + |
| D | - | + | + | + | + |
tabelul 1
Vedem că politica de securitate din partea teoretică este pe deplin implementată.
3.2 Scoateți ACL din interfața e0 și aplicați-l ca intrare la interfața s0
router1(config)# interfata fa0/0
router1(config-if)# fără acces ip-grup 2 ieșire
router1(config-if)# int s2/0
router1(config-if)# acces ip-grup 2in
Ping A, B, C, PC5, D în perechi. Rezultatul ar trebui să fie următoarea matrice de acces
| De la catre | A | B | C | E | D |
| A | + | + | + | - | - |
| B | + | + | + | - | - |
| C | + | + | + | + | + |
| E | - | - | + | + | + |
| D | - | - | + | + | + |
masa 2
Vedem că acum traficul între rețelele 10.1.1.0/25 și 10.1.1.128/25 este interzis. De asemenea, nu există trafic între rețeaua 10.1.1.0/25 și rețeaua 15.1.1.0/24, cu excepția computerului C cu adresa 15.1.1.5.
4. Folosind topologia și configurația punctului 1 al acestui laborator
Anulați configurația de acces făcută la pasul 1
Router2(config)# nicio listă de acces 1 refuză 24.17.2.18 0.0.0.0
Router2(config)# nicio listă de acces 1 permis 0.0.0.0 255.255.255.255
Aplicați lista la interfața Ethernet a routerului 2
Router2(config)# interfata fa0/0
Router2(config-if)# fără acces IP-grup 1 in
Să permitem conectarea prin telnet la router1 pe cele două interfețe ale sale cu parola router1
Router1(config)# linia vty 0 4
Router1 (linie de configurare) # Autentificare
Router1 (linie de configurare) # parola router1
EACL-urile noastre vor face câteva lucruri diferite. În primul rând, vom permite ca telnetul de la subrețeaua de conexiune serială 24.17.2.16/240 să se conecteze la router1
router1(conf)# lista de acces 101 permite tcp 24.17.2.16 0.0.0.15 orice jurnal telnet eq
Opțiunea de jurnal va face ca routerul să afișeze rezultate atunci când lista de acces este declanșată.
Permite pe router-ul 1 tot traficul de la subrețeaua Ethernet 0 24.17.2.0/240
router1(conf)# lista de acces 102 permis ip 24.17.2.0 0.0.0.15 orice
Verificați instalarea listelor
router1#show access-list
Acum aplicați liste la interfețe pentru pachetele primite
router1(conf)# interfață Serial2/0
router1(conf-if)# grup de acces ip 101 in
router1(conf-if)# interfata fa0/0
router1(conf-if)# grup de acces ip 102 in
Pentru a verifica dacă EACL-urile sunt prezente pe interfețe, utilizați comanda
router1# arată rularea-config
router1# arata interfata ip
Să verificăm funcționarea EACL. Alăturați-vă routerului4 și încercați fără succes să trimiteți ping la interfața Serial2/0 la router1
router4# ping 24.17.2.17
EACL numărul 101 blocat ping. Dar trebuie să permită telnetul
router4# telnet 24.17.2.17
Cu succes. Introduceți parola router1. Promptul router4# s-a schimbat în router1>. Apăsând simultan ctrl-shift-6 și apoi 6, vom reveni la router4. Jurnalul ne va spune despre funcționarea EACL 101 pe router1
Să vedem numărul sesiunii și să oprim conexiunea telnet
router4# sesiuni de spectacol
router4# deconectare 1
Să ne alăturăm routerului 2 și să vedem dacă putem ping interfața Serial0 către router4.
Router2# ping 24.17.2.18
De ce eșuează? Pachetul începe în Router2, trece prin Router1 (jurnalul ne va spune despre funcționarea EACL 102 pe router1
) și vine la Router4. Pe Router4, este reformulat și trimis înapoi la Router1. Când Router4 reformatează pachetul, adresa sursă devine adresa de destinație, iar adresa de destinație devine adresa sursă. Când un pachet ajunge la interfața Serial0 de pe router1, este respins deoarece adresa sa sursă este egală cu adresa IP a interfeței Serial0 de pe router4 24.17.2.17 și aici este permis doar tcp.
Să ne alăturăm routerului2 și să vedem dacă putem trimite ping la interfața Ethernet0 către router1.
router2# ping 24.17.2.1
Cu succes. La fel si pentru telnet.
router2# telnet 24.17.2.1
EACL-urile funcționează cu succes. Jurnalul ne va spune despre funcționarea EACL 102 pe router1.
Rețineți că jurnalul arată, de asemenea, în mod constant actualizări RIP
5. ACL-uri denumite
Deconectați EACL la interfețele de pe router1
router1(conf)# interfață Serial0
router1(conf-if)# fără acces IP-grup 101 in
router1(conf-if)# interfață Ethernet0
router1(conf-if)# fără acces IP-grup 102 in
și anulați pe router1 EACL
router1(conf)# nicio listă de acces 101
router1(conf)# nicio listă de acces 102
Să setăm sarcina să interzică numai ping-urile de la router4 la router2 în întreaga rețea. Lista de acces poate fi localizată atât pe router1, cât și pe router2. Deși este recomandat să plasați ACL-ul mai aproape de sursă (pentru a squash traficul), în acest exemplu vom plasa o listă numită deny_ping pe router2.
router2(config)# ip access-list extins deny_ping
router2(config-ext-nacl)# deny icmp 24.17.2.18 0.0.0.0 24.17.2.2 0.0.0.0 log
router2(config-ext-nacl)# permite ip orice jurnal
Prima comandă specifică că creăm o listă de acces extinsă numită deny_ping. A doua comandă indică interzicerea traficului ICMP cu o adresă sursă strict 24.17.2.18 și o adresă de destinație strict 24.17.2.2. A treia comandă permite alt trafic IP.
Să verificăm crearea listei
router2# arată lista de acces
Așa este, vedem în prima linie doar o altă formă de reprezentare a comenzii deny icmp 24.17.2.18 0.0.0.0 24.17.2.2 0.0.0.0 log.
Să aplicăm lista traficului de intrare al interfeței Ethernet0 pe router2
Router2(conf)# interfață Ethernet0
Router2(conf-if)# IP access-group deny_ping in
Conectați-vă la router4 și ping router2
router4# ping 24.17.2.2
Eșec. Conectați router1 și ping router2
Router1# ping 24.17.2.2
Succes. Să ne alăturăm routerului2 și să ne uităm la două mesaje de jurnal separate: primul despre refuzul ping-ului de la router4 și al doilea despre permiterea ping-ului de la router1
6. Să ne uităm la problemele mai complexe ale listelor de acces extinse. Să creăm o topologie
.
Figura 9.4.
Utilizați comutatoare model 1912. Router1 este Model 805. Router2 este Model 1605.
Atribuiți adrese IP routerelor
Pe Router1 și Router2 configuram RIP
Router(config)# ruter rip
Router(config-router)# rețeaua 1.0.0.0
Interfețele tuturor dispozitivelor trebuie să fie ping de la toate dispozitivele.
6.1. Lista de acces de la rețea la rețea.
Să creăm o listă care permite traficul din rețeaua locală a PC4 și PC5 către rețeaua locală a PC1 și interzice traficul din rețeaua locală a PC2 și PC3 către rețeaua locală a PC1. Deoarece traficul vine de la router2 la router1, ar trebui să puneți o listă de acces pe interfața serial2/0 a routerului1 pentru traficul de intrare
Router1(conf)# access-list 100 permis ip 1.1.1.0 0.0.0.127 1.1.3.0 0.0.0.255 jurnal
Router1(conf)# access-list 100 permis ip 1.1.2.0 0.0.0.255 orice jurnal
Prima comandă rezolvă direct sarcina, iar a doua permite difuzarea protocoalelor RIP. Să verificăm creația
Router1# arată lista de acces
Să aplicăm lista de acces la interfață.
Router1(conf)# interfață Serial2/0
Router1(conf-if)# grup de acces ip 100 in
Pentru a testa lista de acces, încercați să faceți ping PC1 de pe PC2, PC3, PC4 și PC5.
PC# Ping 1.1.3.2
Pentru PC2 și PC3, ping-urile nu vor funcționa. Pentru PC4 și PC5, ping-urile vor funcționa. Lista de acces funcționează. Uită-te la jurnalele de pe router1
6.2. lista de acces de la gazdă la gazdă.
Să creăm o listă de acces pe router2 care blochează accesul la PC5 numai de la PC2. Puteți controla încercările de acces prin jurnalele de pe router2.
Router2(conf)# lista de acces 101 deny ip 1.1.1.130 0.0.0.0 1.1.1.3 0.0.0.0 jurnal
Router2(conf)# lista de acces 101 permite ip orice
Să verificăm creația
Router2# arată lista de acces
Aplicați lista de acces la routerul de interfață Ethernet rapidă2
Router2(conf)# interfață FastEthernet0/0
Router2(conf-if)# grup de acces ip 101 in
Alăturați-vă PC2 și verificați că nu puteți debloca PC5
PC2# Ping 1.1.1.3
Un jurnal va apărea pe router2
Alăturați-vă PC3 și vedeți dacă puteți dezactiva PC5.
PC3# Ping 1.1.1.3
Un jurnal va apărea pe router2
6.3. Lista de acces la rețea-gazdă.
Să eliminăm mai întâi listele de acces anterioare din interfețele Router1 și Router2.
Router1(conf)# interfață Serial2/0
Router1(conf-if)# fără acces IP-grup 100 in
Router2(conf)# interfață FastEthernet0/0
Router2(conf-if)# fără acces IP-grup 101 in
Să creăm o listă de acces extinsă care blochează tot traficul către PC1 din rețeaua locală a PC2 și PC3. Deoarece blocăm tot traficul, vom folosi protocolul IP.
Router2(conf)#access-list 102 deny ip 1.1.1.128 0.0.0.127 1.1.3.2 0.0.0.0 log
Router2(conf)#access-list 102 permite ip orice
Să verificăm creația
Router2# arată lista de acces
Aplicați lista traficului de ieșire pe interfața Serial2/0 Router2
Router2(conf)# interfață Serial2/0
Router2(conf-if)# Ieșire grupul de acces ip 102
Pentru a verifica lista, încercați să faceți ping PC1 (1.1.3.2) de la PC2 și PC3. Ping-urile nu vor funcționa. Din anumite motive, simulatorul nu oferă un jurnal pe consola Router2. Dar puteți vedea efectul așa
Vedeți după fiecare ping nereușit numărul de pachete urmărite (potriviri) crește.
1. Ce este un ACL?
2. Ce adresă este criteriul de admitere/refuzare a unui pachet?
3. Unde sunt aplicate ACL-urile?
4. Cum să setați o intrare ACL și ce este o mască inversă?
5. Cum gestionează routerul intrările ACL?
6. Ce element este întotdeauna implicit într-un ACL?
7. Cum poate fi aplicat un ACL unei interfețe și apoi anulat?
8. Cum este un ACL de intrare diferit de unul de ieșire?
10. Care sunt cele trei comenzi pentru a verifica conținutul ACL și legarea la interfață.
11. Ce filtrează ACL-urile extinse?
12. Ce funcționalitate suplimentară au ACL-urile extinse față de ACL-urile standard?
13. Este posibil, folosind ACL-uri extinse, să se impună restricții asupra traficului către un anumit serviciu TCP/IP?
14. Descrieți procedura pentru crearea unui ACL numit.
15. Cum pot edita o anumită linie într-un ACL numeric?
16. Cum se editează o anumită linie într-un ACL numit?
17. Care este diferența dintre formatele de comandă pentru introducerea elementelor ACL numerice și numite?
Informații similare.
Astăzi vă voi spune despre cum să filtrați traficul în rețea folosind listele de control al accesului. Luați în considerare modul în care funcționează, respectiv, ce sunt, pentru ce sunt destinate. Mai târziu voi arăta cum sunt configurate în Cisco IOS și voi posta o arhivă cu laboratoare pentru a vă consolida cunoștințele.
Introducere
ACL (Access Control List) este un set de expresii text care permit sau interzice ceva. De obicei, ACL permite sau refuză pachetele IP, dar, printre altele, poate privi în interiorul pachetului IP, se poate uita la tipul de pachet, la porturile TCP și UDP. ACL-uri există și pentru diferite protocoale de rețea (IP, IPX, AppleTalk și așa mai departe). Practic, utilizarea listelor de acces este considerată din punct de vedere al filtrarii pachetelor, adică filtrarea pachetelor este necesară în situațiile în care aveți echipamente la marginea Internetului și dvs. rețea privatăși trebuie să filtrați traficul inutil.Plasați un ACL pe direcția de intrare și blocați traficul în exces.
Teorie
Funcționalitatea ACL este de a clasifica traficul, trebuie să îl verificați mai întâi și apoi să faceți ceva cu el, în funcție de locul în care este aplicat ACL. ACL se aplică peste tot, de exemplu:- Pe interfață: filtrarea pachetelor
- Pe linia Telnet: restricții de acces la router
- VPN: ce trafic trebuie criptat
- QOS: ce fel de trafic ar trebui procesat
- NAT: ce adrese de difuzat
Un pachet sosește din rețeaua privată pe interfața routerului fa0/1, routerul verifică dacă există sau nu un ACL pe interfață, dacă este, apoi procesarea ulterioară se efectuează conform regulilor listei de acces strict în ordinea în care sunt scrise expresiile, dacă lista de acces permite trecerea pachetului, atunci în acest caz routerul trimite pachetul către furnizor prin interfața fa0/0, dacă lista de acces nu permite trecerea pachetului, pachetul este distrus. Dacă nu există o listă de acces, pachetul zboară fără restricții. Înainte de a trimite pachetul către ISP, routerul verifică și interfața fa0/0 pentru un ACL de ieșire. Problema este că ACL poate fi atașat pe interfață ca intrare sau procedură. De exemplu, avem un ACL cu o regulă care interzice tuturor nodurilor de pe Internet să trimită pachete în rețeaua noastră.
Deci la ce interfață ar trebui să atașez acest ACL? Dacă atașăm un ACL la interfața fa0/1 ca ieșire, acest lucru nu va fi complet corect, deși ACL-ul va funcționa. La router ajunge o cerere de ecou pentru o gazdă din rețeaua privată, verifică dacă există un ACL pe interfața fa0 / 0, nu există, apoi verifică interfața fa0 / 1, există un ACL pe această interfață , este configurat ca de ieșire, totul este corect pachetul nu pătrunde în rețea, ci este distrus de router. Dar dacă atașăm un ACL în spatele interfeței fa0 / 0 ca primit, atunci pachetul va fi distrus imediat ce ajunge la router. Ultima soluție este corectă, deoarece routerul își încarcă mai puțin resursele de calcul. ACL-urile extinse trebuie plasate cât mai aproape de sursă posibil, în timp ce ACL-urile standard ar trebui plasate cât mai aproape de destinație.. Acest lucru este necesar pentru a nu conduce pachete în rețea în zadar.
ACL în sine este un set de expresii text în care este scris permite(permite) sau nega(interzice), iar prelucrarea se realizează strict în ordinea în care sunt date expresiile. În consecință, atunci când pachetul atinge interfața, acesta este verificat pentru prima condiție, dacă prima condiție se potrivește cu pachetul, procesarea lui ulterioară se oprește. Pachetul fie va merge mai departe, fie va fi distrus.
Din nou, dacă pachetul corespunde condiției, nu este procesat în continuare. Dacă prima condiție nu se potrivește, a doua condiție este procesată, dacă se potrivește, procesarea se oprește, dacă nu, a treia condiție este procesată și așa mai departe până când toate condițiile sunt verificate, dacă niciuna dintre condiții nu se potrivește, pachetul este pur și simplu distrus. Amintiți-vă, la fiecare capăt al listei este implicit un deny any (interzice tot traficul). Fiți foarte atenți la aceste reguli pe care le-am evidențiat, deoarece erorile de configurare sunt foarte frecvente.
ACL-urile sunt împărțite în două tipuri:
- Standard (Standard): poate verifica numai adresele sursă
- Extins (Extins): poate verifica adresele sursă precum și adresele de destinație, în cazul IP și tipul de protocol și porturile TCP/UDP
- Standard: de la 1 la 99
- Extins: de la 100 la 199
ACL folosește masca WildCard pentru a filtra adresele. Aceasta este o mască inversă. Luăm expresia șablon: 255.255.255.255 și scădem masca obișnuită din șablon.
255.255.255.255-255.255.255.0, obținem masca 0.0.0.255, care este masca obișnuită 255.255.255.0, doar 0.0.0.255 este masca WildCard.
Tipuri de ACL-uri
Dinamic (ACL dinamic)
Vă permite să faceți următoarele, de exemplu, aveți un router care este conectat la un server și trebuie să blocăm accesul la acesta din lumea exterioară, dar în același timp există mai multe persoane care se pot conecta la server.Am configurat o listă de acces dinamic, o atașăm la direcția de intrare, iar apoi oamenii care trebuie să se conecteze se conectează prin Telnet la acest aparat, ca urmare, un ACL dinamic deschide un pasaj către server și deja o persoană poate intra, să spunem prin HTTP, să ajungă la server. În mod implicit, acest pasaj se închide după 10 minute și utilizatorul este forțat să intre din nou Telnet pentru a se conecta la dispozitiv.
Reflexiv (ACL reflexiv)
Aici situația este puțin diferită, când o gazdă din rețeaua locală trimite o solicitare TCP către Internet, trebuie să avem o trecere deschisă pentru ca răspunsul TCP să vină pentru a stabili o conexiune. Dacă nu există pasaj, nu vom putea stabili o conexiune, iar atacatorii pot folosi acest pasaj, de exemplu, pentru a pătrunde în rețea. ACL-urile reflectorizante funcționează în acest fel, accesul este complet blocat (deny any), dar se formează un alt ACL special care poate citi parametrii sesiunilor utilizatorilor care sunt generați din rețeaua locală și le deschide un pasaj în deny any, ca urmare , se dovedește că nu se pot instala de pe Internet compus. Iar la sesiunile generate din rețeaua locală vor veni răspunsuri.ACL bazat pe timp
Un ACL normal, dar cu o limită de timp, puteți introduce un program special care activează o anumită intrare în lista de acces. Și pentru a face un astfel de truc, de exemplu, scriem o listă de acces în care interzicem accesul HTTP în timpul zilei de lucru și o atârnăm pe interfața routerului, adică angajații întreprinderii vin la muncă, accesul HTTP le este închis. , ziua lucrătoare s-a încheiat, accesul HTTP este deschis ,te rog, dacă vrei - stai pe internet.
Setare
ACL-urile în sine sunt create separat, adică este doar un fel de listă care este creată în configurația globală, apoi este atribuită interfeței și abia apoi începe să funcționeze. Există câteva lucruri de reținut pentru a configura corect listele de acces:- Prelucrarea se realizează strict în ordinea în care sunt scrise condițiile.
- Dacă pachetul corespunde condiției, nu este procesat în continuare.
- La sfârșitul fiecărei liste de acces este implicit un refuz orice (interzice totul)
- ACL-urile extinse trebuie plasate cât mai aproape de sursă posibil, în timp ce ACL-urile standard ar trebui plasate cât mai aproape de destinație.
- Nu puteți plasa mai mult de 1 listă de acces pe interfață, pe protocol, pe direcție
- ACL nu afectează traficul generat de router în sine
- Masca WildCard este folosită pentru a filtra adresele
Lista de acces standard
Router(config)# lista de acces <номер списка от 1 до 99> (permis | refuza | observație) (adresă | orice | gazdă)- licență: permite
- negat: interzice
- cometariu: Comentariul listei de acces
- abordare: refuza sau permite rețeaua
- orice: permite sau nega totul
- gazdă: permite sau refuza gazda
- sursă-wildcard: Mască de rețea wildcard
- Buturuga: activați înregistrarea pachetelor care trec prin această intrare ACL
Lista de acces extinsă
Router(config)# lista de acces <номер списка от 100 до 199> (permis | refuza | observație) sursa protocolului[ operator operand][ port <порт или название протокола>- sursa protocolului: ce protocol vom permite sau închide (ICMP, TCP, UDP, IP, OSPF etc.)
- negat: interzice
- operator:
A.B.C.D - adresa destinatarului
orice - orice gazdă finală
eq - numai pachete pe acest port
gt - numai pachete cu un număr mare de port
gazdă - singura gazdă finală
lt - numai pachetele cu un număr de port mai mic
neq - numai pachetele nu sunt activate aceasta camera port
interval - interval de porturi - port: numărul de port (TCP sau UDP), puteți specifica un nume
- stabilit: permite trecerea segmentelor TCP care fac parte dintr-o sesiune TCP deja creată
Atașarea la interfață
Router(config-if)# grup de acces ip <номер списка или имя ACL> (in | afara)- în: direcția de intrare
- afară: direcția de ieșire
Liste de acces denumite
Router(config)# lista de acces ip (standard | extins) (<номер ACL> | <имя ACL>}Router(config-ext-nacl)# (implicit | refuza | ieșire | nu | permis | observație)
- standard: ACL standard
- extensie: ACL extins
- Mod implicit: setați comanda la implicit
Restricționarea accesului la router
R(config)# linia vty 0 4 - mergeți la modul de setare a liniilor virtuale.R(linia de configurare)# parola <пароль>
R(linia de configurare)# Autentificare
R(linia de configurare)# clasa de acces 21 în- configurați o autentificare și o parolă și, de asemenea, stabiliți o listă de acces cu adrese IP permise.
Liste de acces dinamic
R3(config)# nume de utilizator student parola 0
cisco - creați utilizatori pentru a se conecta prin Telnet.
R3(config)# lista de acces 101 permite tcp orice gazdă 10.2.2.2 eq telnet
R3(config)# lista de acces 101 dynamic testlist timeout 15 permis ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 - permite tuturor nodurilor să se conecteze la server prin Telnet.
R3(config)#interfață serial 0/0/1
R3(config-if)# grup de acces ip 101 in - atribuiți 101 ACL interfeței în direcția de intrare.
R3(config)# linia vty 0 4
R3 (linie de configurare) # autentificare locală
R3 (linie de configurare) # autocomandă acces-activare timeout gazdă 5 - de îndată ce utilizatorul este autentificat, rețeaua 192.168.30.0 va fi disponibilă, după 5 minute de inactivitate sesiunea va fi închisă.
Liste de acces reflexive
R2(config)# lista de acces ip extinsă FILTRE DE OUTBOUND
R2(config-ext-nacl)# permis tcp 192.168.0.0 0.0.255.255 orice reflectă TCPTRAFFIC
R2(config-ext-nacl)# permis icmp 192.168.0.0 0.0.255.255 orice reflectă ICMPTRAFFIC - forțăm routerul să urmărească traficul care a fost inițiat din interior.
R2(config)# lista de acces ip extinsă FILTRE DE INBOUND
R2(config-ext-nacl)# a evalua TCPTRAFFIC
R2(config-ext-nacl)# a evalua ICMPTRAFFIC - creați o politică de intrare care necesită verificarea routerului trafic de intrare pentru a vedea dacă este inițiat din interior și legați TCPTRAFFIC la INBOUNDFILTERS.
R2(config)# interfata serial 0/1/0
R2(config-if)# grup de acces ip INBOUNDFILTER în
R2(config-if)# grup de acces ip OUTBOUNDFILTERS out - aplicați ACL-urile de intrare și de ieșire la interfață.
Limita
R1(config)# interval de timp ORICE ALTA ZI
R1(config-time-range)# periodic Luni Miercuri Vineri 8:00 - 17:00 - creați o listă de ore în care adăugăm zilele săptămânii și ora.
R1(config)# lista de acces 101 permis tcp 192.168.10.0 0.0.0.255 orice interval de timp telnet eq EVERYOTHERDAY - aplicați intervalul de timp la ACL.
R1(config)#interfață s0/0/0
R1(config-if)# grup de acces ip 101 out - atribuim ACL interfeței.
Depanare
R# afișează listele de acces(număr ACL | nume) - vedeți informații despre lista de acces.R# afișează listele de acces- ne uităm la toate listele de acces de pe router.
Exemplu
Router# afișează listele de accesLista de acces IP extinsă Nick
permis gazdă ip 172.168.1.1 gazdă 10.0.0.5
deny ip any any (16 meci(e))
Lista de acces IP standard porecla5
permis 172.16.0.0 0.0.255.255
Vedem că avem două ACL-uri (standard și extinse) numite nick și nick5. Prima listă permite gazdei 172.16.1.1 să se adreseze prin IP (ceea ce înseamnă că toate protocoalele care rulează peste IP sunt permise) să găzduiască 10.0.0.5. Tot restul traficului este refuzat de comanda deny ip any any. Alături de această condiție, în exemplul nostru, scrie (16 potrivire (e)). Aceasta arată că 16 pachete au căzut în această condiție.
Al doilea ACL permite trecerea traficului din orice sursă din rețeaua 172.16.0.0/16.
Practică
Am compilat laboratoarele Packet Tracer din capitolul 5 al cursului CCNA 4 despre ACL. Dacă aveți dorința de a consolida cunoștințele în practică, vă rugăm -ACL- liste de control acces.
Puteți atribui o singură listă la:
- fiecare protocol
- fiecare interfață
- trafic de intrare și de ieșire
Un ACL nu are niciun efect asupra traficului generat de router în sine.
Sunt:
ACL-uri standard - filtrează pachetele numai după adresa IP sursă
ACL-uri extinse - filtrează după:
- adresa IP sursă
- Destinatia adresei IP
- Porturi sursă TCP sau UDP
- Porturi de destinație TCP sau UDP
- tip de protocol (nume sau număr)
Precum și:
1. ACL-uri numerotate:
- 1 până la 99 și 1300 până la 2000 sunt ACL-uri IP standard
- 100 la 199 și 2000 la 2699 - ACL-uri IP extinse
2. Numiți - sunt mai comod de utilizat, deoarece le puteți preciza scopul. Cerințe privind numele:
- poate conține litere și cifre
- numele se presupune a fi scrise cu majuscule
- numele nu pot conține spații sau semne de punctuație
Puteți adăuga și elimina intrări în ACL-uri denumite.
Cum sunt aplicate ACL-urile
1. Creați un ACL specificând un număr sau un nume și specificați condiții.
2. Alocați un ACL unei interfețe sau unei linii terminale.
Cum funcționează un ACL standard
1. Un pachet ajunge la interfață
2. Se verifică dacă există un ACL la intrarea interfeței.
3. Verificați dacă ACL este standard.
4. Adresa sursă este comparată cu prima intrare.
5. Dacă nu se potrivește, se compară cu următoarea intrare.
6. Dacă nu se potrivește cu nicio înregistrare, atunci este aruncată.
7. Dacă se potrivește cu orice intrare, săriți sau renunțați conform regulii.
8. Dacă ratați, căutați adresa de destinație în tabelul de rutare.
9. Dacă există, trimiteți-l la interfața necesară.
10. Dacă nu - aruncări.
Reguli de plasare ACL:
- ACL-urile standard ar trebui să fie situate mai aproape de rețeaua de destinație
- ACL-uri extinse - mai aproape de rețeaua sursă.
Creați un ACL standard numerotat
Router(config)#access-list număr-listă-acces
sursă
De exemplu:
R1(config)# lista de acces 10 remarcă Permis pentru 192.168.0.0 LAN - descrieți ACL sau fiecare intrare din ACL
R1(config)# permis-lista de acces 10 192.168.0.0
- pentru rețeaua de clasă
R1(config)# permis-lista de acces 10 192.168.5.0 0.0.0.128
- pentru rețeaua fără clasă
Eliminarea unui ACL
R1(config)# nicio listă de acces 10
Masca wildcard se formează scăzând masca rețelei necesare din masca 255.255.255.0, de exemplu
255.255.255.255
-
255.255.15.0
=
0.0.240.255
În ACL, în loc de adresa sursă, puteți specifica:
- în loc de 0.0.0.0 255.255.255.255 - orice
- in loc de adresa specifica tip gazdă 192.168.5.12 0.0.0.0 - gazdă 192.168.5.12
Aplicarea unui ACL standard numerotat pe interfață
Router(config-if)#ip acces-grup (număr-list-acces | nume-list-acces)
(in | afara)
De exemplu, ACL 10:
R1(config)# permis-lista de acces 10 192.168.0.0
R1(config)# permis-lista de acces 10 192.168.5.0 0.0.0.128
se aplică la intrarea interfeței Fastethernet 0/1
R1(config)# interfață f0/1
R1(config-if)#grup de acces ip 10 in
Configurarea ACL-urilor pentru liniile terminale virtuale
(în loc de parametru grup de acces folosit de clasa de acces):
R1(config-line)# clasa de acces număr-listă-acces
(in | afara)
de exemplu
R1(config)# permis-lista de acces 22 192.168.1.0
R1(config)# permis-lista de acces 22 192.168.2.0
R1(config)# linia vty 0 4- trebuie atribuit tuturor vty, deoarece utilizatorul se poate conecta la oricare dintre ele
R1(config-line)# autentificare locală
R1 (linia de configurare)# intrare de transport telnet
R1(config-line)# ip access-class 22 in
Editarea ACL-urilor numerotate
La editarea ACL-urilor numerotate, intrările sunt inserate în ordinea în care au fost introduse. Nu se poate lipi un nou record intre cei doi deja intrati. Dacă încă mai trebuie făcut, atunci:
- Copiați toate regulile din configurație în notepad.
- Introduceți înregistrările necesare.
- Ștergeți toate AC
- Copiați toate notele din blocnotes
- Lipiți în configurație.
ACL-uri standard denumite
R1(config)# IP access-list standard NUME- declara un ACL standard numit
R1(config-std-nacl)# remarcă Deny pentru gazdă 192.168.0.13
- descrie ACL
R1(config-std-nacl)# deny192.168.0.13
- creați reguli
R1(config-std-nacl)# permis192.168.0.0 0.0.0.255
R1(config-std-nacl)# interfață Fa0/0
R1(config-if)#IP access-group NAME out- legați ACL la interfață
Nu este necesar să numiți ACL-urile cu majuscule. Acest lucru se face pentru comoditate.
Vizualizarea și verificarea ACL-urilor
Se folosește comanda:
Router# arată listele de acces (număr-listă-acces | nume)
De exemplu,
R1# arată listele de acces- tipărește toate ACL-urile
R1# arată listele de acces 10- iese ACL numărul 10
R1# arată listele de acces NAM- scoate un ACL numit NAM
Editarea ACL-urilor denumite
ACL-urile denumite au prioritate față de ACL-urile numerotate. Sunt mai ușor de editat. Toate intrările de reguli din ACL-uri numite au număr de serie cu un pas de 10. i.e. prima regulă este numărul 10, a doua este numărul 20 și așa mai departe.
Prin urmare, puteți elimina intrări specifice din ACL-uri denumite, precum și puteți adăuga intrări între regulile existente, atribuindu-le un număr între numerele de regulă între care este adăugată noua regulă.
De exemplu, avem un ACL cu intrarea de sus:
R1# arată listele de acces
10 permis 192.168.10.10
Trebuie să mai adăugăm o regulă:
R1(config)# SERVER WEB standard pentru lista de acces
R1(config-std-nacl)# 15 permis192.168.10.13
Iată ce sa întâmplat:
R1# arată listele de acces
Lista de acces IP standard SERVER WEB
10 permis 192.168.10.10
15 permis 192.168.10.13
20 deny 192.168.10.0, biți wildcard 0.0.0.255
30 deny 192.168.12.0, biți wildcard 0.0.0.255
ACL-uri extinse
Listele de acces extinse fac posibilă filtrarea mai precisă a traficului, motiv pentru care sunt folosite mai des. Pe lângă adresa sursă, ei verifică și:
- protocol (IP, ICMP, TCP, UDP etc.)
- adresa de destinatie
- numărul portului (nu interfața)
Sintaxa comenzilor ACL numerotate extinse
Router(config)#access-list număr-listă-acces
protocol sursă
destinaţie
Unde:
număr-listă-acces- Număr ACL (100-199 și 2000-2699)
nega- blocați traficul
permite- permite traficul
Observație- descrierea regulii sau ACL
protocol- numele sau numărul protocolului. Practic este IP, ICMP, TCP, UDP.
sursă- Sursa adresei
sursă-wildcard- mască sursă inversă
destinaţie- adresa de destinatie
destinație-wildcard- mască de destinație inversă
operator- compară numerele de porturi. Poate fi: lt-mai mic decât, gt-mai mare decât, eq-egal, neq-nu este egal, gamă- include o gamă.
port- numarul portului
stabilit- Numai TCP - indică o conexiune stabilită.
Exemplu
R1(config)#access-list 103 permite tcp 192.168.10.0 0.0.0.255 orice eq 80- permitem accesul pe portul 80 din reteaua 192.168.10.0
R1(config)#access-list 103 permite tcp 192.168.10.0 0.0.0.255 orice eq 443- permitem accesul pe portul 443 din reteaua 192.168.10.0
R1(config)#access-list 104 permite tcp orice 192.168.10.0 0.0.0.255 stabilit- permiteți conexiuni tcp stabilite la rețeaua 192.168.10.0.
ACL-urile extinse sunt alocate interfețelor în același mod ca și ACL-urile standard. De exemplu:
R1(config)# interfață f0/1
R1(config-if)#Ieșire grupul de acces IP 103
R1(config-if)#grup de acces ip 104 in
Crearea unui ACL extins numit
R1(config)# IP access-list extins SURFING- declara un ACL extins numit pentru traficul de ieșire
R1(config-ext-nacl)# pernit tcp 192.168.10.0 0.0.0.255 orice eq 80 - creați reguli
R1(config-ext-nacl)# pernit tcp 192.168.10.0 0.0.0.255 orice eq 443
R1(config)# lista de acces extinsă NAVIGARE- declara un ACL extins numit pentru traficul de intrare
R1(config-ext-nacl)# pernit tcp orice 192.168.10.0 0.0.0.255 stabilit- creați reguli
ACL-uri complexe
ACL-urile standard și extinse pot fi baza pentru ACL-uri complexe pentru a îmbunătăți funcționalitatea. Sunt:
- Dinamic
- Reflexiv
- Cu limită de timp
ACL-uri dinamice
- dacă utilizatorul trebuie să acceseze orice dispozitiv din spatele routerului, trebuie mai întâi să se autentifice pe router prin Telnet. După aceea, routerul anumit timp dă acces, după care va fi necesară autentificarea din nou.
R1(config)#username Parola student 0 cisco- creați utilizatori pentru a se conecta prin Telnet fără privilegii.
R3(config)#access-list 101 permite tcp orice gazdă 10.2.2.2 eq telnet- vă permit să vă conectați la router de oriunde
R3(config)#access-list 101 dynamic testlist timeout 15 permis ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255- adăugați o intrare dinamică numită testlist, care va funcționa numai după stabilirea unei conexiuni prin Telnet timp de 15 minute, apoi se va opri. Această regulă permite accesul din rețeaua 192.168.10.0 la rețeaua 192.168.30.0.
R3(config)#interfață serial 0/0/1
R3(config-if)#ip acces-grup 101 în- atribuim ACL 101 interfeței în direcția de intrare.
R3(config)#line vty 0 4
R3(config-line)#login local
R3(config-line)#autocommand access-enable host timeout 5- de îndată ce utilizatorul se conectează la router, va fi executată o comandă automată care va da acces la rețeaua 192.168.30.0. Sesiunea Telnet se va închide apoi. Accesul la rețea va fi salvat și va fi închis după 5 minute de așteptare.
ACL-uri reflectorizante
- permite traficul din afara rețelei numai dacă a fost inițiat din interior. Inițial, tot traficul din exterior este închis. Lista de acces reține parametrii sesiunilor de utilizator care dau o solicitare în exterior. Răspunsul la aceste solicitări este verificat în raport cu parametrii sesiunii utilizatorului. ACL-urile reflectorizante au doar intrări temporare care sunt create automat cu fiecare sesiune. ACL-urile reflexive nu sunt aplicate direct pe interfață, ci sunt imbricate într-un ACL extins care este aplicat interfeței. ACL-urile reflexive pot fi definite numai în ACL-uri cu nume extinse și pot fi utilizate cu orice ACL.
R2(config)#ip acces-list extinsă FILTRĂRI OUTBOUNDFILTER- declara un ACL extins numit pentru traficul de ieșire.
R2(config-ext-nacl)#permit tcp 192.168.0.0 0.0.255.255 orice reflectă TCPTRAFFIC- forțăm routerul să urmărească traficul tcp care a fost inițiat din interior și îl salvăm în variabila TCPTRAFFIC.
R2(config-ext-nacl)#permit icmp 192.168.0.0 0.0.255.255 orice reflectă ICMPTRAFFIC- forțăm routerul să urmărească traficul icmp care a fost inițiat din interior și îl salvăm în variabila ICMPTRAFFIC.
R2(config)#ip access-list extins INBOUNDFILTERS- declara un ACL extins numit pentru traficul de intrare.
R2(config-ext-nacl)#evaluate TCPTRAFFIC- forțați routerul să compare parametrii traficului tcp de intrare cu variabila TCPTRAFFIC creată de regula OUTBOUNDFILTERS.
R2(config-ext-nacl)#evaluează ICMPTRAFFIC- forțați routerul să compare parametrii traficului icmp de intrare cu variabila ICMPTRAFFIC creată de regula OUTBOUNDFILTERS.
R2(config)#interfață serial 0/1/0
R2(config-if)#ip acces-grup INBOUNDFILTER în- aplicați ACL pentru traficul de intrare către interfață.
R2(config-if)#ip acces-grup OUTBOUNDFILTERS out- aplicați ACL pentru traficul de ieșire către interfață.
ACL cronometrat
- definește timpul în care funcționează o anumită intrare în ACL extins.
R1(config)#time-range EVERYOTHERDAY- declara variabila oră EVERYOTHERDAY.
R1(config-time-range)#periodic Luni Miercuri Vineri 8:00 - 17:00- atribuiți o listă de timpi pentru această variabilă, în care adăugăm zilele săptămânii și ora.
R1(config)#access-list 101 permite tcp 192.168.10.0 0.0.0.255 orice interval de timp telnet eq EVERYOTHERDAY- aplicati variabila la regula.
R1(config)#interfață s0/0/0
R1(config-if)#ip acces-grup 101 out- reparam ACL-ul pentru interfata.
Continuăm să dezvoltăm mica noastră rețea confortabilă Lift me Up. Am discutat deja problemele de rutare și stabilitate, iar acum am ajuns în sfârșit să ne conectăm la Internet. Suficientă izolare în mediul nostru corporativ!
Dar odată cu dezvoltarea apar noi probleme.
Mai întâi, un virus a paralizat un server web, apoi cineva a lovit un vierme care s-a răspândit în rețea, ocupând o parte din lățimea de bandă. Și un alt răufăcător a luat obiceiul să ghicească parolele pentru ssh pe server.
Vă puteți imagina ce se va întâmpla când ne vom conecta la internet?!
Așadar, astăzi:
1) învățarea să configurați diverse liste de control al accesului (Lista de control al accesului)
2) încercarea de a înțelege diferența dintre limitarea traficului de intrare și de ieșire
3) înțelegeți cum funcționează NAT, avantajele, dezavantajele și oportunitățile sale
4) în practică, vom organiza o conexiune la Internet prin NAT și vom crește securitatea rețelei folosind liste de acces.
Lista de control acces
Deci, ce avem de spus despre listele de acces? De fapt, subiectul este relativ simplu și doar cei leneși de la cursul CCNA nu sunt salvați. Dar de ce nu ar trebui să spargem povestea noastră uimitoare din cauza unui fel de prejudecăți?Care este scopul listelor de acces? S-ar părea că un răspuns complet evident este restricționarea accesului: a interzice ceva cuiva, de exemplu. În general, acest lucru este adevărat, dar trebuie înțeles într-un sens mai larg: nu este vorba doar de securitate. Adică, inițial, probabil, așa a fost, deci permiteși nega la setare. Dar, de fapt, ACL este un mecanism de filtrare versatil și puternic. Cu ajutorul lor, puteți determina de cine să agățați anumite politici și cine nu, cine va participa la anumite procese și cine nu, cine limităm viteza la 56k și cine la 56M.
Pentru a fi puțin mai clar, să luăm un exemplu simplu. Pe baza listelor de acces, rutarea bazată pe politici (PBR) funcționează. Puteți face astfel încât pachetele de intrare din rețelele 192.168.1.0/24 au fost trimise la next-hop 10.0.1.1 și din rețelele 192.168.2.0/24 până la 10.0.2.1 (rețineți că rutarea normală se bazează pe adresa de destinație a pachetului și automat toate pachetele sunt trimise la un hop următor):
La sfârșitul articolului, un exemplu de setare și .
Tipuri de ACL-uri
Bine, să uităm pentru o vreme versurile astea.În general, listele de acces sunt diferite:
- Standard
- Extins
- dinamic
- reflexiv
- Bazat pe timp
Trafic de intrare și de ieșire
Pentru început, să ne ocupăm de un singur lucru. Ce se înțelege prin trafic de intrare și de ieșire? Vom avea nevoie de asta în viitor. Traficul de intrare este cel care vine la interfață din exterior.
Outgoing - cel care este trimis de la interfață spre exterior.
Puteți aplica lista de acces fie la traficul de intrare, apoi pachetele inacceptabile nici măcar nu vor ajunge la router și, în consecință, mai departe în rețea, fie la ieșire, apoi pachetele ajung la router, sunt procesate de acesta, ajung la țintă. interfață și aruncați doar pe ea.
Lista de acces standard verifică doar adresa expeditorului. Extins - adresa expeditorului, adresa destinatarului și portul. Se recomandă ca ACL-urile standard să fie plasate cât mai aproape de destinatar (pentru a nu tăia mai mult decât este necesar), iar ACL-urile extinse sunt mai aproape de expeditor (pentru a elimina traficul nedorit cât mai devreme).
Practică
Să trecem direct în practică. Ce ar trebui să limităm în mica noastră rețea Lift Me Up?- server WEB. Permiteți accesul tuturor pe portul TCP 80 (protocol HTTP). Pentru dispozitivul de pe care se va efectua controlul (avem administrator), trebuie să deschideți telnet și ftp, dar îi vom acorda acces complet. Toți ceilalți închid
- Server de fișiere. Locuitorii din Lift mi Ap ar trebui să ajungă la el prin porturi pentru folderele partajate, iar toți ceilalți prin FTP.
- Server de mail. Aici avem SMTP și POP3 care rulează, adică porturile TCP 25 și 110. Deschidem și accesul de management pentru administrator. Îi blocăm pe alții
- Pentru viitorul server DNS, trebuie să deschideți portul UDP 53
- Permiteți mesajele ICMP către o rețea de servere
- Deoarece avem rețeaua Altă pentru toți non-partizanii care nu sunt incluși în FEO, VET și Contabilitate, le vom restricționa pe toate și le vom oferi doar un anumit acces (inclusiv nouă și administratorul)
- Din nou, numai administratorul ar trebui să aibă acces în rețeaua de control și, desigur, persoana iubită
- Nu vom construi bariere în calea comunicării între angajații departamentelor
1) Acces la serverul WEB
Aici avem o politică că tot ceea ce nu este permis este interzis. Prin urmare, acum trebuie să deschidem ceva și să închidem totul.Deoarece protejăm rețeaua de servere, vom atârna foaia și pe interfața care merge spre ele, adică pe FE0 / 0.3 Singura întrebare este în sau la afară trebuie sa facem asta? Dacă nu vrem să lăsăm pachetele să meargă către servere care sunt deja pe router, atunci acesta va fi trafic de ieșire. Adică, vom avea adrese de destinație în rețeaua de servere (dintre care vom alege spre ce server merge traficul), iar adresele sursă pot fi orice - atât din rețeaua noastră corporativă, cât și de pe Internet.
Încă o notă: deoarece vom filtra și după adresa de destinație (există unele reguli pentru serverul WEB, altele pentru serverul de e-mail), vom avea nevoie de o listă extinsă de control al accesului, doar că vă permite să faceți acest lucru.
Regulile din lista de acces sunt verificate în ordine de sus în jos până la primul meci. De îndată ce una dintre reguli a funcționat, indiferent dacă este permisă sau refuzată, verificarea se oprește și procesarea traficului are loc pe baza regulii care a funcționat.
Adică, dacă vrem să protejăm serverul WEB, atunci în primul rând trebuie să dăm permisiunea, pentru că dacă configuram în prima linie nega ip orice- atunci va merge mereu si traficul nu va merge deloc. Orice- acesta este un cuvânt special care înseamnă adresa de rețea și masca de retur 0.0.0.0 0.0.0.0 și înseamnă că absolut toate nodurile din orice rețele se încadrează sub regulă. Un alt cuvânt special gazdă- înseamnă masca 255.255.255.255 - adică exact o singură adresă specificată.
Deci, prima regulă: permiteți accesul tuturor pe portul 80
msk-arbat-gw1(config-ext-nacl)# remarcă WEB
orice gazdă 172.16.0.2 echivalent 80
Permite ( permite) Trafic TCP de la orice gazdă ( orice) a gazdui ( gazdă- exact o adresa) 172.16.0.2, adresata port-ului 80.
Încercăm să agățăm această listă de acces pe interfața FE0 / 0.3:
msk-arbat-gw1(config-subif)# ip acces-grup Servere-out afară
Verificăm de pe oricare dintre computerele noastre conectate: 
După cum puteți vedea, pagina se deschide, dar ce rămâne cu ping-ul? 
Și așa de la orice alt nod?
Faptul este că după toate regulile din ACL-urile CIS, un implicit nega ip orice(negare implicită). Ce înseamnă asta pentru noi? Orice pachet care părăsește interfața și care nu se potrivește cu niciuna dintre regulile din ACL este supus refuzului implicit și este abandonat. Adică cel puțin ping, cel puțin ftp, cel puțin orice nu va funcționa aici.
Să mergem mai departe: trebuie să acordăm acces deplin la computerul de pe care va fi efectuat controlul. Acesta va fi computerul administratorului nostru cu adresa 172.16.6.66 din rețeaua Altă.
Fiecare regulă nouă este adăugată automat la sfârșitul listei dacă există deja:
msk-arbat-gw1(config)#
msk-arbat-gw1(config-ext-nacl)# permit tcp gazdă 172.16.6.66 gazdă 172.16.0.2 interval 20 ftp
msk-arbat-gw1(config-ext-nacl)# permit tcp host 172.16.6.66 host 172.16.0.2 eq telnet
Asta e tot. Verificăm de la gazda dorită (deoarece telnetul nu este suportat de serverele din RT, verificăm pe FTP): 
Adică un mesaj FTP a sosit la router și trebuie să părăsească interfața FE0/0.3. Routerul verifică și vede că pachetul se potrivește cu regula pe care am adăugat-o și îl omite.
Și dintr-un nod străin 
Pachetul FTP nu se potrivește cu nicio regulă în afară de deny ip any any și este eliminat.
2) Acces la serverul de fișiere
Aici ar fi necesar în primul rând să se decidă cine va fi „rezidentul”, cui trebuie să i se acorde acces. Desigur, aceștia sunt cei care au o adresă din rețeaua 172.16.0.0/16 – le vom da doar acces.Acum cu foldere partajate. În majoritatea sistemelor moderne, protocolul SMB este deja folosit pentru aceasta, care are nevoie de portul TCP 445. La versiunile mai vechi, era folosit NetBios, care era alimentat prin trei porturi: UDP 137 și 138 și TCP 139. După ce am convenit cu administratorul nostru, am va configura portul 445 (adevărat pentru a verifica în cadrul RT, desigur, nu va funcționa). Dar, pe lângă aceasta, vom avea nevoie de porturi pentru FTP - 20, 21 și nu numai pentru gazdele interne, ci și pentru conexiunile de la Internet:
msk-arbat-gw1(config)# ip access-list extins Servers-out
msk-arbat-gw1(config-ext-nacl)# permit tcp 172.16.0.0 0.0.255.255 gazdă 172.16.0.3 echivalent 445
msk-arbat-gw1(config-ext-nacl)# permit tcp orice gazdă 172.16.0.3 interval 20 21
Aici am reaplicat construcția interval 20 21- pentru a seta mai multe porturi pe o linie. Pentru FTP, în general, doar al 21-lea port nu este suficient. Cert este că dacă îl deschideți numai pe acesta, atunci veți fi autorizat, dar nu va exista nici un transfer de fișiere.
0.0.255.255 - mască inversă (mască wildcard). Vom vorbi despre ce este vorba puțin mai târziu.
3) Acces la serverul de mail
Continuăm să câștigăm practică - acum cu un server de e-mail. În cadrul aceleiași liste de acces, adăugăm noile intrări de care avem nevoie.În loc de numerele de port pentru protocoalele utilizate pe scară largă, puteți specifica numele acestora:
msk-arbat-gw1(config)# ip access-list extins Servers-out
msk-arbat-gw1(config-ext-nacl)#permit tcp orice gazdă 172.16.0.4 eq pop3
msk-arbat-gw1(config-ext-nacl)#permit tcp orice gazdă 172.16.0.4 eq smtp
4) Server DNS
msk-arbat-gw1(config)# ip access-list extins Servers-outmsk-arbat-gw1(config-ext-nacl)# permis udp 172.16.0.0 0.0.255.255 gazdă 172.16.0.5 echivalent 53
5) ICMP
Rămâne să remediem situația cu ping-ul. Nu este nimic greșit în a adăuga regulile la sfârșitul listei, dar cumva va fi mai plăcut din punct de vedere estetic să le vezi la început.Folosim un truc simplu pentru asta. Pentru aceasta puteți folosi editor de text, De exemplu. Copiați piesa despre ACL-uri din show run și adăugați următoarele rânduri:
nicio listă de acces IP extinsă Servere-out
IP access-list extins Server-out
permit icmp orice
remarca WEB
observație FILE
remarcă MAIL
observați DNS
În prima linie, ștergem lista existentă, apoi o creăm din nou și listăm toate regulile noi în ordinea de care avem nevoie. Cu comanda din a treia linie, am permis trecerea tuturor pachetelor ICMP de la orice gazdă la orice gazdă.
Apoi, copiați totul în vrac și lipiți-l în consolă. Interfața interpretează fiecare linie ca o comandă separată și o execută. Astfel, am înlocuit lista veche cu cea nouă.
Verificați dacă există un ping:
Minunat.
Acest „cheat” este bun pentru configurația inițială sau dacă înțelegi exact ce faci. Într-o rețea de producție, atunci când configurați un ACL de la distanță, riscați să rămâneți fără acces la piesa personalizată de hardware.
Pentru a introduce o regulă la început sau la oricare alta Locul potrivit, puteți folosi această abordare:
IP access-list extins Server-out
1 permis icmp orice
Fiecare regulă din listă este numerotată cu un anumit pas, iar dacă puneți un număr înaintea cuvântului permis / refuza, regula nu va fi adăugată la sfârșit, ci la locul de care aveți nevoie. Din păcate, această caracteristică nu funcționează în RT.
Dacă este brusc necesar (toate numerele consecutive dintre reguli sunt ocupate), puteți oricând renumerota regulile (în acest exemplu, numărul primei reguli este 10 (primul număr) și creșterea este 10):
IP access-list resecvență Servere-out 10 10
Ca rezultat, Lista de acces la rețeaua serverului va arăta astfel:
IP access-list extins Server-out
permit icmp orice
remarca WEB
permite tcp orice gazdă 172.16.0.2 eq www
permite gazdă tcp 172.16.6.66 gazdă 172.16.0.2 interval 20 ftp
permite gazdă tcp 172.16.6.66 gazdă 172.16.0.2 eq telnet
observație FILE
permis tcp 172.16.0.0 0.0.255.255 gazdă 172.16.0.3 eq 445
permite tcp orice gazdă 172.16.0.3 interval 20 21
remarcă MAIL
permite tcp orice gazdă 172.16.0.4 eq pop3
permite tcp orice gazdă 172.16.0.4 eq smtp
observați DNS
permis udp 172.16.0.0 0.0.255.255 gazdă 172.16.0.5 eq 53
Acum administratorul nostru are acces doar la serverul WEB. Oferă-i acces deplin la întreaga rețea. Aceasta este prima temă.
6) Drepturile utilizatorilor din rețea Altele
Până acum am avut nevoie ține afară pe cineva undeva, așa că am fost atenți la adresa de destinație și am pus lista de acces pe traficul care iese din interfață. Acum avem nevoie nu eliberare: nicio solicitare de la computerele din Altă rețea nu ar trebui să iasă din limite. Ei bine, desigur, cu excepția celor pe care le permitem în mod special.msk-arbat-gw1(config)# ip access-list extins Other-in
msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.6.61 any
Aici nu am putea interzice mai întâi pe toată lumea și apoi să permitem câțiva selectați, pentru că absolut toate pachetele ar intra sub regula nega ip oriceși permite nu ar funcționa deloc.
Aplicați la interfață. De data aceasta la intrare:
msk-arbat-gw1(config)#int fa0/0.104
msk-arbat-gw1(config-subif)#ip acces-grup Altele-în în
adică toate pachetele IP de la o gazdă cu adresa 172.16.6.61 sau 172.16.6.66 au voie să meargă oriunde sunt destinate. De ce folosim și aici o listă de acces extinsă? La urma urmei, s-ar părea că verificăm doar adresa expeditorului. Pentru că i-am dat administratorului acces complet, dar oaspetele companiei Lift Me Up, de exemplu, care intră în aceeași rețea, nu are absolut acces la nimic în afară de Internet.
7) Rețeaua de control
Nimic complicat. Regula va arăta astfel:msk-arbat-gw1(config)# ip access-list extins management-out
msk-arbat-gw1(config-ext-nacl)# remarcă IAM
msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.6.61 172.16.1.0 0.0.0.255
msk-arbat-gw1(config-ext-nacl)# remarcă ADMIN
msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.6.66 172.16.1.0 0.0.0.255
Acest ACL este aplicat la ieșire pe interfața FE 0/0.2:
msk-arbat-gw1(config)# int fa0/0.2
msk-arbat-gw1(config-subif)#ip access-group Management-out
8) Nu mai sunt restricții
GataMască și mască inversă
Până acum, fără explicații, am dat un parametru ciudat de forma 0.0.255.255, care seamănă suspect cu o mască de subrețea.Puțin dificil de înțeles, dar masca din spate este cea care este folosită pentru a determina care gazde se vor potrivi cu regula.
Pentru a înțelege ce este o mască inversă, trebuie să știi ce este o mască obișnuită. Să începem cu cel mai simplu exemplu.
Rețea obișnuită cu 256 de adrese: 172.16.5.0/24, de exemplu. Ce înseamnă această intrare?
Și înseamnă exact următoarele
| Adresa IP. Notație zecimală | 172 | 16 | 5 | 0 |
| Adresa IP. Notație binară | 10101100 | 00010000 | 00000101 | 00000000 |
| 11111111 | 11111111 | 11111111 | 00000000 | |
| 255 | 255 | 255 | 0 |
O adresă IP este un parametru de 32 de biți împărțit în 4 părți, pe care sunteți obișnuit să le vedeți sub formă zecimală.
Masca de subrețea are și o lungime de 32 de biți - este de fapt un șablon, un șablon prin care se determină adresa de subrețea. Acolo unde există unele în mască, valoarea nu se poate modifica, adică partea 172.16.5 este complet neschimbată și va fi la fel pentru toate gazdele din această subrețea, dar cea cu zerouri variază.
Adică, în exemplul nostru, 172.16.5.0/24 este adresa de rețea, iar gazdele vor fi 172.16.5.1-172.16.5.254 (ultimele 255 sunt difuzate), deoarece 00000001 este 1 și 11111110 este 254 (vorbim 254). despre ultimul octet al adresei). /24 înseamnă că lungimea măștii este de 24 de biți, adică avem 24 de biți - partea constantă și 8 zerouri.
Un alt caz este atunci când avem o mască, de exemplu, 30 de biți, nu 24.
De exemplu 172.16.2.4/30. Hai sa o scriem asa:
| Adresa IP. Notație zecimală | 172 | 16 | 2 | 4 |
| Adresa IP. Notație binară | 10101100 | 00010000 | 00000010 | 00000100 |
| Mască de rețea. Notație binară | 11111111 | 11111111 | 11111111 | 11111100 |
| Mască de rețea. Notație zecimală | 255 | 255 | 255 | 252 |
După cum puteți vedea, doar ultimii doi biți se pot schimba pentru această subrețea. Ultimul octet poate lua următoarele 4 valori:
00000100 - adresa de subrețea (4 în zecimală)
00000101 - adresa nodului (5)
00000110 - adresa nodului (6)
00000111 - difuzare (7)
Orice în afara acesteia este o altă subrețea.
Adică acum ar trebui să vă fie puțin clar că masca de subrețea este o secvență de 32 de biți, unde mai întâi sunt unii, adică adresa de subrețea, apoi sunt zerouri, adică adresa gazdei. În același timp, zerourile și unuurile din mască nu se pot alterna. Adică masca este 11111111.11100000.11110111.00000000 imposibil
Ce este o mască inversă (wildcard)?
Pentru marea majoritate a administratorilor și a unor ingineri, aceasta nu este altceva decât o inversare a unei măști obișnuite. Adică, zerourile stabilesc mai întâi adresa piesei care trebuie neapărat să se potrivească, iar cele, dimpotrivă, partea liberă.
Adică, în primul exemplu pe care l-am luat, dacă doriți să filtrați toate gazdele din subrețeaua 172.16.5.0/24, atunci veți seta regula în lista de acces:
…. 172.16.5.0 0.0.0.255
Pentru că masca din spate ar arăta astfel:
00000000.00000000.00000000.11111111
În al doilea exemplu cu rețeaua 172.16.2.4/30, masca inversă va arăta astfel: 30 de zerouri și doi unu:
| Mască inversă. Notație binară | 00000000 | 00000000 | 00000000 | 00000011 |
| Mască inversă. Notație zecimală | 0 | 0 | 0 | 3 |
În consecință, parametrul din lista de acces va arăta astfel:
…. 172.16.2.4 0.0.0.3
Mai târziu, când mănânci un câine la calculele greșite ale măștilor și măștilor inversate, îți vei aminti cele mai utilizate numere, numărul de gazde dintr-o anumită mască, vei înțelege că în situațiile descrise se obține ultimul octet al măștii inverse. prin scăderea ultimului octet al măștii obișnuite din 255 (255-252 =3), etc. Între timp, trebuie să muncești din greu și să numeri)
Dar, de fapt, masca inversă este un instrument oarecum mai bogat, aici puteți combina adrese în cadrul aceleiași subrețele sau chiar combina subrețele, dar cea mai importantă diferență este că puteți alterna zerouri și unu. Acest lucru vă permite, de exemplu, să filtrați o anumită gazdă (sau grup) pe mai multe subrețele cu o singură linie.
Exemplul 1
Dat: reteaua 172.16.16.0/24Necesar: filtrați primele 64 de adrese (172.16.16.0-172.16.16.63)
Soluţie: 172.16.16.0 0.0.0.63
Exemplul 2
Dat: rețelele 172.16.16.0/24 și 172.16.17.0/24Necesar: filtrează adresele din ambele rețele
Soluţie: 172.16.16.0 0.0.1.255
Exemplul 3
Dat: Rețele 172.16.0.0-172.16.255.0Necesar: filtru gazdă cu adresa 4 din toate subrețelele
Soluţie: 172.16.0.4 0.0.255.0
Funcționarea ACL în imagini
Rețea ipotetică:
1) Pe routerul RT1 de pe interfața FE0 / 1, totul este permis pentru intrare, cu excepția ICMP.
2) SSH și TELNET sunt interzise pe routerul RT2 de pe interfața FE0/1
Teste
pe care se poate face clic
1) Ping de la PC1 la Server1 
2) TELNET de la PC1 la Server1 
3) SSH de la PC1 la Server2 
4) Ping de la Server2 la PC1 
Suplimente
1) Regulile care afectează traficul de ieșire (out) nu vor filtra traficul dispozitivului în sine. Adică, dacă trebuie să refuzați accesul la cisco în sine undeva, atunci va trebui să filtrați traficul de intrare pe această interfață (răspuns de unde doriți să refuzați accesul).2) Cu ACL este necesar să fie mai precis. Cu o mică eroare într-o regulă, o ordine de configurare incorectă sau o listă în general prost gândită, puteți rămâne fără acces la dispozitiv.
De exemplu, doriți să blocați accesul oriunde pentru rețeaua 172.16.6.0/24, cu excepția adresei dvs. 172.16.6.61 și să setați regulile astfel:
deny ip 172.16.6.0 0.0.0.255 orice
De îndată ce aplicați un ACL pe o interfață, veți pierde imediat accesul la router, deoarece vă încadrați sub prima regulă, iar a doua nici măcar nu este verificată.
A doua situație neplăcută care ți se poate întâmpla este că traficul care nu ar fi trebuit să ajungă sub ACL va scădea.
Imaginați-vă această situație: avem un server FTP în camera noastră de servere modul pasiv. Pentru a-l accesa, ați deschis cel de-al 21-lea port din ACL Servere scoase. După ce conexiunea inițială este stabilită, serverul FTP îi spune clientului portul pe care este gata să transfere/primi fișiere, de exemplu, 1523rd. Clientul încearcă să stabilească o conexiune TCP pe acest port, dar dă peste ACL Servers-out, unde nu există o astfel de permisiune - și basmul despre un transfer de succes se termină. În exemplul nostru de mai sus, unde am configurat accesul la serverul de fișiere, am deschis accesul doar în zilele de 20 și 21, pentru că acest lucru este suficient pentru exemplu. În viața reală, trebuie să te chinuiești. Câteva exemple de configurare ACL pentru cazuri comune.
3) Din punctul 2 rezultă o problemă foarte asemănătoare și interesantă.
V-a trecut prin minte, de exemplu, să atașați astfel de ACL-uri pe interfața de pe Internet:
acces-list out permis tcp gazdă 1.1.1.1 gazdă 2.2.2.2 eq 80
lista de acces în permis tcp host 2.2.2.2 orice eq 80
S-ar părea că gazda cu adresa 1.1.1.1 are acces pe cel de-al 80-lea port la serverul 2.2.2.2 (prima regulă). Și înapoi de la serverul 2.2.2.2 sunt permise conexiuni în interior.
Dar nuanța aici este că computerul 1.1.1.1 stabilește o conexiune PE al 80-lea port, dar de la altul, de exemplu, 1054, adică pachetul de răspuns de la server ajunge la socket-ul 1.1.1.1:1054, nu se încadrează sub regula în ACL pe IN și eliminată din cauza implicită deny ip any any.
Pentru a evita o astfel de situație și pentru a nu deschide porturi cu toată grămada, puteți recurge la un astfel de truc în ACL în:
permit tcp host 2.2.2.2 orice stabilit.
Detalii despre o astfel de decizie în unul dintre articolele următoare.
4) Vorbind despre lumea modernă, nu puteți ocoli un astfel de instrument precum grupurile de obiecte (Object-group).
Să presupunem că trebuie să creați un ACL care să lanseze trei adrese specifice pe Internet pe trei porturi identice, cu perspectiva extinderii numărului de adrese și porturi. Cum arată fără cunoștințe despre grupurile de obiecte:
ip access-list extins la INTERNET
permiteți gazda tcp 172.16.6.66 orice eq 80
permiteți gazda tcp 172.16.6.66 orice eq 8080
permiteți gazda tcp 172.16.6.66 orice eq 443
permiteți gazda tcp 172.16.6.67 orice eq 80
permiteți gazda tcp 172.16.6.67 orice eq 8080
permiteți gazda tcp 172.16.6.67 orice eq 443
permiteți gazda tcp 172.16.6.68 orice eq 80
permiteți gazda tcp 172.16.6.68 orice eq 8080
permiteți gazda tcp 172.16.6.68 orice eq 443
Pe măsură ce numărul parametrilor crește, devine din ce în ce mai dificil să mențineți un astfel de ACL, este ușor să faceți greșeli la configurarea lui.
Dar dacă ne întoarcem la grupuri de obiecte, atunci acesta ia următoarea formă:
serviciu de grup obiect INET-PORTS
descriere Porturi permise pentru unele gazde
tcp eq www
tcp eq 8080
tcp eq 443
Rețea de grup de obiecte HOSTS-TO-INET
descriere Gazdele au permisiunea de a naviga pe net
gazdă 172.16.6.66
gazdă 172.16.6.67
gazdă 172.16.6.68
Lista de acces IP extinsă INET-OUT
permite grupul de obiecte INET-PORTURI grupul de obiecte HOSTS-TO-INET orice
La prima vedere, pare oarecum amenințător, dar dacă te uiți, este foarte convenabil.
4) Informații foarte utile pentru depanare pot fi obținute din rezultatul comenzii Afișați listele de acces IP %ACL name%. În plus față de lista reală de reguli pentru ACL specificat, această comandă afișează numărul de potriviri pentru fiecare regulă.
Msk-arbat-gw1#sh IP acces-liste nat-inet
Lista extinsă de acces IP nat-inet
permite gazdă ip 172.16.6.61 orice
(4 meci(e))
Și adăugând la sfârșitul oricărei reguli Buturuga, vom putea primi mesaje despre fiecare meci în consolă. (acesta din urmă nu funcționează în PT)
NAT
Traducerea adreselor de rețea a fost un mecanism absolut necesar în economie din 1994. Multe sesiuni despre aceasta sunt rupte și pachete sunt pierdute.Cel mai des aveți nevoie de el pentru a vă conecta rețeaua locală la Internet. Problema este că teoretic există 255*255*255*255=4 228 250 625. 4 miliarde de adrese. Chiar dacă fiecare locuitor al planetei ar avea un singur computer, nu ar fi suficiente adrese. Și aici, cu excepția faptului că fiarele de călcat nu se conectează la internet. Oameni desteptiși-a dat seama de acest lucru la începutul anilor 90 și, ca soluție temporară, a propus împărțirea spațiului de adrese în public (alb) și privat (privat, gri).
Acestea din urmă includ trei intervale:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Le puteți folosi liber în rețeaua privată și, prin urmare, desigur, se vor repeta. Dar unicitatea? Cui îi va răspunde serverul WEB, la care a sosit o solicitare cu adresa de retur 192.168.1.1? Rostelecom? Companii Tatneft? Sau camera ta Long? Pe internetul mare, nimeni nu știe nimic despre rețelele private - nu sunt rutabile.
Aici intervine NAT. De în general, aceasta este o fraudă, o configurație. Pe dispozitivul atacator, adresa dumneavoastră privată, aproximativ vorbind, este pur și simplu înlocuită cu o adresă albă, care va apărea mai departe în pachet în timp ce se deplasează către serverul WEB. Dar adresele albe sunt foarte bine direcționate, iar pachetul se va întoarce cu siguranță înapoi la dispozitivul de natting.
Dar cum va înțelege, la rândul său, ce să facă cu el în continuare? De asta ne vom ocupa.
Tipuri de NAT
Static
În acest caz, o adresă internă este convertită într-o adresă externă. Și, în același timp, toate cererile care vin la adresa externă vor fi difuzate către cea internă. Ca și cum această gazdă ar fi proprietarul acestei adrese IP albe.Configurat cu următoarea comandă:
Router (config) # ip nat în interiorul sursei static 172.16.6.5 198.51.100.2
Ce se întâmplă:
1) Gazda 172.16.6.5 accesează serverul WEB. Trimite un pachet IP unde adresa de destinație este 192.0.2.2 și adresa sursă este 172.16.6.5.
2) În rețeaua corporativă, pachetul este livrat către gateway-ul 172.16.6.1, unde este configurat NAT
3) Conform comenzii configurate, routerul elimină antetul IP curent și îl schimbă cu unul nou, unde adresa albă 198.51.100.2 apare deja ca adresă de expeditor.
4) Pe internetul mare, pachetul actualizat ajunge la serverul 192.0.2.2.
5) El vede că răspunsul trebuie trimis la 198.51.100.2 și pregătește un pachet IP de răspuns. Ca adresă de expeditor, adresa reală a serverului este 192.0.2.2, adresa de destinație este 198.51.100.2
6) Pachetul zboară înapoi prin Internet, și nu faptul că în același mod.
7) Pe dispozitivul de navigare, este indicat ca toate cererile la adresa 198.51.100.2 sa fie redirectionate catre 172.16.6.5. Routerul scoate din nou segmentul TCP ascuns în interior și setează un nou antet IP (adresa sursă nu se schimbă, adresa de destinație este 172.16.6.5).
8) Prin rețeaua internă, pachetul este returnat inițiatorului, care nici măcar nu știe ce minuni i s-au întâmplat la graniță.
Și așa va fi cu toată lumea.
În același timp, dacă conexiunea este inițiată de pe Internet, pachetele automat, trecând prin dispozitivul de nating, ajung la gazda internă.
Această abordare este utilă atunci când aveți un server în rețea care are nevoie de acces complet din exterior. Desigur, nu puteți utiliza această opțiune dacă doriți să eliberați trei sute de gazde pe Internet printr-o singură adresă. Această versiune de NAT nu va ajuta în niciun fel la păstrarea adreselor IP albe, dar totuși poate fi utilă.
Dinamic
Aveți un grup de adrese albe, de exemplu, furnizorul v-a alocat o rețea 198.51.100.0/28 cu 16 adrese. Două dintre ele (prima și ultima) sunt adresa de rețea și adresa de difuzare, încă două adrese sunt atribuite echipamentului pentru a asigura rutarea. Puteți utiliza restul de 12 adrese pentru NAT și puteți elibera utilizatorii prin intermediul acestora.Situația este similară cu NAT static - o adresă privată este tradusă într-una externă - dar acum cea externă nu este clar fixată, ci va fi selectată dinamic din intervalul specificat.
Este configurat astfel:
Router(config)#ip nat pool lol_pool 198.51.100.3 198.51.100.14
Setați un grup (gamă) de adrese publice din care va fi selectată adresa pentru nating
Router(configurare)
#access-list 100 permis ip 172.16.6.0 0.0.0.255 orice
Am stabilit o listă de acces care trece toate pachetele cu o adresă sursă de 172.16.6.x, unde X variază 0-255.
Router(config)#ip nat în lista surselor 100 pool lol_pool
Cu această comandă, unim ACL creat și pool-ul.
Nici această opțiune nu este universală, de asemenea, nu veți putea elibera cei 300 de utilizatori pe Internet dacă nu aveți 300 de adrese externe. Imediat ce adresele albe sunt epuizate, nimeni nou nou nu va putea accesa Internetul. În același timp, acei utilizatori care au reușit deja să obțină o adresă externă pentru ei înșiși vor funcționa. Comanda vă va ajuta să renunțați la toate emisiunile curente și să eliberați adrese externe. clear ip nat traducere*
Pe lângă alocarea dinamică a adreselor externe, acest NAT dinamic diferă de NAT static prin faptul că, fără o setare separată de redirecționare a portului, o conexiune externă la una dintre adresele pool-ului nu mai este posibilă.
multi-la-unu
Următorul tip are mai multe nume: NAT Overload, Port Address Translation (PAT), IP Masquerading, Many-to-One NAT.Numele de familie vorbește de la sine - printr-o singură adresă externă, multe persoane private intră în lume. Acest lucru vă permite să rezolvați problema cu lipsa adreselor externe și să eliberați pe toată lumea în lume.
Aici ar fi necesar să se dea o explicație despre cum funcționează. Se poate imagina cum două adrese private sunt traduse într-una singură, dar cum înțelege routerul cine trebuie să trimită pachetul care a revenit de pe Internet la această adresă?
Totul este foarte simplu:
Să presupunem că două gazde din rețeaua internă primesc pachete către dispozitivul de origine. Ambele cu o cerere către serverul WEB 192.0.2.2.
Datele gazdei arată astfel:
Routerul descoperă pachetul IP de la prima gazdă, extrage segmentul TCP din acesta, îl imprimă și află din ce port se stabilește conexiunea. Are o adresă externă 198.51.100.2, la care se va schimba adresa din rețeaua internă.
Apoi, alege un port liber, de exemplu, 11874. Și ce face în continuare? Acesta împachetează toate datele la nivel de aplicație într-un nou segment TCP, unde 80 rămâne ca port de destinație (serverul WEB așteaptă conexiuni pe acesta), iar portul expeditor se schimbă de la 23761 la 11874. Acest segment TCP este încapsulat într-un nou IP un pachet în care adresa IP a expeditorului se schimbă de la 172.16.6.5 la 198.51.100.2.
La fel se întâmplă și pentru un pachet de la a doua gazdă, doar următorul port liber este selectat, de exemplu 11875. „Free” înseamnă că nu este încă ocupat de alte astfel de conexiuni.
Datele care sunt trimise pe Internet vor arăta acum astfel.
În tabelul său NAT, acesta introduce datele expeditorilor și destinatarilor
Pentru un server WEB, acestea sunt două solicitări complet diferite pe care trebuie să le proceseze fiecare individual. Apoi trimite înapoi un răspuns care arată astfel:
Când unul dintre aceste pachete ajunge la routerul nostru, el potrivește datele din acest pachet cu intrările sale din tabelul NAT. Dacă se găsește o potrivire, are loc procedura inversă - pachetul și segmentul TCP sunt returnate la parametrii lor originali doar ca destinație:
Și acum pachetele sunt livrate prin rețeaua internă către calculatoarele inițiatoare, care nici măcar nu știu că undeva datele lor au fost tratate atât de dur la graniță.
Fiecare dintre apelurile dvs. este o conexiune separată. Adică, ați încercat să deschideți o pagină WEB - acesta este protocolul HTTP folosind portul 80. Pentru a face acest lucru, computerul trebuie să stabilească o sesiune TCP cu un server la distanță. O astfel de sesiune (TCP sau UDP) este definită de două socket-uri: adresa IP locală: port local și adresa IP la distanță: port la distanță. Într-o situație normală, aveți o conexiune computer-server, dar în cazul unei conexiuni NAT, vor fi două, așa cum ar fi, un router-server și computerul crede că are o sesiune computer-server.
Setarea diferă destul de puțin: cu supraîncărcare suplimentară de cuvinte:
Router(config)#access-list 101 permis 172.16.4.0 0.0.0.255
Router(config)#ip nat în interiorul listei surse 101 interfață fa0/1 suprasarcina
Aceasta, desigur, păstrează capacitatea de a configura grupul de adrese:
Router(config)#ip nat pool lol_pool 198.51.100.2 198.51.100.14
Router(config)#access-list 100 permis 172.16.6.0 0.0.0.255
Router(config)#ip nat în lista surselor 100 pool lol_pool suprasarcina
Port forwarding
În caz contrar, ei spun și redirecționarea portului sau maparea.Când am început să vorbim despre NAT, am avut traducere unu-la-unu și toate cererile venite din exterior au fost redirecționate automat către gazda internă. Astfel, ar fi posibil să expuneți serverul în afara internetului.
Dar dacă nu aveți o astfel de oportunitate - sunteți limitat în adrese albe sau nu doriți să o expuneți la exterior cu toată grămada de porturi, ce ar trebui să faceți?
Puteți specifica ca toate cererile să vină la o anumită adresă din lista albă și port specific routerul trebuie redirecționat către portul corect al adresei interne dorite.
Router(config)#ip nat în interiorul sursei static tcp 172.16.0.2 80 198.51.100.2 80 extensibil
Utilizarea acestei comenzi înseamnă că o solicitare TCP care a venit de pe Internet la adresa 198.51.100.2 pe portul 80 va fi redirecționată către adresa internă 172.16.0.2 pe același port 80. Desigur, puteți, de asemenea, să redirecționați UDP și să redirecționați de la un port la altul. Acest lucru, de exemplu, poate fi util dacă aveți două computere care au nevoie de acces RDP din exterior. RDP folosește portul 3389. Nu puteți redirecționa același port către gazde diferite(când utilizați o singură adresă externă). Deci, puteți face așa:
Router(config)# ip nat în interiorul sursei static tcp 172.16.6.61 3389 198.51.100.2 3389
Router(config)# ip nat în interiorul sursei static tcp 172.16.6.66 3389 198.51.100.2 3398
Apoi, pentru a ajunge la computerul 172.16.6.61, porniți o sesiune RDP pe portul 198.51.100.2:3389 și pe 172.16.6.66 - 198.51.100.2:3398. Routerul în sine va împrăștia totul acolo unde este necesar.
Apropo, această comandă este caz special primul: ip nat interior sursă static 172.16.6.66 198.51.100.2. Numai în acest caz vorbim despre redirecționarea întregului trafic, iar în exemplele noastre - porturi specifice ale protocolului TCP.
Așa funcționează NAT în termeni generali. S-au scris o mulțime de articole despre caracteristicile sale, pro/contra, dar nu pot fi ignorate.
Punctele slabe și punctele forte ale NAT
+
- Pentru inceput NAT salvează adrese IP publice. Exact pentru asta a fost creat. Printr-o singură adresă, teoretic este posibil să emiti mai mult de 65.000 adrese gri(după numărul de porturi).- În al doilea rând, PAT și NAT dinamic este oarecum un firewall, împiedicând conexiunile externe să ajungă la punctele finale care ar putea să nu aibă propriul firewall și antivirus. Cert este că dacă un pachet ajunge la dispozitivul de natting din exterior, ceea ce nu este de așteptat sau nu este permis aici, acesta este pur și simplu aruncat.
Pentru ca un pachet să fie transmis și procesat, trebuie îndeplinite următoarele condiții:
1) Trebuie să existe o intrare în tabelul NAT pentru această adresă externă specificată ca adresă sursă în pachet
ȘI
2) Portul expeditorului din pachet trebuie să se potrivească cu portul pentru această adresă albă din intrare
ȘI
3) Portul de destinație din pachet este același cu portul din intrare.
SAU
Redirecționarea portului este configurată.
Dar nu este necesar să se ia în considerare NAT ca un firewall - acesta nu este altceva decât bunul său suplimentar.
- În al treilea rând, NAT se ascunde de priviri indiscrete structura internă a rețelei dvs. - atunci când trasați o rută din exterior, nu veți vedea nimic mai departe decât dispozitivul de natting.
-
NAT are și dezavantajele sale. Cele mai notabile dintre acestea sunt probabil următoarele:- Unele protocoale nu pot funcționa prin NAT fără cârje. De exemplu, FTP sau protocoale de tunel (în ciuda cât de simplu am configurat FTP în laborator, în viața reală acest lucru poate crea o mulțime de probleme)
- O alta problema consta in faptul ca sunt multe cereri de la o adresa la un server. Mulți au fost martori la asta când mergi la niște Rapidshare, iar el spune că a existat deja o conexiune de la IP-ul tău, crezi că „minte, câine”, iar acesta este vecinul tău deja suge. Din același motiv, au existat probleme cu ICQ atunci când serverele au refuzat să se înregistreze.
- O problemă care nu este foarte relevantă acum: încărcarea pe procesor și Berbec. Deoarece volumul de muncă este destul de mare în comparație cu rutarea simplă (nu trebuie doar să vă uitați la antetul IP, trebuie să îl eliminați, să eliminați antetul TCP, să îl adăugați la tabel, să înșurubați anteturi noi) în birouri mici sunt probleme cu asta.
Am dat peste o astfel de situație.
Unul dintre solutii posibile- transferați funcția NAT pe un computer separat sau pe un dispozitiv specializat, cum ar fi Cisco ASA.
Pentru jucătorii mari, ale căror routere transformă 3-4 vizualizări complete BGP, aceasta nu este o problemă acum.
Ce altceva trebuie să știi?
- NAT este folosit în principal pentru a oferi acces la Internet gazdelor cu adrese private. Dar există o altă utilizare - comunicarea între două rețele private cu spații de adrese suprapuse.
De exemplu, compania dumneavoastră cumpără o sucursală în Aktobe. Adresa dvs. este 10.0.0.0-10.1.255.255 și au 10.1.1.0-10.1.10.255. Intervalele se intersectează clar, nu va funcționa pentru a configura rutarea, deoarece aceeași adresă poate fi în Aktobe și la sediul dumneavoastră.
În acest caz, NAT este configurat la joncțiune. Deoarece nu avem adrese gri, putem selecta, de exemplu, intervalul 10.2.1.0-10.2.10.255 și facem traducere unu-la-unu:
10.1.1.1-10.2.1.1
10.1.1.2-10.2.1.2
…
10.1.10.255-10.2.10.255
În jucăriile mari pentru adulți, NAT poate fi implementat pe o placă separată (și adesea este) și nu va funcționa fără ea. Și pe piese de fier de birou, dimpotrivă, există aproape întotdeauna.
Odată cu introducerea pe scară largă a IPv6, nevoia de NAT'e va ajunge la nimic. Deja acum, clienții mari încep să fie interesați de funcționalitatea NAT64 - acesta este momentul în care aveți acces la lume prin IPv4, iar rețeaua internă este deja pe IPv6
Desigur, aceasta este doar o privire superficială asupra NAT și există încă o mare de nuanțe în care autoeducația te va ajuta să nu te îneci.
Practica NAT
Ce ne cere realitatea?1) Rețeaua de control nu are deloc acces la internet
2) Gazdele din rețeaua PTO au acces doar la site-uri specializate, de exemplu, site-ul
3) Dragi doamne contabile, trebuie să facem o fereastră în lumea băncilor client.
4) FEO să nu fie eliberat nicăieri, cu excepția directorului financiar
5) În rețeaua Altă, computerul nostru și computerul administratorului - le vom oferi acces deplin la Internet. Toate celelalte pot fi deschise la cerere scrisă.
6) Să nu uităm de sucursalele din Sankt Petersburg și Kemerovo. Pentru simplitate, haideți să configuram accesul complet pentru eniki de la aceste subrețele.
7) Cu servere o melodie separată. Pentru ei, vom configura redirecționarea portului. Tot ce avem nevoie:
a) Serverul WEB trebuie să fie disponibil pe portul 80
b) Server de e-mail pe 25 și 110
c) Serverul de fișiere este accesibil din lume prin FTP.
8) Calculatoarele de administrare și ale noastre trebuie să fie accesibile de pe Internet prin RDP. De fapt, acesta este modul greșit - pentru o conexiune la distanță, trebuie să utilizați o conexiune VPN și să utilizați RDP deja în rețeaua locală, dar acesta este un subiect pentru un articol separat, complet diferit.
Mai întâi, să pregătim locul de testare:
Conexiunea la internet se va organiza printr-un link existent furnizat de furnizor.
Merge în rețeaua furnizorului. Vă reamintim că totul în acest cloud este o rețea abstractă, care de fapt poate consta din zeci de routere și sute de switch-uri. Dar avem nevoie de ceva gestionabil și previzibil, așa că am pus un alt router aici. Pe de o parte, are o legătură de la comutator, pe de altă parte, un server pe Internet.
Avem nevoie de următoarele servere:
1. Două bănci client pentru contabili (sperbank.ru, mmm-bank.ru)
2. site pentru specialisti TV
3. Yandex (yandex.ru)
Pentru o astfel de conexiune, vom ridica un alt vlan pe msk-arbat-gw1. Numărul lui, desigur, este în concordanță cu furnizorul. Să fie VLAN 6
Să presupunem că furnizorul ne oferă subrețeaua 198.51.100.0/28. Primele două adrese sunt folosite pentru a organiza legătura (198.51.100.1 și 198.51.100.2), iar restul le folosim ca pool pentru NAT. Cu toate acestea, nimeni nu ne deranjează deloc să folosim adresa 198.51.100.2 pentru piscină. Să o facem: bazin: 198.51.100.2-198.51.100.14
Pentru simplitate, să presupunem că serverele noastre publice se află pe aceeași subrețea:
192.0.2.0/24
.
Știți deja cum să configurați un link și adrese.
Deoarece avem un singur router în rețeaua furnizorului și toate rețelele sunt conectate direct la acesta, nu este nevoie să configurați rutarea.
Dar msk-arbat-gw1 trebuie să știe unde să trimiteți pachetele pe Internet, așa că avem nevoie de o rută implicită:
msk-arbat-gw1(config)# ruta IP 0.0.0.0 0.0.0.0 198.51.100.1
Acum în ordine
Mai întâi, configurați un grup de adrese
msk-arbat-gw1(config)# ip nat pool main_pool 198.51.100.2 198.51.100.14 netmask 255.255.255.240
Acum colectăm ACL:
msk-arbat-gw1(config)# ip access-list extins nat-inet
1) Rețeaua de control
fara acces la internet delocGata
2) Gazde din rețeaua PTO
Au acces doar la site-uri specializate, de exemplu, site-ulmsk-arbat-gw1(config-ext-nacl)# permit tcp 172.16.3.0 0.0.0.255 gazdă 192.0.2.2 eq 80
3) Contabilitate
Oferim acces tuturor gazdelor de pe ambele serveremsk-arbat-gw1(config-ext-nacl)# permis ip 172.16.5.0 0.0.0.255 gazdă 192.0.2.3
msk-arbat-gw1(config-ext-nacl)# permis ip 172.16.5.0 0.0.0.255 gazdă 192.0.2.4
4) FEO
Oferim permisiunea doar directorului financiar - aceasta este o singură gazdă.msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.4.123 any
5) Altele
Calculatoarele noastre cu acces completmsk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.6.61 any
msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.6.66 any
6) Filiale din Sankt Petersburg și Kemerovo
Fie adresele enikias-urilor să fie aceleași: 172.16.x.222msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.16.222 any
msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.17.222 any
msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.24.222 any
Iată cum arată ACL-ul acum:
ip access-list extins nat-inet
remarcă PTO
permis tcp 172.16.3.0 0.0.0.255 gazdă 192.0.2.2 eq www
remarca CONTABILITATE
permis ip 172.16.5.0 0.0.0.255 gazdă 192.0.2.3
permis ip 172.16.5.0 0.0.0.255 gazdă 192.0.2.4
remarcă FEO
permite gazdă ip 172.16.4.123 orice
remarcă IAM
permite gazdă ip 172.16.6.61 orice
remarcă ADMIN
permite gazdă ip 172.16.6.66 orice
observa SPB_VSL_ISLAND
permite gazdă ip 172.16.16.222 orice
observa SPB_OZERKI
permiteți gazdă ip 172.16.17.222 orice
remarca KMR
permiteți gazdă ip 172.16.24.222 orice
Lansa:
msk-arbat-gw1(config)# ip nat în lista surselor nat-inet pool main_pool supraîncărcare
Dar fericirea nu va fi completă fără personalizarea interfețelor:
Pe interfața externă, trebuie să dai comanda ip nat afara
In interior: ip nat înăuntru
msk-arbat-gw1(config)# int fa0/0.101
msk-arbat-gw1(config)# int fa0/0.102
msk-arbat-gw1(config-subif)# ip nat interior
msk-arbat-gw1(config)# int fa0/0.103
msk-arbat-gw1(config-subif)# ip nat interior
msk-arbat-gw1(config)# int fa0/0.104
msk-arbat-gw1(config-subif)# ip nat interior
msk-arbat-gw1(config)# int fa0/1.6
msk-arbat-gw1(config-subif)# ip nat afară
Acest lucru va permite routerului să înțeleagă unde să aștepte pachetele care vor trebui procesate și unde să le trimită mai târziu.
Pentru a face serverele de pe Internet accesibile prin numele domeniului, ar fi bine pentru noi să obținem un server DNS în rețeaua noastră: 
Desigur, trebuie să fie înregistrat pe acele dispozitive de pe care vom verifica accesul: 
Spectacolul trebuie să continue!
Totul este disponibil de pe computerul de administrare: 
Din rețeaua PTO, există doar acces la site-ul pe portul 80 (HTTP): 
În rețeaua FEO, doar 4.123 ies în lume (director financiar) 
În departamentul de contabilitate lucrează doar site-urile web ale băncilor-clienți. Dar, din moment ce permisiunea este acordată complet protocolului IP, se pot face și ping: 
7) Servere
Aici trebuie să setăm redirecționarea portului, astfel încât acestea să poată fi accesate de pe Internet:
a) server web
msk-arbat-gw1(config)# ip nat în interiorul sursei static tcp 172.16.0.2 80 198.51.100.2 80Verificam imediat, de exemplu, putem face acest lucru de pe un PC de testare cu ares 192.0.2.7.
Acum nimic nu va funcționa, deoarece pentru rețeaua de server nu am configurat o interfață pe msk-arbat-gw1:
msk-arbat-gw1(config)# int fa0/0.3
msk-arbat-gw1(config-subif)# ip nat interior
Si acum:
b) Server de fișiere
msk-arbat-gw1(config)# ip nat în interiorul sursei static tcp 172.16.0.3 20 198.51.100.3 20msk-arbat-gw1(config)# ip nat în interiorul sursei static tcp 172.16.0.3 21 198.51.100.3 21
Pentru aceasta, în ACL Servers-out, am deschis și porturile 20-21 pentru toată lumea
c) Server de e-mail
msk-arbat-gw1(config)# ip nat în interiorul sursei static tcp 172.16.0.4 25 198.51.100.4 25msk-arbat-gw1(config)# ip nat în interiorul sursei static tcp 172.16.0.4 110 198.51.100.4 110
Nici nu este greu de verificat. Urmează instrucțiunile:
Mai întâi am configurat serverul de e-mail. Specificați domeniul și creați doi utilizatori.
Apoi, adăugăm domeniul la DNS. Acest pas este opțional - puteți accesa serverul și prin IP, dar de ce nu? 
Configurați un computer din rețeaua noastră: 
Din exterior: 
Pregatirea unei scrisori: 
Pe gazda locală, faceți clic pe Primire: 
8) Acces RDP la computerele de administrare și la noi
msk-arbat-gw1(config)# ip nat în interiorul sursei static tcp 172.16.6.61 3389 198.51.100.10 3389msk-arbat-gw1(config)# ip nat în interiorul sursei static tcp 172.16.6.66 3389 198.51.100.10 3398
Siguranță
În sfârșit, o remarcă. Cel mai probabil, dispozitivul de natting se uită la tine cu interfața sa IP nat în afară - la Internet. Prin urmare, nu ar strica să agăți un ACL pe această interfață, unde negi, permiți, ceea ce ai nevoie. Nu ne vom opri asupra acestei probleme în acest articol.În acest sens, prima cunoaștere cu tehnologia NAT poate fi considerată completă.
Ca alt DZ, răspundeți la întrebarea de ce nu există acces la internet de la computerele Eniki din Sankt Petersburg și Kemerovo. La urma urmei, le-am adăugat deja la lista de acces.
Eliberați materiale
lista de acces 101 permis ip 192.168.2.0 0.0.0.255 oriceCreăm o hartă a rutei, unde notăm că dacă pachetul este din rețea 192.168.2.0/24, atunci îi atribuim next-hop 10.0.2.1 (în loc de 10.0.1.1)
Harta rutei permisul CLIENT 5
se potrivește cu adresa IP 101
setați ip next-hop 10.0.2.1
Aplicați harta la interfață:
politica ip ruta-hartă CLIENT
Aceasta este doar una dintre utilizări Unealtă puternică Rutarea bazată pe politici, care, din păcate, nu este implementată în RT sub nicio formă.
Rata-limită
Folosind același exemplu, să limităm viteza pentru rețea 192.168.1.0/24 la 1,5 Mb/s și pentru 192.168.2.0/24 la 64 kb/s.
Pe 10.0.1.1, puteți rula următoarele comenzi:
Router(config)# lista de acces 100 permit ip 192.168.1.0 0.0.0.255 orice
Router(config)# lista de acces 101 permit ip 192.168.2.0 0.0.0.255 orice
Router(config)# interfață fa0/0
Router(config-if)# rate-limit output access-group 100 1544000 64000 64000 conform-acțiune transmitere depășește acțiunea scădere
Router(config-if)# rate-limit output access-group 101 64000 16000 16000 conform-acțiune transmitere depășește acțiunea scădere
Autori:
Marat eucariotMaxim alias Gluck
Mulțumiri speciale pentru ajutor în pregătirea articolului lui Dmitry JDima.
