Σύνθετα φύλλα πρόσβασης δρομολογητή συνόρων. Τι είναι τα ACL;

Παιδικά είδη 27.05.2019

Παιδικά είδη

ACL- λίστες ελέγχου πρόσβασης.

Μπορείτε να αντιστοιχίσετε μία λίστα σε:
- κάθε πρωτόκολλο
- κάθε διεπαφή
- εισερχόμενα και εξερχόμενη κυκλοφορία

Ένα ACL δεν έχει καμία επίδραση στην κίνηση που δημιουργείται από τον ίδιο τον δρομολογητή.

Υπάρχουν:
Τυπικά ACL - φιλτράρουν πακέτα μόνο κατά διεύθυνση IP πηγής
Εκτεταμένα ACL - φιλτράρισμα κατά:
- διεύθυνση IP πηγής
- διεύθυνση IP προορισμού
- Θύρες πηγής TCP ή UDP
- Θύρες προορισμού TCP ή UDP
- τύπος πρωτοκόλλου (όνομα ή αριθμός)

Και:
1. Αριθμημένα ACL:
- από 1 έως 99 και από 1300 έως 2000 - τυπικά IP ACL
- από 100 έως 199 και από 2000 έως 2699 - εκτεταμένα IP ACL
2. Με όνομα - είναι πιο βολικά στη χρήση, γιατί μπορείτε να προσδιορίσετε το σκοπό τους. Απαιτήσεις ονόματος:
- μπορεί να περιέχει γράμματα και αριθμούς
- αναμένεται να γραφτούν ονόματα με κεφαλαία γράμματα
- τα ονόματα δεν μπορούν να περιέχουν κενά ή σημεία στίξης
Μπορείτε να προσθέσετε και να αφαιρέσετε καταχωρήσεις σε επώνυμα ACL.

Πώς χρησιμοποιούνται τα ACL
1. Δημιουργήστε ένα ACL καθορίζοντας έναν αριθμό ή ένα όνομα και καθορίστε τις συνθήκες.
2. Εκχωρήστε ένα ACL σε μια διεπαφή ή μια τερματική γραμμή.

Πώς λειτουργεί ένα τυπικό ACL;
1. Ένα πακέτο φτάνει στη διεπαφή
2. Ελέγχεται εάν υπάρχει ACL στην είσοδο διασύνδεσης.
3. Ελέγχει εάν το ACL είναι στάνταρ.
4. Η διεύθυνση πηγής συγκρίνεται με την πρώτη εγγραφή.
5. Αν δεν ταιριάζει, συγκρίνεται με την επόμενη καταχώρηση.
6. Εάν δεν ταιριάζει με κανένα αρχείο, απορρίπτεται.
7. Εάν ταιριάζει με οποιοδήποτε ρεκόρ, παραλείψτε ή απορρίψτε σύμφωνα με τον κανόνα.
8. Αν περάσει, αναζητά τη διεύθυνση προορισμού στον πίνακα δρομολόγησης.
9. Εάν είναι διαθέσιμο, το στέλνει στην απαιτούμενη διεπαφή.
10. Αν όχι, πετάξτε το.

Κανόνες τοποθέτησης ACL:
- Τα τυπικά ACL θα πρέπει να βρίσκονται πιο κοντά στο δίκτυο προορισμού
- Εκτεταμένα ACL - πιο κοντά στο δίκτυο πηγής.

Δημιουργία ενός αριθμημένου τυπικού ACL
Router(config)#access-list πρόσβαση-λίστα-αριθμός πηγή
Για παράδειγμα:
R1(config)# Access-list 10 Remark Άδεια για 192.168.0.0 LAN -περιγράψτε το ACL ή κάθε καταχώρηση στο ACL
R1(config)# Άδεια λίστας πρόσβασης 10 192.168.0.0 - για δίκτυο τάξης
R1(config)# Άδεια λίστας πρόσβασης 10 192.168.5.0 0.0.0.128 - για ένα αταξικό δίκτυο
Αφαίρεση ACL
R1(config)# χωρίς λίστα πρόσβασης 10

Η μάσκα μπαλαντέρ σχηματίζεται αφαιρώντας τη μάσκα απαιτούμενο δίκτυοαπό τη μάσκα 255.255.255.0, για παράδειγμα
255.255.255.255
-
255.255.15.0
=
0.0.240.255

Στο ACL, αντί για τη διεύθυνση πηγής, μπορείτε να καθορίσετε:
- αντί για 0.0.0.0 255.255.255.255 - οποιοδήποτε
- αντί για μια συγκεκριμένη διεύθυνση κεντρικού υπολογιστή όπως 192.168.5.12 0.0.0.0 - κεντρικός υπολογιστής 192.168.5.12

Εφαρμογή ενός αριθμημένου τυπικού ACL σε μια διεπαφή
Router(config-if)#ip Access-group (πρόσβαση-λίστα-αριθμός | πρόσβαση-λίστα-όνομα) (μέσα | έξω)
Για παράδειγμα, ACL 10:
R1(config)# Άδεια λίστας πρόσβασης 10 192.168.0.0
R1(config)# Άδεια λίστας πρόσβασης 10 192.168.5.0 0.0.0.128
εφαρμόζεται στην είσοδο της διεπαφής Fastethernet 0/1
R1(config)# διεπαφή f0/1
R1(config-if)#ip Access-group 10 in

Ρύθμιση ACL για εικονικές τερματικές γραμμές (αντί για παράμετρο ομάδα πρόσβασηςμεταχειρισμένος κλάση πρόσβασης):
R1(config-line)# κλάση πρόσβασης πρόσβαση-λίστα-αριθμός (μέσα | έξω)
Για παράδειγμα
R1(config)# Άδεια πρόσβασης λίστας 22 192.168.1.0
R1(config)# Άδεια πρόσβασης λίστας 22 192.168.2.0
R1(config)# γραμμή vty 0 4- πρέπει να ανατεθεί σε όλα τα vtys, γιατί ο χρήστης μπορεί να συνδεθεί σε οποιοδήποτε από αυτά
R1(config-line)# τοπική σύνδεση
R1(config-line)# telnet εισόδου μεταφοράς
R1(config-line)# ip Access-class 22 in

Επεξεργασία αριθμημένων ACL
Κατά την επεξεργασία αριθμημένων ACL, οι εγγραφές εισάγονται με τη σειρά που εισήχθησαν. Δεν είναι δυνατή η επικόλληση νέα καταχώρησημεταξύ των δύο που έχουν ήδη μπει. Εάν εξακολουθείτε να χρειάζεται να το κάνετε αυτό, τότε:
- Αντιγράψτε όλους τους κανόνες από τη διαμόρφωση σε ένα σημειωματάριο.
- Εισαγάγετε τις απαραίτητες καταχωρήσεις.
- Αφαιρέστε όλο το AC
- Αντιγράψτε όλες τις καταχωρήσεις από το σημειωματάριο
- Το εισάγουμε στη διαμόρφωση.

Ονομασμένα τυπικά ACL
R1(config)# Πρότυπο λίστας πρόσβασης ip NAME- Δηλώστε ένα επώνυμο πρότυπο ACL
R1(config-std-nacl)# παρατήρηση Άρνηση για τον κεντρικό υπολογιστή 192.168.0.13- περιγράψτε το ACL
R1(config-std-nacl)# άρνηση192.168.0.13 - Δημιουργήστε κανόνες
Άδεια R1(config-std-nacl)#192.168.0.0 0.0.0.255
R1(config-std-nacl)# διεπαφή Fa0/0
R1(config-if)#ip πρόσβαση-ομάδα NAME έξω- συνδέστε το ACL στη διεπαφή
Δεν είναι απαραίτητο να ονομάζουμε ACL με κεφαλαία γράμματα. Αυτό γίνεται για ευκολία.

Προβολή και έλεγχος ACL
Η εντολή που χρησιμοποιείται είναι:
Ο δρομολογητής# εμφανίζει λίστες πρόσβασης (πρόσβαση-λίστα- αριθμός | όνομα)
Για παράδειγμα,
R1# εμφανίζει λίστες πρόσβασης- εμφανίζει όλα τα ACL
R1# εμφάνιση λιστών πρόσβασης 10- εμφανίζει τον αριθμό ACL 10
R1# εμφανίζει λίστες πρόσβασης NAM- εμφανίζει το ACL με όνομα NAM

Επεξεργασία με όνομα ACL
Τα επώνυμα ACL έχουν ένα πλεονέκτημα έναντι των αριθμημένων. Είναι πιο εύκολο να επεξεργαστούν. Όλες οι εγγραφές κανόνων σε ονομασμένα ACL έχουν έναν αριθμό ακολουθίας σε προσαυξήσεις 10. Π.χ. ο πρώτος κανόνας έχει τον αριθμό 10, ο δεύτερος με τον αριθμό 20 κ.λπ.
Επομένως, για τα ονόματα ACL, μπορείτε να διαγράψετε συγκεκριμένες εγγραφές, καθώς και να προσθέσετε καταχωρήσεις μεταξύ υπαρχόντων κανόνων, εκχωρώντας τους έναν αριθμό μεταξύ των αριθμών των κανόνων μεταξύ των οποίων προστίθεται ο νέος κανόνας.
Για παράδειγμα, έχουμε ένα ACL με τις ακόλουθες καταχωρήσεις:
R1# εμφανίζει λίστες πρόσβασης

10 άδεια 192.168.10.10

Πρέπει να προσθέσουμε έναν ακόμη κανόνα:
R1(config)# τυπική λίστα πρόσβασης WEBSERVER
Άδεια R1(config-std-nacl)# 15192.168.10.13

Να τι συνέβη:
R1# εμφανίζει λίστες πρόσβασης
Τυπική λίστα πρόσβασης IP WEBSERVER
10 άδεια 192.168.10.10
15 άδεια 192.168.10.13
20 deny 192.168.10.0, bits μπαλαντέρ 0.0.0.255
30 deny 192.168.12.0, bits μπαλαντέρ 0.0.0.255

Εκτεταμένα ACL
Οι λίστες εκτεταμένης πρόσβασης καθιστούν δυνατό το ακριβέστερο φιλτράρισμα της κυκλοφορίας, γι' αυτό και χρησιμοποιούνται πιο συχνά. Εκτός από τη διεύθυνση πηγής, ελέγχουν επίσης:
- πρωτόκολλο (IP, ICMP, TCP, UDP, κ.λπ.)
- διεύθυνση προορισμού
- αριθμός θύρας (όχι διεπαφή)

Extended Numbered ACL Command Syntax
Router(config)#access-list πρόσβαση-λίστα-αριθμός πρωτόκολλο πηγή προορισμός
Οπου:
πρόσβαση-λίστα-αριθμός- Αριθμός ACL (100-199 και 2000-2699)
αρνούμαι- μπλοκάρει την κυκλοφορία
άδεια- να επιτρέπεται η κυκλοφορία
παρατήρηση- περιγραφή του κανόνα ή ACL
πρωτόκολλο- όνομα ή αριθμός πρωτοκόλλου. Αυτά είναι κυρίως IP, ICMP, TCP, UDP.
πηγή- διεύθυνση πηγής
πηγή-μπαλαντέρ- Μάσκα αντίστροφης πηγής
προορισμός- διεύθυνση προορισμού
προορισμός-μπαλαντέρ- μάσκα αντίστροφου προορισμού
χειριστής- συγκρίνει αριθμούς θυρών. Ίσως: lt-λιγότερο από, gt-μεγαλύτερο από, ίσο-ίσο, αρνητικό-όχι ίσο, εύρος- ενεργοποιεί την εμβέλεια.
Λιμάνι- αριθμός θύρας
καθιερωμένος- Μόνο TCP - υποδεικνύει μια εδραιωμένη σύνδεση.

Παράδειγμα
R1(config)#access-list 103 permit tcp 192.168.10.0 0.0.0.255 οποιαδήποτε εξίσωση 80- επιτρέψτε την πρόσβαση μέσω της θύρας 80 από το δίκτυο 192.168.10.0
R1(config)#access-list 103 permit tcp 192.168.10.0 0.0.0.255 οποιαδήποτε εξίσωση 443- επιτρέψτε την πρόσβαση μέσω της θύρας 443 από το δίκτυο 192.168.10.0
R1(config)#access-list 104 permit tcp any 192.168.10.0 0.0.0.255 καθιερώθηκε- επιτρέπεται η εγκατάσταση συνδέσεις tcpστο δίκτυο 192.168.10.0.

Τα εκτεταμένα ACL εκχωρούνται σε διεπαφές με τον ίδιο τρόπο όπως τα τυπικά. Για παράδειγμα:
R1(config)# διεπαφή f0/1
R1(config-if)#ip access-group 103 out
R1(config-if)#ip Access-group 104 in

Δημιουργία επώνυμου εκτεταμένου ACL
R1(config)# ip πρόσβαση-λίστα εκτεταμένη SURFING- Δηλώστε ένα επώνυμο εκτεταμένο ACL για εξερχόμενη κίνηση
R1(config-ext-nacl)# pernit tcp 192.168.10.0 0.0.0.255 οποιοδήποτε ισοδύναμο 80 -δημιουργήστε κανόνες
R1(config-ext-nacl)# pernit tcp 192.168.10.0 0.0.0.255 οποιοδήποτε ισοδύναμο 443
R1(config)# εκτεταμένη λίστα πρόσβασης BROWSING- Δηλώστε ένα επώνυμο εκτεταμένο ACL για την εισερχόμενη κίνηση
R1(config-ext-nacl)# pernit tcp any 192.168.10.0 0.0.0.255 καθιερωμένος- Δημιουργήστε κανόνες

Σύνθετα ACL
Τα τυπικά και εκτεταμένα ACL μπορούν να αποτελέσουν τη βάση για πολύπλοκα ACL για τη βελτίωση της λειτουργικότητας. Υπάρχουν:
- Δυναμική
- Ανακλαστικό
- Με χρονικό όριο

Δυναμικά ACL - Εάν ένας χρήστης χρειάζεται να αποκτήσει πρόσβαση σε οποιαδήποτε συσκευή πίσω από το δρομολογητή, πρέπει πρώτα να πραγματοποιήσει έλεγχο ταυτότητας στο δρομολογητή μέσω Telnet. Μετά από αυτό, ο δρομολογητής δίνει πρόσβαση για ορισμένο χρονικό διάστημα, μετά από το οποίο θα χρειαστεί να πραγματοποιήσετε ξανά έλεγχο ταυτότητας.
R1(config)#username Κωδικός πρόσβασης μαθητή 0 cisco— δημιουργία χρηστών για σύνδεση μέσω Telnet χωρίς προνόμια.
R3(config)#access-list 101 permit tcp any host 10.2.2.2 eq telnet- σας επιτρέπει να συνδεθείτε στο δρομολογητή από οπουδήποτε
R3(config)#access-list 101 χρονικό όριο λήξης δυναμικής λίστας δοκιμών 15 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255- Προσθήκη δυναμική εγγραφήμε τη λίστα δοκιμών ονόματος, η οποία θα λειτουργεί μόνο μετά τη δημιουργία σύνδεσης μέσω Telnet για 15 λεπτά και στη συνέχεια θα απενεργοποιηθεί. Αυτός ο κανόνας επιτρέπει την πρόσβαση από το δίκτυο 192.168.10.0 στο δίκτυο 192.168.30.0.
R3(config)#interface serial 0/0/1
R3(config-if)#ip Access-group 101 in— αντιστοιχίστε το ACL 101 στη διεπαφή προς την εισερχόμενη κατεύθυνση.
R3(config)#line vty 0 4
R3(config-line)#login local
R3(config-line)#autocommand access-enable host timeout 5— μόλις ο χρήστης συνδεθεί στο δρομολογητή, θα εκτελεστεί μια αυτόματη εντολή που θα δώσει πρόσβαση στο δίκτυο 192.168.30.0. Στη συνέχεια, η περίοδος λειτουργίας Telnet θα κλείσει. Η πρόσβαση στο δίκτυο θα παραμείνει και θα κλείσει μετά από 5 λεπτά αναμονής.

Ανακλαστικά ACL - να επιτρέπεται η κίνηση εκτός του δικτύου μόνο εάν έχει ξεκινήσει από μέσα. Αρχικά η κυκλοφορία από έξω είναι κλειστή. Η λίστα πρόσβασης θυμάται τις παραμέτρους των περιόδων σύνδεσης χρήστη που εκδίδουν ένα αίτημα προς τα έξω. Η απάντηση σε αυτά τα αιτήματα ελέγχεται για συμμόρφωση με τις παραμέτρους της περιόδου λειτουργίας χρήστη. Τα αντανακλαστικά ACL έχουν μόνο προσωρινές καταχωρίσεις που δημιουργούνται αυτόματα με κάθε περίοδο λειτουργίας. Τα αντανακλαστικά ACL δεν εφαρμόζονται απευθείας στη διεπαφή, αλλά είναι ένθετα μέσα σε ένα εκτεταμένο ACL που εφαρμόζεται στη διεπαφή. Τα αντανακλαστικά ACL μπορούν να οριστούν μόνο σε εκτεταμένα ACL και μπορούν να χρησιμοποιηθούν με τα αγαπημένα σας ACL.
R2(config)#ip Access-list εκτεταμένα ΕΞΕΡΧΟΜΕΝΑ ΦΙΛΤΡΑ- Δηλώστε ένα επώνυμο εκτεταμένο ACL για εξερχόμενη κίνηση.
R2(config-ext-nacl)#permit tcp 192.168.0.0 0.0.255.255 οποιαδήποτε αντικατοπτρίζει το TCPTRAFFIC- αναγκάζουμε το δρομολογητή να παρακολουθεί την κυκλοφορία tcp που ξεκίνησε από μέσα και να την αποθηκεύσει στη μεταβλητή TCPTRAFFIC.
R2(config-ext-nacl)#permit icmp 192.168.0.0 0.0.255.255 οποιαδήποτε αντικατοπτρίζει το ICMPTRAFFIC— αναγκάζουμε το δρομολογητή να παρακολουθεί την κίνηση icmp που ξεκίνησε από μέσα και να την αποθηκεύσει στη μεταβλητή ICMPTRAFFIC.
R2(config)#ip access-list επεκτάθηκε INBOUNDFILTERS- Δηλώστε ένα επώνυμο εκτεταμένο ACL για την εισερχόμενη κίνηση.
R2(config-ext-nacl)#evaluate TCPTRAFFIC- αναγκάζουμε το δρομολογητή να συγκρίνει τις παραμέτρους της εισερχόμενης κίνησης tcp με τη μεταβλητή TCPTRAFFIC που δημιουργήθηκε από τον κανόνα OUTBOUNDFILTERS.
R2(config-ext-nacl)#evaluate ICMPTRAFFIC— αναγκάζουμε το δρομολογητή να συγκρίνει τις παραμέτρους της εισερχόμενης κίνησης icmp με τη μεταβλητή ICMPTRAFFIC που δημιουργήθηκε από τον κανόνα OUTBOUNDFILTERS.
R2(config)#interface serial 0/1/0
R2(config-if)#ip Access-group INBOUNDFILTERS in- εφαρμόστε το ACL για την εισερχόμενη κίνηση στη διεπαφή.
R2(config-if)#ip access-group OUTBOUNDFILTERS out- εφαρμόστε το ACL για εξερχόμενη κίνηση στη διεπαφή.

Χρονικά περιορισμένο ACL - καθορίζει την ώρα που μια συγκεκριμένη καταχώρηση είναι ενεργή στο εκτεταμένο ACL.
R1(config)#time-range EVERYOTHERDAY- δηλώστε τη μεταβλητή ώρας EVERYOTHERDAY.
R1(config-time-range)#periodic Δευτέρα Τετάρτη Παρασκευή 8:00 έως 17:00— αντιστοιχίστε μια λίστα με τις ώρες σε αυτήν τη μεταβλητή, στην οποία προσθέτουμε ημέρες της εβδομάδας και ώρα.
R1(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq time-range telnet EVERYOTHERDAY— εφαρμόστε τη μεταβλητή στον κανόνα.
R1(config)#interface s0/0/0
R1(config-if)#ip Access-group 101 out— αντιστοιχίστε ένα ACL στη διεπαφή.

Σήμερα θα σας πω πώς να φιλτράρετε την κυκλοφορία στο δίκτυο χρησιμοποιώντας λίστες ελέγχου πρόσβασης. Ας δούμε πώς λειτουργούν, τι είναι και για ποιο σκοπό προορίζονται. Αργότερα θα δείξω πώς διαμορφώνονται στο Cisco IOS και θα δημοσιεύσω ένα αρχείο με εργαστηριακές εργασίες για να εμπεδώσω τις γνώσεις σας.

Εισαγωγή

Το ACL (Λίστα Ελέγχου Πρόσβασης) είναι ένα σύνολο από εκφράσεις κειμένου που επιτρέπουν κάτι ή απαγορεύουν κάτι. Συνήθως ένα ACL επιτρέπει ή απορρίπτει πακέτα IP, αλλά μεταξύ άλλων μπορεί να κοιτάξει μέσα σε ένα πακέτο IP, να δει τον τύπο του πακέτου, τις θύρες TCP και UDP. Υπάρχουν επίσης ACL για διάφορα πρωτόκολλα δικτύου (IP, IPX, AppleTalk και ούτω καθεξής). Βασικά, η χρήση λιστών πρόσβασης εξετάζεται από την άποψη του φιλτραρίσματος πακέτων, δηλαδή, το φιλτράρισμα πακέτων είναι απαραίτητο σε περιπτώσεις όπου έχετε εξοπλισμό στα σύνορα του Διαδικτύου και του ιδιωτικού σας δικτύου και πρέπει να φιλτράρετε την περιττή κίνηση.
Τοποθετείτε ένα ACL στην εισερχόμενη κατεύθυνση και αποκλείετε περιττούς τύπους κίνησης.

Θεωρία

Η λειτουργικότητα ενός ACL είναι να ταξινομεί την κυκλοφορία, πρέπει πρώτα να το ελέγξετε και μετά να κάνετε κάτι με αυτό ανάλογα με το πού εφαρμόζεται το ACL. Το ACL ισχύει παντού, για παράδειγμα:

Στη διεπαφή: φιλτράρισμα πακέτων
Σε μια γραμμή Telnet: περιορισμοί πρόσβασης δρομολογητή
VPN: ποια κίνηση πρέπει να κρυπτογραφηθεί
QoS: ποια κίνηση πρέπει να διεκπεραιώνεται με προτεραιότητα;
NAT: που απευθύνεται σε εκπομπή

Για να εφαρμόσετε ACL για όλα αυτά τα στοιχεία, πρέπει να κατανοήσετε πώς λειτουργούν. Και θα θίξουμε πρώτα απ' όλα το φιλτράρισμα πακέτων. Σε σχέση με το φιλτράρισμα πακέτων, τα ACL τοποθετούνται σε διεπαφές, δημιουργούνται τα ίδια ανεξάρτητα και μόνο τότε βιδώνονται στη διεπαφή. Μόλις το βιδώσετε στη διεπαφή, ο δρομολογητής αρχίζει να βλέπει την κυκλοφορία. Ο δρομολογητής θεωρεί την κίνηση ως εισερχόμενη και εξερχόμενη. Η κίνηση που εισέρχεται στο δρομολογητή ονομάζεται εισερχόμενη, η κίνηση που εξέρχεται από αυτό ονομάζεται εξερχόμενη. Αντίστοιχα, τα ACL τοποθετούνται στην εισερχόμενη ή εξερχόμενη κατεύθυνση.

Ένα πακέτο φτάνει από το ιδιωτικό σας δίκτυο στη διεπαφή δρομολογητή fa0/1, ο δρομολογητής ελέγχει εάν υπάρχει ACL στη διεπαφή ή όχι, εάν υπάρχει, στη συνέχεια πραγματοποιείται περαιτέρω επεξεργασία σύμφωνα με τους κανόνες της λίστας πρόσβασης αυστηρά με τη σειρά που γράφονται οι εκφράσεις, εάν η λίστα πρόσβασης επιτρέπει στο πακέτο να περάσει, τότε σε αυτήν την περίπτωσηΟ δρομολογητής στέλνει το πακέτο στον πάροχο μέσω της διεπαφής fa0/0, εάν η λίστα πρόσβασης δεν επιτρέπει τη διέλευση του πακέτου, το πακέτο καταστρέφεται. Εάν δεν υπάρχει λίστα πρόσβασης, το πακέτο διέρχεται χωρίς περιορισμούς. Πριν στείλει το πακέτο στον πάροχο, ο δρομολογητής ελέγχει επίσης τη διεπαφή fa0/0 για την παρουσία εξερχόμενου ACL. Το θέμα είναι ότι ένα ACL μπορεί να συνδεθεί σε μια διεπαφή είτε ως εισερχόμενο είτε ως εξερχόμενο. Για παράδειγμα, έχουμε ένα ACL με έναν κανόνα που απαγορεύει σε όλους τους κόμβους στο Διαδίκτυο να στέλνουν πακέτα στο δίκτυό μας.
Σε ποια διεπαφή πρέπει λοιπόν να επισυνάψω αυτό το ACL; Εάν συνδέσουμε ένα ACL στη διεπαφή fa0/1 ως εξερχόμενο, αυτό δεν θα είναι απολύτως σωστό, αν και το ACL θα λειτουργήσει. Ο δρομολογητής λαμβάνει ένα αίτημα ηχούς για κάποιον κόμβο στο ιδιωτικό δίκτυο, ελέγχει τη διασύνδεση fa0/0 για να δει αν υπάρχει ACL, δεν υπάρχει κανένα, και στη συνέχεια ελέγχει τη διεπαφή fa0/1 για αυτή τη διεπαφήυπάρχει ACL, έχει ρυθμιστεί ως εξερχόμενη, όλα είναι σωστά, το πακέτο δεν διεισδύει στο δίκτυο, αλλά καταστρέφεται από το δρομολογητή. Αλλά αν συνδέσουμε ένα ACL στη διεπαφή fa0/0 ως εισερχόμενο, το πακέτο θα καταστραφεί μόλις φτάσει στο δρομολογητή. Η τελευταία λύση είναι σωστή, αφού ο δρομολογητής επιβαρύνει λιγότερο τους υπολογιστικούς πόρους του. Τα εκτεταμένα ACL θα πρέπει να τοποθετούνται όσο το δυνατόν πιο κοντά στην πηγή, ενώ τα τυπικά ACL θα πρέπει να τοποθετούνται όσο το δυνατόν πιο κοντά στον παραλήπτη.. Αυτό είναι απαραίτητο για να μην αποστέλλονται μάταια πακέτα σε ολόκληρο το δίκτυο.

Το ίδιο το ACL είναι ένα σύνολο από εκφράσεις κειμένου που λένε άδεια(επιτρέπω) ή αρνούμαι(απενεργοποίηση) και η επεξεργασία πραγματοποιείται αυστηρά με τη σειρά που καθορίζονται οι εκφράσεις. Κατά συνέπεια, όταν ένα πακέτο φτάσει στη διεπαφή, ελέγχεται για την πρώτη συνθήκη, εάν η πρώτη συνθήκη ταιριάζει με το πακέτο, η περαιτέρω επεξεργασία διακόπτεται. Το πακέτο είτε θα προχωρήσει είτε θα καταστραφεί.
Πάλι, Εάν το πακέτο ταιριάζει με την κατάσταση, δεν υποβάλλεται σε περαιτέρω επεξεργασία. Εάν η πρώτη συνθήκη δεν ταιριάζει, η δεύτερη συνθήκη υποβάλλεται σε επεξεργασία, εάν ταιριάζει, η επεξεργασία διακόπτεται, εάν όχι, η τρίτη συνθήκη υποβάλλεται σε επεξεργασία και ούτω καθεξής μέχρι να ελεγχθούν όλες οι συνθήκες, Εάν καμία από τις συνθήκες δεν ταιριάζει, το πακέτο απλώς καταστρέφεται. Θυμηθείτε, σε κάθε άκρο της λίστας υπάρχει μια σιωπηρή άρνηση (άρνηση όλης της κυκλοφορίας). Να είστε πολύ προσεκτικοί με αυτούς τους κανόνες που έχω επισημάνει γιατί τα σφάλματα διαμόρφωσης είναι πολύ συνηθισμένα.

Τα ACL χωρίζονται σε δύο τύπους:

Πρότυπο: μπορεί να ελέγξει μόνο τις διευθύνσεις πηγής
Επεκτάθηκε: μπορεί να ελέγξει τις διευθύνσεις πηγής, καθώς και τις διευθύνσεις παραληπτών, στην περίπτωση IP, επίσης τον τύπο πρωτοκόλλου και τις θύρες TCP/UDP

Οι λίστες πρόσβασης ορίζονται είτε με αριθμούς είτε με συμβολικά ονόματα. Τα ACL χρησιμοποιούνται επίσης για διαφορετικά πρωτόκολλα δικτύου. Εμείς, με τη σειρά μας, θα εργαστούμε με IP. Ορίζονται ως εξής, αριθμημένες λίστες πρόσβασης:

Πρότυπο: από 1 έως 99
Προχωρημένος: από 100 έως 199

Τα ACL χαρακτήρων χωρίζονται επίσης σε τυπικά και εκτεταμένα. Να σας υπενθυμίσω ότι οι προχωρημένοι μπορούν να ελέγξουν πολύ περισσότερα από τα τυπικά, αλλά λειτουργούν και πιο αργά, αφού πρέπει να κοιτάξετε μέσα στη συσκευασία, σε αντίθεση με τα τυπικά όπου κοιτάμε μόνο το πεδίο Διεύθυνση πηγής. Κατά τη δημιουργία ενός ACL, κάθε καταχώρηση λίστας πρόσβασης ορίζεται από έναν αριθμό σειράς, από προεπιλογή στο εύρος των δέκα (10, 20, 30, κ.λπ.). Χάρη σε αυτό, μπορείτε να διαγράψετε μια συγκεκριμένη καταχώρηση και να εισαγάγετε μια άλλη στη θέση της, αλλά αυτή η δυνατότητα εμφανίστηκε στο Cisco IOS 12.3, έπρεπε να διαγράψετε το ACL και στη συνέχεια να το δημιουργήσετε ξανά. Δεν μπορείτε να τοποθετήσετε περισσότερες από 1 λίστα πρόσβασης ανά διεπαφή, ανά πρωτόκολλο, ανά κατεύθυνση. Επιτρέψτε μου να εξηγήσω: εάν έχουμε δρομολογητή και έχει διεπαφή, μπορούμε να τοποθετήσουμε μόνο μία λίστα πρόσβασης για την εισερχόμενη κατεύθυνση για το πρωτόκολλο IP, για παράδειγμα, τον αριθμό 10. Ένας άλλος κανόνας σχετικά με τους ίδιους τους δρομολογητές είναι Το ACL δεν επηρεάζει την κίνηση που δημιουργείται από τον ίδιο τον δρομολογητή.
Για να φιλτράρετε τις διευθύνσεις στο ACL, χρησιμοποιείται μια μάσκα WildCard. Αυτή είναι μια αντίστροφη μάσκα. Παίρνουμε την έκφραση προτύπου: 255.255.255.255 και αφαιρούμε τη συνηθισμένη μάσκα από το πρότυπο.
255.255.255.255-255.255.255.0, παίρνουμε μια μάσκα 0.0.0.255, η οποία είναι η συνηθισμένη μάσκα 255.255.255.0, μόνο το 0.0.0.255 είναι μια μάσκα WildCard.

Τύποι ACL

Dynamic (Dynamic ACL)

Σας επιτρέπει να κάνετε τα εξής, για παράδειγμα, έχετε έναν δρομολογητή που είναι συνδεδεμένος σε κάποιο διακομιστή και πρέπει να αποκλείσουμε την πρόσβαση σε αυτόν από έξω κόσμος, αλλά ταυτόχρονα υπάρχουν πολλά άτομα που μπορούν να συνδεθούν στον διακομιστή.
Προσαρμόζουμε δυναμική λίσταπρόσβαση, συνδέστε το στην εισερχόμενη κατεύθυνση και, στη συνέχεια, τα άτομα που πρέπει να συνδεθούν συνδέονται μέσω Telnet αυτή η συσκευή, ως αποτέλεσμα, ένα δυναμικό ACL ανοίγει μια διαδρομή προς τον διακομιστή και ένα άτομο μπορεί ήδη να συνδεθεί, ας πούμε, μέσω HTTP για να μεταβεί στον διακομιστή. Από προεπιλογή, μετά από 10 λεπτά αυτό το πέρασμα κλείνει και ο χρήστης αναγκάζεται ξανά στο Telnet για να συνδεθεί στη συσκευή.

Ανακλαστικό ACL

Εδώ η κατάσταση είναι λίγο διαφορετική, όταν ένας κόμβος στο τοπικό δίκτυο στέλνει ένα αίτημα TCP στο Διαδίκτυο, πρέπει να έχουμε ένα ανοιχτό πάσο για να φτάσει μια απόκριση TCP για να δημιουργήσουμε μια σύνδεση. Εάν δεν υπάρχει πέρασμα, δεν θα μπορέσουμε να δημιουργήσουμε μια σύνδεση και οι εισβολείς μπορούν να εκμεταλλευτούν αυτό το πέρασμα, για παράδειγμα, για να διεισδύσουν στο δίκτυο. Τα αντανακλαστικά ACL λειτουργούν με αυτόν τον τρόπο: η πρόσβαση είναι εντελώς αποκλεισμένη (άρνηση οποιασδήποτε), αλλά σχηματίζεται ένα άλλο ειδικό ACL που μπορεί να διαβάσει τις παραμέτρους των περιόδων σύνδεσης χρήστη που δημιουργούνται από το τοπικό δίκτυο και να ανοίξει ένα πέρασμα για να αρνηθεί οποιαδήποτε για αυτούς, ως αποτέλεσμα αποδεικνύεται ότι δεν θα μπορούν να εγκαταστήσουν από την ένωση Διαδικτύου. Και κατά τη διάρκεια της συνεδρίας, θα δημιουργηθούν απαντήσεις από το τοπικό δίκτυο.

ACL με βάση το χρόνο

Ένα κανονικό ACL, αλλά με χρονικό όριο, μπορείτε να εισαγάγετε ένα ειδικό πρόγραμμα που ενεργοποιεί μια συγκεκριμένη καταχώρηση λίστας πρόσβασης. Και για να κάνουμε ένα τέτοιο τέχνασμα, για παράδειγμα, γράφουμε μια λίστα πρόσβασης στην οποία απαγορεύουμε την πρόσβαση HTTP κατά τη διάρκεια της εργάσιμης ημέρας και την κρεμάμε στη διεπαφή του δρομολογητή, δηλαδή, οι υπάλληλοι της επιχείρησης έρχονται στη δουλειά, η πρόσβασή τους στο HTTP απαγορεύεται, η εργάσιμη ημέρα τελείωσε, η πρόσβαση HTTP είναι ανοιχτή,
παρακαλώ, αν θέλετε, σερφάρετε στο Διαδίκτυο.

Ρυθμίσεις

Τα ίδια τα ACL δημιουργούνται ξεχωριστά, δηλαδή είναι απλά μια λίστα που δημιουργείται στο καθολικό config, μετά εκχωρείται στη διεπαφή και μόνο τότε αρχίζει να λειτουργεί. Είναι απαραίτητο να θυμάστε ορισμένα σημεία για να διαμορφώσετε σωστά τις λίστες πρόσβασης:

Η επεξεργασία πραγματοποιείται αυστηρά με τη σειρά με την οποία αναγράφονται οι όροι
Εάν το πακέτο ταιριάζει με την κατάσταση, δεν υποβάλλεται σε περαιτέρω επεξεργασία
Στο τέλος κάθε λίστας πρόσβασης υπάρχει μια σιωπηρή άρνηση (άρνηση όλων)
Τα εκτεταμένα ACL θα πρέπει να τοποθετούνται όσο το δυνατόν πιο κοντά στην πηγή, ενώ τα τυπικά ACL θα πρέπει να τοποθετούνται όσο το δυνατόν πιο κοντά στον παραλήπτη.
Δεν μπορείτε να τοποθετήσετε περισσότερες από 1 λίστα πρόσβασης ανά διεπαφή, ανά πρωτόκολλο, ανά κατεύθυνση
Το ACL δεν επηρεάζει την κίνηση που δημιουργείται από τον ίδιο τον δρομολογητή
Μια μάσκα WildCard χρησιμοποιείται για το φιλτράρισμα διευθύνσεων

Λίστα τυπικής πρόσβασης

Router(config)# λίστα πρόσβασης <номер списка от 1 до 99> (άδεια | άρνηση | παρατήρηση) (διεύθυνση | οποιοσδήποτε | οικοδεσπότης)

άδεια: επιτρέπω
αρνούμαι: απαγορεύω
παρατήρηση: σχόλιο σχετικά με τη λίστα πρόσβασης
διεύθυνση: να αρνηθεί ή να επιτρέψει το δίκτυο
όποιος: επιτρέπουμε ή αρνούμαστε τα πάντα
πλήθος: επιτρέψτε ή αρνηθείτε τον οικοδεσπότη
πηγή-μπαλαντέρ: Μάσκα δικτύου WildCard
κούτσουρο: ενεργοποιήστε την καταγραφή των πακέτων που διέρχονται αυτή η καταχώρηση ACL

Εκτεταμένη λίστα πρόσβασης

Router(config)# λίστα πρόσβασης <номер списка от 100 до 199> (άδεια | άρνηση | παρατήρηση)πηγή πρωτοκόλλου [ χειριστήςτελεστής] [ Λιμάνι <порт или название протокола>

πηγή πρωτοκόλλου: ποιο πρωτόκολλο θα επιτρέψουμε ή θα κλείσουμε (ICMP, TCP, UDP, IP, OSPF, κ.λπ.)
αρνούμαι: απαγορεύω
χειριστής:
A.B.C.D - διεύθυνση παραλήπτη
οποιοσδήποτε - οποιοσδήποτε οικοδεσπότης προορισμού
eq - μόνο πακέτα σε αυτήν τη θύρα
gt - μόνο πακέτα με μεγάλο αριθμό θύρας
οικοδεσπότης - ο μόνος τελικός οικοδεσπότης
lt - μόνο πακέτα με χαμηλότερο αριθμό θύρας
neq - μόνο πακέτα που δεν βρίσκονται σε αυτόν τον αριθμό θύρας
range - port range
Λιμάνι: αριθμός θύρας (TCP ή UDP), μπορείτε να καθορίσετε ένα όνομα
καθιερωμένος: επιτρέπουν τη διέλευση τμημάτων TCP που αποτελούν μέρος μιας ήδη δημιουργημένης περιόδου λειτουργίας TCP

Επισυνάπτεται στη διεπαφή

Router(config-if)# ομάδα πρόσβασης ip <номер списка или имя ACL> (μέσα | έξω)

σε: εισερχόμενη κατεύθυνση
έξω: εξερχόμενη κατεύθυνση

Επώνυμες λίστες πρόσβασης

Router(config)# λίστα πρόσβασης ip (τυπικό | εκτεταμένο) (<номер ACL> | <имя ACL>}
Router(config-ext-nacl)# (προεπιλογή | άρνηση | έξοδος | όχι | άδεια | παρατήρηση)

πρότυπο: τυπικό ACL
επεκτάθηκε: εκτεταμένο ACL
Προκαθορισμένο: ορίστε την εντολή στην προεπιλογή

Περιορισμός πρόσβασης στο δρομολογητή

R(config)# γραμμή vty 0 4 - μεταβείτε στη λειτουργία για τη ρύθμιση εικονικών γραμμών.
R(config-line)# Κωδικός πρόσβασης <пароль>
R(config-line)# Σύνδεση
R(config-line)# κλάση πρόσβασης 21 σε- ορίστε ένα login και έναν κωδικό πρόσβασης και επίσης εκχωρήστε μια λίστα πρόσβασης με επιτρεπόμενες διευθύνσεις IP.

Δυναμικές λίστες πρόσβασης

R3(config)# όνομα χρήστηΜαθητης σχολειου Κωδικός πρόσβασης 0 cisco - δημιουργία χρηστών για σύνδεση μέσω Telnet.
R3(config)# λίστα πρόσβασης 101 άδεια tcp οποιουδήποτε κεντρικού υπολογιστή 10.2.2.2 eq telnet
R3(config)# λίστα πρόσβασης 101 Χρονικό όριο λήξης δυναμικής λίστας δοκιμών 15 άδεια ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 - επιτρέψτε σε όλους τους κόμβους να συνδεθούν στον διακομιστή μέσω Telnet.
R3(config)#interface serial 0/0/1
R3(config-if)# ομάδα πρόσβασης ip 101 in - αντιστοιχίστε 101 ACL στη διεπαφή προς την εισερχόμενη κατεύθυνση.
R3(config)# γραμμή vty 0 4
R3(config-line)# τοπική σύνδεση
R3(config-line)# αυτόματη εντολή πρόσβασης-ενεργοποίηση χρόνου λήξης κεντρικού υπολογιστή 5 - μόλις γίνει έλεγχος ταυτότητας του χρήστη, το δίκτυο 192.168.30.0 θα είναι διαθέσιμο, μετά από 5 λεπτά αδράνειας η συνεδρία θα κλείσει.

Ανακλαστικές λίστες πρόσβασης

R2(config)# Επέκταση της λίστας πρόσβασης ipΕΞΕΡΧΟΜΕΝΑ ΦΙΛΤΡΑ
R2(config-ext-nacl)# άδεια tcp 192.168.0.0 0.0.255.255 οποιαδήποτε αντανακλούν TCPTRAFFIC
R2(config-ext-nacl)# άδεια icmp 192.168.0.0 0.0.255.255 οποιαδήποτε αντανακλούν ICMPTRAFFIC - αναγκάζουμε το δρομολογητή να παρακολουθεί την κυκλοφορία που ξεκίνησε από μέσα.
R2(config)# Επέκταση της λίστας πρόσβασης ipΕΣΩΤΕΡΙΚΑ ΦΙΛΤΡΑ
R2(config-ext-nacl)# αξιολογώ TCPTRAFFIC
R2(config-ext-nacl)# αξιολογώ ICMPTRAFFIC - δημιουργήστε μια εισερχόμενη πολιτική που απαιτεί από τον δρομολογητή να ελέγχει την εισερχόμενη κίνηση για να δει εάν ξεκίνησε από μέσα και να δεσμεύσει το TCPTRAFFIC με τα INBOUNDFILTERS.
R2(config)# διεπαφήΣειρά 0/1/0
R2(config-if)# ομάδα πρόσβασης ip INBONDFILTERS in
R2(config-if)# ομάδα πρόσβασης ip OUTBOUNDFILTERS out - εφαρμόστε εισερχόμενο και εξερχόμενο ACL στη διεπαφή.

Προθεσμία

R1(config)# εύρος χρόνουΜΕΡΑ ΠΑΡΑ ΜΕΡΑ
R1(config-time-range)# περιοδικόςΔευτέρα Τετάρτη Παρασκευή 8:00 έως 17:00 - δημιουργήστε μια λίστα με τις ώρες στις οποίες προσθέτουμε ημέρες της εβδομάδας και ώρα.
R1(config)# λίστα πρόσβασης 101 άδεια tcp 192.168.10.0 0.0.0.255 οποιοδήποτε εύρος χρόνου ισοδύναμου telnet EVERYOTHERDAY - εφαρμόστε το χρονικό εύρος στο ACL.
R1(config)#interface s0/0/0
R1(config-if)# ομάδα πρόσβασης ip 101 out - αντιστοιχίστε ένα ACL στη διεπαφή.

Αντιμετώπιση προβλημάτων

R# εμφάνιση λιστών πρόσβασης(Αριθμός ACL | όνομα) - δείτε πληροφορίες σχετικά με τη λίστα πρόσβασης.
R# εμφάνιση λιστών πρόσβασης- δείτε όλες τις λίστες πρόσβασης στο δρομολογητή.

Παράδειγμα

δρομολογητής# εμφάνιση λιστών πρόσβασης
Εκτεταμένη λίστα πρόσβασης IP Νίκος
permit ip host 172.168.1.1 host 10.0.0.5
άρνηση ip οποιαδήποτε (16 αντιστοιχίες)
Λίστα τυπικής πρόσβασης IP nick5
άδεια 172.16.0.0 0.0.255.255

Βλέπουμε ότι έχουμε δύο ACL (κανονικό και εκτεταμένο) που ονομάζονται nick και nick5. Η πρώτη λίστα επιτρέπει στον κεντρικό υπολογιστή 172.16.1.1 να έχει πρόσβαση στον κεντρικό υπολογιστή 10.0.0.5 μέσω IP (αυτό σημαίνει ότι επιτρέπονται όλα τα πρωτόκολλα που εκτελούνται μέσω IP). Όλη η άλλη κίνηση απορρίπτεται εμφανίζεται από την άρνηση ip οποιαδήποτε εντολή. Δίπλα σε αυτή τη συνθήκη στο παράδειγμά μας γράφει (16 αντιστοιχία(ες)). Αυτό δείχνει ότι 16 πακέτα πληρούσαν αυτήν την προϋπόθεση.
Το δεύτερο ACL επιτρέπει την κυκλοφορία από οποιαδήποτε πηγή στο δίκτυο 172.16.0.0/16.

Πρακτική

συγκέντρωσα εργαστηριακές εργασίεςγια το Packet Tracer από το Κεφάλαιο 5 του μαθήματος CCNA 4 για το ACL. Εάν επιθυμείτε να εμπεδώσετε τις γνώσεις σας στην πράξη, παρακαλούμε -

Οι λίστες πρόσβασης σάς επιτρέπουν να δημιουργήσετε κανόνες ελέγχου κυκλοφορίας που θα διέπουν την επικοινωνία μέσω διαδικτύου τόσο σε τοπικά όσο και σε εταιρικά δίκτυα.

Υπάρχουν δεκαέξι τύποι λιστών πρόσβασης, αλλά οι δύο πιο συχνά χρησιμοποιούμενοι τύποι είναι: πρότυπο– στάνταρ (αριθμοί από 1 έως 99) και επεκτάθηκε– επέκταση (αριθμοί από 100 έως 199 ή από 2000 έως 2699). Οι διαφορές μεταξύ αυτών των δύο λιστών έγκεινται στη δυνατότητα φιλτραρίσματος των πακέτων όχι μόνο κατά διεύθυνση IP, αλλά και από διάφορες άλλες παραμέτρους.

Οι τυπικές λίστες επεξεργάζονται μόνο τις εισερχόμενες διευθύνσεις IP πηγής, π.χ. Ψάχνουν για αντιστοίχιση μόνο από τη διεύθυνση IP του αποστολέα. Οι σύνθετες λίστες λειτουργούν με όλες τις διευθύνσεις εταιρικού δικτύου και μπορούν επιπλέον να φιλτράρουν την κυκλοφορία κατά θύρες και πρωτόκολλα.

Η λειτουργία της λίστας πρόσβασης εξαρτάται άμεσα από τη σειρά των γραμμών αυτής της λίστας, όπου κάθε γραμμή περιέχει έναν κανόνα επεξεργασίας κίνησης. Όλοι οι κανόνες στη λίστα αναζητούνται από τον πρώτο έως τον τελευταίο με τη σειρά, αλλά η αναζήτηση τελειώνει μόλις βρεθεί η πρώτη αντιστοίχιση, π.χ. βρέθηκε ένας κανόνας για το εισερχόμενο πακέτο στο οποίο εμπίπτει. Μετά από αυτό, οι υπόλοιποι κανόνες στη λίστα αγνοούνται. Εάν το πακέτο δεν εμπίπτει σε κανέναν από τους κανόνες, τότε ο προεπιλεγμένος κανόνας είναι ενεργοποιημένος:

access-list list_number αρνείται οποιαδήποτε

που απαγορεύει κάθε κίνηση στη διεπαφή της συσκευής δικτύου στην οποία εφαρμόστηκε αυτή η λίστα.

Για να ξεκινήσετε να χρησιμοποιείτε μια λίστα πρόσβασης, πρέπει να ολοκληρώσετε τα ακόλουθα τρία βήματα:

1 – δημιουργία λίστας.

2 – συμπληρώστε τη λίστα με κανόνες επεξεργασίας κυκλοφορίας.

3 – εφαρμόστε μια λίστα πρόσβασης στη διεπαφή συσκευής στην είσοδο ή την έξοδο αυτής της διεπαφής.

Στάδιο πρώτο - δημιουργία λίστας πρόσβασης:

Τυπική λίστα:

Switch3(config)# Πρότυπο λίστας πρόσβασης ip 10

(δημιουργείται μια τυπική λίστα πρόσβασης στον αριθμό 10, σε αυτήν την περίπτωση δημιουργείται στον διακόπτη)

Εκτεταμένη λίστα:

Router1(config)# Η λίστα πρόσβασης ip επεκτάθηκε 100

(δημιουργείται μια λίστα εκτεταμένης πρόσβασης με τον αριθμό 100, σε αυτήν την περίπτωση δημιουργείται στο δρομολογητή).

Στάδιο δεύτερο – εισαγωγή κανόνων στη λίστα πρόσβασης:

Κάθε κανόνας στη λίστα πρόσβασης θα περιέχει τρία σημαντικά στοιχεία:

1 - ένας αριθμός που προσδιορίζει τη λίστα κατά την πρόσβαση σε αυτήν σε άλλα μέρη της διαμόρφωσης του δρομολογητή ή του μεταγωγέα τρίτου επιπέδου.

2 - οδηγίες αρνούμαι(απαγόρευση) ή άδεια(επιτρέπω);

3 - αναγνωριστικό πακέτου, το οποίο καθορίζεται σε μία από τις τρεις επιλογές:

Διεύθυνση δικτύου (για παράδειγμα 192.168.2.0 0.0.0.255) – όπου αντί για τη μάσκα υποδικτύου, υποδεικνύεται το πρότυπο μάσκας υποδικτύου.

Διεύθυνση κεντρικού υπολογιστή (κεντρικός υπολογιστής 192.168.2.1);

Οποιαδήποτε διεύθυνση IP ( όποιος).

Παράδειγμα λίστας τυπικής πρόσβασης #10:

λίστα πρόσβασης 10 άρνηση υποδοχής 11.0.0.5

λίστα πρόσβασης 10 άρνηση 12.0.0.0 0.255.255.255

λίστα πρόσβασης 10 άδεια οποιαδήποτε

Σε αυτή τη λίστα:

Απαγορεύεται κάθε κίνηση προς τον κεντρικό υπολογιστή με διεύθυνση IP 11.0.0.5.

Όλη η κίνηση στο δίκτυο 12.0.0.0/8 απαγορεύεται (ο κανόνας δεν καθορίζει την πραγματική μάσκα υποδικτύου, αλλά το πρότυπό της).

Κάθε άλλη κίνηση επιτρέπεται.

Στις λίστες εκτεταμένης πρόσβασης, μετά τον καθορισμό μιας ενέργειας με τα κλειδιά άδειας ή άρνησης, πρέπει να υπάρχει μια παράμετρος πρωτοκόλλου (είναι δυνατά τα πρωτόκολλα IP, TCP, UDP, ICMP), η οποία υποδεικνύει εάν πρέπει να ελέγχονται όλα τα πακέτα IP ή μόνο τα πακέτα με ICMP. Επικεφαλίδες TCP ή UDP . Εάν πρόκειται να ελεγχθούν οι αριθμοί θύρας TCP ή UDP, τότε πρέπει να καθοριστεί το πρωτόκολλο TCP ή UDP ( Υπηρεσίες FTPκαι το WEB χρησιμοποιούν το πρωτόκολλο TCP).

Όταν δημιουργείτε εκτεταμένες λίστες σε κανόνες πρόσβασης, μπορείτε να ενεργοποιήσετε το φιλτράρισμα της κυκλοφορίας κατά πρωτόκολλα και θύρες. Για να καθορίσετε θύρες στον κανόνα πρόσβασης, υποδεικνύονται οι ακόλουθες ονομασίες (Πίνακας 10.1):

Πίνακας 10.1.

Κοινές εφαρμογές και οι αντίστοιχες standard δωμάτιαΟι θύρες φαίνονται στον παρακάτω πίνακα 10.2:

Πίνακας 10.2.

Αριθμός θύρας	Πρωτόκολλο	Εφαρμογή	Λέξη-κλειδί στην εντολή access_list

		Διαχείριση διακομιστή FTP

Παράδειγμα λίστας εκτεταμένης πρόσβασης #111:

! Άρνηση κυκλοφορίας στη θύρα 80 (www traffic)

Εισαγωγή

Θεωρία

Στη διεπαφή: φιλτράρισμα πακέτων
Σε μια γραμμή Telnet: περιορισμοί πρόσβασης δρομολογητή
VPN: ποια κίνηση πρέπει να κρυπτογραφηθεί
QoS: ποια κίνηση πρέπει να διεκπεραιώνεται με προτεραιότητα;
NAT: που απευθύνεται σε εκπομπή

Ένα πακέτο φτάνει από το ιδιωτικό σας δίκτυο στη διεπαφή δρομολογητή fa0/1, ο δρομολογητής ελέγχει εάν υπάρχει ACL στη διεπαφή ή όχι, εάν υπάρχει, στη συνέχεια πραγματοποιείται περαιτέρω επεξεργασία σύμφωνα με τους κανόνες της λίστας πρόσβασης αυστηρά με τη σειρά που γράφονται οι εκφράσεις, εάν η λίστα πρόσβασης επιτρέπει στο πακέτο να περάσει, τότε σε αυτήν την περίπτωση ο δρομολογητής στέλνει το πακέτο στον πάροχο μέσω της διεπαφής fa0/0, εάν η λίστα πρόσβασης δεν επιτρέπει στο πακέτο να περάσει, το πακέτο καταστρέφεται. Εάν δεν υπάρχει λίστα πρόσβασης, το πακέτο διέρχεται χωρίς περιορισμούς. Πριν στείλει το πακέτο στον πάροχο, ο δρομολογητής ελέγχει επίσης τη διεπαφή fa0/0 για την παρουσία εξερχόμενου ACL. Το θέμα είναι ότι ένα ACL μπορεί να συνδεθεί σε μια διεπαφή είτε ως εισερχόμενο είτε ως εξερχόμενο. Για παράδειγμα, έχουμε ένα ACL με έναν κανόνα που απαγορεύει σε όλους τους κόμβους στο Διαδίκτυο να στέλνουν πακέτα στο δίκτυό μας.
Σε ποια διεπαφή πρέπει λοιπόν να επισυνάψω αυτό το ACL; Εάν συνδέσουμε ένα ACL στη διεπαφή fa0/1 ως εξερχόμενο, αυτό δεν θα είναι απολύτως σωστό, αν και το ACL θα λειτουργήσει. Ο δρομολογητής λαμβάνει ένα αίτημα ηχούς για κάποιον κόμβο στο ιδιωτικό δίκτυο, ελέγχει τη διεπαφή fa0/0 για να δει αν υπάρχει ACL, δεν υπάρχει κανένα, μετά ελέγχει τη διεπαφή fa0/1, υπάρχει ένα ACL σε αυτήν τη διεπαφή, έχει ρυθμιστεί ως εξερχόμενη, όλα είναι σωστά το πακέτο δεν διεισδύει στο δίκτυο, αλλά καταστρέφεται από το δρομολογητή. Αλλά αν συνδέσουμε ένα ACL στη διεπαφή fa0/0 ως εισερχόμενο, το πακέτο θα καταστραφεί μόλις φτάσει στο δρομολογητή. Η τελευταία λύση είναι σωστή, αφού ο δρομολογητής επιβαρύνει λιγότερο τους υπολογιστικούς πόρους του. Τα εκτεταμένα ACL θα πρέπει να τοποθετούνται όσο το δυνατόν πιο κοντά στην πηγή, ενώ τα τυπικά ACL θα πρέπει να τοποθετούνται όσο το δυνατόν πιο κοντά στον παραλήπτη.. Αυτό είναι απαραίτητο για να μην αποστέλλονται μάταια πακέτα σε ολόκληρο το δίκτυο.

Τα ACL χωρίζονται σε δύο τύπους:

Πρότυπο: μπορεί να ελέγξει μόνο τις διευθύνσεις πηγής
Επεκτάθηκε: μπορεί να ελέγξει τις διευθύνσεις πηγής, καθώς και τις διευθύνσεις παραληπτών, στην περίπτωση IP, επίσης τον τύπο πρωτοκόλλου και τις θύρες TCP/UDP

Πρότυπο: από 1 έως 99
Προχωρημένος: από 100 έως 199

Τύποι ACL

Dynamic (Dynamic ACL)

Σας επιτρέπει να κάνετε τα εξής, για παράδειγμα, έχετε έναν δρομολογητή που είναι συνδεδεμένος σε κάποιον διακομιστή και πρέπει να αποκλείσουμε την πρόσβαση σε αυτόν από τον έξω κόσμο, αλλά ταυτόχρονα υπάρχουν πολλά άτομα που μπορούν να συνδεθούν στον διακομιστή.
Δημιουργούμε μια λίστα δυναμικής πρόσβασης, την επισυνάπτουμε στην εισερχόμενη κατεύθυνση και, στη συνέχεια, τα άτομα που πρέπει να συνδεθούν συνδέονται μέσω Telnet σε αυτήν τη συσκευή, ως αποτέλεσμα, το δυναμικό ACL ανοίγει μια διαδρομή προς τον διακομιστή και ένα άτομο μπορεί στη συνέχεια να μεταβεί, ας πούμε, μέσω HTTP για να φτάσετε στον διακομιστή. Από προεπιλογή, μετά από 10 λεπτά αυτό το πέρασμα κλείνει και ο χρήστης αναγκάζεται ξανά στο Telnet για να συνδεθεί στη συσκευή.

Ανακλαστικό ACL

ACL με βάση το χρόνο

Ρυθμίσεις

Η επεξεργασία πραγματοποιείται αυστηρά με τη σειρά με την οποία αναγράφονται οι όροι
Εάν το πακέτο ταιριάζει με την κατάσταση, δεν υποβάλλεται σε περαιτέρω επεξεργασία
Στο τέλος κάθε λίστας πρόσβασης υπάρχει μια σιωπηρή άρνηση (άρνηση όλων)
Τα εκτεταμένα ACL θα πρέπει να τοποθετούνται όσο το δυνατόν πιο κοντά στην πηγή, ενώ τα τυπικά ACL θα πρέπει να τοποθετούνται όσο το δυνατόν πιο κοντά στον παραλήπτη.
Δεν μπορείτε να τοποθετήσετε περισσότερες από 1 λίστα πρόσβασης ανά διεπαφή, ανά πρωτόκολλο, ανά κατεύθυνση
Το ACL δεν επηρεάζει την κίνηση που δημιουργείται από τον ίδιο τον δρομολογητή
Μια μάσκα WildCard χρησιμοποιείται για το φιλτράρισμα διευθύνσεων

Λίστα τυπικής πρόσβασης

άδεια: επιτρέπω
αρνούμαι: απαγορεύω
παρατήρηση: σχόλιο σχετικά με τη λίστα πρόσβασης
διεύθυνση: να αρνηθεί ή να επιτρέψει το δίκτυο
όποιος: επιτρέπουμε ή αρνούμαστε τα πάντα
πλήθος: επιτρέψτε ή αρνηθείτε τον οικοδεσπότη
πηγή-μπαλαντέρ: Μάσκα δικτύου WildCard
κούτσουρο: ενεργοποιήστε την καταγραφή των πακέτων που διέρχονται από αυτήν την καταχώρηση ACL

Εκτεταμένη λίστα πρόσβασης

πηγή πρωτοκόλλου: ποιο πρωτόκολλο θα επιτρέψουμε ή θα κλείσουμε (ICMP, TCP, UDP, IP, OSPF, κ.λπ.)
αρνούμαι: απαγορεύω
χειριστής:
A.B.C.D - διεύθυνση παραλήπτη
οποιοσδήποτε - οποιοσδήποτε οικοδεσπότης προορισμού
eq - μόνο πακέτα σε αυτήν τη θύρα
gt - μόνο πακέτα με μεγάλο αριθμό θύρας
οικοδεσπότης - ο μόνος τελικός οικοδεσπότης
lt - μόνο πακέτα με χαμηλότερο αριθμό θύρας
neq - μόνο πακέτα που δεν βρίσκονται σε αυτόν τον αριθμό θύρας
range - port range
Λιμάνι: αριθμός θύρας (TCP ή UDP), μπορείτε να καθορίσετε ένα όνομα
καθιερωμένος: επιτρέπουν τη διέλευση τμημάτων TCP που αποτελούν μέρος μιας ήδη δημιουργημένης περιόδου λειτουργίας TCP

Επισυνάπτεται στη διεπαφή

Router(config-if)# ομάδα πρόσβασης ip <номер списка или имя ACL> (μέσα | έξω)

σε: εισερχόμενη κατεύθυνση
έξω: εξερχόμενη κατεύθυνση

Επώνυμες λίστες πρόσβασης

πρότυπο: τυπικό ACL
επεκτάθηκε: εκτεταμένο ACL
Προκαθορισμένο: ορίστε την εντολή στην προεπιλογή

Περιορισμός πρόσβασης στο δρομολογητή

Δυναμικές λίστες πρόσβασης

Ανακλαστικές λίστες πρόσβασης

Προθεσμία

Αντιμετώπιση προβλημάτων

Παράδειγμα

Πρακτική

Συνέλεξα τα εργαστήρια Packet Tracer από το Κεφάλαιο 5 του μαθήματος CCNA 4 ACL. Εάν επιθυμείτε να εμπεδώσετε τις γνώσεις σας στην πράξη, παρακαλούμε -

Συνεχίζουμε να αναπτύσσουμε το μικρό μας άνετο δίκτυο Lift mi Up. Έχουμε ήδη συζητήσει θέματα δρομολόγησης και ευστάθειας και τώρα επιτέλους αποκτήσαμε σύνδεση στο Διαδίκτυο. Αρκετός περιορισμός στο εταιρικό μας περιβάλλον!
Αλλά με την ανάπτυξη εμφανίζονται νέα προβλήματα.
Πρώτα, ο ιός παρέλυσε τον διακομιστή ιστού και στη συνέχεια κάποιος εμπόδισε ένα σκουλήκι, το οποίο εξαπλώθηκε σε όλο το δίκτυο, καταλαμβάνοντας μέρος του εύρους ζώνης. Και κάποιος κακός είχε επίσης τη συνήθεια να μαντεύει κωδικούς πρόσβασης ssh στον διακομιστή.
Μπορείτε να φανταστείτε τι θα συμβεί όταν συνδεθούμε στο Διαδίκτυο;!
Σήμερα λοιπόν:
1) μάθετε να ρυθμίζετε τις παραμέτρους διάφορες λίστεςΛίστα ελέγχου πρόσβασης
2) προσπαθώντας να κατανοήσουμε τη διαφορά μεταξύ του περιορισμού της εισερχόμενης και της εξερχόμενης κίνησης
3) κατανοήστε πώς λειτουργεί το NAT, τα πλεονεκτήματα, τα μειονεκτήματα και τις δυνατότητές του
4) Στην πράξη, θα οργανώσουμε μια σύνδεση στο Διαδίκτυο μέσω NAT και θα αυξήσουμε την ασφάλεια του δικτύου χρησιμοποιώντας λίστες πρόσβασης.

Λίστα ελέγχου πρόσβασης

Τι έχουμε λοιπόν να πούμε για τις λίστες πρόσβασης; Στην πραγματικότητα, το θέμα είναι σχετικά απλό και μόνο τεμπέληδες το αντέγραψαν από το μάθημα του CCNA. Αλλά δεν πρέπει να ξεσκίσουμε την καταπληκτική μας ιστορία λόγω κάποιων προκαταλήψεων;

Ποιος είναι ο σκοπός των λιστών πρόσβασης; Φαίνεται ότι η απολύτως προφανής απάντηση είναι να περιορίσουμε την πρόσβαση: να απαγορεύσουμε σε κάποιον να κάνει κάτι, για παράδειγμα. Σε γενικές γραμμές, αυτό είναι αλήθεια, αλλά πρέπει να καταλάβετε περισσότερα με ευρεία έννοια: Δεν είναι μόνο θέμα ασφάλειας. Δηλαδή, αρχικά μάλλον αυτό ίσχυε, επομένως άδειαΚαι αρνούμαικατά τη ρύθμιση. Αλλά στην πραγματικότητα, το ACL είναι ένας ευέλικτος και ισχυρός μηχανισμός φιλτραρίσματος. Με τη βοήθειά τους, μπορείτε να προσδιορίσετε σε ποιον θα εκχωρήσετε συγκεκριμένες πολιτικές και σε ποιον όχι, σε ποιον θα συμμετάσχει σε ορισμένες διαδικασίες και σε ποιον όχι, ποιον περιορίζουμε σε ταχύτητα έως και 56 χιλιάδες και ποιους στα 56 εκατομμύρια.
Για να το κάνουμε λίγο πιο σαφές, ας δώσουμε ένα απλό παράδειγμα. Η δρομολόγηση βάσει πολιτικής (PBR) λειτουργεί με βάση τις λίστες πρόσβασης. Μπορείτε να το κάνετε εδώ για τα εισερχόμενα πακέτα απότα δίκτυα 192.168.1.0/24 στάλθηκαν στο next-hop 10.0.1.1 και απόδίκτυο 192.168.2.0/24 στις 10.0.2.1 (σημειώστε ότι η κανονική δρομολόγηση βασίζεται στη διεύθυνση προορισμού του πακέτου και αυτόματα όλα τα πακέτα αποστέλλονται σε ένα επόμενο βήμα):

Στο τέλος του άρθρου υπάρχει ένα παράδειγμα ρύθμισης και .

Τύποι ACL

Εντάξει, ας ξεχάσουμε λίγο αυτούς τους στίχους.
Γενικά, οι λίστες πρόσβασης είναι διαφορετικές:

Πρότυπο
Προχωρημένος
Δυναμικός
Αυτοπαθής
Με βάση το χρόνο

Θα εστιάσουμε την προσοχή μας σήμερα στα δύο πρώτα, και μπορείτε να διαβάσετε περισσότερα για όλα από το ciska.

Εισερχόμενη και εξερχόμενη κίνηση

Για να ξεκινήσουμε, ας ξεκαθαρίσουμε ένα πράγμα. Τι εννοείτε με τον όρο εισερχόμενη και εξερχόμενη κίνηση; Αυτό θα το χρειαστούμε στο μέλλον. Η εισερχόμενη κίνηση είναι αυτή που έρχεται στη διεπαφή από έξω.

Εξερχόμενη είναι αυτή που αποστέλλεται από τη διεπαφή προς τα έξω.

Μπορείτε να εφαρμόσετε μια λίστα πρόσβασης είτε στην εισερχόμενη κίνηση, τότε τα ανεπιθύμητα πακέτα δεν θα φτάσουν καν στο δρομολογητή και, κατά συνέπεια, περαιτέρω στο δίκτυο, είτε στην εξερχόμενη κίνηση, στη συνέχεια τα πακέτα φτάνουν στο δρομολογητή, υποβάλλονται σε επεξεργασία από αυτόν, φτάνουν στο διεπαφή προορισμού και απορρίπτονται μόνο σε αυτήν.

Μια τυπική λίστα πρόσβασης ελέγχει μόνο τη διεύθυνση του αποστολέα. Εκτεταμένη - διεύθυνση αποστολέα, διεύθυνση παραλήπτη και θύρα. Συνιστάται να τοποθετείτε τα τυπικά ACL όσο το δυνατόν πιο κοντά στον παραλήπτη (για να μην κόβονται περισσότερο από ό,τι χρειάζεται), και τα εκτεταμένα - πιο κοντά στον αποστολέα (για να ρίξετε την ανεπιθύμητη επισκεψιμότητα όσο το δυνατόν νωρίτερα).

Πρακτική

Ας περάσουμε κατευθείαν στην εξάσκηση. Τι πρέπει να περιορίσουμε στο μικρό μας δίκτυο «Lift mi Up»;

Διακομιστής WEB. Να επιτρέπεται η πρόσβαση σε όλους στη θύρα TCP 80 ( Πρωτόκολλο HTTP). Για τη συσκευή από την οποία θα γίνει ο έλεγχος (έχουμε διαχειριστή), πρέπει να ανοίξετε telnet και ftp, αλλά θα της δώσουμε πλήρη πρόσβαση. Όλοι οι άλλοι κλείνουν το τηλέφωνο
Διακομιστής αρχείων. Θα πρέπει να έχουμε τους κατοίκους του Lift Mi Up να έχουν πρόσβαση σε αυτό μέσω θυρών για κοινόχρηστους φακέλους και όλους τους άλλους μέσω FTP.
Διακομιστής αλληλογραφίας. Εδώ έχουμε SMTP και POP3 που τρέχουν, δηλαδή θύρες TCP 25 και 110. Ανοίγουμε επίσης πρόσβαση διαχείρισης για τον διαχειριστή. Μπλοκάρουμε άλλους
Για τον μελλοντικό διακομιστή DNS, πρέπει να ανοίξετε τη θύρα UDP 53
Επιτρέψτε τα μηνύματα ICMP σε ένα δίκτυο διακομιστών
Δεδομένου ότι διαθέτουμε το δίκτυο Άλλο για όλα τα μη κομματικά άτομα που δεν περιλαμβάνονται στο Τμήμα FEO, PTO και Λογιστικής, θα τα περιορίσουμε όλα και θα δώσουμε μόνο κάποια πρόσβαση (συμπεριλαμβανομένων εμάς και του διαχειριστή)
Για άλλη μια φορά, μόνο ο διαχειριστής, και φυσικά ο αγαπημένος σας, θα πρέπει να επιτρέπεται στο δίκτυο ελέγχου
Δεν θα δημιουργήσουμε εμπόδια στην επικοινωνία μεταξύ των υπαλλήλων του τμήματος.

1) Πρόσβαση στον διακομιστή WEB

Εδώ έχουμε μια πολιτική απαγόρευσης κάθε τι που δεν επιτρέπεται. Επομένως, τώρα πρέπει να ανοίξουμε κάτι και να κλείσουμε όλα τα άλλα.
Επειδή προστατεύουμε ένα δίκτυο διακομιστών, θα κρεμάσουμε το φύλλο στη διεπαφή προς αυτούς, δηλαδή στο FE0/0.3 Η ερώτηση είναι μόνο σεή στο έξωχρειάζεται να το κάνουμε αυτό; Εάν δεν θέλουμε να στείλουμε πακέτα σε διακομιστές που βρίσκονται ήδη στο δρομολογητή, τότε αυτή θα είναι εξερχόμενη κίνηση. Δηλαδή, θα έχουμε διευθύνσεις προορισμού στο δίκτυο των διακομιστών (από τους οποίους θα επιλέξουμε σε ποιο διακομιστή θα πάει η κίνηση), και οι διευθύνσεις πηγής μπορεί να είναι οτιδήποτε - τόσο από το εταιρικό μας δίκτυο όσο και από το Διαδίκτυο.
Μια ακόμη σημείωση: καθώς θα φιλτράρουμε επίσης κατά διεύθυνση προορισμού (υπάρχουν ορισμένοι κανόνες για τον διακομιστή WEB και άλλοι για τον διακομιστή αλληλογραφίας), θα χρειαστούμε μια εκτεταμένη λίστα ελέγχου πρόσβασης, είναι η μόνη που μας επιτρέπει να το κάνουμε αυτό .

Οι κανόνες στη λίστα πρόσβασης ελέγχονται με σειρά από πάνω προς τα κάτω μέχρι τον πρώτο αγώνα. Μόλις ενεργοποιηθεί ένας από τους κανόνες, ανεξάρτητα από το αν είναι άδεια ή άρνηση, ο έλεγχος σταματά και η κυκλοφορία διεκπεραιώνεται με βάση τον κανόνα που ενεργοποιήθηκε.
Δηλαδή, αν θέλουμε να προστατεύσουμε τον διακομιστή WEB, τότε πρώτα από όλα πρέπει να δώσουμε άδεια, γιατί αν ρυθμίσουμε στην πρώτη γραμμή αρνηθείτε ip οποιαδήποτε- τότε θα λειτουργεί πάντα και η κυκλοφορία δεν θα ρέει καθόλου. Οποιος- Αυτό ειδική λέξη, που σημαίνει τη διεύθυνση δικτύου και την αντίστροφη μάσκα 0.0.0.0 0.0.0.0 και σημαίνει ότι απολύτως όλοι οι κόμβοι από οποιαδήποτε δίκτυα υπόκεινται στον κανόνα. Μια άλλη ιδιαίτερη λέξη είναι πλήθος- σημαίνει τη μάσκα 255.255.255.255 - δηλαδή ακριβώς μια συγκεκριμένη διεύθυνση.
Έτσι, ο πρώτος κανόνας: να επιτρέπεται η πρόσβαση σε όλους στη θύρα 80
msk-arbat-gw1(config-ext-nacl)# παρατήρηση WEB
οποιοσδήποτε κεντρικός υπολογιστής 172.16.0.2 eq 80

Επιτρέψτε ( άδεια) Κυκλοφορία TCP από οποιονδήποτε κόμβο ( όποιος) για να φιλοξενήσει ( πλήθος- ακριβώς μία διεύθυνση) 172.16.0.2, που απευθύνεται στη θύρα 80.
Ας προσπαθήσουμε να επισυνάψουμε αυτήν τη λίστα πρόσβασης στη διεπαφή FE0/0.3:
msk-arbat-gw1(config-subif)# ip access-group Διακομιστές-out έξω

Ελέγχουμε από οποιονδήποτε από τους συνδεδεμένους υπολογιστές μας:

Όπως μπορείτε να δείτε, η σελίδα ανοίγει, αλλά τι γίνεται με το ping;

Και έτσι από οποιονδήποτε άλλο κόμβο;

Το γεγονός είναι ότι μετά από όλους τους κανόνες στα Cisco ACLs, ένα σιωπηρό αρνηθείτε ip οποιαδήποτε(σιωπηρή άρνηση). Τι σημαίνει αυτό για εμάς; Οποιοδήποτε πακέτο εξέρχεται από τη διεπαφή και δεν ταιριάζει με κανέναν κανόνα στο ACL υπόκειται σε σιωπηρή άρνηση και απορρίπτεται. Δηλαδή, ούτε το ping, ούτε το FTP, ή οτιδήποτε άλλο δεν θα λειτουργήσει εδώ.

Ας πάμε παρακάτω: πρέπει να δώσουμε πλήρη πρόσβαση στον υπολογιστή από τον οποίο θα γίνει ο έλεγχος. Αυτός θα είναι ο υπολογιστής του διαχειριστή μας με τη διεύθυνση 172.16.6.66 από το δίκτυο Άλλο.
Κάθε νέος κανόνας προστίθεται αυτόματα στο τέλος της λίστας εάν υπάρχει ήδη:
msk-arbat-gw1(config)#
msk-arbat-gw1(config-ext-nacl)# permit tcp host 172.16.6.66 host 172.16.0.2 εύρος 20 ftp
msk-arbat-gw1(config-ext-nacl)# permit tcp host 172.16.6.66 host 172.16.0.2 eq telnet

Αυτό είναι όλο. Ελέγχουμε από τον επιθυμητό κόμβο (καθώς οι διακομιστές στη Δημοκρατία του Ταταρστάν δεν υποστηρίζουν telnet, ελέγχουμε στο FTP):

Δηλαδή, το μήνυμα FTP έφτασε στο δρομολογητή και θα πρέπει να φύγει από τη διεπαφή FE0/0.3. Ο δρομολογητής ελέγχει και βλέπει ότι το πακέτο ταιριάζει με τον κανόνα που προσθέσαμε και το διαβιβάζει.

Και από ξένο κόμβο

Το πακέτο FTP δεν ταιριάζει με κανέναν από τους κανόνες εκτός από την σιωπηρή άρνηση ip και απορρίπτεται.

2) Πρόσβαση στον διακομιστή αρχείων

Εδώ, πρώτα απ 'όλα, πρέπει να αποφασίσουμε ποιος θα είναι ο «κάτοικος» και σε ποιον πρέπει να δοθεί πρόσβαση. Φυσικά πρόκειται για όσους έχουν διεύθυνση από το δίκτυο 172.16.0.0/16 - μόνο σε αυτούς θα δοθεί πρόσβαση.
Τώρα με κοινόχρηστους φακέλους. Στην πλειοψηφία σύγχρονα συστήματατο πρωτόκολλο SMB χρησιμοποιείται ήδη για αυτό, κάτι που χρειάζεται Θύρα TCP 445. Σε παλαιότερες εκδόσεις, χρησιμοποιήθηκε το NetBios, το οποίο τροφοδοτήθηκε μέσω τριών θυρών: UDP 137 και 138 και TCP 139. Έχοντας συμφωνήσει με τον διαχειριστή μας, θα διαμορφώσουμε τη θύρα 445 (αν και, φυσικά, δεν θα είναι δυνατός ο έλεγχος εντός το RT). Αλλά εκτός από αυτό, θα χρειαστούμε θύρες για FTP - 20, 21, και όχι μόνο για εσωτερικούς κεντρικούς υπολογιστές, αλλά και για συνδέσεις από το Διαδίκτυο:
msk-arbat-gw1(config)# ip access-list Extended Servers-out
msk-arbat-gw1(config-ext-nacl)# permit tcp 172.16.0.0 0.0.255.255 host 172.16.0.3 eq 445
msk-arbat-gw1(config-ext-nacl)# permit tcp όποιος host 172.16.0.3 εύρος 20 21

Εδώ εφαρμόσαμε ξανά το σχέδιο εύρος 20 21- για να καθορίσετε πολλές θύρες σε μία γραμμή. Για το FTP, γενικά, μόνο η θύρα 21 δεν αρκεί. Το γεγονός είναι ότι εάν το ανοίξετε μόνο, τότε θα εξουσιοδοτηθείτε, αλλά η μεταφορά αρχείων όχι.

0.0.255.255 - μάσκα μπαλαντέρ. Θα μιλήσουμε για το τι είναι αυτό λίγο αργότερα.

3) Πρόσβαση σε διακομιστή αλληλογραφίας

Συνεχίζουμε να αναπτύσσουμε πρακτική - τώρα με διακομιστή αλληλογραφίας. Στην ίδια λίστα πρόσβασης, προσθέτουμε τις νέες εγγραφές που χρειαζόμαστε.
Αντί για αριθμούς θυρών για πρωτόκολλα που χρησιμοποιούνται ευρέως, μπορείτε να καθορίσετε τα ονόματά τους:
msk-arbat-gw1(config)# ip access-list Extended Servers-out
msk-arbat-gw1(config-ext-nacl)#permit tcp οποιοδήποτε κεντρικό υπολογιστή 172.16.0.4 eq pop3
msk-arbat-gw1(config-ext-nacl)#permit tcp οποιοδήποτε κεντρικό υπολογιστή 172.16.0.4 eq smtp

4) Διακομιστής DNS

msk-arbat-gw1(config)# ip access-list Extended Servers-out
msk-arbat-gw1(config-ext-nacl)# άδεια udp 172.16.0.0 0.0.255.255 κεντρικός υπολογιστής 172.16.0.5 ισοδ. 53

5) ICMP

Το μόνο που μένει είναι να διορθωθεί η κατάσταση του ping. Δεν υπάρχει τίποτα κακό με την προσθήκη κανόνων στο τέλος της λίστας, αλλά κατά κάποιο τρόπο θα είναι πιο ευχάριστο αισθητικά να τους δούμε στην αρχή.
Χρησιμοποιούμε ένα απλό cheat για αυτό. Για να το κάνετε αυτό, μπορείτε να χρησιμοποιήσετε ένα πρόγραμμα επεξεργασίας κειμένου, για παράδειγμα. Αντιγράψτε το κομμάτι για το ACL από το show run εκεί και προσθέστε παρακάτω γραμμές:
χωρίς εκτεταμένη λίστα πρόσβασης ip Εξόδου διακομιστών
ip Access-list Extended Servers-out
άδεια icmp οποιαδήποτε
παρατήρηση WEB

παρατήρηση ΑΡΧΕΙΟ

παρατήρηση MAIL

παρατήρηση DNS

Η πρώτη γραμμή που διαγράφουμε υπάρχουσα λίστα, μετά το δημιουργούμε ξανά και παραθέτουμε όλους τους νέους κανόνες με τη σειρά που χρειαζόμαστε. Με την εντολή στην τρίτη γραμμή, επιτρέψαμε τη μετάβαση όλων των πακέτων ICMP από οποιονδήποτε κεντρικό υπολογιστή σε οποιονδήποτε κεντρικό υπολογιστή.

Στη συνέχεια, απλώς αντιγράφουμε τα πάντα μαζικά και τα επικολλάμε στην κονσόλα. Η διεπαφή ερμηνεύει κάθε γραμμή ως ξεχωριστή ομάδακαι το κάνει. Έτσι αντικαταστήσαμε την παλιά λίστα με μια νέα.
Ελέγχουμε ότι υπάρχει ping:

Εκπληκτικός.

Αυτή η «απάτη» είναι καλή για αρχική διαμόρφωσηή αν ξέρεις ακριβώς τι κάνεις. Επί δίκτυο εργασίας, όταν διαμορφώνετε ένα ACL εξ αποστάσεως, κινδυνεύετε να μείνετε χωρίς πρόσβαση στο υλικό που ρυθμίζετε.

Για να εισαγάγετε έναν κανόνα στην αρχή ή σε οποιοδήποτε άλλο επιθυμητό μέρος, μπορείτε να καταφύγετε σε αυτήν την τεχνική:
ip Access-list Extended Servers-out
1 άδεια icmp οποιαδήποτε

Κάθε κανόνας στη λίστα αριθμείται με ένα συγκεκριμένο βήμα και αν βάλετε έναν αριθμό πριν από τη λέξη άδεια/άρνηση, ο κανόνας θα προστεθεί όχι στο τέλος, αλλά στο μέρος που χρειάζεστε. Δυστυχώς, αυτή η δυνατότητα δεν λειτουργεί στο RT.
Εάν είναι ξαφνικά απαραίτητο (όλοι οι διαδοχικοί αριθμοί μεταξύ των κανόνων είναι κατειλημμένοι), μπορείτε πάντα να επαναριθμήσετε τους κανόνες (σε αυτό το παράδειγμα, ο αριθμός του πρώτου κανόνα εκχωρείται στο 10 (ο πρώτος αριθμός) και η αύξηση είναι 10):
ip access-list resequence Εξόδου διακομιστών 10 10

Ως αποτέλεσμα, η λίστα πρόσβασης για το δίκτυο διακομιστών θα μοιάζει με αυτό:
ip Access-list Extended Servers-out
άδεια icmp οποιαδήποτε
παρατήρηση WEB
permit tcp any host 172.16.0.2 eq www
permit tcp host 172.16.6.66 host 172.16.0.2 range 20 ftp
permit tcp host 172.16.6.66 host 172.16.0.2 eq telnet
παρατήρηση ΑΡΧΕΙΟ
άδεια tcp 172.16.0.0 0.0.255.255 host 172.16.0.3 eq 445
permit tcp any host 172.16.0.3 range 20 21
παρατήρηση MAIL
permit tcp any host 172.16.0.4 eq pop3
permit tcp any host 172.16.0.4 eq smtp
παρατήρηση DNS
permit udp 172.16.0.0 0.0.255.255 host 172.16.0.5 eq 53

Προς το παρόν ο διαχειριστής μας έχει πρόσβαση μόνο στον διακομιστή WEB. Δώστε του πλήρη πρόσβαση σε ολόκληρο το δίκτυο. Αυτή είναι η πρώτη εργασία για το σπίτι.

6) Δικαιώματα χρηστών από το Άλλο δίκτυο

Μέχρι τώρα χρειαζόμασταν μην αφήσεις να μπειςκάποιος κάπου, οπότε δώσαμε προσοχή στη διεύθυνση προορισμού και επισυνάψαμε μια λίστα πρόσβασης στην εξερχόμενη κίνηση από τη διεπαφή. Τώρα χρειαζόμαστε μην απελευθερώνεις: Κανένα αίτημα από υπολογιστές στο δίκτυο Άλλο δεν πρέπει να είναι εκτός ορίων. Λοιπόν, φυσικά, εκτός από αυτές που επιτρέπουμε συγκεκριμένα.
msk-arbat-gw1(config)# ip access-list εκτεταμένη Άλλα-σε

msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.6.61 οποιοδήποτε

Εδώ δεν θα μπορούσαμε πρώτα να αρνηθούμε τους πάντες και μετά να επιτρέψουμε λίγους εκλεκτούς, γιατί απολύτως όλα τα πακέτα θα υπάγονταν στον κανόνα αρνηθείτε ip οποιαδήποτεΚαι άδειαδεν θα λειτουργούσε καθόλου.
Το εφαρμόζουμε στη διεπαφή. Αυτή τη φορά στην είσοδο:
msk-arbat-gw1(config)#int fa0/0.104
msk-arbat-gw1(config-subif)#ip access-group Other-in σε

Δηλαδή, όλα τα πακέτα IP από έναν κεντρικό υπολογιστή με διεύθυνση 172.16.6.61 ή 172.16.6.66 επιτρέπεται να προωθούνται οπουδήποτε προορίζονται. Γιατί χρησιμοποιούμε επίσης μια λίστα εκτεταμένης πρόσβασης εδώ; Σε τελική ανάλυση, φαίνεται ότι ελέγχουμε μόνο τη διεύθυνση του αποστολέα. Επειδή δώσαμε στον διαχειριστή πλήρη πρόσβαση, αλλά ένας επισκέπτης της εταιρείας Lift Mi Up, για παράδειγμα, που μπαίνει στο ίδιο δίκτυο, δεν έχει καμία απολύτως πρόσβαση σε τίποτα εκτός από το Διαδίκτυο.

7) Δίκτυο ελέγχου

Τίποτα περίπλοκο. Ο κανόνας θα μοιάζει με αυτό:
msk-arbat-gw1(config)# ip access-list εκτεταμένη διαχείριση-out
msk-arbat-gw1(config-ext-nacl)# παρατήρηση IAM
msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.6.61 172.16.1.0 0.0.0.255
msk-arbat-gw1(config-ext-nacl)# παρατήρηση ΔΙΑΧΕΙΡΙΣΤΗΣ
msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.6.66 172.16.1.0 0.0.0.255

Εφαρμόζουμε αυτό το ACL on out στη διεπαφή FE 0/0.2:
msk-arbat-gw1(config)# int fa0/0.2
msk-arbat-gw1(config-subif)#ip access-group Διαχείριση-έξοδος

8) Όχι άλλοι περιορισμοί

Ετοιμος

Μάσκα και αντίστροφη μάσκα

Μέχρι τώρα, χωρίς εξήγηση, δώσαμε μια περίεργη παράμετρο όπως το 0.0.255.255, που μοιάζει ύποπτα με μάσκα υποδικτύου.
Λίγο δύσκολο να γίνει κατανοητό, αλλά αυτό είναι που χρησιμοποιείται η αντίστροφη μάσκα για να προσδιορίσει ποιοι οικοδεσπότες θα υπόκεινται στον κανόνα.
Για να καταλάβετε τι είναι η αντίστροφη μάσκα, πρέπει να ξέρετε τι είναι μια κανονική μάσκα. Ας ξεκινήσουμε με το πιο απλό παράδειγμα.

Ένα κανονικό δίκτυο με 256 διευθύνσεις: 172.16.5.0/24, για παράδειγμα. Τι σημαίνει αυτή η καταχώρηση;
Και σημαίνει ακριβώς το εξής

Διεύθυνση IP. Δεκαδικός συμβολισμός	172	16	5	0
Διεύθυνση IP. Δυαδική σημειογραφία	10101100	00010000	00000101	00000000
	11111111	11111111	11111111	00000000
	255	255	255	0

Μια διεύθυνση IP είναι μια παράμετρος 32-bit χωρισμένη σε 4 μέρη, τα οποία έχετε συνηθίσει να βλέπετε σε δεκαδική μορφή.
Η μάσκα υποδικτύου έχει επίσης μήκος 32 bit - στην πραγματικότητα είναι ένα πρότυπο, ένα στένσιλ που καθορίζει τη διεύθυνση υποδικτύου της διεύθυνσης. Όπου υπάρχουν στη μάσκα, η τιμή δεν μπορεί να αλλάξει, δηλαδή το τμήμα 172.16.5 είναι εντελώς αμετάβλητο και θα είναι το ίδιο για όλους τους κεντρικούς υπολογιστές σε αυτό το υποδίκτυο, αλλά το τμήμα όπου υπάρχουν μηδενικά ποικίλλει.
Δηλαδή, στο παράδειγμά μας, το 172.16.5.0/24 είναι η διεύθυνση δικτύου και οι κεντρικοί υπολογιστές θα είναι 172.16.5.1-172.16.5.254 (το τελευταίο 255 μεταδίδεται), επειδή το 00000001 είναι 1 και το 11111110 μιλάμε για 254 (εμείς σχετικά με την τελευταία οκτάδα της διεύθυνσης ). Το /24 σημαίνει ότι το μήκος της μάσκας είναι 24 bit, δηλαδή έχουμε 24 ένα - το αμετάβλητο μέρος και 8 μηδενικά.
Μια άλλη περίπτωση είναι όταν η μάσκα μας είναι, για παράδειγμα, 30 bit, όχι 24.
Για παράδειγμα 172.16.2.4/30. Ας το γράψουμε ως εξής:

Διεύθυνση IP. Δεκαδικός συμβολισμός	172	16	2	4
Διεύθυνση IP. Δυαδική σημειογραφία	10101100	00010000	00000010	00000100
Μάσκα υποδικτύου. Δυαδική σημειογραφία	11111111	11111111	11111111	11111100
Μάσκα υποδικτύου. Δεκαδικός συμβολισμός	255	255	255	252

Όπως μπορείτε να δείτε, μόνο τα δύο τελευταία bit μπορούν να αλλάξουν για αυτό το υποδίκτυο. Η τελευταία οκτάδα μπορεί να λάβει τις ακόλουθες 4 τιμές:
00000100 - διεύθυνση υποδικτύου (4 σε δεκαδικά)
00000101 - διεύθυνση κόμβου (5)
00000110 - διεύθυνση κόμβου (6)
00000111 - μετάδοση (7)
Όλα πέρα από αυτό είναι ένα διαφορετικό υποδίκτυο

Δηλαδή, τώρα θα πρέπει να σας είναι λίγο ξεκάθαρο ότι μια μάσκα υποδικτύου είναι μια ακολουθία 32 bit, όπου πρώτα υπάρχουν ένα, δηλαδή η διεύθυνση υποδικτύου, μετά υπάρχουν μηδενικά, δηλαδή η διεύθυνση του κεντρικού υπολογιστή. Σε αυτήν την περίπτωση, τα μηδενικά και τα ένα στη μάσκα δεν μπορούν να εναλλάσσονται. Δηλαδή η μάσκα είναι 11111111.11100000.11110111.00000000 αδύνατο

Τι είναι η αντίστροφη μάσκα (μπαλαντέρ);
Για τη συντριπτική πλειοψηφία των διαχειριστών και ορισμένων μηχανικών, αυτό δεν είναι τίποτα άλλο από μια αντιστροφή της συνηθισμένης μάσκας. Δηλαδή, τα μηδενικά ορίζουν πρώτα τη διεύθυνση του τμήματος που πρέπει απαραίτητα να ταιριάζει και ένα, αντίθετα, το ελεύθερο μέρος.
Δηλαδή, στο πρώτο παράδειγμα που πήραμε, εάν θέλετε να φιλτράρετε όλους τους κεντρικούς υπολογιστές από το υποδίκτυο 172.16.5.0/24, τότε θα ορίσετε έναν κανόνα στο φύλλο Access:
…. 172.16.5.0 0.0.0.255
Επειδή η αντίστροφη μάσκα θα μοιάζει με αυτό:

00000000.00000000.00000000.11111111

Στο δεύτερο παράδειγμα με το δίκτυο 172.16.2.4/30, η αντίστροφη μάσκα θα μοιάζει με αυτό: 30 μηδενικά και δύο ένα:

Αντίστροφη μάσκα. Δυαδική σημειογραφία	00000000	00000000	00000000	00000011
Αντίστροφη μάσκα. Δεκαδικός συμβολισμός	0	0	0	3

Κατά συνέπεια, η παράμετρος στη λίστα πρόσβασης θα μοιάζει με αυτό:
…. 172.16.2.4 0.0.0.3
Αργότερα, όταν τρώτε τον σκύλο στον υπολογισμό μάσκες και αντίστροφης μάσκας, θα θυμάστε τους αριθμούς που χρησιμοποιούνται περισσότερο, τον αριθμό των οικοδεσποτών σε μια συγκεκριμένη μάσκα και θα καταλάβετε ότι στις περιπτώσεις που περιγράφονται, προκύπτει η τελευταία οκτάδα της αντίστροφης μάσκας αφαιρώντας την τελευταία οκτάδα της κανονικής μάσκας από το 255 (255-252 =3) κ.λπ. Στο μεταξύ, πρέπει να δουλέψετε σκληρά και να μετρήσετε)

Αλλά στην πραγματικότητα, η αντίστροφη μάσκα είναι ένα ελαφρώς πιο πλούσιο εργαλείο, εδώ μπορείτε να συνδυάσετε διευθύνσεις μέσα στο ίδιο υποδίκτυο ή ακόμα και να συνδυάσετε υποδίκτυα, αλλά η πιο σημαντική διαφορά είναι ότι μπορείτε να εναλλάξετε μηδενικά και ένα. Αυτό σας επιτρέπει, για παράδειγμα, να φιλτράρετε έναν συγκεκριμένο κεντρικό υπολογιστή (ή ομάδα) σε πολλά υποδίκτυα με μία γραμμή.

Παράδειγμα 1

Δεδομένος:δικτύου 172.16.16.0/24
Απαραίτητη:φιλτράρετε τις πρώτες 64 διευθύνσεις (172.16.16.0-172.16.16.63)
Λύση: 172.16.16.0 0.0.0.63

Παράδειγμα 2

Δεδομένος:δίκτυα 172.16.16.0/24 και 172.16.17.0/24
Απαραίτητη:φιλτράρετε τις διευθύνσεις και από τα δύο δίκτυα
Λύση: 172.16.16.0 0.0.1.255

Παράδειγμα 3

Δεδομένος:Δίκτυα 172.16.0.0-172.16.255.0
Απαραίτητη:φιλτράρισμα κεντρικού υπολογιστή με διεύθυνση 4 από όλα τα υποδίκτυα
Λύση: 172.16.0.4 0.0.255.0

Λειτουργία ACL σε εικόνες

Υποθετικό δίκτυο:

1) Στον δρομολογητή RT1 στη διασύνδεση FE0/1, επιτρέπεται η είσοδος σε όλα εκτός από το ICMP.

2) Στον δρομολογητή RT2 στη διεπαφή FE0/1, το SSH και το TELNET απαγορεύεται να εξέλθουν

Δοκιμές
με δυνατότητα κλικ
1) Πραγματοποιήστε ping από τον υπολογιστή 1 στον διακομιστή 1

2) TELNET από PC1 σε Server1

3) SSH από PC1 σε Server2

4) Πραγματοποίηση ping από τον διακομιστή 2 στον υπολογιστή 1

Πρόσθετα

1) Οι κανόνες που ισχύουν για την εξερχόμενη κυκλοφορία (out) δεν θα φιλτράρουν την κίνηση της ίδιας της συσκευής. Δηλαδή, εάν χρειαστεί να αρνηθείτε την πρόσβαση στο ίδιο το Cisco κάπου, τότε θα πρέπει να φιλτράρετε την εισερχόμενη κίνηση σε αυτήν τη διεπαφή (απόκριση κυκλοφορίας από όπου πρέπει να αρνηθείτε την πρόσβαση).

2) Πρέπει να είστε προσεκτικοί με τα ACL. Ένα μικρό λάθος σε έναν κανόνα, μια εσφαλμένη σειρά διαμόρφωσης ή μια γενικά κακώς μελετημένη λίστα μπορεί να σας αφήσει χωρίς πρόσβαση στη συσκευή.
Για παράδειγμα, θέλετε να αποκλείσετε την πρόσβαση οπουδήποτε για το δίκτυο 172.16.6.0/24, εκτός από τη διεύθυνσή σας 172.16.6.61 και να ορίσετε τους κανόνες ως εξής:
άρνηση ip 172.16.6.0 0.0.0.255 οποιαδήποτε

Μόλις εφαρμόσετε ένα ACL σε μια διεπαφή, θα χάσετε αμέσως την πρόσβαση στο δρομολογητή, επειδή εμπίπτετε στον πρώτο κανόνα και ο δεύτερος δεν ελέγχεται καν.
Η δεύτερη δυσάρεστη κατάσταση που μπορεί να σας συμβεί: η κίνηση που δεν θα έπρεπε να έχει περάσει κάτω από το ACL.
Φανταστείτε αυτήν την κατάσταση: στο δωμάτιο του διακομιστή μας έχουμε έναν διακομιστή FTP παθητική λειτουργία. Για να αποκτήσετε πρόσβαση, ανοίξατε την 21η θύρα στο ACL Εξόδου από διακομιστές. Αφού δημιουργηθεί η αρχική σύνδεση, ο διακομιστής FTP ενημερώνει τον πελάτη για τη θύρα στην οποία είναι έτοιμος να μεταφέρει/λάβει αρχεία, για παράδειγμα, 1523. Ο πελάτης προσπαθεί να δημιουργήσει μια σύνδεση TCP σε αυτήν τη θύρα, αλλά συναντά μια έξοδο διακομιστών ACL, όπου δεν υπάρχει τέτοια άδεια - και κάπως έτσι τελειώνει το παραμύθι για μια επιτυχημένη μεταφορά. Στο παραπάνω παράδειγμά μας, όπου ρυθμίσαμε την πρόσβαση στον διακομιστή αρχείων, ανοίξαμε την πρόσβαση μόνο στις 20 και 21, γιατί αυτό είναι αρκετό για το παράδειγμα. ΣΕ πραγματική ζωήθα πρεπει να τσιμπήσετε. Μερικά παραδείγματα διαμορφώσεων ACL για συνηθισμένες περιπτώσεις.

3) Ένα πολύ παρόμοιο και ενδιαφέρον πρόβλημα προκύπτει από το σημείο 2.
Θέλατε, για παράδειγμα, να τοποθετήσετε τα ακόλουθα ACL στη διεπαφή Διαδικτύου:
access-list out permit tcp host 1.1.1.1 host 2.2.2.2 eq 80
λίστα πρόσβασης στον κεντρικό υπολογιστή άδειας tcp 2.2.2.2 οποιαδήποτε εξίσωση 80

Φαίνεται: στον κεντρικό υπολογιστή με διεύθυνση 1.1.1.1 επιτρέπεται η πρόσβαση μέσω της θύρας 80 στον διακομιστή 2.2.2.2 (πρώτος κανόνας). Και πίσω από τον διακομιστή 2.2.2.2, επιτρέπονται οι εσωτερικές συνδέσεις.
Αλλά η απόχρωση εδώ είναι ότι ο υπολογιστής 1.1.1.1 δημιουργεί μια σύνδεση με τη θύρα 80, αλλά από κάποια άλλη θύρα, για παράδειγμα, 1054, δηλαδή, το πακέτο απόκρισης από τον διακομιστή φτάνει στην υποδοχή 1.1.1.1:1054, δεν εμπίπτει ο κανόνας στο ACL είναι στο IN και απορρίπτεται λόγω της σιωπηρής άρνησης ip οποιαδήποτε.
Για να αποφύγετε αυτήν την κατάσταση και να μην ανοίξετε ολόκληρη τη δέσμη των θυρών, μπορείτε να καταφύγετε σε αυτό το κόλπο στο ACL στο:
άδεια tcp host 2.2.2.2 οποιαδήποτε καθιερωμένη.

Λεπτομέρειες αυτής της λύσης θα βρείτε σε ένα από τα ακόλουθα άρθρα.

4) Μιλώντας για σύγχρονος κόσμος, δεν υπάρχει τρόπος παράκαμψης ενός εργαλείου όπως οι ομάδες αντικειμένων.

Ας υποθέσουμε ότι πρέπει να δημιουργήσετε ένα ACL που θα απελευθερώνει τρεις συγκεκριμένες διευθύνσεις στο Διαδίκτυο σε τρεις ίδιες θύρες με την προοπτική να επεκτείνετε τον αριθμό των διευθύνσεων και των θυρών. Πώς φαίνεται χωρίς να γνωρίζουμε ομάδες αντικειμένων:
Η λίστα πρόσβασης ip επεκτάθηκε ΣΤΟ ΔΙΑΔΙΚΤΥΟ
permit tcp host 172.16.6.66 any eq 80
permit tcp host 172.16.6.66 οποιοδήποτε eq 8080
permit tcp host 172.16.6.66 any eq 443
permit tcp host 172.16.6.67 οποιαδήποτε εξίσωση 80
permit tcp host 172.16.6.67 οποιοδήποτε eq 8080
permit tcp host 172.16.6.67 οποιοδήποτε eq 443
permit tcp host 172.16.6.68 any eq 80
permit tcp host 172.16.6.68 οποιοδήποτε eq 8080
permit tcp host 172.16.6.68 οποιοδήποτε eq 443

Καθώς ο αριθμός των παραμέτρων αυξάνεται, η διατήρηση ενός τέτοιου ACL γίνεται όλο και πιο δύσκολη και είναι εύκολο να κάνετε λάθη κατά τη διαμόρφωση.
Αλλά αν στραφούμε σε ομάδες αντικειμένων, παίρνει την ακόλουθη μορφή:
υπηρεσία ομάδας αντικειμένων INET-PORTS
περιγραφή Επιτρέπονται θύρες για ορισμένους κεντρικούς υπολογιστές
tcp eq www
tcp eq 8080
tcp eq 443

Δίκτυο ομάδας αντικειμένων HOSTS-TO-INET
περιγραφή Οι οικοδεσπότες επιτρέπεται να περιηγηθούν στο δίκτυο
υποδοχής 172.16.6.66
υποδοχής 172.16.6.67
υποδοχής 172.16.6.68

Η λίστα πρόσβασης IP επεκτάθηκε INET-OUT
άδεια ομάδας αντικειμένων INET-PORTS ομάδα αντικειμένων HOSTS-TO-INET οποιαδήποτε

Με την πρώτη ματιά φαίνεται λίγο απειλητικό, αλλά αν το δεις, είναι πολύ βολικό.

4) Πολύ χρήσιμες πληροφορίες για την αντιμετώπιση προβλημάτων μπορούν να ληφθούν από την έξοδο εντολών εμφάνιση λιστών πρόσβασης ip %ACL name%. Εκτός από την πραγματική λίστα κανόνων για το καθορισμένο ACL, αυτή η εντολή δείχνει τον αριθμό των αντιστοιχιών για κάθε κανόνα.

Το Msk-arbat-gw1#sh ip access-lists nat-inet
Εκτεταμένη λίστα πρόσβασης IP nat-inet

άδεια ip host 172.16.6.61 οποιαδήποτε
(4 αγώνες)

Και προσθέτοντας στο τέλος οποιουδήποτε κανόνα κούτσουρο, θα μπορούμε να λαμβάνουμε μηνύματα για κάθε αγώνα στην κονσόλα. (το τελευταίο δεν λειτουργεί στο PT)

NAT

Η μετάφραση διευθύνσεων δικτύου είναι ένας απολύτως απαραίτητος μηχανισμός στην οικονομία από το 1994. Πολλές συνεδρίες σχετικά με αυτό έχουν σπάσει και τα πακέτα χάνονται.
Τις περισσότερες φορές χρειάζεται για να συνδέσετε το τοπικό σας δίκτυο στο Διαδίκτυο. Γεγονός είναι ότι θεωρητικά υπάρχουν 255*255*255*255=4.228.250.625 διευθύνσεις. Ακόμα κι αν κάθε κάτοικος του πλανήτη είχε μόνο έναν υπολογιστή, δεν θα υπήρχαν αρκετές διευθύνσεις. Αλλά εδώ τα σίδερα δεν συνδέονται στο Διαδίκτυο. Οι έξυπνοι άνθρωποι το συνειδητοποίησαν αυτό στις αρχές της δεκαετίας του '90 και, ως προσωρινή λύση, πρότειναν τη διαίρεση του χώρου διευθύνσεων σε δημόσιο (λευκό) και ιδιωτικό (ιδιωτικό, γκρι).
Το τελευταίο περιλαμβάνει τρεις σειρές:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Αυτά είναι δωρεάν για χρήση στο ιδιωτικό σας δίκτυο, οπότε φυσικά θα επαναληφθούν. Τι γίνεται με τη μοναδικότητα; Σε ποιον θα απαντήσει ο διακομιστής WEB όταν λάβει ένα αίτημα με τη διεύθυνση επιστροφής 192.168.1.1; Rostelecom; Η εταιρεία Tatneft; Ή τον εσωτερικό σας Long; Στο μεγάλο Διαδίκτυο, κανείς δεν γνωρίζει τίποτα για τα ιδιωτικά δίκτυα - δεν δρομολογούνται.
Εδώ μπαίνει στο παιχνίδι το NAT. Σε γενικές γραμμές, αυτό είναι μια εξαπάτηση, ένα στήσιμο. Στη συσκευή τριβής, η ιδιωτική σας διεύθυνση, χονδρικά μιλώντας, απλώς αντικαθίσταται με μια λευκή διεύθυνση, η οποία θα εμφανίζεται περαιτέρω στο πακέτο ενώ ταξιδεύει στον διακομιστή WEB. Αλλά οι λευκές διευθύνσεις δρομολογούνται πολύ καλά και το πακέτο σίγουρα θα επιστρέψει στη συσκευή τριβής.
Αλλά πώς θα καταλάβει, με τη σειρά του, τι να το κάνει στη συνέχεια; Ας το καταλάβουμε αυτό.

Τύποι NAT

Στατικός

Σε αυτήν την περίπτωση, μία εσωτερική διεύθυνση μετατρέπεται σε μία εξωτερική διεύθυνση. Και ταυτόχρονα, όλα τα αιτήματα που έρχονται στην εξωτερική διεύθυνση θα μεταφράζονται στην εσωτερική. Λες και αυτός ο κεντρικός υπολογιστής είναι ο κάτοχος αυτής της λευκής διεύθυνσης IP.

Ρυθμίστηκε με την ακόλουθη εντολή:
Router (config)# ip nat inside source static 172.16.6.5 198.51.100.2

Τι συμβαίνει:
1) Ο κόμβος 172.16.6.5 έρχεται σε επαφή με τον διακομιστή WEB. Στέλνει ένα πακέτο IP όπου η διεύθυνση προορισμού είναι 192.0.2.2 και η διεύθυνση αποστολέα είναι 172.16.6.5.

2) Το πακέτο παραδίδεται μέσω του εταιρικού δικτύου στην πύλη 172.16.6.1, όπου έχει διαμορφωθεί το NAT

3) Σύμφωνα με τη ρυθμισμένη εντολή, ο δρομολογητής αφαιρεί την τρέχουσα κεφαλίδα IP και την αλλάζει σε νέα, όπου η λευκή διεύθυνση 198.51.100.2 εμφανίζεται ήδη ως διεύθυνση αποστολέα.

4) Μέσω Διαδικτύου, το ενημερωμένο πακέτο φτάνει στον διακομιστή 192.0.2.2.

5) Βλέπει ότι η απάντηση πρέπει να σταλεί στο 198.51.100.2 και ετοιμάζει ένα πακέτο IP απάντησης. Ως διεύθυνση αποστολέα, η ίδια η διεύθυνση διακομιστή είναι 192.0.2.2, η διεύθυνση προορισμού είναι 198.51.100.2

6) Το πακέτο επιστρέφει μέσω Διαδικτύου και όχι απαραίτητα μέσω της ίδιας διαδρομής.

7) Η συσκευή τριβής υποδεικνύει ότι όλα τα αιτήματα στη διεύθυνση 198.51.100.2 πρέπει να ανακατευθυνθούν στη διεύθυνση 172.16.6.5. Ο δρομολογητής αφαιρεί ξανά το τμήμα TCP που είναι κρυμμένο μέσα και ορίζει μια νέα κεφαλίδα IP (η διεύθυνση προέλευσης δεν αλλάζει, η διεύθυνση προορισμού είναι 172.16.6.5).

8) Το πακέτο επιστρέφεται μέσω του εσωτερικού δικτύου στον εκκινητή, ο οποίος δεν γνωρίζει καν τι θαύματα του συνέβησαν στα σύνορα.
Και έτσι θα είναι με όλους.
Επιπλέον, εάν η σύνδεση ξεκινήσει από το Διαδίκτυο, τα πακέτα αυτόματα, περνώντας από τη συσκευή τριβής, φτάνουν στον εσωτερικό κεντρικό υπολογιστή.

Αυτή η προσέγγιση είναι χρήσιμη όταν έχετε έναν διακομιστή μέσα στο δίκτυό σας που χρειάζεται πλήρη πρόσβαση από το εξωτερικό. Φυσικά, δεν μπορείτε να χρησιμοποιήσετε αυτήν την επιλογή εάν θέλετε να εκθέσετε τριακόσιους κεντρικούς υπολογιστές στο Διαδίκτυο μέσω μιας διεύθυνσης. Αυτή η επιλογή NAT δεν θα βοηθήσει με κανέναν τρόπο στη διατήρηση των λευκών διευθύνσεων IP, αλλά παρόλα αυτά μπορεί να είναι χρήσιμη.

Δυναμικός

Έχετε μια ομάδα λευκών διευθύνσεων, για παράδειγμα, ο πάροχος σας έχει εκχωρήσει ένα δίκτυο 198.51.100.0/28 με 16 διευθύνσεις. Δύο από αυτές (η πρώτη και η τελευταία) είναι η διεύθυνση δικτύου και η διεύθυνση εκπομπής, δύο ακόμη διευθύνσεις εκχωρούνται στον εξοπλισμό για την παροχή δρομολόγησης. Μπορείτε να χρησιμοποιήσετε τις υπόλοιπες 12 διευθύνσεις για το NAT και να απελευθερώσετε τους χρήστες σας μέσω αυτών.
Η κατάσταση είναι παρόμοια με το στατικό NAT - μια ιδιωτική διεύθυνση μεταφράζεται σε μια εξωτερική - αλλά τώρα η εξωτερική δεν είναι σαφώς καθορισμένη, αλλά θα επιλέγεται δυναμικά από μια δεδομένη περιοχή.
Έχει ρυθμιστεί ως εξής:
Router(config)#ip nat pool lol_pool 198.51.100.3 198.51.100.14

Προσδιόρισε ένα σύνολο (εύρος) δημόσιων διευθύνσεων από τις οποίες θα επιλεγεί η διεύθυνση που θα εκδοθεί
Router (config)
#access-list 100 permit ip 172.16.6.0 0.0.0.255 any

Ορίσαμε μια λίστα πρόσβασης που επιτρέπει όλα τα πακέτα με τη διεύθυνση πηγής 172.16.6.x, όπου Χποικίλλει 0-255.
Router(config)#ip nat μέσα στη λίστα πηγών 100 pool lol_pool

Με αυτή την εντολή συνδέουμε το ACL που δημιουργήθηκε και το pool.

Αυτή η επιλογή δεν είναι επίσης καθολική, δεν θα μπορείτε επίσης να απελευθερώσετε όλους τους 300 χρήστες σας στο Διαδίκτυο εάν δεν έχετε 300 εξωτερικές διευθύνσεις. Μόλις εξαντληθούν οι λευκές διευθύνσεις, κανένας νέος δεν θα μπορεί να έχει πρόσβαση στο Διαδίκτυο. Ταυτόχρονα, όσοι χρήστες έχουν ήδη καταφέρει να αρπάξουν μια εξωτερική διεύθυνση για τον εαυτό τους θα λειτουργήσουν. Η ομάδα θα σας βοηθήσει να απορρίψετε όλες τις τρέχουσες εκπομπές και να ελευθερώσετε εξωτερικές διευθύνσεις καθαρή μετάφραση ip nat *
εκτός δυναμική επιλογήεξωτερικές διευθύνσεις, αυτό το δυναμικό NAT διαφέρει από το στατικό NAT σε αυτό χωρίς ξεχωριστές ρυθμίσειςπροώθηση θύρας, δεν είναι πλέον δυνατή η πραγματοποίηση εξωτερικής σύνδεσης σε μία από τις διευθύνσεις του χώρου συγκέντρωσης.

Πολλά-προς-Ένα

Ο παρακάτω τύπος έχει πολλά ονόματα: NAT Overload, Port Address Translation (PAT), IP Masquerading, Many-to-One NAT.
Το επώνυμο μιλάει από μόνο του - μέσω μιας εξωτερικής διεύθυνσης πολλά ιδιωτικά βγαίνουν στον κόσμο. Αυτό σας επιτρέπει να λύσετε το πρόβλημα με την έλλειψη εξωτερικών διευθύνσεων και να απελευθερώσετε όλους στον κόσμο.
Εδώ θα πρέπει να δώσουμε μια εξήγηση για το πώς λειτουργεί αυτό. Μπορείτε να φανταστείτε πώς δύο ιδιωτικές διευθύνσεις μεταφράζονται σε μία, αλλά πώς καταλαβαίνει ο δρομολογητής ποιος πρέπει να προωθήσει το πακέτο που επιστράφηκε από το Διαδίκτυο σε αυτήν τη διεύθυνση;
Όλα είναι πολύ απλά:
Ας υποθέσουμε ότι τα πακέτα φτάνουν από δύο κεντρικούς υπολογιστές στο εσωτερικό δίκτυο στη συσκευή τριβής. Και τα δύο με αίτημα στον διακομιστή WEB 192.0.2.2.
Τα δεδομένα από τους οικοδεσπότες μοιάζουν με αυτό:

Ο δρομολογητής αποκαλύπτει το πακέτο IP από τον πρώτο κεντρικό υπολογιστή, εξάγει το τμήμα TCP από αυτό, το εκτυπώνει και ανακαλύπτει από ποια θύρα δημιουργείται η σύνδεση. Έχει εξωτερική διεύθυνση 198.51.100.2, στην οποία θα αλλάξει η διεύθυνση από το εσωτερικό δίκτυο.
Στη συνέχεια, επιλέγει μια ελεύθερη θύρα, για παράδειγμα, 11874. Και τι κάνει μετά; Συσκευάζει όλα τα δεδομένα επιπέδου εφαρμογής σε ένα νέο τμήμα TCP, όπου η θύρα προορισμού εξακολουθεί να παραμένει 80 (αυτό είναι όπου ο διακομιστής WEB περιμένει για συνδέσεις) και η θύρα αποστολέα αλλάζει από 23761 σε 11874. Αυτό το τμήμα TCP ενσωματώνεται σε μια νέα IP ένα πακέτο όπου η διεύθυνση IP του αποστολέα αλλάζει από 172.16.6.5 σε 198.51.100.2.
Το ίδιο συμβαίνει για ένα πακέτο από τον δεύτερο κεντρικό υπολογιστή, επιλέγεται μόνο η επόμενη δωρεάν θύρα, για παράδειγμα 11875. "Δωρεάν" σημαίνει ότι δεν είναι ήδη κατειλημμένο από άλλες τέτοιες συνδέσεις.
Τα δεδομένα που αποστέλλονται στο Διαδίκτυο θα μοιάζουν τώρα με αυτό.

Εισάγει τα δεδομένα των αποστολέων και των παραληπτών στον πίνακα NAT του

Για έναν διακομιστή WEB, αυτά είναι δύο απολύτως διαφορετικά αιτήματα, που πρέπει να επεξεργαστεί το καθένα ξεχωριστά. Μετά από αυτό, στέλνει μια απάντηση που μοιάζει με αυτό:

Όταν ένα από αυτά τα πακέτα φτάσει στο δρομολογητή μας, αντιστοιχίζει τα δεδομένα σε αυτό το πακέτο με τις καταχωρίσεις του στον πίνακα NAT. Εάν βρεθεί αντιστοίχιση, εμφανίζεται η αντίστροφη διαδικασία - το πακέτο και το τμήμα TCP επιστρέφουν στις αρχικές τους παραμέτρους μόνο ως προορισμός:

Και τώρα τα πακέτα παραδίδονται μέσω του εσωτερικού δικτύου στους υπολογιστές εκκίνησης, οι οποίοι δεν αντιλαμβάνονται καν ότι κάπου τα δεδομένα τους αντιμετωπίστηκαν τόσο σκληρά στα σύνορα.

Κάθε κλήση που κάνετε είναι μια ξεχωριστή σύνδεση. Δηλαδή, προσπαθήσατε να ανοίξετε μια σελίδα WEB - αυτό είναι το πρωτόκολλο HTTP χρησιμοποιώντας τη θύρα 80. Για να γίνει αυτό, ο υπολογιστής σας πρέπει να δημιουργήσει μια περίοδο λειτουργίας TCP με απομακρυσμένος διακομιστής. Μια τέτοια συνεδρία (TCP ή UDP) ορίζεται από δύο υποδοχές: τοπική διεύθυνση IP: τοπική θύρα και απομακρυσμένη διεύθυνση IP: απομακρυσμένη θύρα. Σε μια κανονική κατάσταση, έχετε μία σύνδεση υπολογιστή-διακομιστή, αλλά στην περίπτωση του NAT θα υπάρχουν δύο συνδέσεις: δρομολογητής-διακομιστής και ο υπολογιστής πιστεύει ότι έχει μια περίοδο λειτουργίας υπολογιστή-διακομιστή.

Η ρύθμιση διαφέρει αρκετά ελαφρώς: με την πρόσθετη υπερφόρτωση λέξεων:
Router(config)#access-list 101 permit 172.16.4.0 0.0.0.255
Router(config)#ip nat μέσα στη λίστα πηγών 101 διεπαφή fa0/1 παραφορτώνω

Σε αυτήν την περίπτωση, φυσικά, παραμένει δυνατή η διαμόρφωση μιας ομάδας διευθύνσεων:
Router(config)#ip nat pool lol_pool 198.51.100.2 198.51.100.14
Router(config)#access-list 100 permit 172.16.6.0 0.0.0.255
Router(config)#ip nat μέσα στη λίστα πηγών 100 pool lol_pool παραφορτώνω

Port Forwarding

Αλλιώς λένε και port forwarding ή mapping.
Όταν αρχίσαμε να μιλάμε για το NAT, είχαμε μια εκπομπή ένας προς έναν και όλα τα αιτήματα που προέρχονταν από έξω ανακατευθύνονταν αυτόματα στον εσωτερικό κεντρικό υπολογιστή. Με αυτόν τον τρόπο θα ήταν δυνατή η έκθεση του διακομιστή στο Διαδίκτυο.
Αλλά αν δεν έχετε μια τέτοια ευκαιρία - είστε περιορισμένοι σε λευκές διευθύνσεις ή δεν θέλετε να εκθέσετε ολόκληρη τη δέσμη των θυρών προς τα έξω, τι πρέπει να κάνετε;
Μπορείτε να καθορίσετε ότι όλα τα αιτήματα που έρχονται σε μια συγκεκριμένη λευκή διεύθυνση και μια συγκεκριμένη θύρα δρομολογητή θα πρέπει να προωθούνται στην επιθυμητή θύρα της επιθυμητής εσωτερικής διεύθυνσης.
Router(config)#ip nat inside source static tcp 172.16.0.2 80 198.51.100.2 80 επεκτάσιμο

Η χρήση αυτής της εντολής σημαίνει ότι ένα αίτημα TCP που προέρχεται από το Διαδίκτυο στη διεύθυνση 198.51.100.2 στη θύρα 80 θα ανακατευθυνθεί στην εσωτερική διεύθυνση 172.16.0.2 στην ίδια θύρα 80. Φυσικά, μπορείτε επίσης να προωθήσετε το UDP και να ανακατευθύνετε από τη μια θύρα στην άλλη. Αυτό, για παράδειγμα, μπορεί να είναι χρήσιμο εάν έχετε δύο υπολογιστές που χρειάζονται πρόσβαση μέσω RDP από έξω. Το RDP χρησιμοποιεί τη θύρα 3389. Δεν μπορείτε να προωθήσετε την ίδια θύρα σε διαφορετικούς κεντρικούς υπολογιστές (όταν χρησιμοποιείτε την ίδια εξωτερική διεύθυνση). Έτσι μπορείτε να κάνετε αυτό:
Router(config)# ip nat inside source static tcp 172.16.6.61 3389 198.51.100.2 3389
Router(config)# ip nat inside source static tcp 172.16.6.66 3389 198.51.100.2 3398

Στη συνέχεια, για να μεταβείτε στον υπολογιστή 172.16.6.61, ξεκινάτε μια περίοδο λειτουργίας RDP στη θύρα 198.51.100.2:3389 και στις 172.16.6.66 - 198.51.100.2:3398. Ο ίδιος ο δρομολογητής θα διανείμει τα πάντα όπου χρειάζεται.

Παρεμπιπτόντως, αυτή η εντολή είναι ειδική περίπτωσητο πρώτο: ip nat inside source static 172.16.6.66 198.51.100.2. Μόνο σε αυτήν την περίπτωση μιλάμε για προώθηση όλης της κυκλοφορίας και στα παραδείγματά μας - συγκεκριμένες θύρες πρωτοκόλλου TCP.

Όπως αυτό σε γενικό περίγραμμαΛειτουργίες NAT. Πολλά άρθρα έχουν γραφτεί για τα χαρακτηριστικά και τα πλεονεκτήματα/μειονεκτήματά του, αλλά δεν μπορούν να αγνοηθούν.

Αδυναμίες και δυνατά σημεία του ΝΑΤ

+

- Πρωτα απο ολαΤο NAT σάς επιτρέπει να αποθηκεύετε δημόσιες διευθύνσεις IP. Για αυτό ακριβώς δημιουργήθηκε. Μέσω μιας διεύθυνσης, είναι θεωρητικά δυνατή η έκδοση περισσότερων από 65.000 γκρι διευθύνσεων (με βάση τον αριθμό των θυρών).
- Κατα δευτερον, το PAT και το δυναμικό NAT είναι σε κάποιο βαθμό ένα τείχος προστασίας, που εμποδίζει τις εξωτερικές συνδέσεις να φτάσουν σε τερματικούς υπολογιστές που ενδέχεται να μην έχουν δικό τους τείχος προστασίας και προστασία από ιούς. Το γεγονός είναι ότι εάν ένα πακέτο έρθει από έξω στη συσκευή τριβής που δεν αναμένεται εδώ ή δεν επιτρέπεται, απλώς απορρίπτεται.
Για να επιτρέπεται η διέλευση και η επεξεργασία ενός πακέτου, πρέπει να πληρούνται οι ακόλουθες προϋποθέσεις:
1) Πρέπει να υπάρχει μια καταχώρηση στον πίνακα NAT για αυτήν την εξωτερική διεύθυνση που καθορίζεται ως η διεύθυνση πηγής στο πακέτο
ΚΑΙ
2) Η θύρα αποστολέα στο πακέτο πρέπει να ταιριάζει με τη θύρα για αυτό λευκές διευθύνσειςστην ηχογράφηση
ΚΑΙ
3) Η θύρα προορισμού στο πακέτο ταιριάζει με τη θύρα στην καταχώρηση.
Ή
Η προώθηση θύρας έχει ρυθμιστεί.
Αλλά δεν χρειάζεται να θεωρείτε το NAT ακριβώς ως τείχος προστασίας - δεν είναι τίποτα περισσότερο από ένα πρόσθετο όφελος.

- Τρίτον, ΝΑΤ κρύβεται από αδιάκριτα μάτια εσωτερική δομήτο δίκτυό σας - όταν παρακολουθείτε τη διαδρομή από το εξωτερικό, δεν θα δείτε τίποτα περισσότερο από τη συσκευή εθνικοποίησης.

-

Το ΝΑΤ έχει επίσης μειονεκτήματα. Τα πιο σημαντικά από αυτά είναι ίσως τα ακόλουθα:
- Ορισμένα πρωτόκολλα δεν μπορούν να λειτουργήσουν μέσω NAT χωρίς πατερίτσες. Για παράδειγμα, FTP ή πρωτόκολλα σήραγγας (παρά το πόσο εύκολα ρυθμίζω το FTP στο εργαστήριο, στην πραγματική ζωή αυτό μπορεί να δημιουργήσει πολλά προβλήματα)
- Ένα άλλο πρόβλημα έγκειται στο γεγονός ότι υπάρχουν πολλά αιτήματα από μια διεύθυνση σε έναν διακομιστή. Πολλοί είναι μάρτυρες αυτού: όταν πηγαίνετε σε κάποιο Rapidshare και λέει ότι υπήρχε ήδη σύνδεση από την IP σας, νομίζετε ότι "λέτε ψέματα, σκυλί" και είναι ο γείτονάς σας που ήδη πιπιλίζει. Για τον ίδιο λόγο, υπήρχαν προβλήματα με το ICQ όταν οι διακομιστές αρνήθηκαν την εγγραφή.
- Ένα όχι πολύ πιεστικό πρόβλημα τώρα: το φορτίο στον επεξεργαστή και τη μνήμη RAM. Δεδομένου ότι ο όγκος της εργασίας είναι αρκετά μεγάλος σε σύγκριση με την απλή δρομολόγηση (δεν χρειάζεται μόνο να κοιτάξετε την κεφαλίδα IP, πρέπει να την αφαιρέσετε, να αφαιρέσετε την κεφαλίδα TCP, να την εισαγάγετε στον πίνακα, να προσθέσετε νέες κεφαλίδες) σε μικρά γραφεία υπάρχουν προβλήματα με αυτό.
Βρήκα αυτή την κατάσταση.
Ενας από ΠΙΘΑΝΕΣ ΛΥΣΕΙΣ- μεταφέρετε τη λειτουργία NAT σε ξεχωριστό υπολογιστή ή σε μια εξειδικευμένη συσκευή, για παράδειγμα Cisco ASA.
Για μεγάλοι παίκτες, των οποίων οι δρομολογητές εκτελούν πλήρη προβολή 3-4 BGP, τώρα αυτό δεν είναι πρόβλημα.

Τι άλλο πρέπει να ξέρετε;
- Το NAT χρησιμοποιείται κυρίως για την παροχή πρόσβασης στο Διαδίκτυο σε κεντρικούς υπολογιστές με ιδιωτικές διευθύνσεις. Αλλά υπάρχει μια άλλη εφαρμογή - επικοινωνία μεταξύ δύο ιδιωτικών δικτύων με τεμνόμενους χώρους διευθύνσεων.
Για παράδειγμα, η εταιρεία σας αγοράζει ένα υποκατάστημα στο Aktobe. Η διεύθυνσή σας είναι 10.0.0.0-10.1.255.255 και η δική τους είναι 10.1.1.0-10.1.10.255. Οι περιοχές επικαλύπτονται σαφώς.
Σε αυτήν την περίπτωση, το NAT διαμορφώνεται στη διασταύρωση. Δεδομένου ότι δεν έχουμε αρκετές γκρι διευθύνσεις, μπορούμε να επιλέξουμε, για παράδειγμα, το εύρος 10.2.1.0-10.2.10.255 και να κάνουμε μια εκπομπή ένας προς έναν:
10.1.1.1-10.2.1.1
10.1.1.2-10.2.1.2
…
10.1.10.255-10.2.10.255

Σε μεγάλα παιχνίδια για ενήλικες, το NAT μπορεί να εφαρμοστεί σε ξεχωριστή πλακέτα (και συχνά είναι) και δεν θα λειτουργήσει χωρίς αυτό. Στο υλικό γραφείου, αντίθετα, υπάρχει σχεδόν πάντα ένα.

Με την ευρεία υιοθέτηση του IPv6, η ανάγκη για NAT θα εξαφανιστεί. Ήδη τώρα, οι μεγάλοι πελάτες αρχίζουν να ενδιαφέρονται για τη λειτουργικότητα του NAT64 - τότε έχετε πρόσβαση στον κόσμο μέσω IPv4 και εσωτερικό δίκτυοήδη στο IPv6

Φυσικά, αυτή είναι μόνο μια επιφανειακή ματιά στο NAT και υπάρχει ακόμα μια θάλασσα αποχρώσεων, στην οποία η αυτοεκπαίδευση θα σας βοηθήσει να μην πνιγείτε.

Πρακτική NAT

Τι απαιτεί η πραγματικότητα από εμάς;
1) Το δίκτυο ελέγχου δεν έχει καθόλου πρόσβαση στο διαδίκτυο
2) Οι οικοδεσπότες από το δίκτυο ΕΕΚ έχουν πρόσβαση μόνο σε εξειδικευμένους ιστότοπους, για παράδειγμα, τον ιστότοπο
3) Οι υπέροχες κυρίες από το λογιστήριο πρέπει να ανοίξουν ένα παράθυρο στον κόσμο των τραπεζών πελατών.
4) Το FEO δεν πρέπει να απελευθερωθεί πουθενά εκτός από τον οικονομικό διευθυντή
5) Στο δίκτυο Άλλο, στον υπολογιστή μας και στον υπολογιστή του διαχειριστή - θα τους δώσουμε πλήρη πρόσβαση στο Διαδίκτυο. Όλοι οι άλλοι μπορούν να το ανοίξουν κατόπιν γραπτού αιτήματος.
6) Ας μην ξεχνάμε τα υποκαταστήματα σε Αγία Πετρούπολη και Κεμέροβο. Για απλότητα, ας διαμορφώσουμε την πλήρη πρόσβαση για τους χρήστες από αυτά τα υποδίκτυα.
7) Οι διακομιστές είναι άλλο θέμα. Θα διαμορφώσουμε την προώθηση θύρας για αυτούς. Ολα όσα χρειαζόμαστε:
α) Ο διακομιστής WEB πρέπει να είναι προσβάσιμος στη θύρα 80
β) Διακομιστής αλληλογραφίας στις 25 και 110
γ) Ο διακομιστής αρχείων είναι προσβάσιμος από τον κόσμο μέσω FTP.
8) Οι υπολογιστές του διαχειριστή και οι δικοί μας πρέπει να είναι προσβάσιμοι από το Διαδίκτυο μέσω RDP. Στην πραγματικότητα αυτός είναι ο λάθος τρόπος - για απομακρυσμένη σύνδεσηπρέπει να χρησιμοποιήσετε μια σύνδεση VPN και, ήδη στο τοπικό δίκτυο, να χρησιμοποιήσετε το RDP, αλλά αυτό είναι ένα θέμα για ένα ξεχωριστό, εντελώς διαφορετικό άρθρο.

Αρχικά, ας ετοιμάσουμε μια τοποθεσία δοκιμής:

Η σύνδεση στο Διαδίκτυο θα οργανωθεί μέσω ενός υπάρχοντος συνδέσμου που παρέχεται από τον πάροχο.
Μπαίνει στο δίκτυο του παρόχου. Σας υπενθυμίζουμε ότι τα πάντα σε αυτό το σύννεφο είναι ένα αφηρημένο δίκτυο, το οποίο στην πραγματικότητα μπορεί να αποτελείται από δεκάδες δρομολογητές και εκατοντάδες μεταγωγείς. Χρειαζόμαστε όμως κάτι διαχειρίσιμο και προβλέψιμο, επομένως εγκαθιστούμε και έναν δρομολογητή εδώ. Στη μία πλευρά υπάρχει ένας σύνδεσμος από το διακόπτη, από την άλλη υπάρχει ένας διακομιστής στο Διαδίκτυο.

Θα χρειαστούμε τους ακόλουθους διακομιστές:
1. Δύο τράπεζες πελατών για λογιστές (sperbank.ru, mmm-bank.ru)
2. ιστοσελίδα για σπουδαστές επαγγελματικής κατάρτισης
3. Yandex (yandex.ru)

Για μια τέτοια σύνδεση, θα ανεβάσουμε ένα άλλο vlan στο msk-arbat-gw1. Ο αριθμός του φυσικά συμφωνείται με τον πάροχο. Ας είναι VLAN 6
Ας υποθέσουμε ότι ο πάροχος μας παρέχει υποδίκτυο 198.51.100.0/28. Οι δύο πρώτες διευθύνσεις χρησιμοποιούνται για την οργάνωση του συνδέσμου (198.51.100.1 και 198.51.100.2) και χρησιμοποιούμε τις υπόλοιπες ως δεξαμενή για το NAT. Ωστόσο, κανείς δεν μας εμποδίζει να χρησιμοποιήσουμε τη διεύθυνση 198.51.100.2 για την πισίνα. Ας το κάνουμε: πισίνα: 198.51.100.2-198.51.100.14
Για απλότητα, ας το υποθέσουμε δημόσιους διακομιστέςβρισκόμαστε στο ίδιο υποδίκτυο:
192.0.2.0/24 .
Ξέρετε ήδη πώς να ρυθμίσετε έναν σύνδεσμο και διευθύνσεις.
Δεδομένου ότι έχουμε μόνο έναν δρομολογητή στο δίκτυο του παρόχου και όλα τα δίκτυα είναι συνδεδεμένα απευθείας σε αυτόν, δεν χρειάζεται να ρυθμίσετε τις παραμέτρους της δρομολόγησης.
Αλλά το msk-arbat-gw1 πρέπει να γνωρίζει πού να στείλει πακέτα στο Διαδίκτυο, επομένως χρειαζόμαστε μια προεπιλεγμένη διαδρομή:
msk-arbat-gw1(config)# διαδρομή ip 0.0.0.0 0.0.0.0 198.51.100.1

Τώρα με τη σειρά

Αρχικά, ας δημιουργήσουμε μια ομάδα διευθύνσεων
msk-arbat-gw1(config)# ip nat pool main_pool 198.51.100.2 198.51.100.14 μάσκα δικτύου 255.255.255.240

Τώρα συλλέγουμε το ACL:
msk-arbat-gw1(config)# ip access-list εκτεταμένη nat-inet

1) Δίκτυο ελέγχου

δεν έχει καθόλου πρόσβαση στο διαδίκτυο
Ετοιμος

2) Φιλοξενητές από το δίκτυο ΕΕΚ

Έχουν πρόσβαση μόνο σε εξειδικευμένους ιστότοπους, για παράδειγμα, τον ιστότοπο
msk-arbat-gw1(config-ext-nacl)# permit tcp 172.16.3.0 0.0.0.255 host 192.0.2.2 eq 80

3) Λογιστική

Παρέχουμε πρόσβαση σε όλους τους κεντρικούς υπολογιστές και στους δύο διακομιστές
msk-arbat-gw1(config-ext-nacl)# permit ip 172.16.5.0 0.0.0.255 host 192.0.2.3
msk-arbat-gw1(config-ext-nacl)# permit ip 172.16.5.0 0.0.0.255 host 192.0.2.4

4) ΦΕΟ

Δίνουμε άδεια μόνο στον οικονομικό διευθυντή - αυτός είναι μόνο ένας οικοδεσπότης.
msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.4.123 οποιοδήποτε

5) Άλλο

Οι υπολογιστές μας με πλήρης πρόσβαση
msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.6.61 οποιοδήποτε
msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.6.66 οποιοδήποτε

6) Υποκαταστήματα σε Αγία Πετρούπολη και Κεμέροβο

Ας είναι ίδιες οι διευθύνσεις Eniki: 172.16.x.222
msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.16.222 οποιοδήποτε
msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.17.222 οποιοδήποτε
msk-arbat-gw1(config-ext-nacl)# permit ip host 172.16.24.222 οποιοδήποτε

Έτσι μοιάζει τώρα ολόκληρο το ACL:
ip access-list εκτεταμένη nat-inet
παρατήρηση PTO
άδεια tcp 172.16.3.0 0.0.0.255 host 192.0.2.2 eq www
παρατήρηση ΛΟΓΙΣΤΙΚΗ
permit ip 172.16.5.0 0.0.0.255 host 192.0.2.3
permit ip 172.16.5.0 0.0.0.255 host 192.0.2.4
παρατήρηση FEO
permit ip host 172.16.4.123 any
παρατήρηση ΙΑΜ
άδεια ip host 172.16.6.61 οποιαδήποτε
παρατήρηση ΔΙΑΧΕΙΡΙΣΤΗΣ
permit ip host 172.16.6.66 any
παρατήρηση SPB_VSL_ISLAND
permit ip host 172.16.16.222 any
παρατήρηση SPB_OZERKI
permit ip host 172.16.17.222 any
παρατήρηση KMR
permit ip host 172.16.24.222 any

Ας ξεκινήσουμε:
msk-arbat-gw1(config)# ip nat μέσα στη λίστα πηγών nat-inet πισίνα main_pool υπερφόρτωση

Αλλά η ευτυχία δεν θα είναι πλήρης χωρίς προσαρμογή διεπαφών:
Στην εξωτερική διεπαφή πρέπει να δώσετε την εντολή ip nat έξω
Εσωτερικά: ip nat μέσα
msk-arbat-gw1(config)# int fa0/0.101
msk-arbat-gw1(config)# int fa0/0.102
msk-arbat-gw1(config-subif)# ip nat μέσα
msk-arbat-gw1(config)# int fa0/0.103
msk-arbat-gw1(config-subif)# ip nat μέσα
msk-arbat-gw1(config)# int fa0/0.104
msk-arbat-gw1(config-subif)# ip nat μέσα
msk-arbat-gw1(config)# int fa0/1.6
msk-arbat-gw1(config-subif)# ip nat έξω

Αυτό θα επιτρέψει στον δρομολογητή να κατανοήσει πού να περιμένει πακέτα που πρέπει να επεξεργαστούν και πού να τα στείλει αργότερα.

Έτσι ώστε οι διακομιστές στο Διαδίκτυο να είναι προσβάσιμοι μέσω όνομα τομέα, θα ήταν ωραίο να έχουμε έναν διακομιστή DNS στο δίκτυό μας:

Φυσικά, πρέπει να εγγραφεί σε αυτές τις συσκευές από τις οποίες θα ελέγξουμε την πρόσβαση:

Η παράσταση πρέπει να συνεχιστεί!

Όλα είναι διαθέσιμα από τον υπολογιστή του διαχειριστή:

Από το δίκτυο PTO υπάρχει πρόσβαση μόνο στον ιστότοπο μέσω της θύρας 80 (HTTP):

Στο δίκτυο FEO, μόνο 4.123 βγαίνουν στον κόσμο (finirector)

Στο λογιστήριο λειτουργούν μόνο τα sites πελατών-τραπεζών. Όμως, δεδομένου ότι η άδεια παρέχεται εξ ολοκλήρου στο πρωτόκολλο IP, μπορείτε να τους κάνετε ping:

7) Διακομιστές

Εδώ πρέπει να διαμορφώσουμε την προώθηση θυρών έτσι ώστε να είναι προσβάσιμη από το Διαδίκτυο:

α) Διακομιστής Ιστού

msk-arbat-gw1(config)# ip nat εντός της πηγής static tcp 172.16.0.2 80 198.51.100.2 80

Ας ελέγξουμε αμέσως, για παράδειγμα, μπορούμε να το κάνουμε από δοκιμαστικό υπολογιστή με διεύθυνση 192.0.2.7.
Τώρα τίποτα δεν θα λειτουργήσει, γιατί για το δίκτυο των διακομιστών δεν έχουμε μια διεπαφή ρυθμισμένη για msk-arbat-gw1:
msk-arbat-gw1(config)# int fa0/0.3
msk-arbat-gw1(config-subif)# ip nat μέσα

Και τώρα:

β) Διακομιστής αρχείων

msk-arbat-gw1(config)# ip nat εντός της πηγής static tcp 172.16.0.3 20 198.51.100.3 20
msk-arbat-gw1(config)# ip nat εντός της πηγής static tcp 172.16.0.3 21 198.51.100.3 21

Για το σκοπό αυτό, στο ACL Servers-out ανοίξαμε και τις θύρες 20-21 για όλους

γ) Διακομιστής αλληλογραφίας

msk-arbat-gw1(config)# ip nat εντός της πηγής static tcp 172.16.0.4 25 198.51.100.4 25
msk-arbat-gw1(config)# ip nat μέσα στην πηγή static tcp 172.16.0.4 110 198.51.100.4 110

Δεν είναι επίσης δύσκολο να ελέγξετε. Ακολουθήστε τις οδηγίες:
Πρώτα ρυθμίσαμε τον διακομιστή αλληλογραφίας. Καθορίζουμε τον τομέα και δημιουργούμε δύο χρήστες.

Στη συνέχεια, προσθέστε τον τομέα στο DNS. Αυτό το βήμα είναι προαιρετικό - μπορείτε να έχετε πρόσβαση στον διακομιστή μέσω IP, αλλά γιατί όχι;

Ρύθμιση υπολογιστή από το δίκτυό μας:

Από εξωτερικό:

Ετοιμάζουμε μια επιστολή:

Επί localhostκάντε κλικ στο Λήψη:

8) Πρόσβαση μέσω RDP στους υπολογιστές του διαχειριστή και στους δικούς μας

msk-arbat-gw1(config)# ip nat μέσα στην πηγή static tcp 172.16.6.61 3389 198.51.100.10 3389
msk-arbat-gw1(config)# ip nat μέσα στην πηγή static tcp 172.16.6.66 3389 198.51.100.10 3398

Ασφάλεια

Μια τελευταία σημείωση. Πιθανότατα, η συσκευή τριψίματος κοιτάζει προς τα έξω με την εξωτερική διεπαφή ip nat - στο Διαδίκτυο. Επομένως, δεν θα ήταν κακό να κρεμάσετε ένα ACL σε αυτήν τη διεπαφή, όπου αρνείστε, επιτρέπετε, αυτό που χρειάζεστε. Δεν θα σταθούμε σε αυτό το θέμα σε αυτό το άρθρο.

Στο σημείο αυτό η πρώτη γνωριμία με την τεχνολογία ΝΑΤ μπορεί να θεωρηθεί ολοκληρωμένη.
Ως άλλος DZ, απαντήστε στην ερώτηση γιατί δεν υπάρχει πρόσβαση στο Διαδίκτυο από υπολογιστές Eniki στην Αγία Πετρούπολη και στο Kemerovo. Άλλωστε, τα έχουμε ήδη προσθέσει στη λίστα πρόσβασης.

Υλικά απελευθέρωσης

access-list 101 permit ip 192.168.2.0 0.0.0.255 any

Δημιουργούμε έναν χάρτη διαδρομής, όπου υποδεικνύουμε ότι εάν το πακέτο προέρχεται από το δίκτυο 192.168.2.0/24, τότε εκχωρήστε για αυτό το επόμενο hop 10.0.2.1 (αντί για το 10.0.1.1)

Χάρτης διαδρομής Άδεια ΠΕΛΑΤΗ 5
αντιστοιχίστε τη διεύθυνση IP 101
ορίστε ip next-hop 10.0.2.1

Εφαρμόστε τον χάρτη στη διεπαφή:
πολιτική ip route-map CLIENT

Αυτή είναι μόνο μία από τις χρήσεις του ισχυρού εργαλείου δρομολόγησης βάσει πολιτικής, το οποίο, δυστυχώς, δεν εφαρμόζεται σε καμία μορφή στη Δημοκρατία του Ταταρστάν.

Ποσοστό-όριο
Χρησιμοποιώντας το ίδιο παράδειγμα, θα περιορίσουμε την ταχύτητα για το δίκτυο 192.168.1.0/24 σε 1,5 Mb/s και για 192.168.2.0/24 στα 64 kb/s.
Στην 10.0.1.1 μπορείτε να εκτελέσετε τις ακόλουθες εντολές:
Router(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any
Router(config)# access-list 101 permit ip 192.168.2.0 0.0.0.255 any
Router(config)# interface fa0/0
Router(config-if)# rate-limit output access-group 100 1544000 64000 64000 conform-action transmit over-action drop
Router(config-if)# rate-limit output access-group 101 64000 16000 16000 conform-action transmit over-action drop

Συγγραφείς:

Μαράτ ευκαριώτης
Maxim aka gluck

Ιδιαίτερες ευχαριστίες στον Dmitry JDima για τη βοήθειά του στην προετοιμασία του άρθρου.

Συνιστούμε να διαβάσετε

Χρησιμοποιώντας το Windows Equalizer

Σήμερα θα δούμε: Οι αληθινοί γνώστες της μουσικής γνωρίζουν ότι για την ποιότητα...

Κατεβάστε παραδείγματα Excel με τύπους και συναρτήσεις

Αρχεία *.xlsx με παραδείγματα υπολογισμών τύπων και συναρτήσεων. Και επίσης δωρεάν...

Χρησιμοποιώντας το Windows Equalizer

Τα λειτουργικά συστήματα Windows που ξεκινούν με Vista χρησιμοποιούν ενσωματωμένο...