Prichádzajúca prevádzka Acl na port. Pokročilé možnosti ACE. Kontrola fungovania zoznamu prístupových práv

Pokračujeme v rozvoji našej malej útulnej siete Lift me Up. Už sme diskutovali o problémoch smerovania a stability a teraz sme sa konečne rozrástli na pripojenie k internetu. Dosť uzavretie v našom firemnom prostredí!
S rozvojom však prichádzajú nové problémy.
Najprv vírus ochromil webový server, potom niekto vrazil červa, ktorý sa šíril po sieti a zaberal časť šírky pásma. A nejaký ďalší darebák si zvykol hádať heslá pre ssh na server.
Viete si predstaviť, čo sa stane, keď sa pripojíme na internet?!
Takže dnes:
1) naučiť sa nastaviť rôzne zoznamy riadenia prístupu (Zoznam riadenia prístupu)
2) snažiť sa pochopiť rozdiel medzi obmedzením prichádzajúcej a odchádzajúcej prevádzky
3) pochopiť, ako NAT funguje, jeho výhody, nevýhody a príležitosti
4) v praxi zorganizujeme pripojenie na internet cez NAT a zvýšime bezpečnosť siete pomocou prístupových zoznamov.

Zoznam riadenia prístupu

Čo teda máme povedať o zoznamoch prístupových práv? V skutočnosti je téma pomerne jednoduchá a len tí leniví z kurzu CCNA nie sú ušetrení. Ale prečo by sme náš úžasný príbeh neporušili kvôli nejakému druhu predsudkov?

Aký je účel zoznamov prístupových práv? Zdá sa, že úplne samozrejmou odpoveďou je obmedzenie prístupu: napríklad niekomu niečo zakázať. Vo všeobecnosti je to pravda, ale treba to chápať v širšom zmysle: nejde len o bezpečnosť. Spočiatku to tak pravdepodobne bolo povolenie A poprieť pri nastavovaní. Ale v skutočnosti je ACL všestranný a výkonný mechanizmus filtrovania. S ich pomocou môžete určiť, na koho zavesiť určité politiky a na koho nie, kto sa bude podieľať na určitých procesoch a kto nie, koho obmedzujeme v rýchlosti na 56k a koho na 56M.
Aby to bolo trochu jasnejšie, uveďme si jednoduchý príklad. Na základe zoznamov prístupových práv funguje smerovanie založené na zásadách (PBR). Môžete to urobiť tak, že prichádzajúce pakety od siete 192.168.1.0/24 boli odoslané do ďalšieho skoku 10.0.1.1 a od sieť 192.168.2.0/24 až 10.0.2.1 (všimnite si, že normálne smerovanie závisí od cieľovej adresy paketu a všetky pakety sa automaticky odošlú do jedného ďalšieho skoku):

Na konci článku ukážka nastavenia a .

Typy ACL

Dobre, zabudnime na chvíľu na tento text.
Vo všeobecnosti sú zoznamy prístupových práv rôzne:

• Štandardné
• Rozšírené
• dynamický
• reflexívne
• Na základe času

Na prvé dva dnes zameriame našu pozornosť a o všetkých sa viac dočítate na tsiska.

Prichádzajúca a odchádzajúca prevádzka

Na začiatok si povedzme jednu vec. Čo znamená prichádzajúca a odchádzajúca prevádzka? V budúcnosti to budeme potrebovať. Prichádzajúca prevádzka je tá, ktorá prichádza do rozhrania zvonku.

Odchádzajúci – ten, ktorý je odoslaný z rozhrania smerom von.

Prístupový zoznam môžete použiť buď na prichádzajúcu prevádzku, potom sa nežiaduce pakety ani nedostanú do smerovača a teda ďalej do siete, alebo na odchádzajúce, potom pakety dorazia do smerovača, sú ním spracované a dosiahnu cieľ rozhranie a iba naň pustite.

Štandardný zoznam prístupových práv kontroluje iba adresu odosielateľa. Rozšírené – adresa odosielateľa, adresa príjemcu a port. Štandardné zoznamy ACL sa odporúča umiestniť čo najbližšie k príjemcovi (aby sa neprerušilo viac, ako je potrebné), a rozšírené zoznamy prístupových práv sú bližšie k odosielateľovi (aby sa čo najskôr znížila nechcená návštevnosť).

Cvičte

Poďme rovno do praxe. Čo by sme mali obmedziť v našej malej sieti Lift Me Up?

1. Webový server. Povoliť prístup všetkým TCP port 80 (protokol HTTP). Pre zariadenie, z ktorého sa bude ovládanie vykonávať (máme aj admina), je potrebné otvoriť telnet a ftp, no dáme mu plný prístup. Všetci ostatní zaveste
2. Súborový server. Obyvatelia Lift mi Ap by sa k nemu mali dostať cez porty pre zdieľané priečinky a všetci ostatní cez FTP.
3. poštový server. Tu máme spustené SMTP a POP3, tj TCP porty 25 a 110. Prístup k správe otvárame aj pre správcu. Blokujeme ostatných
4. Pre budúci server DNS musíte otvoriť port UDP 53
5. Povoliť správy ICMP do siete serverov
6. Keďže máme Inú sieť pre všetkých nestranníkov, ktorí nie sú zahrnutí do FEO, PTO a Účtovníctva, obmedzíme ich všetkých a poskytneme iba určitý prístup (vrátane nás a správcu)
7. Opäť platí, že do riadiacej siete by mal byť povolený iba admin a samozrejme váš blízky
8. Nebudeme stavať bariéry v komunikácii medzi zamestnancami oddelení

1) Prístup na WEB server

Tu máme zásadu, že všetko, čo nie je povolené, je zakázané. Preto teraz musíme niečo otvoriť a všetko ostatné zavrieť.
Keďže chránime sieť serverov, hárok zavesíme aj na rozhranie smerujúce k nim, teda na FE0 / 0,3 Jediná otázka je v alebo pri von musíme to urobiť? Ak nechceme nechať pakety smerovať k serverom, ktoré sú už na smerovači, bude to odchádzajúce prenosy. To znamená, že budeme mať cieľové adresy v sieti serverov (z ktorých si vyberieme, na ktorý server bude návštevnosť smerovať) a zdrojové adresy (zdroj) môžu byť ľubovoľné - z našej podnikovej siete aj z internetu.
Ešte jedna poznámka: keďže budeme filtrovať aj podľa cieľovej adresy (niektoré pravidlá platia pre WEB server, iné pre poštový server), budeme potrebovať rozšírený zoznam kontroly prístupu, len ten vám to umožňuje.

Pravidlá v zozname prístupových práv sa kontrolujú v poradí zhora nadol až do prvej zhody. Hneď ako jedno z pravidiel funguje, bez ohľadu na to, či je povolené alebo zamietnuté, kontrola sa zastaví a nastane spracovanie prevádzky na základe pravidla, ktoré fungovalo.
To znamená, že ak chceme chrániť WEB server, musíme najprv udeliť povolenie, pretože ak konfigurujeme v prvom riadku odoprieť ip akúkoľvek- potom to vždy pôjde a premávka nepôjde vôbec. akýkoľvek- toto špeciálne slovo, čo znamená sieťovú adresu a návratovú masku 0.0.0.0 0.0.0.0 a znamená, že pod pravidlo spadajú absolútne všetky uzly z akýchkoľvek sietí. Ďalšie špeciálne slovo hostiteľ- znamená masku 255.255.255.255 - teda presne jednu jedinú zadanú adresu.
Takže prvé pravidlo: povoľte prístup každému na porte 80
msk-arbat-gw1(config-ext-nacl)# poznámka WEB
akýkoľvek hostiteľ 172.16.0.2 ekv. 80

Povoliť ( povolenie) TCP prevádzka z akéhokoľvek hostiteľa ( akýkoľvek) hostiť ( hostiteľ- presne jedna adresa) 172.16.0.2, adresovaná na 80. port.
Pokúšame sa zavesiť tento zoznam prístupových práv na rozhranie FE0 / 0.3:
msk-arbat-gw1(config-subif)# ip access-group Servers-out von

Kontrolujeme z ktoréhokoľvek z našich pripojených počítačov:

Ako vidíte, stránka sa otvorí, ale čo ping?

A teda z akéhokoľvek iného uzla?

Faktom je, že po všetkých pravidlách v CIS ACL, implicitné odoprieť ip akúkoľvek(implicitné odmietnutie). Čo to pre nás znamená? Každý paket opúšťajúci rozhranie, ktorý nezodpovedá žiadnemu z pravidiel v ACL, podlieha implicitnému odmietnutiu a je zrušený. Teda aspon ping, aspon ftp, tu aspon nic nepojde.

Poďme ďalej: musíme dať plný prístup k počítaču, z ktorého sa bude ovládanie vykonávať. Toto bude počítač nášho správcu s adresou 172.16.6.66 z Inej siete.
Každé nové pravidlo sa automaticky pridá na koniec zoznamu, ak už existuje:
msk-arbat-gw1(config)#
msk-arbat-gw1(config-ext-nacl)# povoliť tcp hostiteľ 172.16.6.66 hostiteľ 172.16.0.2 rozsah 20 ftp
msk-arbat-gw1(config-ext-nacl)# allow tcp host 172.16.6.66 host 172.16.0.2 eq telnet

To je všetko. Skontrolujeme z požadovaného hostiteľa (keďže telnet nie je podporovaný servermi v RT, kontrolujeme na FTP):

To znamená, že správa FTP prišla do smerovača a musí opustiť rozhranie FE0/0.3. Smerovač skontroluje, či sa paket zhoduje s pravidlom, ktoré sme pridali, a preskočí ho.

A z cudzieho uzla

FTP paket nezodpovedá žiadnemu pravidlu okrem implicitného deny ip any any a je zahodený.

2) Prístup na súborový server

Tu by bolo potrebné v prvom rade rozhodnúť, kto bude „rezident“, ktorému je potrebné umožniť prístup. Samozrejme ide o tých, ktorí majú adresu zo siete 172.16.0.0/16 – dáme im iba prístup.
Teraz so zdieľanými priečinkami. Väčšina moderné systémy sa už používa pre tento protokol SMB, ktorý potrebuje TCP port 445. Na starších verziách sa používal NetBios, ktorý bol napájaný až tromi portami: UDP 137 a 138 a TCP 139. Po dohode s naším adminom nakonfigurujeme port 445 (aj keď to samozrejme nebude fungovať kontrola v rámci RT). Okrem toho však budeme potrebovať porty pre FTP - 20, 21, a to nielen pre interných hostiteľov, ale aj pre pripojenia z internetu:
msk-arbat-gw1(config)# ip access-list rozšírený Server-out
msk-arbat-gw1(config-ext-nacl)# povoliť tcp 172.16.0.0 0.0.255.255 hostiteľ 172.16.0.3 ekv. 445
msk-arbat-gw1(config-ext-nacl)# povoliť tcp akýkoľvek hostiteľ 172.16.0.3 rozsah 20 21

Tu sme znovu aplikovali konštrukciu rozsah 20 21- na nastavenie viacerých portov v jednom riadku. Pre FTP vo všeobecnosti nestačí iba 21. port. Faktom je, že ak otvoríte iba to, budete autorizovaní, ale nedôjde k prenosu súborov.

0.0.255.255 - reverzná maska ​​(maska ​​zástupného znaku). O tom, čo to je, si povieme trochu neskôr.

3) Prístup k poštovému serveru

Pokračujeme v získavaní praxe - teraz s poštovým serverom. Do toho istého zoznamu prístupových práv pridávame nové položky, ktoré potrebujeme.
Namiesto čísel portov pre široko používané protokoly môžete zadať ich názvy:
msk-arbat-gw1(config)# ip access-list rozšírený Server-out
msk-arbat-gw1(config-ext-nacl)#permit tcp ľubovoľného hostiteľa 172.16.0.4 eq pop3
msk-arbat-gw1(config-ext-nacl)#permit tcp ľubovoľného hostiteľa 172.16.0.4 eq smtp

4) DNS server

msk-arbat-gw1(config)# ip access-list rozšírený Server-out
msk-arbat-gw1(config-ext-nacl)# povolenie udp 172.16.0.0 0.0.255.255 hostiteľ 172.16.0.5 ekv. 53

5) ICMP

Zostáva opraviť situáciu pomocou pingu. Nie je nič zlé na pridaní pravidiel na koniec zoznamu, no akosi bude esteticky príjemnejšie vidieť ich na začiatku.
Používame na to jednoduchý cheat. Na to môžete použiť napríklad textový editor. Skopírujte časť o ACL zo show run a pridajte nasledujúce riadky:
no ip access-list rozšírený Server-out
ip access-list rozšírený Server-out
povoliť icmp akékoľvek akékoľvek
poznámka WEB



poznámka SÚBOR


poznámka MAIL


poznámka DNS

V prvom riadku vymažeme existujúci zoznam, potom ho vytvoríme znova a vypíšeme všetky nové pravidlá v poradí, aké potrebujeme. Príkazom v treťom riadku sme umožnili prechod všetkých ICMP paketov z ľubovoľných hostiteľov na ľubovoľných hostiteľov.

Ďalej stačí všetko skopírovať hromadne a vložiť do konzoly. Rozhranie interpretuje každý riadok ako samostatný príkaz a vykoná ho. Preto sme starý zoznam nahradili novým.
Skontrolujte, či existuje ping:

úžasné.

Tento "cheat" je dobrý pre počiatočnú konfiguráciu alebo ak presne rozumiete tomu, čo robíte. V produkčnej sieti, keď konfigurujete ACL na diaľku, riskujete, že zostanete bez prístupu k vlastnému hardvéru.

Na vloženie pravidla na začiatok alebo na iné Správne miesto, môžete použiť tento prístup:
ip access-list rozšírený Server-out
1 povolenie icmp akékoľvek akékoľvek

Každé pravidlo v zozname je očíslované určitým krokom a ak pred slovo povoliť / zakázať vložíte číslo, pravidlo sa nepripíše na koniec, ale na miesto, ktoré potrebujete. Bohužiaľ, táto funkcia nefunguje v RT.
Ak je to náhle potrebné (všetky po sebe idúce čísla medzi pravidlami sú obsadené), môžete pravidlá vždy prečíslovať (v tomto príklade je číslo prvého pravidla 10 (prvé číslo) a prírastok je 10):
IP access-list resekvencia Servers-out 10 10

V dôsledku toho bude zoznam prístupových práv k sieti servera vyzerať takto:
ip access-list rozšírený Server-out
povoliť icmp akékoľvek akékoľvek
poznámka WEB
allow tcp any host 172.16.0.2 eq www
povolenie tcp hostiteľ 172.16.6.66 hostiteľ 172.16.0.2 rozsah 20 ftp
permit tcp host 172.16.6.66 host 172.16.0.2 eq telnet
poznámka SÚBOR
povolenie tcp 172.16.0.0 0.0.255.255 hostiteľ 172.16.0.3 ekv. 445
allow tcp any host 172.16.0.3 range 20 21
poznámka MAIL
allow tcp any host 172.16.0.4 eq pop3
permit tcp ľubovoľný hostiteľ 172.16.0.4 ekv smtp
poznámka DNS
povolenie udp 172.16.0.0 0.0.255.255 hostiteľ 172.16.0.5 ekv 53

Teraz má náš správca prístup iba na WEB server. Poskytnite mu plný prístup k celej sieti. Toto je prvá domáca úloha.

6) Práva používateľov zo siete Iné

Doteraz sme potrebovali držať sa mimo niekoho niekde, takže sme venovali pozornosť cieľovej adrese a prístupový zoznam umiestnili na návštevnosť odchádzajúca z rozhrania. Teraz potrebujeme neuvoľniť: žiadne požiadavky z počítačov v inej sieti by nemali ísť za hranice. No, samozrejme, okrem tých, ktoré špeciálne povoľujeme.
msk-arbat-gw1(config)# ip access-list rozšírený Other-in

msk-arbat-gw1(config-ext-nacl)# povoliť ip hostiteľa 172.16.6.61 ľubovoľný



Tu sme nemohli najprv zakázať všetkým a potom povoliť pár vyvoleným, pretože pod pravidlo by spadali úplne všetky pakety odoprieť ip akúkoľvek A povolenie nefungovalo by to vôbec.
Použiť na rozhranie. Tentoraz pri vchode:
msk-arbat-gw1(config)#int fa0/0.104
msk-arbat-gw1(config-subif)#ip access-group Other-in v

to znamená, že všetky IP pakety z hostiteľa s adresou 172.16.6.61 alebo 172.16.6.66 môžu ísť kamkoľvek sú určené. Prečo aj tu používame rozšírený zoznam prístupových práv? Veď by sa zdalo, že kontrolujeme len adresu odosielateľa. Pretože sme dali administrátorovi plný prístup, ale hosť spoločnosti Lift Me Up, ktorý sa dostane napríklad do rovnakej siete, nemá okrem internetu absolútne žiadny prístup.

7) Riadiaca sieť

Nič zložité. Pravidlo bude vyzerať takto:
msk-arbat-gw1(config)# ip access-list rozšírený Management-out
msk-arbat-gw1(config-ext-nacl)# poznámka IAM
msk-arbat-gw1(config-ext-nacl)# povoliť ip hostiteľa 172.16.6.61 172.16.1.0 0.0.0.255
msk-arbat-gw1(config-ext-nacl)# poznámka ADMIN
msk-arbat-gw1(config-ext-nacl)# povoliť ip hostiteľa 172.16.6.66 172.16.1.0 0.0.0.255

Tento ACL sa aplikuje na rozhranie FE 0/0.2:
msk-arbat-gw1(config)# int fa0/0.2
msk-arbat-gw1(config-subif)#ip access-group Management-out

8) Už žiadne obmedzenia

Pripravený

Maska a inverzná maska

Doteraz sme bez vysvetlenia uvádzali zvláštny parameter v tvare 0.0.255.255, podozrivo pripomínajúci masku podsiete.
Trochu zložité na pochopenie, ale je to maska, ktorá sa používa na určenie, ktorí hostitelia budú zodpovedať pravidlu.
Aby ste pochopili, čo je inverzná maska, musíte vedieť, čo je to bežná maska. Začnime najjednoduchším príkladom.

Bežná sieť s 256 adresami: napríklad 172.16.5.0/24. Čo znamená tento záznam?
A to znamená presne nasledovné

IP adresa. Desatinný zápis	172	16	5	0
IP adresa. Binárny zápis	10101100	00010000	00000101	00000000
	11111111	11111111	11111111	00000000
	255	255	255	0

IP adresa je 32-bitový parameter rozdelený na 4 časti, ktoré ste zvyknutí vidieť v desiatkovej forme.
Maska podsiete má tiež dĺžku 32 bitov – je to vlastne šablóna, šablóna, podľa ktorej sa určuje adresa podsiete. Tam, kde sú v maske jednotky, sa hodnota nemôže zmeniť, to znamená, že časť 172.16.5 je úplne nezmenená a bude rovnaká pre všetkých hostiteľov v tejto podsieti, ale tá s nulami sa líši.
To znamená, že v našom príklade je 172.16.5.0/24 sieťová adresa a hostitelia budú 172.16.5.1-172.16.5.254 (vysiela sa posledných 255), pretože 00000001 je 1 a 11111110 je 254 (hovoríme o poslednom oktete adresy). /24 znamená, že dĺžka masky je 24 bitov, čiže máme 24 jednotiek - konštantná časť a 8 núl.
Iný prípad je, keď máme masku napríklad 30 bitov, nie 24.
Napríklad 172.16.2.4/30. Napíšme to takto:

IP adresa. Desatinný zápis	172	16	2	4
IP adresa. Binárny zápis	10101100	00010000	00000010	00000100
Masku podsiete. Binárny zápis	11111111	11111111	11111111	11111100
Masku podsiete. Desatinný zápis	255	255	255	252

Ako vidíte, pre túto podsieť sa môžu zmeniť iba posledné dva bity. Posledný oktet môže nadobúdať tieto 4 hodnoty:
00000100 – adresa podsiete (4 v desiatkovej sústave)
00000101 - adresa uzla (5)
00000110 - adresa uzla (6)
00000111 - vysielanie (7)
Čokoľvek mimo tohto je iná podsieť.

To znamená, že teraz by vám malo byť trochu jasné, že maska ​​podsiete je sekvencia 32 bitov, kde najskôr sú jednotky, čo znamená adresa podsiete, potom sú nuly, čo znamená adresa hostiteľa. Zároveň sa v maske nemôžu striedať nuly a jednotky. To znamená, že maska ​​je 11111111.11100000.11110111.00000000 nemožné

Čo je to reverzná maska ​​(zástupný znak)?
Pre veľkú väčšinu správcov a niektorých inžinierov to nie je nič iné ako inverzia bežnej masky. To znamená, že nuly najskôr nastavia adresu časti, ktorá sa musí nevyhnutne zhodovať, a jednotky, naopak, voľnú časť.
To znamená, že v prvom príklade, ktorý sme použili, ak chcete filtrovať všetkých hostiteľov z podsiete 172.16.5.0/24, potom nastavíte pravidlo v zozname Prístup:
…. 172.16.5.0 0.0.0.255
Pretože maska ​​chrbta by vyzerala takto:

00000000.00000000.00000000.11111111

V druhom príklade so sieťou 172.16.2.4/30 bude reverzná maska ​​vyzerať takto: 30 núl a dve jednotky:

Reverzná maska. Binárny zápis	00000000	00000000	00000000	00000011
Reverzná maska. Desatinný zápis	0	0	0	3

V súlade s tým bude parameter v zozname prístupov vyzerať takto:
…. 172.16.2.4 0.0.0.3
Neskôr, keď budete jesť psa na nesprávnych výpočtoch masiek a reverzných masiek, zapamätáte si najpoužívanejšie čísla, počet hostiteľov v konkrétnej maske, pochopíte, že v opísaných situáciách sa získa posledný oktet reverznej masky. odčítaním posledného oktetu obvyklej masky od 255 (255-252 =3) atď. Medzitým musíte tvrdo pracovať a počítať)

Ale v skutočnosti je reverzná maska ​​o niečo bohatší nástroj, tu môžete kombinovať adresy v rámci rovnakej podsiete alebo dokonca kombinovať podsiete, ale najdôležitejší rozdiel je v tom, že môžete striedať nuly a jednotky. To vám umožňuje napríklad odfiltrovať konkrétneho hostiteľa (alebo skupinu) na viacerých podsieťach pomocou jednej linky.

Príklad 1

Vzhľadom na to: sieť 172.16.16.0/24
Potrebné: filtrovať prvých 64 adries (172.16.16.0-172.16.16.63)
Riešenie: 172.16.16.0 0.0.0.63

Príklad 2

Vzhľadom na to: siete 172.16.16.0/24 a 172.16.17.0/24
Potrebné: filtrovať adresy z oboch sietí
Riešenie: 172.16.16.0 0.0.1.255

Príklad 3

Vzhľadom na to: Siete 172.16.0.0-172.16.255.0
Potrebné: filtrovať hostiteľa s adresou 4 zo všetkých podsietí
Riešenie: 172.16.0.4 0.0.255.0

Operácia ACL na obrázkoch

Hypotetická sieť:

1) Na routeri RT1 na rozhraní FE0 / 1 je vstup povolený všetko okrem ICMP.

2) SSH a TELNET sú na routeri RT2 na rozhraní FE0/1 zakázané

Testy
klikateľné
1) Ping z PC1 na Server1

2) TELNET z PC1 na Server1

3) SSH z PC1 na Server2

4) Ping zo Server2 na PC1

Doplnky

1) Pravidlá, ktoré ovplyvňujú odchádzajúce (out), nebudú filtrovať prevádzku samotného zariadenia. To znamená, že ak potrebujete niekde zakázať prístup k samotnému cisco, potom budete musieť filtrovať prichádzajúcu prevádzku na tomto rozhraní (odpoveď z miesta, kde chcete zamietnuť prístup).

2) Pri ACL je potrebné byť presnejší. S malou chybou v pravidle, nesprávnym poradím konfigurácie alebo všeobecne zle premysleným zoznamom môžete zostať bez prístupu k zariadeniu.
Napríklad chcete zablokovať prístup kdekoľvek pre sieť 172.16.6.0/24 okrem vašej adresy 172.16.6.61 a nastaviť pravidlá takto:
zamietnuť IP 172.16.6.0 0.0.0.255 ľubovoľný


Akonáhle použijete ACL na rozhraní, okamžite stratíte prístup k smerovaču, pretože spadáte pod prvé pravidlo a druhé nie je ani kontrolované.
Druhá nepríjemná situácia, ktorá sa vám môže stať, je, že návštevnosť, ktorá sa nemala dostať pod ACL, klesne.
Predstavte si túto situáciu: máme FTP server v serverovej miestnosti v pasívnom režime. Pre prístup k nemu ste otvorili 21. port v ACL Servery sú mimo. Po nadviazaní počiatočného pripojenia FTP server oznámi klientovi port, na ktorom je pripravený prenášať/prijímať súbory, napríklad 1523rd. Klient sa pokúša nadviazať TCP spojenie na tomto porte, no narazí na ACL Servers-out, kde takéto oprávnenie neexistuje – a rozprávka o úspešnom prenose sa končí. V našom príklade vyššie, kde sme konfigurovali prístup k súborovému serveru, sme otvorili prístup len 20. a 21., pretože to pre príklad stačí. IN skutočný život sa bude musieť pohnúť. Niekoľko príkladov konfigurácie ACL pre bežné prípady.

3) Veľmi podobný a zaujímavý problém vyplýva z 2. bodu.
Napadlo vás napríklad zavesiť takéto ACL na rozhranie na internete:
access-list out permit tcp host 1.1.1.1 host 2.2.2.2 eq 80
zoznam prístupových práv v povolení tcp host 2.2.2.2 any eq 80

Zdá sa, že hostiteľ s adresou 1.1.1.1 má povolený prístup na 80. port na server 2.2.2.2 (prvé pravidlo). A späť zo servera 2.2.2.2 spojenia vnútri sú povolené.
Ale nuansou je, že počítač 1.1.1.1 nadviaže spojenie na 80. porte, ale z nejakého iného portu, napríklad 1054, to znamená, že paket odpovede zo servera príde na socket 1.1.1.1:1054, nespadne. podľa pravidla v ACL na IN a vyradené z dôvodu implicitného odmietnutia ip any any.
Aby ste sa vyhli takejto situácii a neotvárali porty s celou partiou, môžete sa uchýliť k takémuto triku v ACL na:
permit tcp host 2.2.2.2 akýkoľvek zavedený.

Podrobnosti o takomto rozhodnutí v jednom z nasledujúcich článkov.

4) Rozprávanie o modernom svete, nemôžete obísť taký nástroj, ako sú skupiny objektov (Object-group).

Predpokladajme, že potrebujete vytvoriť ACL, ktoré uvoľní tri špecifické adresy do internetu na troch rovnakých portoch s perspektívou rozšírenia počtu adries a portov. Ako to vyzerá bez znalosti skupín objektov:
ip access-list rozšírený TO-INTERNET
permit tcp host 172.16.6.66 akýkoľvek ekv 80
permit tcp host 172.16.6.66 any eq 8080
permit tcp host 172.16.6.66 any eq 443
allow tcp host 172.16.6.67 any eq 80
permit tcp host 172.16.6.67 any eq 8080
permit tcp host 172.16.6.67 any eq 443
allow tcp host 172.16.6.68 any eq 80
permit tcp host 172.16.6.68 any eq 8080
permit tcp host 172.16.6.68 any eq 443

S pribúdajúcim počtom parametrov je údržba takéhoto ACL čoraz náročnejšia, pri nastavovaní je ľahké urobiť chybu.
Ale ak sa obrátime na skupiny objektov, potom to má nasledujúcu formu:
služba objektovej skupiny INET-PORTS
popis Porty povolené pre niektorých hostiteľov
tcp eq www
tcp eq 8080
tcp ekv. 443

Sieť objektových skupín HOSTS-TO-INET
popis Hostitelia môžu prehliadať sieť
hostiteľ 172.16.6.66
hostiteľ 172.16.6.67
hostiteľ 172.16.6.68

IP access-list rozšírený INET-OUT
povoliť skupina objektov INET-PORTS skupina objektov HOSTS-TO-INET ľubovoľná

Na prvý pohľad to vyzerá trochu hrozivo, ale ak sa pozriete, je to veľmi pohodlné.

4) Veľmi užitočné informácie pre riešenie problémov možno získať z výstupu príkazu zobraziť ip prístupové zoznamy %ACL name%. Okrem skutočného zoznamu pravidiel pre zadaný ACL tento príkaz zobrazuje počet zhôd pre každé pravidlo.

Msk-arbat-gw1#sh IP prístupové zoznamy nat-inet
predĺžená IP prístupový zoznam nat-inet




povoliť ip hostiteľa 172.16.6.61 ľubovoľný
(4 zápasy)

A pridanie na koniec akéhokoľvek pravidla log, budeme môcť v konzole prijímať správy o každom zápase. (druhé nefunguje v PT)

NAT

Preklad sieťových adries je od roku 1994 absolútne nevyhnutným mechanizmom v ekonomike. Mnoho relácií o tom je prerušených a pakety sú stratené.
Najčastejšie ho potrebujete na pripojenie vášho lokálna sieť na internet. Ide o to, že teoreticky existuje 255*255*255*255=4 228 250 625. 4 miliardy adries. Aj keby mal každý obyvateľ planéty len jeden počítač, nebolo by dostatok adries. A tu, okrem toho, že žehličky sa nepripájajú k internetu. Chytrí ľudia si to uvedomili už začiatkom 90. rokov a ako dočasné riešenie navrhli rozdelenie adresného priestoru na verejný (biely) a súkromný (súkromný, sivý).
Posledne menované zahŕňajú tri rozsahy:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Môžete ich voľne používať vo svojej súkromnej sieti, a preto sa budú samozrejme opakovať. A čo jedinečnosť? Komu odpovie WEB server, na ktorý prišla požiadavka so spätnou adresou 192.168.1.1? Rostelecom? Spoločnosti Tatneft? Alebo tvoja izba Long? Na veľkom internete nikto nič nevie o privátnych sieťach – nie sú smerovateľné.
Tu vstupuje do hry NAT. V podstate ide o podvod. Na útočnom zariadení je vaša súkromná adresa, zhruba povedané, jednoducho nahradená bielou adresou, ktorá sa objaví ďalej v pakete, keď putuje na WEB server. Ale biele adresy sú veľmi dobre smerované a paket sa určite vráti späť do nattingového zariadenia.
Ale ako to zase pochopí, čo s tým ďalej? Toto budeme riešiť.

Typy NAT

Statické

V tomto prípade sa jedna interná adresa prevedie na jednu externú adresu. A zároveň všetky požiadavky prichádzajúce na externú adresu budú vysielané na internú. Ako keby tento hostiteľ bol vlastníkom tejto bielej IP adresy.

Konfiguruje sa pomocou nasledujúceho príkazu:
Smerovač (config)# IP nat vnútri zdroja statický 172.16.6.5 198.51.100.2

Čo sa deje:
1) Hostiteľ 172.16.6.5 pristupuje na WEB server. Odošle IP paket, kde cieľová adresa je 192.0.2.2 a zdrojová adresa je 172.16.6.5.

2) V podnikovej sieti je paket doručený na bránu 172.16.6.1, kde je nakonfigurovaný NAT

3) Podľa nakonfigurovaného príkazu router odstráni aktuálnu IP hlavičku a zmení ju na novú, kde už ako adresa odosielateľa figuruje biela adresa 198.51.100.2.

4) Podľa veľký internet aktualizovaný balík dosiahne server 192.0.2.2.

5) Vidí, že odpoveď by mala byť odoslaná na 198.51.100.2 a pripraví IP paket odpovede. Ako adresa odosielateľa je skutočná adresa servera 192.0.2.2, cieľová adresa je 198.51.100.2

6) Balík letí späť cez internet, a nie skutočnosť, že rovnakým spôsobom.

7) Na navigačnom zariadení je uvedené, že všetky požiadavky na adresu 198.51.100.2 majú byť presmerované na 172.16.6.5. Router opäť odstráni TCP segment skrytý vo vnútri a nastaví novú IP hlavičku (zdrojová adresa sa nemení, cieľová adresa je 172.16.6.5).

8) Cez vnútornú sieť sa paket vráti iniciátorovi, ktorý ani nevie, aké zázraky sa mu na hraniciach stali.
A tak to bude s každým.
Zároveň, ak je spojenie iniciované z internetu, pakety sa automaticky, prechádzajúce cez natívne zariadenie, dostanú k internému hostiteľovi.

Tento prístup je užitočný, keď máte vo svojej sieti server, ktorý potrebuje úplný prístup zvonku. Túto možnosť samozrejme nemôžete použiť, ak chcete cez jednu adresu uvoľniť tristo hostiteľov na internete. Táto verzia NAT nijakým spôsobom nepomôže udržať biele IP adresy, no napriek tomu môže byť užitočná.

Dynamický

Máte zásobu bielych adries, napríklad vám poskytovateľ pridelil sieť 198.51.100.0/28 so 16 adresami. Dve z nich (prvá a posledná) sú sieťová adresa a vysielacia adresa, ďalšie dve adresy sú priradené zariadeniu na zabezpečenie smerovania. Zvyšných 12 adries môžete použiť na NAT a prostredníctvom nich uvoľniť svojich používateľov.
Situácia je podobná statický NAT- jedna súkromná adresa sa preloží na jednu externú, - ale teraz vonkajšia adresa nie je jasne pevná, ale bude sa dynamicky vyberať zo zadaného rozsahu.
Je nakonfigurovaný takto:
Router(config)#ip nat pool lol_pool 198.51.100.3 198.51.100.14

Nastavte skupinu (rozsah) verejných adries, z ktorých sa vyberie adresa na priraďovanie
smerovač (konfigurácia)
#access-list 100 permit ip 172.16.6.0 0.0.0.255 ľubovoľný

Nastavili sme prístupový zoznam, ktorý prechádza všetkými paketmi so zdrojovou adresou 172.16.6.x, kde X sa mení 0-255.
Router(config)#ip nat vnútri zdrojového zoznamu 100 pool lol_pool

Týmto príkazom spojíme vytvorený ACL a pool.

Táto možnosť tiež nie je univerzálna, svojich 300 používateľov tiež nepustíte na internet, ak nemáte 300 externých adries. Len čo sa vyčerpajú biele adresy, na internet sa už nikto nový nedostane. Zároveň budú fungovať tí používatelia, ktorým sa už podarilo získať externú adresu. Príkaz vám pomôže zrušiť všetky aktuálne vysielania a uvoľniť externé adresy. jasný preklad IP nat*
Okrem dynamického prideľovania externých adries sa tento dynamický NAT líši od statického NAT tým, že bez neho samostatné nastavenie presmerovanie portov už nie je možné externé pripojenie na jednu z adries fondu.

veľa na jedného

Ďalší typ má niekoľko názvov: NAT Overload, Port Address Translation (PAT), IP Masquerading, Many-to-One NAT.
Priezvisko hovorí samo za seba – cez jednu externú adresu sa do sveta dostáva veľa súkromných. To vám umožňuje vyriešiť problém s nedostatkom externých adries a pustiť všetkých do sveta.
Tu by bolo potrebné podať vysvetlenie ako to funguje. Ako sa dve súkromné ​​adresy preložia do jednej si možno predstaviť, ale ako router pochopí, kto potrebuje poslať paket, ktorý sa vrátil z internetu, na túto adresu?
Všetko je veľmi jednoduché:
Predpokladajme, že dvaja hostitelia z internej siete prijímajú pakety do nadradeného zariadenia. Oba s požiadavkou na WEB server 192.0.2.2.
Údaje hostiteľa vyzerajú takto:

Router odkryje IP paket z prvého hostiteľa, vytiahne z neho TCP segment, vytlačí ho a zistí, z ktorého portu sa spojenie nadväzuje. Má externú adresu 198.51.100.2, na ktorú sa zmení adresa z vnútornej siete.
Ďalej si vyberie voľný port, napríklad 11874. A čo urobí ďalej? Zbalí všetky údaje na úrovni aplikácie do nového segmentu TCP, kde 80 zostáva ako cieľový port (webový server čaká na pripojenie na ňom) a port odosielateľa sa zmení z 23761 na 11874. Tento segment TCP je zapuzdrený v novej IP adrese paket, kde sa IP adresa odosielateľa zmení z 172.16.6.5 na 198.51.100.2.
To isté sa stane pre paket z druhého hostiteľa, vyberie sa len ďalší voľný port, napríklad 11875. „Voľný“ znamená, že ešte nie je obsadený inými takýmito pripojeniami.
Údaje odosielané na internet budú teraz vyzerať takto.

Do svojej NAT tabuľky zapisuje údaje odosielateľov a príjemcov

Pre WEB server sú to dve úplne odlišné požiadavky, ktoré musí spracovať každú samostatne. Potom odošle odpoveď, ktorá vyzerá takto:

Keď jeden z týchto paketov dosiahne náš smerovač, porovná údaje v tomto pakete s jeho položkami v tabuľke NAT. Ak sa nájde zhoda, dôjde k opačnému postupu - paket a segment TCP sa vrátia na pôvodné parametre iba ako cieľ:

A teraz sú pakety cez internú sieť doručované iniciujúcim počítačom, ktoré ani nevedia, že niekde sa s ich dátami na hraniciach tak tvrdo zaobchádzalo.

Každý z vašich hovorov predstavuje samostatné spojenie. To znamená, že ste sa pokúsili otvoriť webovú stránku – toto je protokol HTTP využívajúci port 80. Aby ste to dosiahli, váš počítač musí vytvoriť reláciu TCP s vzdialený server. Takáto relácia (TCP alebo UDP) je definovaná dvoma soketmi: lokálna IP adresa: miestny prístav a vzdialená IP adresa: vzdialený port. V normálnej situácii máte jedno pripojenie počítač-server, ale v prípade pripojenia NAT budú existovať dva, ako keby to bolo, router-server a počítač si myslí, že má reláciu počítač-server.

Nastavenie sa mierne líši: s dodatočným preťažením slov:
Router(config)#access-list 101 permit 172.16.4.0 0.0.0.255
Router(config)#ip nat vnútri zdrojového zoznamu 101 rozhranie fa0/1 preťaženie

To si samozrejme zachováva možnosť konfigurovať oblasť adries:
Router(config)#ip nat pool lol_pool 198.51.100.2 198.51.100.14
Router(config)#access-list 100 permit 172.16.6.0 0.0.0.255
Router(config)#ip nat vnútri zdrojového zoznamu 100 pool lol_pool preťaženie

Presmerovanie portov

Inak hovoria aj presmerovanie portov alebo mapovanie.
Keď sme prvýkrát začali hovoriť o NAT, mali sme individuálny preklad a všetky požiadavky prichádzajúce zvonka boli automaticky presmerované na interného hostiteľa. Takto by bolo možné vystaviť server mimo internetu.
Ale ak takúto možnosť nemáte - ste obmedzený v bielych adresách, alebo to nechcete vystavovať navonok s celou hromadou portov, čo by ste mali robiť?
Môžete určiť, že všetky požiadavky prichádzajúce na konkrétnu bielu adresu a konkrétny port smerovača majú byť presmerované požadovaný port požadovanú internú adresu.
Router(config)#ip nat inside source static tcp 172.16.0.2 80 198.51.100.2 80 rozšíriteľné

Použitie tohto príkazu znamená, že požiadavka TCP, ktorá prišla z internetu na adresu 198.51.100.2 na porte 80, bude presmerovaná na internú adresu 172.16.0.2 na rovnakom porte 80. Samozrejme, môžete tiež preposielať UDP a preposielať z jedného portu na druhý. To môže byť napríklad užitočné, ak máte dva počítače, ktoré potrebujú prístup RDP zvonku. RDP používa port 3389. Rovnaký port nemôžete preposlať rôznym hostiteľom (pri použití rovnakej externej adresy). Môžete to teda urobiť takto:
Router(config)# IP nat vnútri zdroja static tcp 172.16.6.61 3389 198.51.100.2 3389
Router(config)# IP nat vnútri zdroja static tcp 172.16.6.66 3389 198.51.100.2 3398

Potom, aby ste sa dostali k počítaču 172.16.6.61, spustite reláciu RDP na porte 198.51.100.2:3389 a na 172.16.6.66 - 198.51.100.2:3398. Router sám rozhádže všetko tam, kde je to potrebné.

Mimochodom, tento príkaz je špeciálny prípadúplne prvý: ip nat vnútri zdroja static 172.16.6.66 198.51.100.2. Iba v tomto prípade hovoríme o presmerovaní všetkej prevádzky av našich príkladoch o konkrétnych portoch protokolu TCP.

Takto funguje NAT vo všeobecnosti. O jeho vlastnostiach, výhodách / nevýhodách bolo napísaných veľa článkov, ale nemožno ich ignorovať.

Slabé a silné stránky NAT

+

- Po prvé NAT ukladá verejné IP adresy. Presne na to bol vytvorený. Prostredníctvom jednej adresy je teoreticky možné vydať viac ako 65 000 šedých adries (podľa počtu portov).
- Po druhé, PAT a dynamický NAT je do istej miery firewall, ktorý bráni vonkajším pripojeniam dosiahnuť koncové body, ktoré nemusia mať vlastný firewall a antivírus. Faktom je, že ak príde paket zvonku do natovacieho zariadenia, čo sa tu neočakáva alebo nie je povolené, jednoducho sa zahodí.
Aby bol paket odovzdaný a spracovaný, musia byť splnené nasledujúce podmienky:
1) V tabuľke NAT musí byť položka pre túto externú adresu špecifikovanú ako zdrojovú adresu v pakete
A
2) Port odosielateľa v pakete sa musí zhodovať s portom pre túto bielu adresu v zázname
A
3) Cieľový port v pakete je rovnaký ako port v zázname.
ALEBO
Presmerovanie portov je nakonfigurované.
Nie je však potrebné považovať NAT za firewall - to nie je nič iné ako jeho dodatočná buchta.

- Po tretie, NAT skryje vnútornú štruktúru vašej siete pred zvedavými očami – keď budete sledovať trasu zvonku, neuvidíte nič ďalej ako nattingové zariadenie.

-

NAT má aj svoje negatíva. Najpozoruhodnejšie z nich sú možno tieto:
- Niektoré protokoly nemôžu fungovať cez NAT bez bariel. Napríklad protokoly FTP alebo tunelovacie protokoly (napriek tomu, aké jednoduché nastavím FTP v laboratóriu, v reálnom živote to môže spôsobiť veľa problémov)
- Ďalší problém spočíva v tom, že existuje veľa požiadaviek z jednej adresy na jeden server. Mnohí sú toho svedkami, keď idete do nejakého Rapidshare, a on hovorí, že už tam bolo spojenie z vašej IP, myslíte si, že „klame, pes“ a toto je už váš sused nasávaný. Z rovnakého dôvodu sa vyskytli problémy s ICQ, keď sa servery odmietli zaregistrovať.
- Problém, ktorý teraz nie je veľmi relevantný: zaťaženie procesora a pamäte RAM. Keďže množstvo práce je pomerne veľké v porovnaní s jednoduchým smerovaním (netreba sa len pozerať na hlavičku IP, musíte ju odstrániť, odstrániť hlavičku TCP, pridať ju do tabuľky, priskrutkovať nové hlavičky) v malých kanceláriách sú s tým problémy.
Stretol som sa s takouto situáciou.
Jeden z možné riešenia- preneste funkciu NAT do samostatného počítača alebo do špecializovaného zariadenia, ako je Cisco ASA.
Pre veľkých hráčov, ktorých smerovače otočia 3-4 BGP full-views, to teraz nie je problém.

Čo ešte potrebujete vedieť?
- NAT sa používa hlavne na poskytovanie prístupu na internet hostiteľom so súkromnými adresami. Existuje však aj iné využitie – komunikácia medzi dvoma privátnymi sieťami s prekrývajúcimi sa adresnými priestormi.
Vaša spoločnosť napríklad kúpi pobočku v Aktobe. Vaša adresa je 10.0.0.0-10.1.255.255 a oni majú 10.1.1.0-10.1.10.255. Rozsahy sa jasne prelínajú, nebude fungovať nastavenie smerovania, pretože rovnaká adresa môže byť v Aktobe aj vo vašom sídle.
V tomto prípade je NAT nakonfigurovaný na križovatke. Keďže nemáme sivé adresy, môžeme vybrať napríklad rozsah 10.2.1.0-10.2.10.255 a urobiť preklad jedna na jednu:
10.1.1.1-10.2.1.1
10.1.1.2-10.2.1.2
…
10.1.10.255-10.2.10.255

Vo veľkých hračkách pre dospelých môže byť NAT implementovaný na samostatnej doske (a často je) a bez nej nebude fungovať. A na kancelárskych kusoch železa je naopak takmer vždy.

S rozsiahlym zavedením IPv6 sa potreba NAT'e stratí. Už teraz sa o funkcionalitu NAT64 začínajú zaujímať veľkí zákazníci - vtedy máte prístup do sveta cez IPv4 a interná sieť je už na IPv6

Samozrejme, toto je len povrchný pohľad na NAT a stále je tu more nuancií, v ktorých vám sebavzdelávanie pomôže neutopiť sa.

Cvičenie NAT

Čo od nás vyžaduje realita?
1) Riadiaca sieť nemá vôbec prístup na internet
2) Hostitelia zo siete PTO majú prístup iba na špecializované stránky, napríklad na stránku
3) Milé účtovníčky si potrebujú vyrezať okno do sveta klientskych bánk.
4) FEO nesmie byť nikde uvoľnené, okrem finančného riaditeľa
5) V Inej sieti, náš počítač a počítač správcu - dáme im plný prístup na internet. Všetky ostatné môžu byť otvorené na základe písomnej žiadosti.
6) Nezabudnime na pobočky v Petrohrade a Kemerove. Pre jednoduchosť nastavme úplný prístup pre eniki z týchto podsietí.
7) So servermi samostatná skladba. Pre nich nastavíme presmerovanie portov. Všetko, čo potrebujeme:
a) WEB server musí byť dostupný na porte 80
b) Poštový server na 25. a 110
c) Súborový server je dostupný zo sveta cez FTP.
8) Počítače správcu a naše počítače musia byť prístupné z internetu cez RDP. V skutočnosti je to nesprávna cesta - pre vzdialené pripojenie musíte použiť pripojenie VPN a použiť RDP už v lokálnej sieti, ale toto je téma na samostatný, úplne iný článok.

Najprv si pripravme testovacie miesto:

Internetové pripojenie bude organizované prostredníctvom existujúceho odkazu poskytnutého poskytovateľom.
Ide do siete poskytovateľa. Pripomíname, že všetko v tomto cloude je abstraktná sieť, ktorá v skutočnosti môže pozostávať z desiatok smerovačov a stoviek prepínačov. Potrebujeme však niečo spravovateľné a predvídateľné, a tak sme sem dali ďalší router. Na jednej strane má odkaz z prepínača, na druhej strane server na internete.

Potrebujeme nasledujúce servery:
1. Dve klientske banky pre účtovníkov (sperbank.ru, mmm-bank.ru)
2. stránka pre televíznych špecialistov
3. Yandex (yandex.ru)

Pre takéto spojenie vytvoríme ďalší vlan na msk-arbat-gw1. Jeho číslo je, samozrejme, v súlade s poskytovateľom. Nech je to VLAN 6
Predpokladajme, že nám ich poskytovateľ poskytne podsiete 198.51.100.0/28. Prvé dve adresy sa používajú na usporiadanie odkazu (198.51.100.1 a 198.51.100.2) a zvyšok používame ako fond pre NAT. Vôbec nás však nikto netrápi, aby sme na bazén použili adresu 198.51.100.2. Poďme to spraviť: bazén: 198.51.100.2-198.51.100.14
Pre jednoduchosť predpokladajme, že naše verejné servery sú v rovnakej podsieti:
192.0.2.0/24 .
Už viete, ako nastaviť odkaz a adresy.
Keďže v sieti poskytovateľa máme len jeden router a všetky siete sú priamo naň pripojené, nie je potrebné konfigurovať smerovanie.
Náš msk-arbat-gw1 však potrebuje vedieť, kam posielať pakety na internet, takže potrebujeme predvolenú cestu:
msk-arbat-gw1(config)# ip route 0.0.0.0 0.0.0.0 198.51.100.1

Teraz v poriadku

Najprv nastavte fond adries
msk-arbat-gw1(config)# ip nat pool main_pool 198.51.100.2 198.51.100.14 maska ​​siete 255.255.255.240

Teraz zbierame ACL:
msk-arbat-gw1(config)# ip access-list rozšírený nat-inet

1) Riadiaca sieť

vôbec žiadny prístup na internet
Pripravený

2) Hostitelia zo siete PTO

Majú prístup iba na špecializované stránky, napríklad stránku
msk-arbat-gw1(config-ext-nacl)# povolenie tcp 172.16.3.0 0.0.0.255 hostiteľ 192.0.2.2 ekv 80

3) Účtovníctvo

Poskytujeme prístup ku všetkým hostiteľom na oboch serveroch
msk-arbat-gw1(config-ext-nacl)# povoliť ip 172.16.5.0 0.0.0.255 hostiteľ 192.0.2.3
msk-arbat-gw1(config-ext-nacl)# povoliť ip 172.16.5.0 0.0.0.255 hostiteľ 192.0.2.4

4) FEO

Povolenie dávame len finančnému riaditeľovi - toto je len jeden hostiteľ.
msk-arbat-gw1(config-ext-nacl)# povoliť ip hostiteľa 172.16.4.123 ľubovoľný

5) Iné

Naše počítače sú plný prístup
msk-arbat-gw1(config-ext-nacl)# povoliť ip hostiteľa 172.16.6.61 ľubovoľný
msk-arbat-gw1(config-ext-nacl)# povoliť ip hostiteľa 172.16.6.66 ľubovoľný

6) Pobočky v Petrohrade a Kemerove

Nech sú adresy enikií rovnaké: 172.16.x.222
msk-arbat-gw1(config-ext-nacl)# povoliť ip hostiteľa 172.16.16.222 ľubovoľný
msk-arbat-gw1(config-ext-nacl)# povoliť ip hostiteľa 172.16.17.222 ľubovoľný
msk-arbat-gw1(config-ext-nacl)# povoliť ip hostiteľa 172.16.24.222 ľubovoľný

Takto teraz vyzerá ACL:
ip access-list rozšírený nat-inet
poznámka PTO
povolenie tcp 172.16.3.0 0.0.0.255 hostiteľ 192.0.2.2 ekv www
poznámka ÚČTOVNÍCTVO
povolená adresa IP 172.16.5.0 0.0.0.255 hostiteľ 192.0.2.3
povolená adresa IP 172.16.5.0 0.0.0.255 hostiteľ 192.0.2.4
poznámka FEO
povoliť ip hostiteľa 172.16.4.123 ľubovoľný
poznámka IAM
povoliť ip hostiteľa 172.16.6.61 ľubovoľný
poznámka ADMIN
povoliť ip hostiteľa 172.16.6.66 ľubovoľný
poznámka SPB_VSL_ISLAND
povolenie ip hostiteľ 172.16.16.222 ľubovoľný
poznámka SPB_OZERKI
povolenie ip hostiteľ 172.16.17.222 ľubovoľný
poznámka KMR
povolenie ip hostiteľ 172.16.24.222 ľubovoľný

Spúšťame:
msk-arbat-gw1(config)# IP nat vnútri zdrojového zoznamu nat-inet pool main_pool preťaženie

Šťastie však nebude úplné bez prispôsobenia rozhraní:
Na externom rozhraní musíte zadať príkaz ip nat vonku
Vnútri: ip nat vo vnútri
msk-arbat-gw1(config)# int fa0/0.101
msk-arbat-gw1(config)# int fa0/0.102
msk-arbat-gw1(config-subif)# ip nat vnútri
msk-arbat-gw1(config)# int fa0/0.103
msk-arbat-gw1(config-subif)# ip nat vnútri
msk-arbat-gw1(config)# int fa0/0.104
msk-arbat-gw1(config-subif)# ip nat vnútri
msk-arbat-gw1(config)# int fa0/1.6
msk-arbat-gw1(config-subif)# ip nat vonku

To umožní smerovaču pochopiť, kde čakať na pakety, ktoré bude potrebné spracovať a kam ich poslať neskôr.

Aby boli servery na internete prístupné podľa názvu domény, bolo by pekné, keby sme v našej sieti získali server DNS:

Samozrejme, musí byť zaregistrovaný na tých zariadeniach, z ktorých budeme kontrolovať prístup:

Show musí pokračovať!

Všetko je dostupné z počítača správcu:

Zo siete PTO je prístup k lokalite iba na 80. porte (HTTP):

V sieti FEO ide do sveta iba 4 123 (finančný riaditeľ)

V účtovníctve fungujú len stránky klient-banky. Keďže je však protokol IP udelený úplne, môžu byť tiež testované:

7) Servery

Tu musíme nastaviť presmerovanie portov, aby boli prístupné z internetu:

a) Webový server

msk-arbat-gw1(config)# IP nat vnútri zdroja statické tcp 172.16.0.2 80 198.51.100.2 80

Okamžite skontrolujeme, napríklad to môžeme urobiť z testovacieho PC s ares 192.0.2.7.
Teraz nebude nič fungovať, pretože pre sieť servera sme nenakonfigurovali rozhranie na msk-arbat-gw1:
msk-arbat-gw1(config)# int fa0/0.3
msk-arbat-gw1(config-subif)# ip nat vnútri

A teraz:

b) Súborový server

msk-arbat-gw1(config)# IP nat vnútri zdroja statické tcp 172.16.0.3 20 198.51.100.3 20
msk-arbat-gw1(config)# IP nat vnútri zdroja statické tcp 172.16.0.3 21 198.51.100.3 21

Na tento účel sme v ACL Servers-out otvorili aj 20.-21. porty pre všetkých

c) Poštový server

msk-arbat-gw1(config)# IP nat vnútri zdroja statické tcp 172.16.0.4 25 198.51.100.4 25
msk-arbat-gw1(config)# IP nat vnútri zdroja statické tcp 172.16.0.4 110 198.51.100.4 110

Nie je ťažké to ani skontrolovať. Nasleduj inštrukcie:
Najprv nastavíme poštový server. Zadajte doménu a vytvorte dvoch používateľov.

Ďalej pridáme doménu do DNS. Tento krok je voliteľný – na server môžete pristupovať aj cez IP, ale prečo nie?

Nastavte počítač z našej siete:

Z externého zdroja:

Príprava listu:

Na miestnom hostiteľovi kliknite na položku Prijať:

8) Prístup RDP k počítačom správcu a našim

msk-arbat-gw1(config)# IP nat vnútri zdroja statické tcp 172.16.6.61 3389 198.51.100.10 3389
msk-arbat-gw1(config)# IP nat vnútri zdroja statické tcp 172.16.6.66 3389 198.51.100.10 3398

Bezpečnosť

Na záver jedna poznámka. S najväčšou pravdepodobnosťou sa na vás nattingové zariadenie pozerá vonkajším rozhraním IP nat – na Internete. Preto by nebolo na škodu zavesiť na toto rozhranie ACL, kde zakážete, povolíte, čo potrebujete. V tomto článku sa tejto problematike nebudeme venovať.

V tomto možno prvé zoznámenie s technológiou NAT považovať za úplné.
Ako ďalší DZ odpovedzte na otázku, prečo nie je prístup na internet z počítačov Eniki v Petrohrade a Kemerove. Koniec koncov, už sme ich pridali do zoznamu prístupových práv.

Uvoľnite materiály

prístupový zoznam 101 povolenie IP 192.168.2.0 0.0.0.255 ľubovoľný

Vytvoríme mapu trasy, kde označíme, že ak je paket zo siete 192.168.2.0/24, tak mu priradíme next-hop 10.0.2.1 (namiesto 10.0.1.1)

Povolenie KLIENTA s mapou trasy 5
zhoda IP adresy 101
nastaviť ip next-hop 10.0.2.1

Použiť mapu na rozhranie:
ip policy route-map KLIENT

Toto je len jedna z aplikácií výkonného nástroja Policy-Based Routing, ktorý, žiaľ, nie je v RT implementovaný v žiadnej forme.

Sadzobný limit
Na rovnakom príklade obmedzme rýchlosť pre sieť 192.168.1.0/24 na 1,5 Mb/s a pre 192.168.2.0/24 na 64 kb/s.
V 10.0.1.1 môžete spustiť nasledujúce príkazy:
Router(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any
Router(config)# access-list 101 permit ip 192.168.2.0 0.0.0.255 any
Router(config)# rozhranie fa0/0
Router(config-if)# rýchlostný limit výstup access-group 100 1544000 64000 64000 conform-action prenos prekročenie-akčný pokles
Router(config-if)# rýchlostný limit výstup access-group 101 64000 16000 16000 conform-action prenos prekročenie-akčný pokles

Autori:

Maratský eukariot
Maxim alias Gluck

Špeciálne poďakovanie za pomoc pri príprave článku Dmitrijovi JDimovi.

Vytvorme pomenovaný ACL a napíšme preň pravidlá:

ip access-list rozšírený HTTP_ONLY - vytvorte zoznam.

permittcp 172.22.34.96 0.0.0.15 hostiteľ 172.22.34.62 eqwww – konfigurácia filtrovania návštevnosti www.

permiticmp 172.22.34.96 0.0.0.15 hostiteľ 172.22.34.62 – umožňuje prenos ICMP prevádzky z PC2 na Server.

rozhranie Gigabit Ethernet 0/1

ipaccess-groupHTTP_ONLYin - umiestnenie zoznamu na rozhranie.

Aby sme skontrolovali fungovanie použitého zoznamu, odošleme echo požiadavku z PC2 na server (obrázok 4.4) Potom sa vytvorí neúspešné FTP spojenie z PC2 na server (obrázok 4.4). Potom musíte otvoriť webový prehliadač na PC2 a zadať IP adresu Server ako URL. Pripojenie by malo byť úspešné (obrázok 4.5).

Obrázok 4.4 - Echo požiadavka a FTP pripojenie k serveru z PC2

Obrázok 4.5 - Pripojenie k serveru cez webový prehliadač

5 Konfigurácia rozšírených ACL . Scenár 2

V tomto scenári zariadenia v jednom LAN siete umožňuje vzdialený prístup k zariadeniam v inej LAN cez protokol Telnet. S výnimkou ICMP je všetka prevádzka z iných sietí zakázaná. Schéma siete je znázornená na obrázku 5.1.

Obrázok 5.1 - Schéma siete

Nastavte rozšírený očíslovaný ACL pomocou nasledujúcich príkazov:

prístupový zoznam 199 permittcp 10.101.117.32 0.0.0.15 10.101.117.0 0.0.0.31 Telnet protokol v sieti 10.101.117.32/28 je povolený prenos do zariadení v sieťach 10.100.117.0/27.

access-list 199 permiticmpanyany - ICMP prevádzka je povolená z akéhokoľvek zariadenia a v akomkoľvek smere.

Všetka ostatná prevádzka je predvolene zakázaná.

rozhranie gigabitethernet0/2

ipaccess-group 199 out - umiestnenie zoznamu na rozhranie.

Ak chcete otestovať fungovanie rozšíreného zoznamu, musíte najskôr odoslať požiadavky na odozvu z PCB na všetky ostatné IP adresy v sieti (obrázok 5.2). Ďalej sa z PCA odosielajú echo požiadavky na všetky ostatné IP adresy v sieti (obrázok 5.3).

Obrázok 5.2 – Echo požiadavka od RSV

Obrázok 5.3 - Echo požiadavka z PCA

6 Konfigurácia rozšírených ACL . Scenár 3

V tomto scenári konkrétne zariadenia LAN sieť má povolený prístup k niekoľkým serverovým službám umiestneným na internete. Použitá sieť je znázornená na obrázku 6.1.

Obrázok 6.1 - Schéma siete

Na implementáciu nasledujúcich pravidiel musíte použiť jeden pomenovaný ACL:

1 Zakázať prístup cez HTTP protokoly a HTTPS z PC1 na Server1 a Server2. Tieto servery sú v cloude, známe sú len ich IP adresy.

2Blokovať FTP prístup z PC2 na Server1 a Server2.

3Blokovať ICMP prístup z PC3 na Server1 a Server2.

Rozšírený s názvom ACL bol nakonfigurovaný pomocou nasledujúcich príkazov:

ip access-list rozšírený ACL - vytvorte zoznam.

denytcphost 172.31.1.101 host 64.101.255.254 eqwww – pravidlo, ktoré zakazuje prístup z PC1 na Server1, len pre HTTP.

denytcphost 172.31.1.101 host 64.101.255.254 eq 443 – pravidlo, ktoré zakazuje prístup z PC1 na Server1, iba pre HTTPS.

denytcphost 172.31.1.101 host 64.103.255.254 eqwww – pravidlo, ktoré zakazuje prístup z PC1 na Server2, len pre HTTP.

denytcphost 172.31.1.101 host 64.103.255.254 eq 443 – pravidlo, ktoré zakazuje prístup z PC1 na Server2, iba pre HTTPS.

denytcphost 172.31.1.102 host 64.101.255.254 eqftp – pravidlo, ktoré zakazuje prístup z PC2 na Server1, iba pre FTP.

denytcphost 172.31.1.102 host 64.103.255.254 eqftp – pravidlo, ktoré zakazuje prístup z PC2 na Server2, iba pre FTP.

denyicmphost 172.31.1.103 hostiteľ 64.101.255.254 – pravidlo, ktoré zakazuje prístup ICMP z PC3 na Server1.

denyicmphost 172.31.1.103 hostiteľ 64.103.255.254 – pravidlo, ktoré zakazuje prístup ICMP z PC3 na Server2.

permitipanyany - povoliť inú IP prevádzku.

rozhranie Gigabit Ethernet 0/0

ipaccess-groupACLin - použite ACL na zodpovedajúce rozhranie a smer.

Kontrola rozšíreného ACL je nasledovná: kontrola prístupu k webovým stránkam na Server1 a Server2 pomocou webového prehliadača PC1, ako aj protokolov HTTP a HTTPS (obrázok 6.2), kontrola prístupu FTP na Server1 a Server2 z PC1 (obrázok 6.3), odozva požiadaviek sú vytvorené na Server1 a Server2 z PC1 (obrázok 6.4). Podobne sú overené PC2 a PC3. Úspešný prístup na webové stránky na serveroch z PC2 a PC3 - na obrázku 6.5. Neúspešný FTP prístup k serverom z PC2 - na obrázku 6.6. Zlyhané pingy z PC3 na servery sú zobrazené na obrázku 6.7.

Obrázok 6.2 - Kontrola prístupu cez HTTP a HTTPS

Obrázok 6.3 - FTP prístup na Server1 a Server2 z PC1

Obrázok 6.4 - Echo požiadavky na Server1 a Server2 z PC1

Obrázok 6.5 - Úspešný prístup na webové stránky na serveroch z PC2 a PC3

Obrázok 6.6 - Neúspešný FTP prístup k serverom z PC2

Obrázok 6.7 - Zlyhané pingy z PC3 na servery

7 Rozvoj komplexných praktických zručností

Toto pokročilé priradenie dokončuje schému adresovania, konfiguruje smerovanie a aplikuje pomenované zoznamy riadenia prístupu. Schéma použitej siete je na obrázku 7.1.

Obrázok 7.1 - Schéma siete

Prebieha laboratórne práce boli splnené tieto požiadavky:

1 Sieť 172.16.128.0/19 je rozdelená na dve rovnaké podsiete pre použitie v smerovači Branch. Posledná použiteľná adresa druhej podsiete je priradená rozhraniu GigabitEthernet 0/0. Posledná použiteľná adresa prvej podsiete je priradená rozhranie GigabitEthernet 0/1. Zdokumentovaná tabuľka adresovania je v tabuľke 1.

Tabuľka 1 – Tabuľka adresovania

Tabuľka 1 pokračuje

pobočka	G0/0	172.16.159.254	255.255.240.0	Nie je k dispozícií
G0/1	172.16.143.254	255.255.240.0	Nie je k dispozícií
S0/0/0	192.168.0.2	255.255.255.252	Nie je k dispozícií
HQ1	Sieťový adaptér	172.16.64.1	255.255.192.0	172.16.127.254
HQ2	Sieťový adaptér	172.16.0.2	255.255.192.0	172.16.63.254
HQServer.pka	Sieťový adaptér	172.16.0.1	255.255.192.0	172.16.63.254
B1	Sieťový adaptér	172.16.144.1	255.255.240.0	172.16.159.254
B2	Sieťový adaptér	172.16.128.2	255.255.240.0	172.16.143.254
BranchServer.pka	Sieťový adaptér	172.16.128.1	255.255.240.0	172.16.143.254

Priraďovanie adries k rozhraniam sa vykonáva pomocou nasledujúceho príkazu na smerovači Branch:

rozhranie gigabitEthernet0/0

IP adresa 172.16.159.254 255.255.240.0

rozhranie gigabitEthernet0/1

IP adresa 172.16.143.254 255.255.240.0

2B1 je správne adresovaný, bol použitý prvý. voľná adresa siete, ku ktorej je pripojený. Nastavenie je znázornené na obrázku 7.2.

Obrázok 7.2 - Nastavenie adresovania na B1

3 Pobočkový smerovač bol nakonfigurovaný pomocou protokolu EIGRP (Enhanced Gateway Internal Routing Protocol) podľa nasledujúcich kritérií:

a) sú inzerované všetky tri pripojené siete;

b) automatická agregácia je zakázaná;

c) príslušné rozhrania sú nakonfigurované ako pasívne;

d) zlúčené 172.16.128.0/19 na sériovom rozhraní Serial 0/0/0 s administratívnou vzdialenosťou 5.

Konfigurácia bola vykonaná pomocou nasledujúcich príkazov:

sieť 168.0.0.0 0.0.0.3

sieť 172.16.128.0 0.0.15.255

sieť 172.16.144.0 0.0.15.255

pasívne rozhranie gigabitethernet0/0

pasívne rozhranie gigabitethernet0/1

rozhranie serial0/0/0

ipsummary-addresseigrp 1 172.16.128.0 255.255.224.0 5

4 Na smerovači HQ je nakonfigurovaná predvolená trasa, ktorá smeruje prevádzku na rozhranie S0/0/1. Trasa prerozdelená do smerovača Branch. Na to boli použité nasledujúce príkazy:

IP trasa 0.0.0.0 0.0.0.0 serial0/0/1

redistributestatický

5 HQ LAN podsietí na sériovom rozhraní Serial 0/0/0 s administratívnou vzdialenosťou 5. Príkazy:

rozhranie serial0/0/0

ipsummaryaddresseigrp 1 172.16.0.0 255.255.128.0 5

6 Vytvoril sa pomenovaný prístupový zoznam HQServer, aby sa zabránilo všetkým počítačom pripojeným k rozhraniu GigabitEthernet 0/0 smerovača pobočky v prístupe k HQServer.pka. Všetka ostatná premávka je povolená. Nakonfigurovaný zoznam prístupových práv na príslušnom smerovači, priradený k príslušnému rozhraniu v príslušnom smere. Na to boli použité nasledujúce príkazy:

ipaccess-listextendedHQServer

denyipanyhost 172.16.0.1

permitip akékoľvek

rozhranie gigabitethernet0/0

IP prístupová skupina HQServer in

7 Vytvoril sa pomenovaný prístupový zoznam BranchServer, aby sa zabránilo všetkým počítačom pripojeným k rozhraniu GigabitEthernet 0/0 ústredia smerovača v prístupe k službám HTTP a HTTPS pobočkového servera. Všetka ostatná premávka je povolená. Prístupový zoznam bol nakonfigurovaný na príslušnom smerovači a priradený k príslušnému rozhraniu v príslušnom smere.

ip access-list rozšírený BranchServer

denytcp akýkoľvek hostiteľ 172.16.128.1 ekv. 80

denytcp akýkoľvek hostiteľ 172.16.128.1 ekv. 443

permitip akékoľvek

rozhranie gigabitethernet0/0

ipaccess-groupBranchServerin

Na overenie boli odoslané echo požiadavky z B1 na HQServer.pka (neúspešne, obrázok 7.3). Webový prístup k BranchServer.pka z HQ1 tiež zlyhá (obrázok 7.4).

Obrázok 7.3 - Echo požiadavka z B1 na HQServer.pka

Obrázok 7.4 - Webový prístup na BranchServer.pka s HQ1

©2015-2019 stránka
Všetky práva patria ich autorom. Táto stránka si nenárokuje autorstvo, ale poskytuje bezplatné používanie.
Dátum vytvorenia stránky: 20.08.2016

Prístupové zoznamy sa používajú rôznymi spôsobmi a sú mechanizmom na špecifikovanie podmienok, ktoré router kontroluje pred vykonaním akejkoľvek akcie. Smerovač preskúma každý paket a na základe vyššie uvedených kritérií špecifikovaných v ACL určí, čo s paketom urobiť, preskočiť alebo zahodiť. Typickými kritériami sú adresy odosielateľa a príjemcu paketu, typ protokolu. Každé kritérium v ​​prístupovom zozname je napísané na samostatnom riadku. Prístupový zoznam ako celok je množina reťazcov s kritériami, ktoré majú rovnaké číslo (alebo názov). Dôležité je poradie, v ktorom sú kritériá špecifikované v zozname. Kontrola súladu balíka so zoznamom sa vykonáva postupným uplatňovaním kritérií z tento zoznam(v poradí, v akom boli zadané). Paket, ktorý nezodpovedá žiadnemu zo zadaných kritérií, bude odmietnutý. Každému rozhraniu a protokolu možno priradiť iba jeden prístupový zoznam. Nižšie je uvedená predvolená tabuľka zoznamu prístupových práv:

Bez ACL- V predvolenom nastavení, keď vytvoríte koncový bod, je mu povolené všetko.

Povoliť- pri pridávaní jedného alebo viacerých rozsahov „povolení“ sú všetky ostatné rozsahy štandardne zakázané. Iba pakety z povoleného rozsahu adries IP budú môcť dosiahnuť koncový bod VM.

zákaz- pri pridávaní jedného alebo viacerých rozsahov „odmietnutia“ sú všetky ostatné rozsahy prenosu štandardne povolené.

Kombinácia povolenia a zákazu- môžete použiť kombináciu pravidiel "povoliť" a "zakázať" na určenie vnoreného povoleného alebo odmietnutého rozsahu adries IP.

Zvážte dva príklady štandardných zoznamov:

# access-list 1 permithost 10.0.0.10- umožniť prejazd premávky z uzla 10.0.0.10.

# access-list 2 deny 10.0.1.0 0.0.0.255- zakazujeme prechod paketov z podsiete 10.0.1.0/24.

Praktická práca 9-1. Vytvorenie štandardného zoznamu prístupových práv

Existuje niekoľko typov prístupových zoznamov: štandardné, rozšírené, dynamické a iné. V štandardných ACL je možné špecifikovať iba zdrojovú IP adresu paketov pre ich zákaz alebo povolenie.

Ryža. 9.2.

Poďme zhromaždiť túto schému a nakonfigurovať ju. Nastavte PC0 a PC1 sami.

Nastavenie R0

Rozhranie 0/0 smerovača 1841 nakonfigurujeme na adresu 192.168.0.1 a povolíme ho nasledujúcimi príkazmi:

Router>sk Router#conf t Router (config)#int fa0/0 Router (config-if)#ip addr 192.168.0.1 255.255.255.0 Router (config-if)#no shut Router (config-if)#exit

Nakonfigurujeme druhé rozhranie smerovača (port 0/1) s adresou 10.0.0.1 a tiež ho povolíme:

Router (config)#intfa0/1 Router (config-if)#ip addr 10.0.0.1 255.255.255.0 Router (config-if)#no shut

Ladenie servera

Nastavenia servera sú znázornené na obr. 9.3.

Ryža. 9.3.

Diagnostika siete

Kontrola pripojenia PC z rôzne siete(obr. 9.4).

Ryža. 9.4.

Začnime riešiť problém

Pravidlo pre odmietnutie a povolenie prístupu bude zostavené pomocou štandardných zoznamov prístupových práv (ACL). Kým nie je v rozhraní nastavený zoznam prístupových práv, všetko je povolené ( povolenie). Ale stojí za to vytvoriť zoznam, okamžite funguje mechanizmus „Všetko, čo nie je povolené, je zakázané“. Preto nie je potrebné niečo zakazovať ( poprieť) - uveďte, čo je povolené, a "zvyšok - zakázať" sa automaticky predpokladá. Podľa podmienok problému potrebujeme odovzdať pakety na R0 z uzla 192.168.0.12 na server (obr. 9.5).

Ryža. 9.5.

Toto pravidlo platí pre rozhranie v závislosti od smeru (PC1 je umiestnený na strane portu Fa0/0) – obr. 9.6. Toto nastavenie znamená, že prístupový zoznam (pravidlo číslo 1) bude platný na rozhraní fa0/0 v smere prichádzajúcich (v) z PC1.

Ryža. 9.6.

Poznámka

Prichádzajúca prevádzka (in) je tá, ktorá prichádza do rozhrania zvonku. Odchádzajúci (out) - ten, ktorý je odoslaný z rozhrania smerom von. Prístupový zoznam môžete použiť buď na prichádzajúcu komunikáciu, potom sa nechcené pakety ani nedostanú do smerovača, a teda ďalej do siete, alebo na odchádzajúce, potom pakety dorazia na smerovač, sú ním spracované a dosiahnu cieľové rozhranie. a spracovávajú sa iba na ňom. Spravidla sa zoznamy aplikujú na prichádzajúcu komunikáciu (in).

Access-lists, Access-control-lists (ACL) - zoznamy kontroly prístupu. Na smerovačoch a prepínačoch Cisco sa používa niekoľko typov zoznamov prístupových práv. Prístupové zoznamy sa používajú na filtrovanie návštevnosti alebo na definovanie tried návštevnosti pri uplatňovaní politík. Prístupový zoznam je množina reťazcov typu podmienka-akcia. Reťazec zoznamu prístupových práv sa nazýva access-control-entry (ACE). Podmienkou môže byť, že paket zodpovedá určitému protokolu alebo množine parametrov. Akciou môže byť povolenie balíka (povoliť) alebo zákaz (odmietnutie). Pre zoznamy prístupových práv platia nasledujúce pravidlá:

• Vytvorený zoznam prístupových práv nemá žiadny účinok, kým sa nepoužije na konkrétne rozhranie.
• Prístupový zoznam sa aplikuje na rozhranie v určitom smere - pre odchádzajúce alebo prichádzajúce prenosy (prichádzajúce / odchádzajúce).
• Na rozhranie možno použiť iba jeden zoznam prístupových práv na protokol (ip) a na smer (vstup/výstup).
• Prístupový zoznam sa kontroluje riadok po riadku až do prvej zhody. Zvyšné riadky sa ignorujú.
• Na konci každého zoznamu prístupových práv IP sa nachádza implicitné pravidlo odmietnutia. Paket, ktorý nezodpovedá žiadnej podmienke v zozname, sa zahodí podľa implicitného pravidla odmietnutia.
• Odporúča sa špecifikovať konkrétnejšie pravidlá na začiatku zoznamu prístupových práv a všeobecnejšie pravidlá na konci.
• Nové riadky sa štandardne pripájajú na koniec zoznamu.
• Z pomenovaného zoznamu prístupových práv je možné odstrániť jeden riadok, ostatné ACL sa odstránia iba celé.
• Prístupový zoznam musí mať aspoň jedno povolenie, inak zablokuje všetku komunikáciu.
• Rozhranie, ktorému je priradený neexistujúci zoznam prístupových práv, nefiltruje návštevnosť.
• Rozšírené prístupové zoznamy IP sa používajú čo najbližšie k zdroju návštevnosti.

Podľa spôsobu vytvárania sa prístupové zoznamy delia na štandardné, rozšírené a pomenované. Najpohodlnejšie je pracovať s menovanými.

Štandardný prístupový zoznam

Filtruje len podľa zdrojovej IP adresy. Musí mať číslo v rozsahu 1-99. Príklad:

Prístupový zoznam 10 zakázať hostiteľa 172.16.30.2 - zakázať zdrojovú IP prístupový zoznam 10 povoliť ľubovoľné - povoliť všetko

Rozšírený zoznam prístupov

Filtruje podľa zdrojových a cieľových adries, podľa protokolov 3, 4 úrovní. Musí mať číslo v rozsahu 100-199. Príklad:

Access-list 110 deny tcp any host 172.16.30.2 eq 22 - odmietnut tcp od každého k hostiteľovi s portom 22 access-list 110 deny ip 192.168.160.0 0.0.31.255 any - odmietnutie ip zo všetkých sietí podľa vzoru -list 110 allow ip any any - allow all

Aplikácia na rozhranie

conf t - prepnutie do konfiguračného režimu int fa 0/0 - prepnutie na rozhranie FastEthernet0/0 ip access-group 110 in - použitie ACL 110 na vstup ip access group 120 out - použitie ACL 120 na výstup

Aplikácia na prístupové linky telnet

conf t - prepnutie do konfiguračného režimu riadok vty 0 4 - prepnutie do vty riadkov od 0 do 4 prístupová trieda 10 in - aplikovanie ACL 10 na vstup

Pomenovaný rozšírený prístupový zoznam

Filtruje podľa zdrojových a cieľových adries, podľa protokolov 3, 4 úrovní. Musí mať meno. Jednotlivé riadky je možné vymazať. Príklad:

IP access-list rozšírený INET - vytvorte zoznam s názvom INET deny tcp any host 172.16.30.2 eq 22 - odmietnut tcp od každého k hostiteľovi s portom 22 deny ip 192.168.160.0 0.0.31.255 any - odmietnut ip zo siete vzor na všetkých povoliť ip ľubovoľný ľubovoľný - povoliť všetko

Prístupové reťazce sú štandardne číslované v krokoch po 10. Prístupový zoznam môžete prečíslovať iným krokom. Riadok môžete pridať očíslovaním - prejde na určené miesto, očíslovaním.

Zobraziť rozšírený zoznam prístupových práv:

Router# sh access-list INET Extended IP access list INET 10 deny tcp any host 172.16.30.2 ekv 22 (150 zápasov) 20 deny ip 192.168.160.0 0.0.31.255 any (4 match) any 30 permit

Ako vidíte, riadky sú očíslované krokom po 10. Nový riadok môžete vložiť na ľubovoľné miesto na hárku pomocou čísla:

Router(conf)# ip access-list rozšírený smerovač INET (config-ext-nacl)# 5 povoliť hostiteľa ip 10.10.10.10 ľubovoľný smerovač (config-ext-nacl)# 223 zakázať hostiteľa ip 1.1.1.1 ľubovoľný smerovač (config-ext -nacl)# end router# sh access-list INET Extended IP access list INET 5 permit ip host 10.10.10.10 any 10 deny tcp any host 172.16.30.2 eq 22 (150 match) 20 deny ip 192.168.02050. 4 zhody) 30 povoliť ip ľubovoľnú (1556 zhôd) 223 zakázať ip hostiteľa 1.1.1.1 ľubovoľnú

Jeden riadok z hárka môžete odstrániť podľa čísla alebo podľa úplného označenia riadku s predponou „nie“. Napríklad takto:

Router(conf)# ip access-list rozšírený smerovač INET (config-ext-nacl)# žiadne povolenie ip host 10.10.10.10 any

Router(config-ext-nacl)# no 223

Prístupový zoznam môžete úplne odstrániť zadaním príslušného príkazu a „nie“:

Router(conf)# no ip access-list rozšírený INET

Pokročilé možnosti ACE

povolenie icmp vs. povoliť ip

Zakázať ACE, ktoré kontrolujú informácie vrstvy 4, sa nikdy nezhodujú s fragmentom, pokiaľ fragment neobsahuje informácie zo 4. vrstvy.

Klasifikácia návštevnosti pomocou zoznamov prístupových práv

Ladenie IP ACL

Vlan ACL (VACL)

Mapa VLAN sa aplikuje na všetky premostené pakety. Router ACL je len pre smerované. Ak

1. Mapa VLAN pre vstup VLAN10

2. Vstupný smerovač ACL / int VLAN10

3.smerovanie VLAN10 na VLAN20

4. Výstupný smerovač ACL / int VLAN20

5. Mapa VLAN pre výstup VLAN20

ip access-list rozšírený WIFIHOSTEL povolenie ip 10.12.0.0 0.0.255.255 hostiteľ 212.192.64.2 povolenie ip hostiteľ 212.192.64.2 10.12.0.0 0.0.255.255 odoprieť ip akékoľvek vlan prístupová mapa WIFIHOSTEL 10 zhodná ip adresa WIFIHOSTEL akcia vpred! vlan filter WIFIHOSTEL vlan-list 534

Teoretická časť.

Prístupový zoznam ACL je sekvenčný zoznam pravidiel, ktoré sa používajú na povolenie alebo odmietnutie toku paketov v rámci siete na základe informácií poskytnutých v zozname. Bez prístupového zoznamu sú všetky pakety v sieti povolené bez obmedzenia do všetkých častí siete. Prístupový zoznam možno použiť na riadenie šírenia a prijímanie informácií o zmenách smerovacích tabuliek a, čo je najdôležitejšie, na zabezpečenie bezpečnosť. Bezpečnostná politika zahŕňa najmä ochranu pred vonkajšími útokmi, obmedzenia prístupu medzi oddeleniami organizácie a rozloženie záťaže siete.

Prístupový zoznam vám umožňuje používať smerovač ako POŽARNE dvere, firewall, na zabránenie alebo obmedzenie prístupu do internej siete z externej siete, ako je internet. Firewall je zvyčajne umiestnený v spojovacích bodoch medzi dvoma sieťami.

Štandardné ACL

Pri použití štandardných zoznamov prístupových práv je jediným kritériom na určenie, či je paket povolený alebo zakázaný, zdrojová adresa IP daného paketu. Formát prvku zoznamu prístupových práv je nasledujúci

Smerovač (konfigurácia) # prístupový zoznam № povolenie | odmietnuť zdrojovú-adresu zdrojovú-masku,

kde # je celé číslo prístupového zoznamu, zdrojová adresa označuje zdrojovú adresu paketu, maska ​​zdroja je inverzná maska ​​aplikovaná na adresu, povolenie je povoliť paketu prejsť, zakázať zamietnuť prechod paketu . Číslo # určuje, či prvok zoznamu prístupových práv patrí do konkrétneho zoznamu prístupových práv s číslom #. Prvý príkaz prístupového zoznamu definuje prvý prvok prístupového zoznamu, druhý príkaz definuje druhý prvok prístupového zoznamu atď. Router spracováva každý prístupový zoznam definovaný v ňom prvok po prvku zhora nadol. To znamená, že ak zdrojová adresa paketu, berúc do úvahy masku, spĺňa podmienku prvku zoznamu, potom smerovač nespracováva ďalšie prvky zoznamu. Preto, aby sa predišlo zbytočnému spracovaniu, prvky, ktoré definujú viac Všeobecné podmienky, by mal byť umiestnený na začiatku zoznamu. V rámci smerovača je možné definovať viacero prístupových zoznamov. Číslo štandardného zoznamu musí byť v rozsahu 1 – 99. Maska v prístupovom zozname je špecifikovaná v inverznej forme, napríklad maska ​​255.255.0.0 vyzerá ako 0.0.255.255.

Smerovače Cisco predpokladať, že všetky adresy, ktoré nie sú výslovne uvedené v zozname prístupových práv, sú odmietnuté. To znamená, že na konci zoznamu prístupových práv je neviditeľný prvok

Smerovač (konfigurácia) # prístupový zoznam # odoprieť 0.0.0.0 255.255.255.255

Ak teda chceme povoliť iba prevádzku z adresy 1.1.1.1 a zakázať všetku ostatnú prevádzku, stačí dať jeden prvok do zoznamu prístupov

Smerovač (konfigurácia) # access-list 77 povolenie 1.1.1.1 0.0.0.0.

Tu sa predpokladá, že sme zorganizovali zoznam prístupových práv s číslom 77.

Zvážte možnosť použitia štandardných prístupových zoznamov pre rad adries. Vezmite si napríklad rozsah 10.3.16.0 – 10.3.31.255. Ak chcete získať inverznú masku, môžete odčítať juniorskú adresu od vysokej adresy a získať 0.0.15.255. Potom je možné pomocou príkazu zadať príklad prvku zoznamu

Smerovač (konfigurácia) # prístupový zoznam 100 povolenie 10.3.16.0 0.0.15.255

Aby zoznam prístupových práv začal vykonávať svoju prácu, musí byť aplikovaný na rozhranie pomocou príkazu

Router (config-if)# IP prístupová-skupina prístupové-číslo-zoznamu vstupov alebo výstupov

Prístupový zoznam možno použiť buď ako vstup (vstup) alebo ako výstup (výstup). Keď ako vstup použijete prístupový zoznam, smerovač prijme vstupný paket a porovná jeho vstupnú adresu s prvkami zoznamu. Smerovač umožňuje smerovanie paketu do cieľového rozhrania, ak sa paket zhoduje s položkami zoznamu povolených, alebo zahodí paket, ak vyhovuje podmienkam položiek zoznamu odmietnutí. Ak použijete prístupový zoznam ako výstupný, smerovač prijme vstupný paket, nasmeruje ho do cieľového rozhrania a až potom spracuje vstupnú adresu paketu podľa prvkov prístupového zoznamu tohto rozhrania. Ďalej smerovač buď umožní paketu opustiť rozhranie, alebo ho zahodí podľa prvkov zoznamu povolení a odmietnutia. Predtým vytvorený zoznam s číslom 77 sa teda použije na rozhranie Ethernet 0 smerovača ako vstupný zoznam príkazmi

Smerovač (konfigurácia) # int Ethernet 0

Router (config-if)# IP prístupová skupina 77 palcov

Rovnaký zoznam sa použije na rozhranie Ethernet 0 smerovača ako zoznam výstupov pomocou príkazov

Router (config-if)# IP access-group 77 out

Zoznam na rozhraní sa zruší pomocou príkazu č

Router (config-if)# žiadna ip prístupová skupina 77 von

Začnime vytvárať ďalšie komplexné zoznamy prístup. Uvažujme sieť na obrázku 1. Povoľme všetky pakety pochádzajúce zo siete 10.1.1.0/25 (10.1.1.0 255.255.255.128), ale zamietnime všetky pakety pochádzajúce zo siete 10.1.1.128/25 (10.1.5285125.258). . Chceme tiež zakázať všetky pakety pochádzajúce zo siete 15.1.1.0/24 (15.1.1.0 255.255.255.0), okrem paketov z jedného hostiteľa na 15.1.1.5. Povoľujeme všetky ostatné balíčky. Zoznamu dajme číslo 2. Poradie príkazov na dokončenie úlohy bude nasledovné

Smerovač (konfigurácia) #

Smerovač (konfigurácia) # prístupový zoznam 2 povolenie 15.1.1.5 0.0.0.0

Smerovač (konfigurácia) #

Smerovač (konfigurácia) #

Všimnite si absenciu permisívneho prvku pre sieť 10.1.1.0 255.255.255.128. Jeho úloha sa hrá posledný prvok access-list 2 povolenie 0.0.0.0 255.255.255.255.

Uistime sa, že sme dokončili našu úlohu.

1. Povoliť všetky pakety pochádzajúce zo siete 10.1.1.0 255.255.255.128.

Posledný riadok v prístupovom zozname spĺňa toto kritérium. Nie je potrebné explicitne povoliť túto sieť v našom zozname prístupových práv, pretože v zozname nie je žiadna položka, ktorá by sa zhodovala s touto sieťou, okrem posledného povolenia linky 0.0.0.0 255.255.255.255.

Prvý riadok v zozname spĺňa toto kritérium. Je dôležité si všimnúť typ inverznej masky 0.0.0.127 pre túto sieť. Táto maska ​​naznačuje, že by sme nemali brať do úvahy posledných sedem bitov štvrtého oktetu adresy, ktoré sú priradené na adresovanie v tejto podsieti. Maska pre túto sieť je 255.255.255.128, čo hovorí, že posledných sedem bitov štvrtého oktetu určuje adresovanie v tejto sieti.

3. Odmietnuť všetky pakety pochádzajúce zo siete 15.1.1.0 255.255.255.0, s výnimkou paketov z jedného hostiteľa s adresou 15.1.1.5

Obrázok 9.1.

Túto požiadavku spĺňa druhý a tretí riadok nášho zoznamu prístupových práv. Je dôležité poznamenať, že zoznam prístupových práv neimplementuje túto požiadavku v poradí, v akom je špecifikovaná. Nezabudnite, že zoznam prístupových práv sa spracováva zhora nadol a pri prvej zhode sa spracovanie paketov zastaví. Najprv požadujeme odmietnuť všetky pakety pochádzajúce zo siete 15.1.1.0 255.255.255.0 a až potom povoliť pakety s adresou 15.1.1.5. Ak zameníme druhý a tretí príkaz v príkazoch definujúcich zoznam prístupových práv, potom bude celá sieť 15.1.1.0 zakázaná, kým nebude povolený hostiteľ 15.1.1.5. To znamená, že adresa 15.1.1.5 bude odmietnutá hneď na začiatku podľa všeobecnejšieho kritéria odmietnutia 15.1.1.0 0.0.0.255.

4. Povoliť všetky ostatné balíčky

Posledný príkaz rieši všetky adresy, ktoré sa nezhodujú s prvými tromi príkazmi.

Máme teda nasledujúcu postupnosť akcií na implementáciu zoznamu prístupových práv.

1. Definujte kritériá a obmedzenia prístupu.

2. Implementujte ich pomocou príkazov zoznamu prístupových práv, čím vytvoríte zoznam prístupových práv so špecifickým číslom.

3. Aplikujte zoznam na konkrétne rozhranie buď ako prichádzajúce alebo odchádzajúce.

Zastavme sa pri poslednom bode. IN všeobecný prípadŠtandardný zoznam prístupových práv by mal byť umiestnený čo najbližšie k cieľu, nie k zdroju paketov. Aj keď môžu existovať výnimky. Keďže štandardný zoznam prístupových práv funguje len so zdrojovými adresami, podrobná konfigurácia nie je vždy možná. Je potrebné vynaložiť úsilie, aby ste sa vyhli nechceným konfiguráciám prístupu. Ak je zoznam umiestnený blízko zdroja paketov, potom je veľmi pravdepodobné, že prístup k zariadeniam, na ktorých sa nevykonáva žiadna konfigurácia prístupu, bude zložitý.

Bezpečnostnú politiku pre sieť špecifikujeme na obrázku 1. Naším cieľom je vytvoriť politiku pre počítač A (adresa 1.1.1.2 sieť 1.1.1.0/24), ktorý zo všetkých zariadení v lokálnej sieti 15.1.1.0 /24 zahŕňa počítač C (15.1.1.5) umožní prístup k počítaču A iba samotnému počítaču C. Chceme tiež vytvoriť politiku, ktorá zakáže vzdialený prístup k počítaču A z akéhokoľvek zariadenia v lokálnej sieti 10.1.1.128 / 25 počítača D (10.1 .1.133). Všetku ostatnú premávku povoľujeme. Na obrázku 1 hrá PC5 (15.1.1.5) úlohu ľubovoľného non-C zástupcu lokálnej siete 15.1.1.0/24.

Umiestnenie zoznamu je rozhodujúce pre implementáciu takejto politiky. Zoberme si predtým vytvorený zoznam s číslom 2. Ak je zoznam vytvorený na výstupe na sériovom rozhraní smerovača 2, potom bude úloha pre počítač A dokončená, ale bude obmedzená prevádzka medzi ostatnými lokálnymi sieťami. Do podobnej situácie sa dostaneme, ak tento zoznam urobíme ako vstup na sériovom rozhraní smerovača 1. Ak tento zoznam dáme ako výstup na rozhranie Ethernet A smerovača 1, úloha bude dokončená bez akýchkoľvek vedľajších účinkov.

Rozšírené ACL

Pri štandardnom ACL môžete zadať iba zdrojovú adresu a maska ​​je voliteľná. V rozšírených ACL musíte zadať cieľovú aj zdrojovú adresu pomocou zástupných znakov. Môžete pridať ďalšie informácie o protokole pre zdroj a cieľ. Napríklad TCP a UDP môžu špecifikovať číslo portu, zatiaľ čo ICMP môže špecifikovať typ správy. Rovnako ako v prípade štandardných zoznamov prístupových práv môžete na prihlásenie použiť možnosť denníka.

Všeobecná forma príkazu na vytvorenie reťazca prístupového zoznamu

prístupový-zoznam prístupový-zoznam-číslo (povoliť | zakázať) zdroj protokolu zdroj-zástupný znak cieľ cieľ-zástupný znak ,

kde číslo prístupového-zoznamu je -100-199|2000-2699, protokol je ip, icmp, tcp, gre, udp, igrp, eigrp, igmp, ipinip, nos a ospf. Pre zdrojový port alebo cieľový port môžete použiť číslo portu alebo označenie portu bgp, chargen, daytime, discard, domain, echo, finger, ftp, ftp-data, gopher, hostname, irc, klogin, kshell, lpd , nntp, pop2, pop3, smtp, sunrpc, syslog, tacacs-ds, talk, telnet, time, uucp, whois a www. Operátor je eq (rovná sa), neq (nerovná sa), gt (väčší ako), lt (menší ako), rozsah (špecifikujte dva porty na definovanie rozsahu).

Rovnako ako v prípade štandardných zoznamov prístupových práv, aj rozšírený zoznam prístupových práv by mal byť viazaný na rozhranie alebo pre prichádzajúcu prevádzku na rozhraní

Router(config-if)# ip access-group #ACL in

alebo pre premávku opúšťajúcu rozhranie

Router(config-if)# ip access-group #ACL out

kde #ACL je číslo zoznamu.

Príklady rozšírených položiek ACL

Povoľte hosťovanie SMTP odkiaľkoľvek

Router(config)# access-list 111 allow tcp any host 172.17.11.19 eq 25

Povoľte hosťovanie telnetu odkiaľkoľvek

Router(config)# access-list 111 allow tcp any host 172.17.11.19 eq 23

Rozšírené ACL vám umožňuje doladiť prístupové práva.

Pomenované zoznamy prístupových práv

Pomenované zoznamy ACL sa označujú skôr názvom než číslom, čo uľahčuje ich čítanie a pochopenie. Existuje príkaz na vytvorenie pomenovaného ACL

Router(config)# ip access-list rozšírený ACL_name

Router(config-ext-nacl)# allow|deny IP_protocol source_IP_address wildcard_mask destination_IP_address wildcard_mask

Na dokončenie vytvárania zoznamu zadajte príkaz exit.

V názve pomenovaného zoznamu sa rozlišujú malé a veľké písmená. Príkazy na vytváranie nepomenovaného zoznamu sú podobné príkazom na vytváranie položiek v usporiadanom zozname, ale proces vytvárania je odlišný. Na vstup do konfiguračného režimu pre tento pomenovaný zoznam musíte použiť kľúčové slovo ip pred hlavným príkazom ACL. V tomto režime začínate s Kľúčové slová povoliť alebo zamietnuť a na začiatku každého riadku nesmie obsahovať zoznam prístupových práv.

Pomenované ACL sú viazané na rozhranie pomocou príkazu

Router(config)# typ rozhrania port_#

Router(config-if)# ip access-group ACL_name in|out

ACL sa spracúvajú zhora nadol. Najčastejšie opakovaná návštevnosť by mala byť spracovaná na začiatku zoznamu. Akonáhle paket spracovávaný zoznamom spĺňa prvok zoznamu, spracovanie tohto paketu sa ukončí. Štandardné ACL by mali byť umiestnené bližšie k cieľu, kde sa má filtrovať prevádzka. Výstupné (out) rozšírené ACL by mali byť umiestnené čo najbližšie k zdroju filtrovaných paketov a vstupné by mali byť umiestnené bližšie k cieľu, kde by mala byť filtrovaná prevádzka.

Pomenované zoznamy ACL vám umožňujú upravovať sa. Ak to chcete urobiť, musíte zadať príkaz, ktorý bol použitý na jeho vytvorenie.

Router(config)# ip access-list rozšírený ACL_name

Pomocou klávesov so zvislými šípkami nájdite riadok v zozname, ktorý chcete zmeniť. Zmeňte ho pomocou vodorovných šípok. Stlačte Enter. Nový riadok sa pridá na koniec zoznamu. Ten starý sa nezničí. Ak ho chcete zničiť, zadajte na začiatok riadku nie.

Ak chcete upraviť číselné zoznamy ACL, buď ho zničte a vytvorte znova, alebo upravte zoznam offline a stiahnite si ho do zariadenia pomocou.

Praktická časť.

1. Načítajme do simulátora topológiu znázornenú na obrázku 2.

Obrázok 9.2.

Priraďte adresy rozhraniam (maska ​​255.255.255.240) podľa tabuľky. Nezabudnite nastaviť hodiny na sériovom zariadení DCE.

	Smerovač2	Smerovač 1	Smerovač 4
ethernet	24.17.2.2	24.17.2.1
sériový		24.17.2.17	24.17.2.18

Urobme konfiguráciu RIP smerovanie

Router1(config)# roztrhnutie smerovača

Router1(config-router)# verzia 2

Router1(config-router)# sieť 24.0.0.0

Router2(config)# roztrhnutie smerovača

Router1(config-router)# verzia 2

Router2(config-router)# sieť 24.0.0.0

Router4(config)# roztrhnutie smerovača

Router1(config-router)# verzia 2

Router4(config-router)# sieť 24.0.0.0

Skontrolujte svoju sieť pomocou príkazy ping a konkrétne, že môžete ping na rozhranie ethernet0 (24.17.2.2) smerovača 2 z smerovača 4

Router4# ping 24.17.2.2

Vytvorme štandardný zoznam prístupových práv, ktorý nedovolí ping na smerovač 2 z smerovača 4. Aby sme to dosiahli, zablokujeme jedinú adresu 24.17.2.18 smerovača 4 a povolíme zvyšok prevádzky. Zoznam sa vytvorí na smerovači pomocou 2 príkazov

Router2(config)# prístupový zoznam 1 zamietnuť 24.17.2.18 0.0.0.0

Router2(config)# prístupový zoznam 1 povolenie 0.0.0.0 255.255.255.255

Router2(config)# rozhranie FastEthernet0/0

Router2(config-if)# ip access-group 1 in

Skontrolujte, či je spustený zoznam prístupových práv. Ak to chcete urobiť, pozrite si spustenú konfiguráciu

Router2# show running-config

Môžeme tiež vidieť, že zoznam sa aplikuje na rozhranie pomocou príkazu „show ip interface“. Vo výstupe nájdite riadok „Innbound access list is 1“.

Router2# zobraziť ip rozhranie

Príkaz „show access-lists“ nám zobrazí obsah vytvoreného zoznamu prístupov.

Router2# zobraziť zoznamy prístupových práv

Všimnite si, že hostiteľ 24.17.2.18 je ekvivalentný 24.17.2.18 0.0.0.0. Teraz pri pokuse o odoslanie príkazu ping na rozhranie Ethernet0 (24.17.2.2) smerovača 2 z smerovača 4

Router4# ping 24.17.2.2

Dostaneme reťazec „UUUUU“, čo znamená, že zoznam prístupových práv funguje správne.

1. Poďme vytvoriť a načítať topológiu v simulátore na obrázku 2,

Obrázok 9.3.

Priraďte adresy rozhraniam (maska ​​255.255.255.0) podľa tabuľky

	Smerovač2	Smerovač 1	Smerovač 3	Smerovač 4
Ethernet 0	160.10.1.2	160.10.1.1	175.10.1.2	180.10.1.2
Ethernet 1		175.10.1.1	180.10.1.1

Poďme nakonfigurovať smerovanie OSPF

Router1(config)# router ospf 1

Router1(config-router)#

Router1(config-router)#

Router2(config)# router ospf 1

Router2(config-router)# sieť 160.10.1.0 0.0.0.255 plocha 0

Router3(config) # router ospf 1

Router3(config-router)# sieť 175.10.1.0 0.0.0.255 plocha 0

Router3(config-router)#

Router4(config)# router ospf 1

Router4(config-router)# sieť 180.10.1.0 0.0.0.255 plocha 0

Ak chcete skontrolovať, pingnite na extrémne body

router2#ping 180.10.1.2

router4#ping 160.10.1.2

Vytvorme štandardný prístupový zoznam na filtrovanie prevádzky prichádzajúcej do rozhrania ethernet0 1. smerovača1 a povolíme prevádzku z podsiete 175.10.1.0 (smerovač3) a zablokujeme prevádzku z iných zariadení.

router1(config)# access-list 1 povolenie 175.10.1.0 0.0.0.255

Skontrolujte, či je vytvorený

router1# zobraziť zoznam prístupových práv

router1(config)# rozhranie FastEthernet1/0

router1(config-if)# ip access-group 1 in

router1# show running-config

Skontrolujte konektivitu medzi smerovačmi 3 a 2 a medzi smerovačmi 4 a 2.

router3# ping 160.10.1.2

router4# ping 160.10.1.2

Malo by existovať spojenie medzi 3 a 2 smerovačmi, ale nie medzi 4 a 2.

Zmeňte zoznam prístupových práv a povoľte prenos z podsiete 180.10.1.0 (smerovač4) a zablokujte prenos z iných zariadení.

router1(config)# žiadny prístupový zoznam 2

router1(config)# prístupový zoznam 2 povolenie 180.10.1.0 0.0.0.255

Skontrolujte, či sa zmenil

router1# zobraziť zoznam prístupových práv

Pripojte zoznam ako vstup k rozhraniu Ethernet 1

router1(config)# rozhranie FastEthernet1/0

router1(config-if)# ip access-group 1 in

Skontrolujte spojenie s príkazom

router1# show running-config

Skontrolujte konektivitu medzi smerovačmi 3 a 2 a medzi smerovačmi 4 a 2.

router3# ping 160.10.1.2

router4# ping 160.10.1.2

Malo by existovať spojenie medzi 4 a 2 smerovačmi, ale nie medzi 3 a 2.

3. Implementujte a overte konfiguráciu IP pre sieť na obrázku 1 a použite OSPF na zabezpečenie dynamického smerovania.

Pre router 1

router1(config)# router ospf 1

router1(config-router)#

router1(config-router)# sieť 1.1.1.0 0.0.0.255 oblasť 0

router1(config-router)# sieť 10.1.1.0 0.0.0.127 oblasť 0

Pre router 2

Router2(config)# router ospf 1

Router2(config-router)# sieť 10.1.1.128 0.0.0.127 oblasť 0

Router2(config-router)# sieť 15.1.1.0 0.0.0.255 oblasť 0

Router2(config-router)# sieť 2.2.2.0 0.0.0.255 oblasť 0

Skontrolujte, či sieť funguje: mali by ste pingovať akékoľvek rozhranie z akéhokoľvek zariadenia. Alebo jednoduchšie: všetky počítače A, B, C, D, PC5 by mali pingovať navzájom v pároch.

Z teoretickej časti si vytvoríme prístupový zoznam

3.1 Vytvorenie zoznamu prístupových práv na smerovači 1

router1(config)# prístupový zoznam 2 odoprieť 10.1.1.128 0.0.0.127

router1(config)# prístupový zoznam 2 povoliť hostiteľa 15.1.1.5

router1(config)# prístupový zoznam 2 odoprieť 15.1.1.0 0.0.0.255

router1(config)# prístupový zoznam 2 povolenie 0.0.0.0 255.255.255.255

a aplikujte ho na rozhranie Ethernet0 ako výstup

router1(config)# rozhranie FastEthernet0/0

router1(config-if)# IP access-group 2 out

Vytvorte snímku obrazovky s výsledkom príkazu

router1# zobraziť zoznam prístupových práv

Od do	A	B	C	E	D
A	+	+	+	-	-
B	+	+	+	+	+
C	+	+	+	+	+
E	-	+	+	+	+
D	-	+	+	+	+

stôl 1

Vidíme, že bezpečnostná politika z teoretickej časti je plne implementovaná.

3.2 Odstráňte ACL z rozhrania e0 a použite ho ako vstup do rozhrania s0

router1(config)# rozhranie fa0/0

router1(config-if)# žiadna ip prístupová skupina 2 von

router1(config-if)# int s2/0

router1(config-if)# IP prístupová skupina 2in

Pingujte vo dvojiciach A, B, C, PC5, D. Výsledok by mal byť ďalšia matica prístup

Od do	A	B	C	E	D
A	+	+	+	-	-
B	+	+	+	-	-
C	+	+	+	+	+
E	-	-	+	+	+
D	-	-	+	+	+

tabuľka 2

Vidíme, že teraz je prevádzka medzi sieťami 10.1.1.0/25 a 10.1.1.128/25 zakázaná. Rovnako nie je prevádzka medzi sieťou 10.1.1.0/25 a sieťou 15.1.1.0/24 okrem počítača C s adresou 15.1.1.5.

4. Pomocou topológie a konfigurácie bodu 1 tohto laboratória

Zrušte konfiguráciu prístupu vykonanú v kroku 1

Router2(config)# no access-list 1 deny 24.17.2.18 0.0.0.0

Router2(config)# no access-list 1 povolenie 0.0.0.0 255.255.255.255

Použite zoznam na ethernetové rozhranie smerovača 2

Router2(config)# rozhranie fa0/0

Router2(config-if)# žiadna ip prístupová skupina 1 in

Povoľme telnetting na router1 na jeho dvoch rozhraniach s heslom router1

Router1(config)# riadok vty 0 4

Router1(riadok konfigurácie)# Prihlásiť sa

Router1(riadok konfigurácie)# heslo router 1

Naše EACL budú robiť niekoľko rôznych vecí. Po prvé, povolíme telnetu iba z podsiete sériového pripojenia 24.17.2.16/240 prihlásiť sa do smerovača1

router1(conf)# access-list 101 allow tcp 24.17.2.16 0.0.0.15 any eq telnet log

Možnosť log spôsobí, že smerovač zobrazí výstup pri spustení zoznamu prístupových práv.

Povoliť na routeri1 všetku komunikáciu z podsiete Ethernet 0 24.17.2.0/240

router1(conf)# prístupový zoznam 102 povolenie IP 24.17.2.0 0.0.0.15 ľubovoľný

Skontrolujte inštaláciu zoznamov

router1#zobrazit zoznam pristupov

Teraz použite zoznamy na rozhrania pre prichádzajúce pakety

router1(conf)# rozhranie Serial2/0

router1(conf-if)# IP prístupová skupina 101 palcov

router1(conf-if)# rozhranie fa0/0

router1(conf-if)# IP prístupová skupina 102 palcov

Ak chcete skontrolovať, či sú na rozhraniach prítomné EACL, použite príkaz

router1# show running-config

router1# zobraziť ip rozhranie

Poďme skontrolovať fungovanie EACL. Pripojte sa k routeru4 a neúspešne sa pokúste pingovať rozhranie Serial2/0 na router1

router4# ping 24.17.2.17

EACL číslo 101 blokovaný ping. Ale musí povoliť telnet

router4# telnet 24.17.2.17

Úspešne. Zadajte heslo smerovač1. Výzva router4# sa zmenila na router1>. Súčasným stlačením ctrl-shift-6 a následne 6 sa vrátime na router4. Protokol nám povie o fungovaní EACL 101 na routeri1

Pozrime sa na číslo relácie a ukončíme telnetové pripojenie

router4# ukážkové relácie

router4# odpojiť 1

Pripojme sa k routeru2 a uvidíme, či môžeme pingovať rozhranie Serial0 na router4.

Router2# ping 24.17.2.18

Prečo zlyhať? Paket začína v Router2, prechádza cez Router1 (záznam nám povie o fungovaní EACL 102 na routeri1

) a prejde do smerovača 4. Na Router4 sa preformuluje a odošle späť do Router1. Keď Router4 preformátuje paket, zdrojová adresa sa stane cieľovou adresou a cieľová adresa sa stane zdrojovou adresou. Keď paket dorazí na rozhranie Serial0 na routeri1, je odmietnutý, pretože jeho zdrojová adresa sa rovná IP adrese rozhrania Serial0 na routeri4 24.17.2.17 a tu je povolený iba tcp.

Pripojme sa k routeru2 a uvidíme, či môžeme pingovať rozhranie Ethernet0 na router1.

router2# ping 24.17.2.1

Úspešne. To isté pre telnet.

router2# telnet 24.17.2.1

EACL fungujú úspešne. Protokol nám povie o fungovaní EACL 102 na routeri1.

Všimnite si, že denník tiež neustále zobrazuje aktualizácie RIP

5. Pomenované zoznamy prístupových práv

Zrušte väzbu EACL na rozhrania na routeri1

router1(conf)# rozhranie Serial0

router1(conf-if)# žiadna ip prístupová skupina 101 palcov

router1(conf-if)# rozhranie Ethernet0

router1(conf-if)# žiadna ip prístupová skupina 102 palcov

a zrušiť na routeri1 EACL

router1(conf)# žiadny prístupový zoznam 101

router1(conf)# žiadny prístupový zoznam 102

Nastavme úlohu, aby sme zakázali iba pingy z routera4 do routera2 v celej sieti. Prístupový zoznam sa môže nachádzať na smerovači1 aj smerovači2. Aj keď sa odporúča umiestniť ACL bližšie k zdroju (aby sa znížila návštevnosť), v tomto príklade umiestnime na router2 pomenovaný zoznam s názvom deny_ping.

router2(config)# ip access-list rozšírený deny_ping

router2(config-ext-nacl)# zamietnuť icmp 24.17.2.18 0.0.0.0 24.17.2.2 0.0.0.0 log

router2(config-ext-nacl)# povoliť ip akýkoľvek protokol

Prvý príkaz určuje, že vytvárame pomenovaný rozšírený zoznam prístupových práv s názvom deny_ping. Druhý príkaz označuje zákaz ICMP prevádzky so zdrojovou adresou striktne 24.17.2.18 a cieľovou adresou striktne 24.17.2.2. Tretí príkaz umožňuje inú IP prevádzku.

Skontrolujeme vytvorenie zoznamu

router2# zobraziť zoznam prístupových práv

Je to tak, v prvom riadku vidíme len inú formu reprezentácie príkazu deny icmp 24.17.2.18 0.0.0.0 24.17.2.2 0.0.0.0 log.

Aplikujme zoznam na vstupnú prevádzku rozhrania Ethernet0 na routeri2

Router2(conf)# rozhranie Ethernet0

Router2(conf-if)# ip access-group deny_ping in

Pripojte sa k smerovaču4 a odošlite príkaz ping na smerovač2

router4# ping 24.17.2.2

Neúspech. Pripojte sa k routeru1 a ping k routeru2

Router1# ping 24.17.2.2

Úspech. Pripojme sa k smerovaču2 a pozrime sa na dve samostatné správy protokolu: prvá o odmietnutí príkazu ping z smerovača4 a druhá o povolení príkazu ping z smerovača1

6. Zvážte viac ťažké otázky rozšírené prístupové zoznamy. Vytvorme topológiu

.

Obrázok 9.4.

Použite prepínače Model 1912. Router1 je Model 805. Router2 je Model 1605.

Priraďte IP adresy smerovačom

Na Router1 a Router2 konfigurujeme RIP

Smerovač (konfigurácia) # roztrhnutie smerovača

Router (config-router)# sieť 1.0.0.0

Rozhrania všetkých zariadení musia byť testované zo všetkých zariadení.

6.1. Zoznam prístupov medzi sieťami.

Vytvorme zoznam, ktorý povolí prevádzku z lokálnej siete počítačov PC4 a PC5 do lokálnej siete počítača PC1 a zakáže prevádzku z lokálnej siete počítačov PC2 a PC3 do lokálnej siete počítača PC1. Keďže prenos prichádza zo smerovača2 do smerovača1, mali by ste na sériové rozhranie2/0 smerovača1 umiestniť zoznam prístupových práv pre prichádzajúci prenos.

Router1(conf)# access-list 100 permit ip 1.1.1.0 0.0.0.127 1.1.3.0 0.0.0.255 log

Router1(conf)# prístupový zoznam 100 povolenie IP 1.1.2.0 0.0.0.255 ľubovoľný protokol

Prvý príkaz priamo rieši úlohu a druhý umožňuje vysielanie protokolov RIP. Skontrolujeme tvorbu

Router1# zobraziť zoznam prístupových práv

Aplikujme zoznam prístupových práv na rozhranie.

Router1(conf)# rozhranie Serial2/0

Router1(conf-if)# IP prístupová skupina 100 palcov

Ak chcete otestovať zoznam prístupových práv, skúste zadať príkaz ping na PC1 z PC2, PC3, PC4 a PC5.

PC # Ping 1.1.3.2

Pre PC2 a PC3 pingy nebudú fungovať. Pre PC4 a PC5 budú pingy fungovať. Zoznam prístupových práv funguje. Pozrite si protokoly na routeri1

6.2. prístupový zoznam medzi hostiteľmi.

Vytvorme prístupový zoznam na routeri2, ktorý blokuje prístup k PC5 iba z PC2. Pokusy o prístup môžete kontrolovať pomocou protokolov na routeri2.

Router2(conf)# prístupový zoznam 101 odoprieť ip 1.1.1.130 0.0.0.0 1.1.1.3 0.0.0.0 prihlásiť

Router2(conf)# prístupový zoznam 101 povoliť ip akúkoľvek ľubovoľnú

Skontrolujeme tvorbu

Router2# zobraziť zoznam prístupových práv

Použite zoznam prístupových práv na router s rýchlym rozhraním Ethernet2

Router2(conf)# rozhranie FastEthernet0/0

Router2(conf-if)# IP prístupová skupina 101 palcov

Pripojte sa k PC2 a skontrolujte, či nemôžete kopnúť PC5

PC2# Ping 1.1.1.3

Na routeri 2 sa zobrazí protokol

Pripojte sa k PC3 a uvidíte, či dokážete nakopnúť PC5.

PC3# Ping 1.1.1.3

Na routeri 2 sa zobrazí protokol

6.3. Prístupový zoznam hostiteľov siete.

Najprv odstránime predchádzajúce zoznamy prístupových práv z rozhraní Router1 a Router2.

Router1(conf)# rozhranie Serial2/0

Router1(conf-if)# žiadna ip prístupová skupina 100 palcov

Router2(conf)# rozhranie FastEthernet0/0

Router2(conf-if)# žiadna ip prístupová skupina 101 palcov

Vytvorme rozšírený zoznam prístupových práv, ktorý blokuje všetku komunikáciu do PC1 z lokálnej siete PC2 a PC3. Keďže blokujeme všetku komunikáciu, budeme používať protokol IP.

Router2(conf)#access-list 102 deny ip 1.1.1.128 0.0.0.127 1.1.3.2 0.0.0.0 log

Router2(conf)#access-list 102 povoľuje ip akúkoľvek ľubovoľnú

Skontrolujeme tvorbu

Router2# zobraziť zoznam prístupových práv

Použiť zoznam na odchádzajúce prenosy na rozhraní Serial2/0 Router2

Router2(conf)# rozhranie Serial2/0

Router2(conf-if)# IP prístupová skupina 102 von

Ak chcete skontrolovať zoznam, skúste ping na PC1 (1.1.3.2) z PC2 a PC3. Pingy nebudú fungovať. Z nejakého dôvodu simulátor nedáva protokol na konzole Router2. Ale efekt môžete vidieť takto

Po každom neúspešnom pingu uvidíte, že počet sledovaných (zhodujúcich sa) paketov sa zvyšuje.

testovacie otázky

1. Čo je ACL?

2. Aká adresa je kritériom pre povolenie/odmietnutie paketu?

3. Kde sa používajú ACL?

4. Ako nastaviť položku ACL a čo je inverzná maska?

5. Ako router spracováva položky ACL?

6. Ktorý prvok je vždy implicitný v ACL?

7. Ako možno použiť ACL na rozhranie a potom ho zrušiť?

8. Ako sa líši vstupný ACL od výstupného?

10. Aké sú tri príkazy na kontrolu obsahu ACL a väzby na rozhranie.

11. Čo filtrujú rozšírené ACL?

12. Čo dodatočná funkčnosť majú rozšírené ACL v porovnaní so štandardnými?

13. Je možné pomocou rozšírených zoznamov ACL zaviesť obmedzenia na prevádzku špecifickej služby TCP/IP?

14. Opíšte procedúru na vytvorenie pomenovaného ACL.

15. Ako môžem upraviť konkrétny riadok v numerickom ACL?

16. Ako upraviť konkrétny riadok v pomenovanom ACL?

17. Aký je rozdiel medzi formátmi príkazov na zadávanie číselných a pomenovaných prvkov ACL?

Podobné informácie.