14-Mavzu: Kirish ro‘yxatlarini tayinlash. Kirish
Download 91.35 Kb.
|
14mavzu
|
Nazariya
ACL funktsionalligi trafikni tasniflashdan iborat, avval uni tekshirishingiz kerak, so'ngra ACL qayerda qo'llanilishiga qarab u bilan biror narsa qilishingiz kerak. ACL hamma joyda qo'llaniladi, masalan: Interfeysda: ommaviy filtrlash Telnet liniyasida: routerga kirish cheklovlari VPN: qanday trafikni shifrlash kerak QoS: qaysi trafikni birinchi o'ringa qo'yish kerak NAT: qaysi manzillarni uzatish kerak Ushbu tarkibiy qismlarning barchasi uchun ACL - ni qo'llash uchun siz ularning qanday ishlashini tushunishingiz kerak. Va biz birinchi navbatda ommaviy filtrlash bilan shug'ullanamiz. Ommaviy filtrlashga kelsak, ACLLAR interfeyslarga joylashtiriladi, ular mustaqil ravishda yaratiladi va shundan keyingina ular interfeysga vidalanadi. Uni interfeysga burab qo'yganingizdan so'ng, yo'riqnoma trafikni ko'rishni boshlaydi. Router trafikni kiruvchi va chiquvchi deb biladi. Routerga kiradigan trafik kiruvchi deb nomlanadi, undan chiqadigan trafik chiqadi. Shunga ko'ra, ACLLAR kiruvchi yoki chiquvchi yo'nalishda joylashtiriladi. Shaxsiy tarmog'ingizdan paket fa0 / 1 yo'riqnoma interfeysiga keladi, yo'riqnoma interfeysda ACL mavjudligini tekshiradi yoki yo'q, agar mavjud bo'lsa, u holda qayta ishlash kirish ro'yxati qoidalariga muvofiq qat'iy ravishda iboralar yozilgan tartibda amalga oshiriladi, agar kirish ro'yxati paketdan o'tishga imkon bersa, u holda yo'riqnoma paketni provayderga yuboradi fa0/0 interfeysi orqali, agar kirish ro'yxati paketdan o'tishga ruxsat bermasa, paket yo'q qilinadi. Agar kirish ro'yxati bo'lmasa, paket hech qanday cheklovlarsiz uchadi. Paketni provayderga yuborishdan oldin, yo'riqnoma fa0/0 interfeysini chiquvchi ACL uchun tekshiradi. Gap shundaki, ACL interfeysga kiruvchi yoki chiquvchi sifatida biriktirilishi mumkin. Masalan, bizda internetdagi barcha tugunlarni tarmog'imizga paketlarni yuborishni taqiqlash qoidasi bo'lgan ACL mavjud. Xo'sh, ushbu ACL-ni qaysi interfeysga ulash kerak? Agar biz acl-ni fa0/1 interfeysiga chiquvchi sifatida ulasak, bu mutlaqo to'g'ri bo'lmaydi, garchi ACL ishlaydi. Routerga shaxsiy tarmoqdagi ba'zi tugunlar uchun echo so'rovi keladi, u fa0/0 interfeysida ACL mavjudligini tekshiradi, u yo'q, keyin fa0/1 interfeysini tekshiradi, ushbu interfeysda ACL mavjud, u chiquvchi sifatida sozlangan, paket tarmoqqa kirmaydi, lekin yo'riqnoma tomonidan yo'q qilinadi. Ammo agar biz acl-ni fa0/0 interfeysiga kiruvchi sifatida ulasak, u holda paket yo'riqchiga kelganida darhol yo'q qilinadi. Oxirgi echim to'g'ri, chunki yo'riqnoma hisoblash resurslarini kamroq yuklaydi. Kengaytirilgan ACL-lar manbaga iloji boricha yaqinroq joylashtirilishi kerak, standartlari esa qabul qiluvchiga iloji boricha yaqinroq bo'lishi kerak. Bu butun tarmoq bo'ylab paketlarni behuda sarflamaslik uchun kerak. ACL o'zi permit (ruxsat berish) yoki deny (taqiqlash) deb yozilgan matnli iboralar to'plamidir va ishlov berish iboralar berilgan tartibda qat'iy amalga oshiriladi. Shunga ko'ra, paket interfeysga kirganda, u birinchi shart uchun tekshiriladi, agar birinchi shart paketga to'g'ri kelsa, uni keyingi qayta ishlash to'xtatiladi. Paket davom etadi yoki yo'q qilinadi. Yana bir bor, agar paket shartga to'g'ri kelsa, u qayta ishlanmaydi. Agar birinchi shart mos kelmasa, ikkinchi shart qayta ishlanadi, agar u mos kelsa, qayta ishlash to'xtaydi, agar bo'lmasa, uchinchi shart qayta ishlanadi va hokazo barcha shartlar tekshirilgunga qadar, agar shartlarning hech biri mos kelmasa, paket shunchaki yo'q qilinadi. Esingizda bo'lsin, ro'yxatning har bir uchida yashirin deny any (barcha trafikni taqiqlash) mavjud. Men ta'kidlagan ushbu qoidalarga juda ehtiyot bo'ling, chunki konfiguratsiya xatolari juda keng tarqalgan. ACL ikki turga bo'linadi: Standart (standart): faqat manba manzillarini tekshirishi mumkin Kengaytirilgan (Kengaytirilgan): ip-da, boshqa protokol turi va TCP/UDP portlari bo'lsa, manba manzillarini, shuningdek qabul qiluvchilarning manzillarini tekshirishi mumkin Kirish ro'yxatlari raqamlar yoki belgilar nomlari bilan belgilanadi. ACL - lar turli xil tarmoq protokollari uchun ham qo'llaniladi. Biz o'z navbatida IP bilan ishlaymiz. Ular quyidagicha belgilanadi, raqamlangan kirish ro'yxatlari: Standart: 1 dan 99 gacha Kengaytirilgan: 100 dan 199 gacha Belgilar ACL ham standart va kengaytirilgan bo'linadi. Kengaytirilgan eslatib o'taman, ular standartlardan ko'ra ko'proq narsani tekshirishlari mumkin, ammo ular sekinroq ishlaydi, chunki biz faqat manba Manzili maydoniga (jo'natuvchining Manzili) qaraydigan standartlardan farqli o'laroq, paket ichiga qarashimiz kerak bo'ladi. ACL-ni yaratishda har bir kirish ro'yxati yozuvi seriya raqami bilan belgilanadi, sukut bo'yicha o'nta (10, 20, 30 va boshqalar). Buning yordamida siz ma'lum bir yozuvni o'chirib tashlashingiz va uning o'rniga boshqasini kiritishingiz mumkin, ammo bu xususiyat Cisco IOS 12.3-da paydo bo'ldi, 12.3-ga qadar ACL-ni o'chirib, keyin butunlay qayta yaratishingiz kerak edi. Siz har bir interfeysga, protokolga, yo'nalishga 1 dan ortiq kirish ro'yxatini joylashtirolmaysiz. Men tushuntiraman: agar bizda yo'riqnoma bo'lsa va u interfeysga ega bo'lsa, biz IP protokoli uchun kirish yo'nalishi bo'yicha faqat bitta kirish ro'yxatini, masalan, 10 raqami ostida joylashtirishimiz mumkin. Routerlarning o'ziga tegishli yana bir qoida, ACL yo'riqchining o'zi tomonidan ishlab chiqarilgan trafikka ta'sir qilmaydi. ACL-dagi manzillarni filtrlash uchun WildCard niqobidan foydalaniladi. Bu teskari niqob. Biz shablon ifodasini olamiz: 255.255.255.255 va shablondan oddiy niqobni olib tashlaymiz. 255.255.255.255 - 255.255.255.0, biz 0.0.0.255 niqobini olamiz, bu oddiy niqob 255.255.255.0, faqat 0.0.0.255 WildCard niqobidir. Savollar
2.Kirish ro’yxatlarini taynlash. 3.ACL nima. 4.IP protokklar haqida tushuncha ayting. 5.ACL nechta turi bor? Adabiyotlar. 1.Meyson, Endryu G. (2002). Cisco Secure virtual xususiy tarmog'i. Cisco Press. p.7. 2. "VPN (virtual xususiy tarmoq) nima va u qanday ishlaydi?". Qidiruv tarmoqlari. Olingan 16 oktyabr 2020. 3. "Virtual xususiy tarmoq: umumiy nuqtai". Microsoft Technet. 4 sentyabr 2001 yil. 4."VPNlarning har xil turlari va ularni qachon ishlatish kerak (2020 yil yangilangan)". vpnMentor. Olingan 16 oktyabr 2020. Download 91.35 Kb. Do'stlaringiz bilan baham: 
|