Laboratoriya ishi № 8
CISCO PACKET TRACERDA PORT XAVFSIZLIGI. CISCO 
PACKET TRACERDA ROUTERNI SOZLASH VA ACL 
STANDARTI BILAN ISHLASH. 
Ishdan maqsad: ACLlar bilan port xavfsizligini ta’minlash. 
ACL (access control list) - belgilangan mezonlar bo‘yicha butun 
trafik oqimining bir qismini tanlash mexanizmi. Masalan, marshrutizator 
orqali juda ko‘p paketlar o‘tadi va bu ACL to‘plamdan faqat 
192.168.1.0/24 quyi tarmog‘idan kelgan paketlarni tanlaydi: 
access-list 1 permit 192.168.1.0 
Ushbu trafik bilan keyin nima qilish kerakligi hali noma’lum. 
Masalan, ACL ostidagi trafik VPN tunneliga o‘ralishi yoki manzil 
tarjimasiga (NAT) duchor bo‘lishi mumkin. CCNA kursida ACL lardan 
foydalanishning ikkita usuli muhokama qilinadi: asosiysi - trafikni 
filtrlash, ikkinchisi - NAT ni sozlashda ACL dan foydalanish. 
Quyidagilar muhim: ACL larni qayerda va qanday maqsadlarda 
ishlatishimiz muhim emas, ACL yozish qoidalari bundan o‘zgarmaydi. 
Bundan tashqari, agar biz hozirgina ACL yaratgan bo‘lsak, u hali hech 
narsaga 
ta’sir 
qilmaydi. 
ACL 
konfiguratsiyadagi 
bir 
nechta 
ishlamaydigan qatorlar, biz uni, masalan, trafikni filtrlash uchun 
interfeysga qo‘llagunimizcha. 
 ACL turlari 
ACL ning ikki turi mavjud: standart va kengaytirilgan. Standartlar 
trafikni faqat bitta mezon bo‘yicha filtrlash imkonini beradi: 
jo‘natuvchining manzili; CCNA-da faqat jo‘natuvchining IP-manzili 
maxsus ko‘rib chiqiladi. Siz, masalan, bizning tarmog‘imizdan chiqishda 
quyidagi ACLni qo‘yishingiz mumkin: 
access-list 1 permit host 192.168.10.50 
access-list 1 permit host 192.168.10.53 
access-list 1 permit host 192.168.10.60 
Ushbu ACL Internetga faqat unda ko‘rsatilgan uchta IP-manzildan 
kirish imkonini beradi (bunday vazifa uchun, siz ko‘rib turganingizdek, 
standart ACL biz uchun etarli edi). 

Kengaytirilgan ACL sizga ko‘p sonli parametrlar bo‘yicha trafikni 
filtrlash imkonini beradi: 
1. Yuboruvchining manzili 
2. Qabul qiluvchining manzili 
3. TCP/UDP jo‘natuvchi port 
4. TCP/UDP manzil porti 
5. IP-ga o‘ralgan protokol (faqat tcp, faqat udp, faqat icmp, faqat 
gre va boshqalarni filtrlang) 
6. Ushbu protokol uchun trafik turi (masalan, icmp filtri uchun 
faqat icmp-reply). 
7. O‘rnatilgan TCP sessiyasidagi TCP trafigini faqat ulanish 
o‘rnatadigan TCP segmentlaridan ajrating. Bu haqda ko‘proq 
ma’lumotni "ACLda nima o‘rnatiladi" maqolasida o‘qishingiz mumkin. 
8. va boshqalar. 
Kengaytirilgan ACL imkoniyatlari standartga qaraganda boyroqdir, 
qo‘shimcha ravishda ularni qo‘shimcha texnologiyalar yordamida 
kengaytirish mumkin: 

Dinamik ACL - ACL, unda ba’zi qatorlar hozircha ishlamaydi, 
lekin ma’mur telnet orqali routerga ulanganda, bu liniyalar 
yoqiladi, ya’ni administrator disk raskadrovka yoki kirish uchun 
o‘zi uchun xavfsizlik teshigi qoldirishi mumkin. tarmoq. 

Refleksiv ACLlar - aks ettirilgan kirishni boshqarish ro‘yxatlari, 
bizning tarmog‘imizdan tashqariga kim kirganligini eslab qolish 
imkonini beradi (qaysi manzillardan, qaysi portlardan, qaysi 
manzillarga, qaysi portlarga) va avtomatik ravishda teskari trafikni 
ta’minlaydigan ko‘zgu ACL ni yaratadi. tashqaridan ichkariga 
faqat ichkaridan ushbu resursga qo‘ng‘iroq bo‘lsa. Bu haqda 
ko‘proq ma’lumotni "Refleksiv ACL - sozlash va aks ettirilgan 
kirishni 
boshqarish 
ro‘yxatlari 
qanday 
ishlashiga 
misol" 
maqolasida o‘qishingiz mumkin. 
• Vaqtga asoslangan ACLlar, nomidan ko‘rinib turibdiki, ma’lum 
chiziqlar faqat ma’lum vaqtlarda ishlaydigan ACLlardir. Misol uchun, 
bunday ACLlar yordamida ofisning faqat ish vaqtida Internetga kirishini 
sozlash oson. 
Barcha ACL (standart va kengaytirilgan) turli yo‘llar bilan belgilanishi 
mumkin: nomlangan va raqamlangan. Birinchisi ma’qul, chunki u 
ACLni keyinroq tahrirlash imkonini beradi, agar raqamlangan usuldan 

foydalanilganda, ACL faqat butunlay o‘chirilishi va qayta yaratilishi 
yoki keyingi qatorni oxiriga qo‘shishi mumkin.