Access List ACL

ERION MIKO 1

Zgjdhje Ushtrimit me ane te Dynamic Routing

Router 1

Router>en

Router#config t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#interface fastethernet0

Router(config-if)#ip address 200.100.100.1 255.255.255.240

Router(config-if)#^Z

%SYS-5-CONFIG_I: Configured from console by console

Router#config t


Router(config)#interface serial0


Router(config-if)#no shut

%LINK-3-UPDOWN: Interface Serial0, changed state to up

Router(config-if)#clock rate 64000



Router 2

Router>en

Router#config t


Router(config)#interface fsatethernet0



%LINK-3-UPDOWN: Interface FastEthernet0, changed state to up



Router#config t









Router#config t



%LINK-3-UPDOWN: Interface Serial0, changed state to down

%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state to down







%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state to up

Router#

Router#show ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP

i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default

U - per-user static route

Gateway of last resort is not set

200.100.100.0/24 is variably subnetted, 3 subnets

C 200.100.100.32/27 is directly connected, FastEthernet0

C 200.100.100.96/30 is directly connected, Serial1


Router#config t


Router(config)#router eigrp 20

Router(config-router)#network 200.100.100.32



Router(config-router)#^Z













D 200.100.100.0/27 [90/1628160] via 200.100.100.97, 00:00:49, Serial1

D 200.100.100.64/27 [90/1628160] via 200.100.100.102, 00:00:14, Serial0

Router 3

Router>en

Router#config t








Router#config t


















Router#config t

















D 200.100.100.32/27 [90/1628160] via 200.100.100.101, 00:00:16, Serial1

D 200.100.100.96/30 [90/1628160] via 200.100.100.101, 00:00:16, Serial1

D 200.100.100.0/27 [90/2455040] via 200.100.100.101, 00:00:16, Serial1

Host PC1

C:>ipconfig /ip 200.100.100.2 255.255.255.224

C:>ipconfig /dg 200.100.100.1

C:>ping 200.100.100.1

Pinging 200.100.100.1 with 32 bytes of data:

Reply from 200.100.100.1: bytes=32 time=60ms TTL=241





Ping statistics for 200.100.100.1: Packets: Sent = 5, Received = 5, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 50ms, Maximum = 60ms, Average = 55ms

C:>ping 200.100.100.34










C:>ping 200.100.100.66










Host PC2

C:>ipconfig /ip 200.100.100.34 255.255.255.224

C:>ipconfig /dg 200.100.100.33

C:>ping 200.100.100.33










Host PC3

C:>ipconfig /ip 200.100.100.66 255.255.255.224

C:>ipconfig /dg 200.100.100.65

C:>ping 200.100.100.65










Hyrje në Listat e Accessit

Një listë access-i është, esencialisht, një listë kushtesh që kategorizojnë paketat. Ato mund të jenë më gjithë mend të dobishme kur është e nevojshme të ushtrohet kontroll mbi trafikun e rrjetit. Një listë access-i do të ishte mjeti që do ju do të përzgjidhni për vendimmarrje në këto situata.

Një nga përdorimet më të zakonshme dhe më lehtesisht të kuptueshme të listave të access-it është filtrimi i paketave të padëshiruara gjatë implementimit të politikave të sigurisë. për shëmbull, ju mund t’i ndërtoni ato në mënyre që të marrin vendime shumë specifike mbi rregullimin e skemave të trafikut, në mënyrë që ato të lejojnë vetëm disa host të caktuar të aksesojne burimet e web-it në Internet, duke u ndaluar aksesin, në të njëjten kohe, të tjereve. më kombinimin e duhur të listave të access-it, drejtuesit e rrjetëve e armatosin veten me pushtetin për të zbatuar pothuaj cdo politike sigurie që mund të shpikin.

Listat e access-it mund të përdoren edhe në situata që nuk kanë të bëjnë patjetër me paketa bllokuese. për shëmbull, ju mund t’i përdorni ato për të kontrolluar së cilët rrjetë do të apo nuk do të reklamohen nga protokollet dinamike të routing. Menyra së si e konfiguroni listen e access-it është e njëjta. Dallimi këtu është thjesht së si e aplikoni atë-në një protokoll routing në vend të një ndërfaqeje. Kur ju aplikoni një listë access-i në këtë mënyre, kjo quhet një listë shpërndarjeje, dhe nuk ndalon reklamimet e routing, por thjesht kontrollon përmbajtjen e tyre. Ju gjithashtu mund të përdorni listat e aksesit për të kategorizuar paketat për queing apo sherbimet e llojit QoS dhe për të kontrolluar cilat lloje trafiku mund të aktivizojne një link ISDN të shtrenjte.

Të krijosh lista access-i është, realisht, dicka shumë e ngjashme më programimin e një serie pohimesh të tipit në qoftë se-atëherë-në qoftë së një kusht i caktuar përmbushet, atëherë një veprim i caktuar ndërmerret. në qoftë së kushti specifik nuk përmbushet, atëherë nuk ndodh asgjë dhe vleresohet pohimi tjetër i radhes. Pohimet e listave të access-it jane, esencialisht, filtra paketash, ndaj të cilave paketat krahasohen, kategorizohen dhe në bazë të të cilave veprohet për pasoje. Nga moment që listat janë ndërtuar, ato mund t’i aplikohen qoftë trafikut në hyrje, qoftë atij në dalje, në cdo ndërfaqe. Aplikimi i një listë access-i e bën router-in të analizoje cdo paketë që kalon nëpër atë ndërfaqe në drejtimin e specifikuar dhe të ndërmerret veprimi i duhur.

Ka pak rregulla të rëndesishme që një pakete ndjek kur është duke u krahasuar më një listë access-i:

Krahasohet gjithmone më cdo rresht të listës së access-it në rend të njëpasnjëshëm-që do të thotë, do fillojë gjithmonë më rreshtin e parë të listës së access-it, pastaj do kalojë te rreshti 2, më pas të rreshti 3, e kështu më radhe.

krahasohet me rreshtat e listës së access-it deri kur një përputhje të shfaqet. Nga momenti që paketa përputhet me kushtin që ndodhet në një rresht të listës së access-it, paketa i nënshtrohet veprimit përkatës dhe nuk ndodh më asnjë krahasim i mëtejshëm.

Ka një “mohim” të nënkuptuar në fund të cdo listë access-i-kjo do të thote që në qoftë së një pakete nuk përputhet më kushtet në asnjërin prej rreshtave të listës së access-it, atëherë paketa nuk do të merret më tej parasysh.

Secili prej këtyre rregullave ka disa nënkuptime të forta kur filtrohen paketat IP më lista access-i, kështu që kijeni parasysh që të krijosh lista access-i të efektshme më të vërtete që kerkon kohe që të praktikohesh dhe të familjarizohesh më te.

Ka dy lloje kryesore listash access-i:

Lista access-i standarde. Keto përdorin vetëm adresën IP të burimit në një pakete IP si kushti i proves. të gjitha vendimet merren duke u bazuar mbi adresën IP të burimit. Kjo do të thote që listat standarde të access-it, esencialisht, pranojne apo mohojne një komplet të tere protokollesh. Ato nuk bejne dallim midis ndonjërit prej shumë llojeve të trafikut IP, si web, Telnet, UDP, e kështu më radhë.

Lista access-i të zgjeruara. Listat e access-it të zgjeruara mund të vlerësojnë shumë nga fushat e tjera të headers të shtreses 3 dhe 4 të një pakete IP. Ato mund të vlerësojnë adresat e burimit dhe të destinacionit IP, fushën e protokollit në header-in e shtreses së rrjetit, dhe numrin e portës tek header-i shtreses së transportit. Kjo ju krijon mundesine listave të access-it të zgjeruara të marrin vendime më të detajuara përsa i përket kontrollit të trafikut.

Tani, teknikisht ka, në të vërtete, vetëm dy lloje listash të tilla, meqenëse listat e access-it emerore janë ose standarde, ose të zgjeruara dhe realisht nuk përbëjnë një lloj të ri. Unë po i dalloj ato, sepse krijohen dhe ju behet referim në mënyrë të ndryshme nga listat e access-it standarde dhe të zgjeruara, por nga ana funksionale janë e njëjta gjë.

Nga moment që ti krijon një listë access-i, nuk ka për të ndodhur asgjë deri kur ta aplikosh ate. Është e vërtete, ato ndodhen në router, por ato qëndrojne inaktive deri kur t’i thuash router-it së cfarë të bëjë më to. të përdoresh një listë access-i si filter pakete, është e nevojshme që ta aplikoni në një ndërfaqe në router në të cilën dëshironi që trafiku të filtrohet. Dhe gjithashtu duhet të specifikoni së në cilin drejtim trafiku dëshironi që lista e access-it të aplikohet. Ka një arsye të vlefshme për kete-ju mund të dëshironi që të këtë kontrolle të ndryshme në funnksionim për trafikun që le sipermarrjen tuaj të biznesit të destinuar për Internet-in, sesa për trafikun që hyn në sipermarrjen tuaj nga Internet-i. në këtë mënyrë, duke percaktuar drejtimin e trafikut, ju mundeni-dhe shpesh do ju duhet qe-te përdorni lista të ndryshme access-i për trafikun hyrës dhe dalës në një ndërfaqe të vetme:

Listat e access-it të drejtuara për në hyrje. Kur një listë access-i i aplikohet paketave në hyrje në një ndërfaqe, ato paketa përpunohen nëpërmjet listës së aksesit përpara së të drejtohen tek nderfaqja e daljes. të gjitha paketat që mohohen nuk do të drejtohen për tek dalja, sepse ato nuk merren parasysh që para së procesi i drejtimit të futet në loje.

Listat e access-it të drejtuara për në dalje. Kur një listë access-i i aplikohet paketave të drejtuara për në dalje në një ndërfaqe, ato paketa kalojne nëpërmjet ndërfaqes së daljes dhe më pas procesohen nëpërmjet listës së access-it, përpara së të vihen në radhe.

Ka disa udhëzime të pergjithshme të listave të access-it që duhen ndjekur kur krijohen dhe implementohen lista access-i në një router:

Ju mund të percaktoni vetëm një listë access-i për ndërfaqe për protokoll për drejtim. Kjo do të thote qe, kur krijohen listat e access-it IP, mund të këtë vetëm një listë access-i të drejtuar për brënda, dhe vetëm një listë access-i të drejtuar për jashte.

Organizo listat e tua të access-it në mënyrë që provat më specifike janë në krye të listës së access-it.

Sa herë që një entry e re i shtohet listës së access-it, ajo vendoset në fund të listës. Është shumë i sugjeruar përdorimi i një edituesi teksti për listat e access-it.

Nuk mund të hiqni një rresht nga lista e access-it. Nëse përpiqeni të beni kete, do të hiqni të gjithe listen. Është më mire të kopjoni listen e aksesit në një editues teksti, përpara së të përpiqeni të editoni listen. I vetmi përJashtim ndodh kur përpiqeni të përdorni listat e access-it emerore.

Me përjashtim të rastit kur lista e access-it mbaron më lejimin e cdo komande, të gjitha paketat nuk do të merren parasysh, nëse nuk përputhen më asNjërin prej testeve të listës. Cdo listë duhet të këtë të pakten një pohim lejimi ose do të mohojë hyrjen e cdo trafiku.

Krijoni lista access-i dhe pastaj aplikojini ato në një ndërfaqe. Cdo listë access-i e aplikuar në një ndërfaqe pa qene e pranishme një listë accessi nuk do filtroje trafikun.

Listat e accessit janë të dizenjuara që të filtrojne trafikun që kalon permes router-it. Ato nuk filtrojne trafikun që e ka origjinen në router.

Vendosini listat e accessit standard IP sa më afër burimit që të jetë e mundur. Meqenëse listat e accessit të zgjeruara mund të filtrojne adresa dhe protokolle shumë specifike, nuk është e deshirueshme që trafiku të kaloje përmes tërë rrjetit dhe më pas të mohohet. Duke e vendosur këtë listë sa më afër burimit të adreses që të jetë e mundur, ju mund të filtroni trafikun par atë përdori të gjithe bandwidth-in tuaj.

Listat e access-it standard

Listat IP standarde të access-it filtrojne trafikun e rrjetit duke marre në shqyrtim adresën IP të burimit në një pakete. Ju mund të krijoni një listë IP standard të access-it duke përdorur numrat e listës së access-it 1-99 ose 1300-1999 (rrezja e zgjeruar). Llojet e listave të accessit në pergjithesi dallohen duke përdorur një numer. Duke u bazuar në numrin e përdorur kur krijohet lista e accessit, routeri e kupton së cila lloj sintakse do vihet në punë ndersa lista futet në përdorim. Duke përdorur numrat 1-99 ose 1300-1999, ju i thoni routerit që ju dëshironi të krijoni një listë IP accessi standard, kështu që routeri e kupton që vetëm një sintakse që specifikon adresën IP të burimit në rreshtat e testit do vihet në punë.

Ky më poshte është një shëmbull i shumë rrezeve të numrave të listave të accessit që ju mund të përdorni për të filtruar trafikun në rrjetin tuaj (protokollet për të cilat ju mund të specifikoni lista accessi varen nga version juaj IOS)

Corp(config)#access-list ?<1-99> IP standard access list<100-199> IP extended access list<1100-1199> Extended 48-bit MAC address access list<1300-1999> IP standard access list (expanded range)<200-299> Protocol type-code access list<2000-2699> IP extended access list (expanded range)<700-799> 48-bit MAC address access listcompiled Enable IP access-list compilationdynamic-extended Extend the dynamic ACL absolute timerrate-limit Simple rate-limit specific access list

Le t’i hedhim një veshtrim sintakses së përdorur kur krijohet një listë standarde accessi

Corp(config)#access-list 10 ?deny Specify packets to rejectpermit Specify packets to forwardremark Access list entry comment

Sic permenda më pare, duke përdorur numrat e listës së accessit 1-99 ose 1300-1999, ju po i thoni routerit që ju dëshironi të krijoni një listë standarde accessi.

Pasi që keni zgjedhur numrin e listës së accessit, ju duhet të vendosni nëse doni të krijoni një shprehje pohimi ose mohimi. për këtë shëmbull, ju po krijoni një shprehje mohimi:

Corp(config)#access-list 10 deny ?Hostname or A.B.C.D Address to matchany Any source hosthost A single host address

Hapi tjetër ka nevoje për një shpjegim më të detajuar. Ka 3 alternativa të mundshme. Ju mund të përdorni parametrin any për të pohuar ose mohuar cdo host ose network, ju mund të përdorni një adrese IP për të specifikuar ose një host të vetëm ose një shumëllojshmeri prej tyre, ose mund të përdorni komanden host për të specifikuar vetëm

një host specifik. Komanda any është shumë e qarte-cdo adrese burimi i përputhet pohimit, kështu që cdo pakete e krahasuar më këtë rresht do të përputhet. Komanda host është relativisht më e thjeshtë. më poshte është një shëmbull së si të përdoret:

Corp(config)#access-list 10 deny host ?Hostname or A.B.C.D Host addressCorp(config)#access-list 10 deny host 172.16.30.2

Kjo i thote listës që të mohojë cdo pakete nga hosti 172.16.30.2. Parametri i default është host.

Me fjalë të tjera, nëse ju shkruani access-list 10 deny 172.16.30.2, routeri e merr si të mireqene që ju doni të thoni hosti 172.16.30.2.

Por ka edhe një mënyrë tjetër për të specifikuar ose një host të vecante ose një range hostesh-mund të përdorni wildcard masking. në fakt, për të specifikuar një range hostesh, ju duhet të përdorni wildcard masking tek lista e accessit.

Wildcard masking

Wildcards përdoren më listat e accessit për të specifikuar një host individual, një rrjet, ose një rreze të caktuar rrjeti ose rrjetësh. për të kuptuar një wildcard, ju duhet të kuptoni së cfarë është madhesia e bllokut; përdoret për të specifikuar një range adresash. Disa nga madhesi blloku të ndryshme janë 64, 32, 16, 8 dhe 4.

Kur ju nevojitet të specifikoni një range adresash, duhet të zgjidhni madhesine e bllokut më të madhe për nevojat tuaja. për shëmbull, nëse keni nevoje të specifikoni 34 rrjetë, ju nevojitet një madhesi blloku prej 64. Nëse dëshironi të specifikoni 18 hosts, ju nevojitet një madhesi blloku prej 32. Nëse specifikoni vetëm 2 rrjetë, atëherë një madhesi blloku prej 4 do të mjaftonte.

Wildcards përdoren më adresën e hostit ose rrjetit për t’i treguar routerit një range adresash të vlefshme për tu filtruar. për të specifikuar një host, adresa do të dukej si më poshte:

172.16.30.5 0.0.0.0

Kater zerot perfaqesojne cdo oktet të adreses. Kurdoherë që një zero është e pranishme, kjo do të thote që okteti në adrese duhet të përputhet ekzaktesisht. për të specifikuar që një oktet mund të jetë cdo vlere, vlera 255 përdoret. Si shëmbull, ja së si specifikohet një /24 subnet më një wildcard:

172.16.30.5 0.0.0.255

Kjo i thote routerit që të përputhe 3 oktetet e pare ekzaktesisht, por okteti i katert mund të marre cdo vlere.

Tani, kjo ishte pjesa e lehte. Po nëse dëshironi të specifikoni vetëm një range të vogel subnetesh? këtu futet në loje madhesia e bllokut. Duhet të specifikoni range e vlerave në një madhesi blloku. më fjalë të tjera, ju nuk mund të zgjidhni të specifikoni 20 rrjetë. Ju mundeni vetëm të specifikoni sasine ekzakte si vlera e madhesise së bllokut. për shëmbull, range do të duhet të ishte ose 16 ose 32, por jo 20.

Le të themi së dëshironi të bllokoni aksesin e një pjese të rrjetit që është në range nga 172.16.8.0 deri në 172.16.15.0. Ajo është një madhesi blloku prej 8. Numri i rrjetit tuaj do të ishte 172.16.8.0 dhe wildcard do të ishte 0.0.7.255! Cfarë është kjo? 7.255 është cfarë routeri përdor për të percaktuar madhesine e bllokut. Rrjeti dhe wildcardi i thote routerit të filloje të 172.16.8.0 dhe më pas të ngjitet lart një bllok më madhesi prej 8 adresash tek rrjeti 172.16.15.0.

Realisht, është më e lehte së sa duket. Sigurisht, ju mund të përdorni matematiken binare, por kjo s’do të ishte e nevojshme. në fakt, gjithcka që ju keni nevoje të beni është të mbani mend që wildcardi është gjithmone një numer më pak së sa madhesia e bllokut. Kështu qe, në shëmbullin tone, wildcardi do të ishte 7 meqenëse madhesia e bllokut është 8. Nëse ju përdoret një madhesi blloku prej 16, wildcardi do të ishte 15. E lehte, apo jo?

Por, sa për të qene të sigurt, le të bejme ca shëmbuj sa për ta ngulitur në koke. Shëmbulli i meposhtem i thote routerit që të përputhe 3 oktetet e pare në mënyrë ekzakte, por okteti i katërt mund të jetë cdo gjë.

Corp (config)#access-list 10 deny 172.16.10.0 0.0.0.255

Shëmbulli tjetër i thote routerit që të përputhe dy oktetet e parë dhe që dy oktetet e fundit mund të marrin cdo vlerë:

Corp(config)#access-list 10 deny 172.16.10.0

0.0.255.255

Përpiquni të kuptoni së cfarë do të thote ky rresht tjetër:

Corp(config)#access-list 10 deny 172.16.16.0 0.0.3.255

Ky konfigurim i thote routerit të filloje tek rrjeti 172.16.16.0 dhe të përdori një madhesi blloku prej 4. Range pastaj do të ishte prej172.16.16.0 deri në 172.16.19.0.

Shëmbulli i meposhtem tregon një listë accessi që fillon tek 172.16.16.0 dhe ngjitet lart një bllok më madhesi 8 deri tek 172.16.23.0:


Shëmbulli në vazhdim fillon tek rrjeti 172.16.32.0 dhe ngjitet lart një madhesi blloku prej 16 deri tek 172.16.47.0:


Shëmbulli tjetër fillon tek rrjeti 172.16.64.0 dhe ngjitet lart një madhesi blloku prej 64 deri tek 172.16.127.0:


Shëmbulli i fundit fillon tek rrjeti 192.168.160.0 dhe ngjitet lart një madhesi blloku prej 32 deri tek 192.168.191.255:


Ketu më poshte ka akoma edhe dy gjera që duhen patur parasysh kur punohet më madhesite e bllokut dhe wildcardet:

Cdo madhesi blloku duhet të filloje tek 0 ose tek një shumëfish i madhesise së bllokut. për shëmbull, ju nuk mund të thoni që dëshironi një madhesi blloku prej 8 dhe më pas të filloni tek 12. Ju duhet të përdorni 0-7, 8-15, 16-23, etj. për një madhesi blloku prej 32, range janë 0-31, 32-63, 64-95, etj.

Komanda any është e Njëjta gje si të shkruash wildcardin 0.0.0.0 255.255.255.255.

Maskimi i wildcardit është një aftesi kyc për tu zoteruar kur krijohen listat e accessit IP. Përdoret në mënyrë identike kur krijohen listat e accessit standard dhe të zgjeruara.

Shëmbull listë accessi standarde

Ne këtë seksion, ju do mesoni së si të përdorni një listë accessi standarde për të parandaluar që user të caktuar të marrin akses tek LAN i departamentit të Finances.

Tek figura 10.2, një router ka tre lidhje LAN dhe një lidhje WAN në Internet. Përdoruesit tek LAN e Shitjeve nuk duhet të kene akses tek LAN e Finances, por ata duhet ta kene të mundur të aksesojne Interneti dhe departamentin e Marketingut. LAN e Marketingut e ka të nevojshme të aksesoje LAN e Finances për sherbime aplikimi.

Tek routeri në figure, lista e meposhtme access IP standard është e konfiguruar:

Lab_A#config t

Lab_A(config)#access-list 10 deny 172.16.40.0 0.0.0.255

Lab_A(config)#access-list 10 permit any

Është shumë e rendesishme të dihet që komanda any është e Njëjta gje si të thuash sa më poshte duke përdorur maskimin e wildcard:

Lab_A(config)#access-list 10 permit 0.0.0.0 255.255.255.255

Meqenëse maska e wildcard thote që asnjë nga oktetet nuk duhen vleresuar, cdo adrese përputhet më kushtin e testit. Kështu që nga ana funksionale kjo është e Njëjta gje si të përdoresh fjalën kyce any.

Ne këtë pike, lista e accessit është e konfiguruar që të mohojë adresat burimore nga aksesi i LAN të Shitjeve për tek LAN e Finances dhe të lejoje të gjithe të tjeret. Por mbani mend që asnjë veprim nuk do të ndermerret deri kur lista e accessit të aplikohet në një ndërfaqe në një drejtim të caktuar. Por ku duhet vendosur kjo listë accessi? Nëse e vendosni si një listë accessi hyrëse në E0, mund edhe të mbyllni ndërfaqen e Ethernet-it, sepse të gjitha pajisjeve të LAN të shitjes do t’ju mohohet aksesi tek të gjithe rrjetët e

bashkenjgitura ndaj routerit. Vendi më i mire për ta aplikuar këtë listë accessi është tek nderfaqja E1 si një listë e drejtuar për në dalje:

Lab_A(config)#int el

Lab_A(config-if)#ip access-group 10 out

Kjo e ndalon plotesisht trafikun nga 172.16.40.0 që të dali nga Etherneti 1. Nuk ka asNjë efekt mbi hostet mbi LAN të Shitjeve që aksesojne LAN të Marketingut dhe Internetin, meqenëse trafiku për ato destinacione nuk kalon permes ndërfaqes E1. Cdo pakete që përpiqet të dale nga E1, do të duhet të kaloje perms listës së accessit në fillim. Nëse do kishte një listë të drejtuar për brënda të vendosur në E0, atëherë cdo pakete që përpiqet të hyje në ndërfaqen E0 do të duhej të kalonte permes listës së accessit, përpara së të orientohej për një ndërfaqe daljeje.

Le të hedhim një veshtrim tek një shëmbull tjetër i një listë accessi standard. Figura 10.3 tregon një nderrrjet dy routerash më tre lidhje LAN dhe një lidhje seriale WAN.

Ju dëshironi që të mos jua lejoni përdoruesve të Accounting që të aksesojne serverin e Burimeve Njërezore të bashkengjitur të routeri i Lab B, por edhe t’ju lejoni të gjithe përdoruesve të tjere akses tek ai LAN. Cfarë listë accessi standarde do të krijonit dhe ku do ta vendosnit?

Pergjigjja e vërtete është që ju duhet të përdorni një listë accessi të zgjeruar dhe ta vendosni sa më afër burimit të jetë e mundur, por pyetja specifikon që ju duhet të përdorni një listë accessi standarde. Listat e accessit standarde, si rregull i pergjithshëm, janë ato që vendosen më afër destinacionit-ne këtë shëmbull, Ethernet 0 i drejtuar për jashte tek routeri i Lab B. këtu më poshte është lista e accessit që duhet vendosur në routerin e Lab B:

Lab_B#config t

Lab_B(config)#access-list 10 deny 192.168.10.128 0.0.0.31

Lab_B(config)#access-list 10 permit any

Lab_B(config)#interface Ethernet 0

Lab_B(config)#ip access-group 10 out

Përpara së të kalojme tek zvogelimi i accessit Telnet në një router, le të hedhim një veshtrim mbi një shëmbull tjetër listë accessi standarde, por kjo do të kerkoje të harxhohen disa mendime mbi te. Tek figura 10.4, ndodhet një router më 4 lidhje LAN dhe një lidhje WAN të Interneti.

Ju duhet të shkruani një listë accessi që do të ndalojë aksesin nga secili prej 4 LAN të treguar në diagram tek Interneti. Secili prej LAN tregon adresën IP të një hosti të vetëm, dhe nga ajo ju duhet të percaktoni subnetin dhe të përdorni wildcards për të konfiguruar listen e accessit.

Ketu më poshte është një shëmbull së si pergjigjja juaj duhet të duket (duke filluar më rrjetin në E0 dhe duke vazhduar punën më pas deri tek E3):

Router(config)#access-list 1 deny 172.16.128.0 0.0.31.255

Router(config)#access-list 1 deny 172.16.48.0 0.0.15.255Router(config)#access-list 1 deny 172.16.192.0 0.0.63.255Router(config)#access-list 1 deny 172.16.88.0 0.0.7.255Router(config)#access-list 1 permit anyRouter(config)#interface serial 0Router(config-if)#ip access-group 1 out

Ok, cili do të ishte qellimi i të krijuarit të kesaj liste? Nëse ju e aplikoni këtë listë accessi në router, ju efektivisht do të mbyllni aksesin në router, kështu që cfarë kuptimi edhe thjesht të kesh një lidhje Interneti? Unë e shkruajta këtë ushtrim që ju të mund të praktikoni si të përdorni madhesite e bllokut më listat e accessit.

Kontrolli i aksesit VTY (Telnet)

Ju më siguri do e keni të veshtire nëse përpiqeni të parandaloni përdoruesit të telnetojne drejt një routeri të madh, sepse cdo ndërfaqe aktive në një router është shumë e lehte të aksesohet nga VTY. Ju mund të përpiqeni të krijoni një listë accessi IP të zgjeruar që e kufizon aksesin e Telnetit në cdo adrese IP në router. Por nëse ju e beni ate, juve do t’ju duhej ta aplikonit ate në drejtim hyrës në cdo ndërfaqe dhe kjo më gjithe mend që nuk do të pershkallezohej mire në një router të madh më dhjetëra, ose qindra, ndërfaqe, apo jo? Ja një zgjidhje shumë më e mire: Përdorni një listë accessi IP standarde për të kontrolluar aksesin tek vete linjat VTY.

Pse funksionon kjo gje? Sepse kur ju aplikoni një listë aksesi tek linjat VTY, ju nuk keni nevoje të specifikoni protokollin Telnet, meqenëse aksesi të VTY implikon akses terminal. Ju gjithashtu nuk keni nevoje të specifikoni një adrese destinacioni, meqenëse më gjithe mend nuk ka rendesi cilën adrese ndërfaqeje useri përdori si objektiv për sesionin e Telnetit. Ju realisht keni nevoje të kontrolloni vetëm së nga vjen useri-adresa e burimit të tyre IP.

Per të kryer këtë funksion, ndiqni keto hapa:

1. Krijoni një listë standarde accessi IP që lejon vetëm hostin ose hostet që dëshironi të mund të telnetoni drejt routerave.

2. Aplikoni listen e aksesit tek linja VTY më komanden access-class.

Ketu më poshte është një shëmbull i të lejuarit të vetëm hostit 172.16.10.3 të telnetohet në një router:

Lab_A(config)#access-list 50 permit 172.16.10.3Lab_A(config)#line vty 0 4Lab_A(config-line)#access-class 50 in

Per shkak të deny të nënkuptuar në fund të listës, lista e aksesit e parandalon cdo host që të telnetoje në router, më përJashtim të hostit 172.16.10.3, pavaresisht së cila adrese IP individuale përdoret si target.

Cisco rekomandon që ju të përdorni Secure Shell (SS), në vend të Telnet tek linjat VTY në një router.

Listat e accessit të zgjeruar

Tek shëmbulli i listës së accessit IP standard pak më pare, vereni së si juve ju duhej të bllokonit gjithe aksesin nga LAN e Shitjeve për tek departamenti i Finances. Po nëse do ju nevojiteshin Shitjet për të marre akses tek një server i caktuar i LAN së Finances, por jo tek sherbimet e tjera të rrjetit, për arse sigurie? më një listë accessi IP standarde, ju nuk mund t’i lejoni përdoruesit që të kene akses në një sherbim të caktuar të rrjetit, dhe jo në një tjetër. E thene ndryshe, kur e keni të nevojshme të merrni vendime duke u bazuar edhe tek adresa e burimit, edhe tek ajo e destinacionit, një listë accessi standarde nuk do jua bëjë të mundur ta kryeni kete, meqenëse merr vendime duke u bazuar mbi adresën e burimit.

Por një listë aksesi e zgjeruar do ju lejoje ta beni kete. Arsyeja është sepse listat e aksesit të zgjeruara ju lejojne të specifikoni adresën burimore dhe ate të destinacionit, si dhe protokollin dhe numrin e portes që identifikojne aplikimin ose protokollin e shtreses së siperme. Duke përdorur listat e accessit të zgjeruara, ju mundeni që efektivisht t’i lejoni userat të kene akses në një LAN fizik dhe t’i parandaloni ata që të aksesojne hoste të caktuar-ose edhe sherbime të caktuara në ato hoste.

Ja një shëmbull i një listë accessi të zgjeruar:

Corp(config)#access-list ?<1-99> IP standard access list<100-199> IP extended access list<1100-1199> Extended 48-bit MAC address access list<1300-1999> IP standard access list (expanded range)<200-299> Protocol type-code access list<2000-2699> IP extended access list (expanded range)<700-799> 48-bit MAC address access listcompiled Enable IP access-list compilationdynamic-extended Extend the dynamic ACL absolute timerrate-limit Simple rate-limit specific access list

Komanda e pare tregon numrat e listës së accessit të mundshëm. Ju do përdorni range e listës së accessit të zgjeruar nga 100 deri në 199. Sigurohuni që të vini re që range 2000-2699 është gjithashtu i mundshëm për listat e accessit të zgjeruara.

Ne këtë pike, ju duhet të vendosni së cfarë lloji entry të listës jeni duke bere. për këtë shëmbull, ju do zgjidhni një deny list entry.

Corp(config)#access-list 110 ?deny Specify packets to rejectdynamic Specify a DYNAMIC list of PERMITs or DENYspermit Specify packets to forwardremark Access list entry comment

Nga momeni që ju zgjidhni llojin e listës së accessit, atëherë do ju duhet të perzgjidhni një entry të fushes së protokollit.

Corp(config)#access-list 110 deny ?<0-255> An IP protocol numberahp Authentication Header Protocoleigrp Cisco's EIGRP routing protocolesp Encapsulation Security Payloadgre Cisco's GRE tunnelingicmp Internet Control Message Protocoligmp Internet Gateway Message Protocolip Any Internet Protocolipinip IP in IP tunnelingnos KA9Q NOS compatible IP over IP tunnelingospf OSPF routing protocolpcp Payload Compression Protocolpim Protocol Independent Multicasttcp Transmission Control Protocol

Nëse dëshironi të filtroni sipas protokollit të shtreses së aplikimit, duhet të zgjidhni protokollin e pershtatshëm të transportit të shtreses 4, pas pohimit permit ose deny. për shëmbull, për të filtruar Telnet ose FTP, ju zgjidhni TCP, meqenëse edhe Telneti, edhe FTP përdorin TCP në shtresen e transportit. Nëse do ju duhej të zgjidhni IP, nuk do ju lejohej të specifikoni një protokoll specifik aplikimi më vone.

Ketu, ju do zgjidhni të filtroni një protokoll shtrese aplikimi që përdor TCP duke perzgjedhur TCP si protokoll. Ju do specifikoni portin specific TCP më vone. më pas, do ju kerkohet të perzgjidhni adresën IP burimore të hostit ose rrjetit (mund të zgjidhni komanden any për të lejuar cdo adrese burimore):

Corp(config)#access-list 110 deny tcp ?A.B.C.D Source addressany Any source hosthost A single source host

Pasi që adresa burimore perzgjidhet, adresa e destinacionit zgjidhet:

Corp(config)#access-list 110 deny tcp any ?A.B.C.D Destination addressany Any destination hosteq Match only packets on a given port numbergt Match only packets with a greater port numberhost A single destination hostlt Match only packets with a lower port number

neq Match only packets not on a given port numberrange Match only packets in the range of port numbers

Tek shëmbulli i meposhtem, cdo adrese e burimit IP që ka një adrese destinacioni IP 172.16.30.2, është mohuar:

Corp(config)#access-list 110 deny tcp any host 172.16.30.2 ?ack Match on the ACK bitdscp Match packets with given dscp valueeq Match only packets on a given port numberestablished Match established connectionsfin Match on the FIN bitfragments Check non-initial fragmentsgt Match only packets with a greater port numberlog Log matches against this entrylog-input Log matches against this entry, including input interfacelt Match only packets with a lower port numberneq Match only packets not on a given port numberprecedence Match packets with given precedence valuepsh Match on the PSH bitrange Match only packets in the range of port numbersrst Match on the RST bitsyn Match on the SYN bittime-range Specify a time-rangetos Match packets with given TOS valueurg Match on the URG bit

Ju mund të shtypni Enter këtu dhe ta lini listen e accessit ashtu sic është. Por nëse e beni ate, i gjithe trafiku TCP për tek hosti 172.16.30.2 do të mohohet, pavaresisht portes së destinacionit. Mund të beheni akoma më specifik: Nga momenti që adresat e hostit janë në funksionim, thjesht specifikoni llojin e sherbimit që po mohoni.

Ekrani ndihmes i meposhtem ju tregon alternativat e mundshme. Ju mund të zgjidhni një numer porte ose të përdorni numrin e protokollit ose aplikimit:

Corp(config)#access-list 110 deny tcp any host 172.16.30.2 eq ?<0-65535> Port numberbgp Border Gateway Protocol (179)chargen Character generator (19)cmd Remote commands (rcmd, 514)daytime Daytime (13)discard Discard (9)domain Domain Name Service (53)drip Dynamic Routing Information Protocol (3949)echo Echo (7)exec Exec (rsh, 512)finger Finger (79)ftp File Transfer Protocol (21)ftp-data FTP data connections (20)gopher Gopher (70)hostname NIC hostname server (101)ident Ident Protocol (113)irc Internet Relay Chat (194)

klogin Kerberos login (543)kshell Kerberos shell (544)login Login (rlogin, 513)lpd Printer service (515)nntp Network News Transport Protocol (119)pim-auto-rp PIM Auto-RP (496)pop2 Post Office Protocol v2 (109)pop3 Post Office Protocol v3 (110)smtp Simple Mail Transport Protocol (25)sunrpc Sun Remote Procedure Call (111)syslog Syslog (514)tacacs TAC Access Control System (49)talk Talk (517)telnet Telnet (23)time Time (37)uucp Unix-to-Unix Copy Program (540)whois Nicname (43)www World Wide Web (HTTP, 80)

Ne këtë pike, le të bllokojme vetëm aksesin e Telnet (porta 23) për tek host 172.16.30.2. Nëse përdoruesit duan të FTP, gjithcka është në rregull. Kjo lejohet. Komanda log përdoret për të loguar mesazhet sa herë që përdoret lista e accessit. Kjo mund të jetë një mënyrë shumë cool për të monitoruar perpjekje aksesi jo-proceduriale. këtu më poshte shpjegohet së si behet kjo:

Corp(config)#access-list 110 deny tcp any host 172.16.30.2 eq 23 log

Duhet të kini parasysh që rreshti në vazhdim është një deny any e nënkuptuar by default. Nëse ju e aplikoni këtë listë accessi në një ndërfaqe, ju mund edhe më mire ta fikni farë ndërfaqen, meqenëse by default ka një deny all të nënkuptuar në fund të cdo listë accessi. Duhet ta vazhdoni listen e accessit më komanden e meposhtme:

Corp(config)#access-list 110 permit ip any any

Mbani mend që 0.0.0.0 255.255.255.255 është e Njëjta komande si any, kështu që komanda mund të duket si më poshte:

Corp(config)#access-list 110 permit ip 0.0.0.0 255.255.255.2550.0.0.0 255.255.255.255

Nga moment që lista e accessit është krijuar, është e nevojshme që ju ta aplikoni ate në një ndërfaqe (është e Njëta komande si lista standard IP):

Corp(config-if)#ip access-group 110 in

Ose kjo tjetra më poshte:

Corp(config-if)#ip access-group 110 out

Shembull Access List

Konfigurim Router 1

Router>en

Router#config t


Router(config)#interface fastetherenet0






Router#config t








Router#config t

















D 200.100.100.32/28 [90/1628160] via 200.100.100.50, 00:00:18, Serial0

Router#config t


Router(config)#line vty 0 4

Router(config-line)#password erion

Router(config-line)#login

Router(config-line)#^Z


Pjesa e access list

Router#config t


Router(config)#access-list 101 deny tcp 200.100.100.2 0.0.0.0 200.100.100.1 0.0.0.0 eq telnet

Router(config)#access-list 101 permit ip any any

Router(config)#^Z


Router#config t



Router(config-if)#ip access-group 101 in



Konfigurim Router 2

Router>en

Router#config t








Router#config t








Router#config t

















D 200.100.100.0/27 [90/1628160] via 200.100.100.49, 00:00:04, Serial0

Pjesa e access list

Router#config t


Router(config)#access-list 101 deny icmp 200.100.100.34 0.0.0.0 200.100.100.1 0.0.0.0 echo

Router(config)#access-list 101 permit ip any any

Router(config)#^Z


Router#config t



Router(config-if)#ip access-group 101 in



Konfigurim I host PC1

C:>ipconfig /ip 200.100.100.2 255.255.255.224

C:>ipconfig /dg 200.100.100.1

C:>ping 200.100.100.1










Konfigurim I host PC2

C:>ipconfig /ip 200.100.100.34 255.255.255.240

C:>ipconfig /dg 200.100.100.33

C:>ping 200.100.100.33










Shpjegim:

Tashmë ju duhet të dini si të aplikoni VLSM dhe të gjeni shpërndarjen e IP adresave. Sic e shikoni, ato janë implementuar në ndërfaqet e routerave dhe hosteve. Mëpas është bërë lidhja llogjike ndërmjet rrjetave nëpërmjet konfigurimit të protokolleve të routimit dinamik.

Access listat e implemnetuara janë extended, dallojini nga numri. Me anë të parametrit deny, ndalojmë paketat e specifikuara dhe permit lejojmë paketat. Mëpas specifikojmë protokollin që përmbajnë paketat. Mëpas specifikojmë adresën burim dhe adresën destinacion. Shprehjet 0.0.0.0 janë ëildcard, bitet e të cilave në rast se konvertohen në system binary, në rast se janë 0

specifikojnë që bitet e adresave burim dhe destinacion të pranohen. Bitet e tjera që janë 1 nuk pranohen. Në fund specifkojmë llojin e paketës apo aplikimit të cilit I përket, sin ë rastin e telnet.

Si në rastin e ICMP echo dhe në rastine telnet, vini re me kujdes adresat burim, kush dërgon paketën, dhe adresën destinacion, kush merr paketën.

Shprehja access-list 101 permit ip any any, lejon gjithe paketat e tjera të qarkullojnë.

Listat e aksesit implementohen inbound dhe outbound. Me komandën ip access-group 101 in ose out përcaktojmë nëse lista e aksesit duhet aplikuar para ose mbas procesit të routimit. In në rast se paketa merret në ndërfaqe, out kur paketa ka kaluar procesin e IP routing.

Ushtrime

Në secilën nga ushtrimet e mëposhtme duhet të zgjidhni një IP adresë e klasës C dhe bëni subnetting para konfigurimit.

1. Një rrjetë është e ndërtuar në këtë mënyrë:

Është e përbërë nga 2 router të lidhuara nëpërmjet portave serial. Ne një nga portat FastEthernet të secilit router është i lidhur një sëitch. Në secilin sëitch kemi të paktën 2 VLAN dhe në secilin VLAN të paktën një host.

Dizenjoheni dhe konfigurojeni këtë rrjetë me protokollin EIGRP.

Implementoni access list në mënyrë që 1 host të mos ketë mundësi të bëjë ping më një host në një rrjet tjetër.

Implementoni access list në mënyrë që 1 host të mos ketë mundësi të marrë paketa echo-reply më një host në një rrjet tjetër.

Implementoni access list në mënyrë që 1 host të mos ketë mundësi të bëjë telnet router.


Është e përbërë nga 3 router të lidhur njëri me tjetrin duke formuar një trekëndësh. Ne një nga portat FastEthernet të secilit router është i lidhur një sëitch. Në secilin sëitch kemi të paktën 2 VLAN dhe në secilin VLAN të paktën një host.






Është i përbërë nga 4 router të lidhur njëri me tjetrin duke formuar një katror. Ne një nga portat FastEthernet të secilit router është i lidhur një sëitch. Në secilin sëitch kemi të paktën 2 VLAN dhe në secilin VLAN të paktën një host.





Documents

Access List ACL