В ближайшее полвека стоимость передачи информации не будет зависеть от расстояний
жүктеу/скачать 4.95 Mb.
|
| Мысал. Тек 80 және 443 порттарындағы WWW серверіне 10.0.0.0/24 желі трафигін және басқа желілерге толық қатынауға рұқсат етіңіз.
Бұл тапсырманы орындау үшін кеңейтілген енгізу тізімін құру қажет. R(config)# access-list 101 permit tcp 10.0.0.0 0.0.0.255 host 192.168.0.1 eq 80 R(config)# access-list 101 permit tcp 10.0.0.0 0.0.0.255 host 192.168.0.1 eq 443 R(config)# access-list 101 deny ip 10.0.0.0 0.0.0.255 host 192.168.0.1 R(config)# access-list 101 permit ip 10.0.0.0 0.0.0.255 any R(config)#interface fastEthernet 0/0 R(config-if)#ip access-group 101 in Аталған ACL Кіру тізімдерін нөмірлеуге ғана емес, сонымен қатар атауға да болады. Мүмкін бұл әдіс сізге ыңғайлы болып көрінуі мүмкін. Бұл командалар ғаламдық конфигурация контекстінде орындалады және синтаксисі келесі түрде болады: R(config)#ip access-list extended INT_IN Router(config-ext-nacl)#permit icmp 192.168.0.0 0.0.0.255 host 10.0.0.100 echo ( желіде 192.168.0.0/24 желі пингилерін кеңейту ) R(config)#int fa0/0 R(config-if)#ip access-group INT_IN in R(config)#ip access-list extended INT_OUT R(config-ext-nacl)#deny icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo R(config-ext-nacl)#exit R(config)#int fa0/1 R(config-if)#ip access-group INT_OUT in Енгізу тізімі оны енгізгеннен кейін бірден жұмыс жасай бастайды. Оны қолданудың дұрыстығын тексеру үшін интерфейстің екінші жағында орналасқан хост байланыстың үзіліссіз тестілеуін жүргізу үшін ping командасын пайдалану қолайлы. Өзгерістерді «write memory» және «write network» командалардың көмегімен сақтауды ұсынамыз (егер TFTP серверінде конфигурация параметрлерін көшірсеңіз). Арнайы интерфейстерге қандай қатынасу топтары тағайындалғанын көру үшін show config командасын пайдалануға болады. Соңында ол кіру тізіміндегі барлық жазбаларды көрсетеді. Бұл ақпаратты алудың неғұрлым ыңғайлы тәсілі «show access list» командасын қолдану. Егер кіру тізімінің нөмірін дәлел ретінде орнатсақ, тек сәйкес тізім көрсетіледі. (Мұны кез келген нөмірді жаңа тізімге тағайындаған сайын жасаған дұрыс, бұл нөмір әлі пайдаланылмағанына көз жеткізу керек.) Бұл қарастырып отырған команда енгізу тізіміндегі әр жазба үшін сәйкестіктер туралы статистика береді. Статистикалық есептегіштерді тазарту үшін «clear access-list counters» командасы қолданылады, тізім нөмірі дәлел ретінде де қолданылады. Жоғарыда айтылғандай, жай кіріп, енгізу тізіміндегі жазбаны өзгерте болмайды, өйткені бұл жазбалар маршрутизаторға алғаш енгізілген ретпен өңделеді. Егер маршрутизаторға жаңа конфигурацияны жүктеу үшін TFTP протоколын қолдансақ, TFTP хостындағы конфигурация файлын өңдеп, содан кейін түзетілген нұсқасын жүктей аласыз. Бұл тәсілдің кемшілігі – жаңа конфигурация файлын жүктеу уақытын маршрутизатор қайта іске қосылған сәттен бастап үйлестіру қажетті. Тізімдерге өзгертулер енгізудің тағы бір тәсілі – тізімді мәтіндік редакторға көшіру және сол жерде өңдеу. Маршрутизаторға тізімнің жаңа нұсқасын жазбас бұрын, алдымен ескі нұсқадан арылу керек, әйтпесе жаңасы ескісіне қосылады. Cisco фирмасының маршрутизаторындағы конфигурация параметрлері бар жазбаны жою үшін оған «no» сөзін көбірек енгізу арқылы қайтадан енгізу керек. Барлық енгізу тізімін жою үшін «no» сөзін және оның бір жазбасын енгізу жеткілікті. Бұл жағдайда маңызды кемшілік – біраз уақытқа дейін сіз жұмыс тізіміне енбей қалуыңыз мүмкін. Егер сіз қателік жасасаңыз немесе хостқа немесе қызметке кіруге кездейсоқ тыйым салсаңыз, қате не екенін білмейінше тізімді өшіруге тура келеді. Қатынау тізіміне өзгертулер енгізудің ең жақсы әдісі – бұл мәтіндік редактордағы ескі тізімді редакциялау және оны маршрутизатор интерфейсіне қоспас бұрын оның атын өзгерту болып табылады. Сіздің әрекеттеріңіздің реті келесідей болады: Пайдаланылған қатынау тізімін «show config» командасын пайдаланып көрсетіңіз және оны мәтіндік редакторға көшіріңіз. Кіру тізімінің нөмірін өзгертіңіз және тізімді өңдеңіз. «Конфигурация» режиміне кіріп, маршрутизаторға жаңа тізімді жазыңыз. Сіз тізімді өзгерткіңіз келетін интерфейсті анықтаңыз, содан кейін «ip access-group xxx in/out» командаларын қолданып жаңа тізімді байланыстырыңыз (ескі тізімді өшірудің қажеті жоқ, себебі бұл жаңа іске қосылған кезде автоматты түрде пайда болады; әр интерфейсте тек бір енгізу тізімі болуы мүмкін). Егер сіз жаңа тізімге қатысты мәселелерге тап болсаңыз, xxx ip access-group xxx in / out командаларын және оның нөмірін пайдаланып, ескі тізімге өтуіңізге болады. Адамдар жиі бағыттармен шатасады. Мысалы, маршрутизаторға қосылған желі бар және міндеті – осы желіге трафикті енгізуге тыйым салу. Сонымен, бұл жағдайда кіріс трафикгі out тағы ACL қолдану арқылы сүзіледі, яғни шығу. Бұл қарапайым, сондықтан шатастырмау үшін сіз өзіңізді маршрутизатордың орнында елестетуіңіз керек. Егер трафик желіге кірсе, ол маршрутизатордан шығады және роутердің көзқарасы бойынша мұндай трафик шығатыны түсінікті. Жалпы алғанда, бір интерфейске бірнеше ACL-ні енгізуге болады, бірақ олардың бағыты немесе протоколы өзгеше болып келеді (AppleTalk ACL IPX ACL бар). ACL қайда қолданған дұрыс? Сұрақ, шын мәнінде, маңызды емес және тиісті тәжірибесі жоқ студенттер қате жауап береді. Мысалды қарастырыңыз: топологияны ескере отырып, компьютерге ноутбук желісіне кезекпен екі жолмен кіруге тыйым салу керек (алдымен стандартты, содан кейін кеңейтілген ACL қолдану). Бұл туралы біраз ойланыңыз. Ақыл-ой мен cisco ұсынысы бізді келесі ережеге итермелейді: «Сіз стандартты ACL-ті трафик алушыға мүмкіндігінше жақын орналастыруыңыз керек». Шынында, стандартты ACL көмегімен біз жіберушінің мекен-жайын ғана көре аламыз және біз бұл трафиктің қайда кететінін білмейміз. Сондықтан, егер біз компьютердің IP-мекен-жайына кіруге тыйым салатын тізімді орналастырсақ, онда тек қана ноутбуктің желісіне ғана емес, барлық компьютерлерге, яғни барлық желілерге трафикті тыйым салуға немесе рұқсат етуге болады. Сондықтан мұндай ACL трафик алушыға мүмкіндігінше жақын қою керек. Егер біз кеңейтілген ACL-ны қолданғымыз келсе, онда біз оны кез-келген жерге қоя аламыз, бірақ оны трафик жіберушіге мүмкіндігінше жақын қою орынды. Осылайша, біздің өмірімізді жеңілдететін кішкентай ереже бар: «стандартты ACL трафик қабылдағышқа мүмкіндігінше жақын, ал кеңейтілген ACL трафик көзіне жақын орналасады». Алдымен осы ереже бойынша орынды таңдаған дұрыс, содан кейін трафик қайдан келетінін және ACL орналастыруды қалай жақсартқаныңыз туралы ойлаңыз. Есіңізде болсын, барлық ену тізімдерінің соңында deny any командасы болады, яғни егер сіз кіру тізімін параметрлерсіз жасап, оны интерфейске қолдансаңыз, онда барлық трафик оқшауланады. Енгізу тізіміндегі ережелер жоғарыдан төменге, бірінші сәйкестікке дейін тексеріледі, егер желіге арналған кеңейтілген директиваны жазса, онда кейін тізімді тексеру кезінде желідегі түйін рұқсат етілген директиваға өтеді, ал тыйым салушы тексерілмейді. жүктеу/скачать 4.95 Mb. Достарыңызбен бөлісу:
|