Стандартты ACL 2 страница

Әлемге провайдер АБВ компания жүйесін 207.21.54.0/23 түрінде ұсынады.

CIDR провайдерларға үзіліссіз IP аумақтарын тиімді және біріктіруге мүмкінідк береді.

Ауыспалы маска ұзындығы (Variable-LengthSubnetMask (VLSM)) ұйымға бір немесе одан да көп маскілерді бәр және басқа аумақтарда да қолдануға мүмкіндік бере алады. VLSM – ді жиі «подсети на подсети» деп те атайды.

Бірінші үш биті хостты адрсті С классынан алынған 207.21.24.0 ішкі желіні қарастырайық.

Біз сегіз ішкі желі алдық, олардың әрбірі 30 ғана хосттан тұра алады.

Әрбір тізбектей интерфейс арқылы жүргізілген байланыс өзіне екі адрес және жеке ішкі желі қажет етеді. Кез-келген /27 ішкі желі қолдану адрестің жоғалуына әкеп соғады. Екі адрестен құралған ішкі желі құру үшін ең тиімді болып /30 битті маска болып табылады. Бұл тізбектей байланыс үшін қажет. 30 битті маскіні қолданып, 207.21.24.192/27 ішкі желіні сегіз ішкі желіге бөлейік.

Сонда қалған жеті ішкі желіге /27 хостарды жеті локалды желіге адресстеуге болады. Бұл локалды желілерді біздің сегіз желіден алынған сегіз тізбектей байланыс көмегімен глоболды желіге қосуға болады.

VLSM – да маршрутизация болу үшін маршрутизаторлар бір-бірімен подсеттағы маскілер жайлы ақпарат алмасып тұруы қажет. Маршруттардың бірігуі болмаса Интернет 90- жылдың аяғында дамуын тоқтатар еді. Келесі сурет бірігудің маршрутизаторларға жүктемені қалай азайтатынын көрсетеді.

1-сурет.

Бұл күрделі иерархиялы желі әртүрлі нүктелерде бірігіп, нәтижесінде желі 192.168.48.0/20 түрінде жазылады. Маршруттардың бірігуінде адрестардың үйлесіміне аса көңіл бөлу керек: біріккен адрестерде бірдей префикстер болуы қажет.

Ажыратылған ішкі желілер

Ажыратылған ішкі желілер бұл – бір басты желі арқылы басқа диапазондағы адресттердің бөлінуін қадағалайтын желі. 1нұсқалы RIP және IGRP классты протолколды маршрутизацияларында маршрутизаторлар ішкі желі маскаларымен алмасу жасай алмағандықтан, олар ажыратылған ішкі желіні қолданбайды. 1 суретте А және В сайттары 1 нұсқалы RIP қолданса, онда А сайты В сайтынан 207.21.24.32/27 желісінен емес, 207.21.24.0/24 желіден маршруттардың жаңару ақпараттарын алып отырады.

RIPv2 және EIGRP протолколдары үнсіз келісім бойынша класстар шекарасында адрестарды біріктіреді. Әдетте бұл біріктіру тиімді. Алайда ішкі желілердің ажыратылуы дұрыс емес. Классты автоматты түрде біріктіруді no auto- summary командасымен тоқтатуға болады.

Практикалық бөлім

VLSM – ді конфигурациялайық және 1 және 2 нұсқалы RIP маршрутизацияларында сынақтан өткізейік.

С классты 192.168.1.0/24 желісін қарастырайық. Екі локалді желі үшін минимум 25 адресті белгілеу қажет және болашақ даму үшін максималды адрестерді резервтеу қажет.

25 хостты қолдану үшін әр әшкә желіге сегіз битті хостты адрес бөлігінде минимум бес бит болуы қажет. Бес бит максималды мүмкін 30 хост адрестерін береді (25 = 32 - 2). Егер бес бит хосттар үшін қолданылуы керек болса, онда қалған соңғы октеттегі үш бит 24 битті С классындағы маскіге қосылуы мүмкін. Сәйкесінше, 27 битті маска келесі 8 ішкі желі құру үшін қолдануға болады:

Келесі адресті аумақты максимализациялау үшін 192.168.1.0/27 подсеті қайтадан 30 биттті маскіні қолданып 8 ішікі желіге бөлінеді:

Бұл ішкі желі тізбектей нүкте - нүкте (точка - точка) байланысында қолданылуы мүмкін және олар әрбір ішкі желі екі ғана адрестен құралғандықтан, адрестердің жойылуы минимумға жетеді.

3-суретте бейнеленген желіні құрып, дұрыстап көрелік. Vista маршрутизаторы үшін 2501 моделін, ал қалған екі модель үшін 805 моделін алайық. 2950 коммутаторын қолданамыз.

1. Интерфейсті көтеріп, желіні show cdp neighbors командасымен тексеріңіз.

2. Суретке сәйкес адрестерді орнатыңыз. Белгіленуді show ip interface brief командасыментексеріңіз.

3. HostA компьютері үшін үнсіз келісім бойынша маршрутты бекіту бірегей емес: SanJose1 маршрутизаторы үшін Ethernet интерфейсіндегі 192.168.1.33 адрісіне, немесе SanJose2 маршрутизаторы үшін Ethernet интерфейсіндегі 192.168.1.34 адресіне жіберу орыдалады.

Еркін түрін таңдаңыз, мысалы

hostA# ipconfig /dg 192.168.1.33

4. Барлық үш маршрутизаторда RIP протоколы бойынша адрестерді автобіріктіруді өшіріп, маршрутизацияны баптау.

Router (config)# router rip

Router (config-router)# version 2

Router (config-router)# no auto-summary

Router (config-router)# network 192.168.1.0

5. HostA орналасқан жерде, Vista маршрутизаторы үшін 192.168.1.32/27 локалді желісіне маршрут барына көз жеткізуіміз қажет.

Vista# show ip route

192.168.1.32/27 желісіне кестеде бір маршрут бағытталған, 192.168.1.2 адрісіне Serial0 арқылы, алайда 192.168.1.32/27 желісіне тағы бір маршрут 192.168.1.6 адрісімен Serial1 интерфейсі арқылы бағытталған. Шынайы маршрутизаторда біз бұл екі маршрутты көре алатын едік. Симулятор Serial0 және Serial1 интерфейстармен маршрутты ақпарат алмасқанымен, ол бір ғана маршрутты көрсетілімге шығарады:

Vista# debug ip rip

Vista# no debug ip rip

Скриншоттар жасаңыз.

6. SanJose1 маршрутизаторынан hostB компьютері орналасқан 192.168.1.64/27 локалді желісіне маршрут бар екенін көруіміз қажет.

Скриншот жасаңыз.

7. SanJose2 маршрутизаторынан hostB компьютері орналасқан 192.168.1.64/27 локалді желісіне маршрут бар екенін көруіміз қажет.

Скриншот жасаңыз.

HostВ компьютерінен hostB компьютеріне пинг жазаңыз және керісінше. 2 скриншот жасаңыз.

Берілген мысал version 2 және no auto-summary командаларын енгізбей-ақ симулятор жұмыс атқаратынын көре аламыз.

Бақылау сұрақтары

1. Маска не үшін қажет?

2. CIDR дегеніміз не?

3. VLSM дегеніміз не?

4. IP адресте IP классты адрестерді қолдана отырып қалай адрес хостын және ішкі желі адресін белгілейді?

5. IP адресте IP классты адрестерді қолданбай қалай адрес хостын және ішкі желі адресін белгілейді?

6. Іщку желіде қолжетімді адрестер саны қаншаға жетеді?

7. Ішкі желідегі хостар санына байланысты минималды маскіні жазыңыз.

8. Маскінің қандай жазылу формаларын білесіз?

9. Тізбектей байланысты неге бөлек ішкі желіге бөледі?

10. Тізбектей байланысқа қандай маскіні қолдануға кеңес беріледі жне неге?

11. CIDR және VLSM адрестік аумақты қалай үнемдеуге алып келеді?

12. Supernetting дегеніміз не?

13. Маршруттардың агрегациясы дегеніміз не және қалай ол маршрутизациялану кестесінің кішіреюіне қалай ықпал етеді?

14. Ажыратылған ішкі желі дегеніміз не және маршрутизацияның қандай протоколы оны қабылдамайды?

15. RIP протоолымен симулятор жұмыс істегенде қандай ерекшелік болады?

Жұмысты тапсыру және орындалу реті

1. Теориялық және пратикалық бөлімдерді зерттеу.

2. Оқытушыға бақылау сұрақтарына жауап бере отырып, теориялық бөлімді тапсыру.

3. PacketTracer – де практикалық бөлімді орындау.

4. PacketTracer – де өздік жұмыс сұрақтарына жауап беру.

5. Өзіндік жұмыстың 11-пунктің нәтижесін оқытушыға көрсету.

6. Есепті жинақтау. Есеп мазмұнын астынан қара.

7. Есепті қорғау.

Өздік жұмыс үшін тапсырмалар

Өзіңіздің нұсқаңыз бойыншакелесі төрт желілері құрыңыз. (4,5,6,7 суреттер)

4-сурет. 1-нұсқа.

5-сурет. 2-нұсқа.

6-сурет. 3-нұсқа.

7-сурет. 4-нұсқа.

Нұсқаның орындалу реті

1. Дизайнерда керекті санды және керекті интерфейсті маршрутизаторды дұрыс таңдап алу. Интерфейс саны өсе алатын, қөпқабатты құрылғыны қолданыңыз. Симуляторда олар Ethernet 2/0 адресті түрінде келеді, оның мағынасы 2 қабаттағы 0 интерфейс.

2. Топология құрыңыз. локалды желі коммутатор мен компьютерді құрайды.

3. Топология скриншотын жасаңыз.

4. Әрбір ішкі желіге минимум нөлдері бар дұрыс маскілер орнату. Тізбектей байланыс үшін /30 маскісі екенін ұмытпаңыз.

5. Маршрутизаторлар мен компьютерлердің желілік интерфейстеріне қандай адрестер белгілейтініңзді шешіңіз.

6. Графикалық редакторда өзіңіздің топологияңызға анықталған маскілер мен адрестерді енгізіңіз.

7. Симуляторда маршрутизаторлар мен компьютерлердің желілік интерфейстеріне адрстер орнатыңызз.

8. Show ip interface brief (маршрутизатор) және ip config (компьютер) командаларын қолданып, берілген адрестер дұрыстығын тексеріңіз.

9. RIP протоколының екінші нұсқасымен әрбір маршрутизаторда динамикалық маршритизациясын баптау.

10. Әрбір маршрутизаторда маршрутизация кестесін шығарыңыз және скриншот жасаңыз.

11. Сіз кез-келген компьютерден басқа кез-келген компьютерге пинг жасай алуыңыз керек.

12. Еркіңізге қарай, сіз локалды желілер үшін loopback интерфейсті петляны қолданып, ары қарай оны бір компьютер мен коммутатор арасында байланыстыратын Ethernet интерфейсіне ауыстыруыңызға болады.

Есеп мазмұны.

Есеп электронды түрде жазылады және қағазға шығарылады. Есепте болу тиіс:

1. Практикалық бөлімдегі топология скриншоты.

2. Практикалық бөлімдегі барлық маршрутизаторлардағы.txt файлдарының конфигурациясы.

3. Сіздің нұсқаңыз бойынша адрестер және маскілер топологиясының скриншоты.

4. Жұмыс кезінде орындалған барлық маршрутизаторлардағы.txt файлдарының конфигурациясы.

№7 лабораториялық жұмыс. ACL қолжетімділікті басқару тізімдері.

Теориялық бөлім.

Қолжетімділікті басқару тізізмдері (accesscontrollistACL) бұл ішкі тізімдегі ақпарат негізінде пакеттер ағымына рұқсат беретін немесе бермейтін ережелердің тізбектей жасалған тізімі. Қолжетімділік тізімісіз барлық пакеттерге желі ішінде желінің барлық бөліктеріне өту үшін рұқсат беріледі. Қолжетімділік тізімі маршрут кестесіндегі өзгерістер туралы ақпаратты алып және таратуды бақылау үшін, ең бастысы, қауіпсіздік үшін қолданылады. Қауіпсіздік политикасы, негізінде, сыртқы қауіптен қорғауды, ұйым бөлімдері арасындағы қолжетімділікті шектеуді, желі жүктемесін таратыуды жайсайды.

Қолжетімділік тізімі маршрутизаторды желіаралық экран ретінде, сыртқы желіден(мысалы, интернет) ішкі желіге қолжетімділікті шектейтін брандмауэр ретінде қолдануға мүмкіндік береді. Брандмауэр, негізінен, 2 желі арасындағы қосылу нүктелері арасында орнатылады.

Стандартты ACL-ді қолданған кезде, пакеттің рұқсат етілу-етілмегендігінің жалғыз критериі осы пакет көзінің IP адресі болып табылады. Қолжетімділік тізімі элементінің форматы:

Router(config)# access-list № permit | deny source-address source-mask,

Мұндағы, № – бүтін сан – қолжетімділік тізіміның нөмері, source-address - пакет көзінің адресін білдіреді, source-mask – адреске тіркелетін инверсті түрдегі, permit – пакеттің өтуіне рұқсат, deny – пакеттің өтуіне рұқсаттың берілмеуі. № саны қолжетімділік тізімінің элементінің белгілі бір қолжетімділік тізімінің № нөмеріне сәйкестігін тексереді. Бірінші Аccess-list командасы қолжетімділік тізімінің бірінші элементін, екінші команда екінші элементін және т.б. анықтайды. Маршрутизатор мұндағы белгілі бір қолжетімділік тізімдерін элементтерін жоғарыдан төмен реттеу бойынша жасайды. Яғни, егер пакеттің адрес source-address адресі маскасымен бірге тізім элементі шартына сәйкес келіп тұрса, маршрутизатор қалған элементтерді қарастырмайды. Бөлу уақытын азайту үшін, көп шарттарды қанағаттандыратын элементтерді тізімнің басына орналастырған жөн. Маршрутизатор ішінде бірнеше қолжетімділік тізімдері болуы мүмкін. Стандартты тізім номері 1 – 99 аралығында болуы керек. Қолжетімділік тізімінің маскасы инверсті түрде беріледі. Мысалы, 255.255.0.0 маска былай беріледі: 0.0.255.255.

Cisco маршрутизаторлары қолжетімділік тізімінде айқын көрінбейтін адрестерді тыйым салынған адрестер деп есептейді. Яғни, қолжетімділік тізімінің соңында көрінбейтін элемент болады.

Router(config)# access-list # deny 0.0.0.0 255.255.255.255

Егер біз тек 1.1.1.1 адресінің трафигіне рұқсат беріп, қалған барлық трафиктерге тыйым салғымыз келсе, қолжетімділік тізіміне бір элемент қана орналастырғанымыз жетеді.

Router(config)# access-list 77 permit 1.1.1.1 0.0.0.0.

Мұнда, біз қолжетімділік тізімін номермен жасадық деп есептелінеді.

Белгілі бір адрестердің диапазоны үшін жасалған стандартты қолжетімділік тізімдерінің қолданылуын қарастырайық. Мысал ретінде 10.3.16.0 – 10.3.31.255 адрестер диапазонын алайық. Инверсті масканы алу үшін үлкен адрестен кіші адресті алып тастау керек: 0.0.15.255. Қолжетімділік тізімінің элементін мына команда арқылы беруге болады:

Router(config)# access-list 100 permit 10.3.16.0 0.0.15.255

Қолжетімділік тізімі өз жұмысын жасауы үшін, ол интерфейске келесі команда бойынша тіркелуі керек:

Router(config-if)# ip access-group номер-списка-доступа in либо out

Қолжетімділік тізімі не кіріс (in), не шығыс (out) тізімі ретінде қолданылуы мүмкін. Қолжетімділік тізімін кіріс тізім ретінде қолданғанда, маршрутизатор кіріс пакетті алып, оның кіріс адресін тізім элементтерімен салыстырады. Егер пакет рұқсат етілген тізім элементтерін қанағаттандырса, маршрутизатор пакетке жіберілген интерфейсіне маршрутизациялануға рұқсат береді. Егер пакет тыйым салынған элементтер шартына сәйкес келсе, пакетті алып тастайды. Егер сіз тізімді шығыс тізім ретінде қолдансаңыз, роутер кіріс пакетті алып, оны жіберілген интерфейсіне маршрутизациялайды, сосын барып пакеттің кіріс адрестерінің осы интерфейс қолжетімділік тізімінінің элементтеріне сәйкестігін тексереді. Ары қарай маршрутизатор не пакетке интерфейсті тастап кетуге рұқсат береді, не оны лақтырып тастайды. Алдында жасалған 77-нөмірлі тізім маршрутизатордың Ethernet 0 интерфейсіне кіріс тізім ретінде мына командалар көмегімен қолданылады:

Router(config)# int Ethernet 0

Router(config-if)# ip access-group 77 in

Осы тізім маршрутизатордың Ethernet 0 интерфейсіне шығыс тізім ретінде мына командалар көмегімен қолданылады:

Router(config-if)# ip access-group 77 out

Интерфейстегі тізім no командасы көмегімен алынып тасталады:

Router(config-if)# no ip access-group 77 out

Күрделі қолжетімділік тізімдерін жасауды қарастырайық. Суреттегі желіні қарастырайық.

1. 10.1.1.0 /25 (10.1.1.0 255.255.255.128) желісінен шығатын барлық пакеттерге рұқсат берейік, бірақ 10.1.1.128 /25 (10.1.1.128 255.255.255.128) желісінен шығатын барлық пакеттерге тыйым салайық.

Сонымен қоса, 15.1.1.0 /24 (15.1.1.0 255.255.255.0) желісінен шығатын барлық пакеттерге (15.1.1.5. хост адресінен басқа). Ал қалған барлық пакеттерге рұқсат береміз. Тізімге 2 деген номер береміз. Берілген тапсырманы орындайтын командалардың тізбегі:

Router(config)# access-list 2 deny 10.1.1.128 0.0.0.127

Router(config)# access-list 2 permit 15.1.1.5 0.0.0.0

Router(config)# access-list 2 deny 15.1.1.0 0.0.0.255

Router(config)# access-list 2 permit 0.0.0.0 255.255.255.255

10.1.1.0 255.255.255.128 желісі үшін рұқсат беретін элементтін жоқтығын атап кетйік. Оның ролін соңғы элемент атқарады: access-list 2 permit 0.0.0.0 255.255.255.255.

Берілген тапсырманы орныдағанымызды тексерелік:

1. 10.1.1.0 255.255.255.128 желісінен шығатын барлық пакеттерге рұқсат беру.

Қолжетімділік тізіміндегі соңғы жол осы критерийге сәйкес келеді. Рermit 0.0.0.0 255.255.255.255. соңғы рұқсат беретін жолдан басқа тізімде бұл желіге сәйкес келетін жол болмағандықтан, бұл желіге рұқсат берудің қажеті жоқ.

2. 10.1.1.128 255.255.255.128 желісінен шығатын барлық пакеттерге тыйым салу.

Тізімдегі бірінші жол осы критерийге сәйкес келеді. Осы желінің инверсті маскасын көрсеткен маңызды: 0.0.0.127. Бұл маска берілген желі астындағы адресация үшін арналған адрестерді(төртінші октеттің соңғы жеті битін) алмау керектігін көрсетеді. Бұл желі маскасы: 255.255.255.128. Бұл маска төртінші октеттің соңғы жеті биті берілген желідегі адресацияны білдіретінін көрсетеді.

3. 15.1.1.0 255.255.255.0желісінен шығадын барлық пакеттерге тыйым салайық, 15.1.1.5 хост адресінен басқа.

Дата добавления: 2017-02-01; Просмотров: 282; Нарушение авторских прав?; Мы поможем в написании вашей работы!