FrameRelay топологиялары 1 страница

FrameRelayLMI

Сурет.

Сурет.

Сурет.

FrameRelay

Сурет.

Сурет.

Сурет.

Сурет 1.

Сурет.

Кесте.

Кесте.

Сурет.

Сурет.

Сурет.

Бұл шарт қолжетімділік тізімінің екінші және үшінші жолын қанағаттандырады. Қолжетімділік тізімі бұл шартты берілген тәртіп бойынша орындамайды. Қолжетімділік тізімі жоғарыдан төмен қарай қарастырылады және ең бірінші сәйкестіктен кейін тексеру тоқтатылады. Біз алдымен 15.1.1.0 255.255.255.0 желісінен шығатын барлық пакеттерге тыйым салынып, содан кейін 15.1.1.5 адресті пакетке рұқсат беру керек екенін жазамыз. Қолжетімділік тізімін анаықтайтын командаларда екінші және үшінші командалардың орнын ауыстырсақ, 15.1.1.5 хостқа рұқсат берілгенге дейін 15.1.1.0 желісіне толықтай тыйым салынады. Яғни 15.1.1.5 адресіне басынан-ақ deny 15.1.1.0 0.0.0.255 жалпы критерийімен тыйым салынады.

4. Барлық пакеттерге рұқсат беру. Соңғы команда бастапқы үш командаға сәйкес келмейтін барлық командаларға рұқсат береді. Қолжетімділік тізімін жасау үшін келесі тізбектелген іс-әрекеттерді орындау керек.

1. Қолжетімділік үшін критерийлер мен тосқауылдарды білу.

2. Белгілі бір номері бар қолжетімділік тізімін аccess-list командасы көмегімен құру.

3. Тізімді белгілі бір интерфейске не кіріс, не шығыс тізім ретінде белгілеу.

Соңғы пунктке тоқталайық. Жалпы жағдайда стандартты қолжетімділік тізімін пакеттер көзіне емес, жету нүктесіне жақынырақ орналастыру керек. Бірақ керісінше болатын кездер де болуы мүмкін. Стандартты қолжетімділік тізімі тек шығыс адрестермен ғана жұмыс істейтіндіктен толық конфигурация жасау әрдайым мүмкін бола бермейді. Қажет емесе қолжетімділік конфигурациялары болмау үшін, біраз күш салу керек. Егер тізім пакеттер көзіне жақын орналастырылса, ешқандай қолжетімділік конфигурациясы болмайтын құрылғыларға кіру мүмкіндігі тым аз болады.

1-суреттегі желі қауіпсіздігінің саясатын айта кетсек. Біздің мақсатымыз 15.1.1.0 /24 локальдік желісіндегі А (адрес 1.1.1.2 сеть 1.1.1.0/24) компьютері үшін саясат жасау. Бұған С (15.1.1.5) компьютері кіріп, А компьютеріне кіру рұқсатын тек С компьютері арқылы береді. Сонымен қоса біз компьютера D (10.1.1.133) компьютеріне саясат құрғымыз келеді. Оның мақсаты 10.1.1.128 / 25 локальді желісінің кез келген құрылғысынан А компьютеріне кіруге тыйым салу. Қалған барлық трафикке рұқсат береміз. 1-суретте PC5 (15.1.1.5) компьютері 15.1.1.0/24 локальді желісінің С компьютерінен дербес компьютер рөлін атқарады. Бұндай саясат үшін тізімді енгізу қиын. Алдында құрылған 1-номерлі тізімді алайық. Егер тізімді 2-маршрутизатордың тізбектей байланыс интерфейсінің шығыс тізімі ретінде алсақ, бұл мәселе А компьютері үшін шешілген болар еді, бірақ басқа локальді желілілер арасында трафиктерге шектеу қойылады. Егер тізімді 1-маршрутизатордың тізбектей байланыс интерфейсінің кіріс тізімі ретінде алсақ, бұл мәселе дәл алдындағыдай болар еді. Егер біз бұл тізімді 1-маршрутизатордың EthernetA интерфейсінің шығыс тізімі ретінде алсақ, мәселе ешқандай тосқауылсыз шешіледі.

ACL кеңейтілімі.

ACL стандартымен сіз маскасыз тек адресті ғана көрсете аласыз. Кеңейтілген ACL- де сіз қабылдаушы адресін және жіберуші адресін маскамен бірге көрсетуіңіз керек. Сіз жіберуші үшін де, қабылдаушы үшін де қосымша протоколды мәліметті тіркей аласыз. Мысалы TCP мен UDP үшін порт номерін көрсетуге, ICMP үшін кез келген типтегі хабарламаны көрсетуге рұқсат берілген. Стандартты ACL-дер үшін де log опциясы үшін лог жасауға болады..

Кеңейтілген қолжетімділік тізімінде жол жасайтын командалардың жалпы формасы:

access-listaccess-list-number {permit | deny} protocolsourcesource-wildcard

[operator source-port] destination destination-wildcard [operator destination-port]

[precedence precedence-number] [tos tos] [established] [log | log-input],

Мұндағы, access-list-number -100-199|2000-2699, protocol - ip, icmp, tcp, gre, udp, igrp, eigrp, igmp, ipinip, nos и ospf. source-port порты немесе destination-port порты үшін порт номерін немесе оның қолданылуын bgp, chargen, daytime, discard, domain, echo, finger, ftp, ftp-data, gopher, hostname, irc, klogin, kshell, lpd, nntp, pop2, pop3, smtp, sunrpc, syslog, tacacs-ds, talk, telnet, time, uucp, whois и www. Operator это eq (тең), neq (тең емес), gt (... қарағанда үлкен), lt (... қарағанда кіші), range (диапазонды анықтайтын екі порт көрсетіледі) қолдануға болады..

Стандартты ACL-дердегі сияқты кеңейтілген ACL-ді не интерфейске, не интерфейске кіретін трафикке тіркеп қою керек.

Router(config-if)# ip access-group №ACL in

Немесе интерфейстен шығатын трафик үшін

Router(config-if)# ip access-group №ACL оut

мұндағы №ACL – тізім номері.

Кеңейтілген ACL элементтерінің мысалы. SMTP-ны хостқа қосуға рұқсат беру.

Router(config)# access-list 111 permit tcp any host 172.17.11.19 eq 25

Телнетті хостқа жасау үшін рұқсат беру

Router(config)# access-list 111 permit tcp any host 172.17.11.19 eq 23

Кеңейтілген ACL қолжетімділікті кеңінен баптауға мүмкіндік береді.

Ат берілген ACL

Ат берілген ACL-дерді номері бойынша емес, аты бойынша ажыратады.

Ат берілген ACL-ді құру үшін мына команда қажет:

Router(config)# ip access-list extended ACL_name

Ат берілмеген тізім элементтерін құратын командалар:

Router(config-ext-nacl)# permit|deny IP_protocol source_IP_address wildcard_mask

[protocol_information] destination_IP_address wildcard_mask [protocol_information]

[log]

Тізімді жасауды аяқтау үшін exit командасын жазу керек.

Ат берілген тізімнің аты регистрге сезімтал. Аты жоқ тізімді жасау командалары номерленген элементтер тізімін құру командаларына ұқсайды, бірақ бұл процесстің өзі басқаша. Басты ACL операторының алдында сіз ір кілт сөзін қолдануыңыз керек және аты бар тізімнің конфигурациялық режиміне кіруіңіз керек. Бұл режимді permit немесе deny кілт сөздерінен бастаймыз және access-list сөзін әрбір жол басында жазбау керек.

Ат берілген ACL интерфейске мына команда көмегімен тіркеледі.

Router(config)# interface type [slot_№]port_№

Router(config-if)# ip access-group ACL_name in|out

ACL жоғарыдан төмен өңделеді. Жиірек қайталанатын трафик тізімнің басында өңделуі керек. Тізіммен өңделетін пакет тізімдегі элементті қанағаттандырған кезде, бұл пакетті өңдеу тоқтатылады.

Стандартты ACLs-ті трафик фильтрленетін жету нүктесіне жақын жерде орналастырған жөн. Шығыс (out) кеңейтілген ACLs-ті фильтрленетін пакеттер көзіне неғұрлым жақынырақ, ал кіріс ACLs-ті трафик фильтрленетін жету нүктесіне жақын жерде орналастыру керек.

Ат берілген ACLs сізге өзін баптауға рұқсат береді. Ол үшін оны құруға арналған команданы жазу керек:

Router(config)# ip access-list extended ACL_name

Вертикалды бағыттауышы бар батырмалардың көмегімен сіз өзгерткіңіз келетін тізім жолын табыңыз. Горизонтальді бағыттауышы бар батырмалардың көмегімен оны өзгертіңіз. Енгізу батырмасын басыңыз. Жаңа жол тізім соңына қосылады. Ескісі жойылмайды. Оның жойылуы үшін жол басында no сөзін енгізу керек.

Сандық ACLs-ті өңдеу кезінде жаңа жол құру үшін оны жойып, қайта құру керек немесе тізімді офлайн болғанда өзгертіп алып, құрылғыға енгізу керек.

Практикалық бөлім.

1. 2-суретте көрсетілген топологияны құрамыз.

Кесте бойынша интерфейстерге адрестер береміз. (маска 255.255.255.240). DCE құрылғысында тізбектей байланыста синхронизация орнатуды ұмытып кетпеңіз.

RIP маршрутизациясының конфигурациясын жасайық.

Router1 үшін.

Router1(config)# router rip

Router1(config- router)# version 2

Router1(config- router)# network 24.0.0.0

Router2 үшін

Router2(config)# router rip

Router1(config- router)# version 2

Router2(config- router)# network 24.0.0.0

Router4 үшін

Router4(config)# router rip

Router4(config- router)# version 2

Router4(config- router)# network 24.0.0.0

Өзіңіздің желіңізді ping командаы көмегімен тексеріңіз. Негізінен, 4- маршрутизатордан 2- маршрутизатордың Ethernet0 (24.17.2.2) интерфейсіне пинг жасай аласыз.

Router4# ping 24.17.2.2

4- маршрутизатор 2- маршрутизаторға пинг жасай алмайтындай стандартты қолжетімділік тізімін құрайық. Ол үшін 4- маршрутизатордың жалғыз 24.17.2.18 адресіне тыйым салып, қалған трафикке рұқсат береміз. Тізімді 2- маршрутизаторда мына командалардың көмегімен құрамыз:

Router2(config)# access-list 1 deny 24.17.2.18 0.0.0.0

Router2(config)# access-list 1 permit 0.0.0.0 255.255.255.255

Тізімді 2- маршрутизатордың Ethernet интерфейсіне қолданамыз.

Router2(config)# interface FastEthernet0/0

Router2(config-if)# ip access-group 1 in

Қолжетімділік тізімінің іске қолығандығын тексереміз. Ол үшін жұмыс істейтін конфигурацияны қараймыз.

Router2# showrunning-config

Тізімнің интерфейске қолданылып тұрғанын ―showipinterface‖ командасын қолданып көре аламыз. Шығарылған ақпарат ішінен ―Innboundaccesslistis 1‖ жолын табыңыз.

Router2# showipinterface

―showaccess-lists‖ командасы жасалған қолжетімділік тізімінің мазмұнын көрсетеді.

Router2# showaccess-lists

Айта кетейік, host 24.17.2.18 деген 24.17.2.18 0.0.0.0. дегенге парапар. 4-роутерден 2-роутердің Ethernet0 (24.17.2.2) интерфейсіне пинг жасаған кезде:

Router4# ping 24.17.2.2

―UUUUU‖ жолы шығады, бұл қолжетімділік тізімінің дұрыс жұмыс істейтіндігін білдіреді.

2. 3-суреттегі топологияны құрайық.

Кесте бойынша интерфейстерге адрестер береміз (маска 255.255.255.0).

Маршрутизацияның OSPF конфигурациясын жасайық.

Router1 үшін

Router1(config)# router ospf 1

Router1(config- router)# network 160.10.1.0 0.0.0.255 area 0

Router1(config- router)# network 175.10.1.0 0.0.0.255 area 0

Router2 үшін

Router2(config)# router ospf 1

Router2(config- router)# network 160.10.1.0 0.0.0.255 area 0

end

Router3 үшін

Router3(config) # router ospf 1

Router3(config- router)# network 175.10.1.0 0.0.0.255 area 0

Router3(config- router)# network 180.10.1.0 0.0.0.255 area 0

Router4 үшін

Router4(config)# router ospf 1

Router4(config- router)# network 180.10.1.0 0.0.0.255 area 0

Тексеру үшін шеткі нүктелерге пинг жасаңыз.

router2#ping 180.10.1.2

router4#ping 160.10.1.2

1-маршрутизатордың(router1) ethernet0 интерфейсіне келетін трафикті фильтрациялау үшін стандартты қолжетімділік тізімін құрамыз. 175.10.1.0 (router3) желі ішінің трафигіне рұқсат беріп, қалған құрылғылардың трафиктеріне тыйым салады.

router1(config)# access-list 1 permit 175.10.1.0 0.0.0.255

Оның құрылғандығын тексеріңіз.

router1# showaccess-list

Ethernet 1 интерфейсіне кіріс тізім ретінде қосыңыз.

router1(config)# interface FastEthernet1/0

router1(config-if)# ip access-group 1 in

Байланысты мына командамен тексеріңіз:

router1# showrunning-config

3 және 2 маршрутизаторлар мен 4 және 2 маршрутизаторлар арасындағы байланысты тексеріңіз.

router3# ping 160.10.1.2

router4# ping 160.10.1.2

3 және 2-роутерлар арасында байланыс болуы керек, ал 4 және 2 арасында болмауы керек.

Қолжетімділік тізімін өзгертіп, 180.10.1.0 (router4) желі ішіндегі трафиктерге рұқсат беріп, қалған құрылғылар трафиктеріне тыйым саламыз.

router1(config)# no access-list 2

router1(config)# access-list 2 permit 180.10.1.0 0.0.0.255

Оның өзгергендігін тексеріңіз.

router1# showaccess-list

Тізімді Ethernet 1 интерфейсіне кіріс тізім ретінде орнатыңыз.

router1(config)# interfaceFastEthernet1/0

router1(config-if)# ip access-group 1 in

Байланысты мына командамен тексеріңіз:

router1# showrunning-config

3 және 2 маршрутизаторлар мен 4 және 2 маршрутизаторлар арасындағы байланысты тексеріңіз.

router3# ping 160.10.1.2

router4# ping 160.10.1.2

4 және 2-роутерлар арасында байланыс болуы керек, ал 3 және 2 арасында болмауы керек.

3. 1-суреттегі желі үшін IP конфигурациясын жасап, тексеріңіз динамикалық маршрутизация үшін OSPF-ны қолданыңыз.

Router 1 маршрутизаторы үшін

router1(config)# router ospf 1

router1(config-router)# network 2.2.2.0 0.0.0.255 area 0

router1(config-router)# network 1.1.1.0 0.0.0.255 area 0

router1(config-router)# network 10.1.1.0 0.0.0.127 area 0

Router 2 маршрутизаторы үшін

Router2(config)# router ospf 1

Router2(config-router)# network 10.1.1.128 0.0.0.127 area 0

Router2(config-router)# network 15.1.1.0 0.0.0.255 area 0

Router2(config-router)# network 2.2.2.0 0.0.0.255 area 0

Желі жұмысын тексеріңіз: сіз кез келген құрылғыдан кез келген құрылғыға пинг жасай алуыңыз керек. Немесе оңай жолы: A, B, C, D, PC5 барлық компьютерлері бір-бірімен қос-қостан пингтелуі керек.

Теоретической бөлімдегі тізімді құралық.

3.1 Router 1 маршрутизаторында қолжетімділік тізімін құрайық.

router1(config)# access-list 2 deny 10.1.1.128 0.0.0.127

router1(config)# access-list 2 permit host 15.1.1.5

router1(config)# access-list 2 deny 15.1.1.0 0.0.0.255

router1(config)# access-list 2 permit 0.0.0.0 255.255.255.255

және оны Ethernet0 интерфейсіне шығыс тізім ретінде бекітейік.

router1(config)# interface FastEthernet0/0

router1(config-if)# ip access-group 2 out

Нәтиженің скриншотын жасайық.

команды router1# showaccess-list

A, B, C, D, PC5 барлық компьютерлерін бір-бірімен қос-қостан пингтейміз, нәтижесін мына қолжетімділік матрицасы шығуы керек:

Теориялық бөлімдегі қауіпсіздік саясаты толығымен жүзеге асқандығын көрдік.

3.2 е0 интерфейсінен ACLc-ді өшіреміз және router1-дің s0 интерфейсіне кіріс тізім ретінде қолданамыз.

(config)# interfacefa0/0

router1(config-if)# no ip access-group 2 out

router1(config-if)# int s2/0

router1(config-if)# ip access-group 2 in

A, B, C, D, PC5 барлық компьютерлерін бір-бірімен қос-қостан пингтейміз, нәтижесін мына қолжетімділік матрицасы шығуы керек:

10.1.1.0/25 және 10.1.1.128/25 желілерінің арасындағы трафикке тыйым салынғандығын көреміз. Сонымен қоса, 15.1.1.5 адресті С компьютерін қоспағанда, 10.1.1.0/25 және 15.1.1.0/24 желілерінің арасындағы трафикке де тыйым салынған.

4. Осы лабораториялық жұмыстың 1- пунктегі топология мен конфигурацияны пайдаланамыз. 1- пунктте жасалған конфигурацияны жоямыз.

Router2(config)# no access-list 1 deny 24.17.2.18 0.0.0.0

Router2(config)# no access-list 1 permit 0.0.0.0 255.255.255.255

Тізімді 2-маршрутизатордың Ethernet интерфейсіне қолданамыз.

Router2(config)# interface fa0/0

Router2(config-if)# no ip access-group 1 in

Телнет арқылы router1-дің екі интерфейсіне router1 поролімен кіруге рұқсат береміз.

Router1(config)# linevty 0 4

Router1(config-line)# login

Router1(config-line)# password router1

Біздің EACL әртүрлі заттар жасайтын болады. Бірінші, 24.17.2.16/240 желі ішінің тізбектей байланысынан router1-ге тек телнет арқылы кіруге рұқсат береміз.

router1(conf)# access-list 101 permit tcp 24.17.2.16 0.0.0.15 any eq telnet log

log опциясы қолжетімділік тізімі қосылған кезде маршрутизаторға шығысты көресеткізеді.

24.17.2.0/240 желі ішінің Ethernet 0 барлық трафиктеріне рұқсат береміз.

router1(conf)# access-list 102 permitip 24.17.2.0 0.0.0.15 any

Тізімдердің құрылуын тексереміз.

router1#showaccess-list

Енді, тізімдерді интерфейске кіріс пакеттері үшін тіркейміз.

router1(conf)# interfaceSerial2/0

router1(conf-if)# ip access-group 101 in

router1(conf-if)# interface fa0/0

router1(conf-if)# ip access-group 102 in

EACL-дың барлық интерфейстерде бар екенін мына команданы қолданып тексереміз:

router1# showrunning-config

немесе

router1# showipinterface

EACL функционалдығын тексерейік. Router4-ке қосылып, Router1-дегі Serial2/0 интерфейсіне сәтсіз пинг жасайық.

router4# ping 24.17.2.17

EACL 101 номері ping-ті шектеді. Бірақ рұқсат беруі керек.

telnetrouter4# telnet 24.17.2.17

Сәтті. router1 деген парольді енгіземіз. router4# router1> дегенге өзгерді. сtrl-shift-6 батырмаларын бірге басып және 6-ны басып, router4-ке қайта ораламыз. Бізге Router1-де EACL 101-дің жүзеге асуын лог көрсетеді.

Сессия номерін көріп, телнет байланысты жоямызү

router4# showsess

router4# disconnect 1

Router2-ге кіріп, router4-тің Serial0 интерфейсіне пинг жасай алатындығымызды тексереміз.

Router2# ping 24.17.2.18

Неліктен сәтсіз? Пакет Router2-ден шығып, Router1 арқылы өтеді (EACL102-нің router1-де жүзеге асуын бізге лог көрсетеді) және Router4-ке келеді.

Router4-те өңделіп қайтадан Router1-ге жіберіледі.

Router4 пакетті өзгерткенде, жіберуші адресі қабылдаушы адресіне, қобылдаушы адресі жіберуші адресіне айналады. Пакет router1-дің Serial0 интерфейсіне келгенде, ол қайтарылады, себебі оның жіберішісінің адресі router4-тің Serial0 интерфейсінің 24.17.2.17 IP адресіне тең, ал мұнда тек tcp ғана рұқсат етілген.

Router2-ге қосылып, router1-дің Ethernet0 интерфейсіне пинг жасай алатындығымызды тексереміз.

router2# ping 24.17.2.1

Сәтті. Телнетті де дәл солай істейміз.

router2# telnet 24.17.2.1

EACL сәтті жұмыс істейді. Router1-де EACL 102-нің жұмыс істеуін бізге лог көрсетеді.

Сонымен қоса, лог RIP жаңартуларын көрсетеді.

5. Аты берілген ACL

Router1-дің интерфейстеріне EACL-дің тіркелуін қараймыз.

router1(conf)# interfaceSerial0

router1(conf-if)# no ip access-group 101 in

router1(conf-if)# interface Ethernet0

router1(conf-if)# no ip access-group 102 in

Router1-де EACL-ді жоямыз.

router1(conf)# no access-list 101

router1(conf)# no access-list 102

Барлық желі үшін тек router4-тен router2-ге пинкке ғана тыйым салуды мақсат етіп аламыз. Қолжетімділік тізімін не router1-ге, не router2-ге орналастырамыз. Негізінен, ACL-ді жіберушіге жақынорналастыру керек (трафикті қысқарту үшін), бұл мысалда аты бар тізімді router2-ге deny_ping атымен орналастырамыз.

router2(config)# ip access-list extended deny_ping

router2(config-ext-nacl)# deny icmp 24.17.2.18 0.0.0.0 24.17.2.2 0.0.0.0 log

router2(config- ext-nacl)# permit ip any any log

Бірінші команда deny_ping атты кеңейтілген қолжетімділік тізімін құрып жатқандығымызды көрсетеді. Екінші команда жіберуші адресі 24.17.2.18 және қабылдаушы адресі 24.17.2.2 ICMP трафигіне тыйым салынғандығын көрсетеді. Үшінші команда қалған IP трафикке рұқсат береді.

Тізімнің құрылуын тексереміз:

router2# showaccess-list

Бәрі дұрыс, тек біз бірінші denyicmp 24.17.2.18 0.0.0.0 24.17.2.2 0.0.0.0 log командасының басқа түрде берілгендігін көреміз.

Тізімді router2-нің Ethernet0 интерфейсінің кіріс трафигіне қолданамыз.

Router2(conf)# interfaceEthernet0

Router2(conf-if)# ip access-group deny_ping in

Router4-ке кіріп, роутер2-ні пингтейік.

router4# ping 24.17.2.2

Сәтсіз. Router1-ге кіріп, роутер2-ге пинг жасаймыз.

Router1# ping 24.17.2.2

Сәтті. Router2-ге кіріп, екі бөлек лог-хабарламаны көреміз:

Бірінші, router4-тен пингке тыйым салынған және екінші, router1-ден пингке рұқсат берілген.

6. Кеңейтілген қолжетімділік тізімінің күрделірек сұрақтарын қарастырайық.

Топологияны құрайық.

1912 модельді коммутаторларды қолданамыз. Router1 маршрутизаторы моделі - 805. Router2 маршрутизатор моделі - 1605.

Маршрутизаторларға IP адрес орнатамыз.

Дата добавления: 2017-02-01; Просмотров: 103; Нарушение авторских прав?; Мы поможем в написании вашей работы!