Расширенные ACL (Extended ACLs)

⇐ ПредыдущаяСтр 10 из 14Следующая ⇒

Применениерасширенных списков управления доступом представляется более гибким инструментом управления. кроме адреса отправителя, они могут содержать в себе информацию о типе протокола, номере порта, а также (или/и) адрес получателя. Следовательно, данный тип списка управления доступом функционально богаче, а сам список функций – шире. В отличие от стандартных ACL расширенные могут найти широкое применение в зависимости от потребностей администратора. Настройка Extended ACL имеет следующий вид:

router(conf)# access-list acl-number <permit|deny> <ip|icmp|ospf|eigrp...> source source-wildcard destination destination-wildcard router(conf)# access-list acl-number <deny|permit> <tcp|udp> source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [log]ПримерR1(conf)# access-list 100 deny tcp host 10.0.3.2 host 192.168.3.10 eq 3389R1(conf)# access-list 100 deny tcp host 10.0.3.1 any eq 80R1(conf)# access-list 100 permit ip 10.0.3.0 0.0.0.255 anyR1(conf)# access-list 100 deny ip any any

Имена Extended ACL имеют диапазон 100 ÷ 999, а синтаксис инструкций похож на управление стандартными ACL.

Как стандартные, так и расширенные списки управления доступом могут иметь несколько строк, причём выполнение условий осуществляется сверху вниз построчно.

Приоритет у любой команды равный. Меньший приоритет только у правил неявного запрета: логика подсказывает, что это сделано для того, чтобы трафик имел возможность прохода через устройство.

Конфигурация NAT

Конфигурация NAT выглядит следующим образом (рис.6.5).

Рис. 6.5. Внешний вид сетевой топологии с применением

технологии статического NAT

Инструкции при настройке данной технологии имеют следующий вид:

Router#conf tRouter(config)#ip route 0.0.0.0 0.0.0.0 gigabitEthernet 0/1 %Default route without gateway, if not a point-to-point interface, may impact performance Router(config)#interface gigabitEthernet 0/0Router(config-if)#ip address 192.168.0.1 255.255.255.0Router(config-if)#no shutdown %LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up Router(config-if)#ip nat inside Router(config-if)#exitRouter(config)#interface gigabitEthernet 0/1Router(config-if)#ip address 11.0.0.1 255.255.255.0Router(config-if)#no shutdown %LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to up Router(config-if)#ip nat outside Router(config-if)#exitRouter(config)#ip nat inside source static 192.168.0.2 11.0.0.3

При анализе введенных инструкций может возникнуть вопрос о необходимости 2-х интерфейсов inside и outside, когда использование одного представляется более логичным.

Для ответа на него рассмотрим трансляции пошагово.

Прямая трансляция

1. Трафик, получаемый с помощью интерфейса, обозначенного inside, если он соответствует тому, что необходимо транслировать, маркируется как возможно транслируемый, однако трансляция в этот момент не происходит.

2. На следующем этапе трафик подвергается маршрутизации. Если при этом трафик направляется на интерфейс, помеченный как outside - трансляция осуществляется. Если трансляция динамическая, то маршрутизатор проверяет ее наличие в таблице трансляций. Если ее там нет – то она создается, если не она есть - то обнуляется счетчик неактивности. Если же пакет приходит на выход интерфейса, не помеченного как outside, то трансляция НЕ осуществляется.

Обратная трансляция.

Трафик, «попадая» на outside интерфейс, в отличие от прямой трансляции, сначала подвергается трансляции с применением технологии NAT. Если трансляция существует (динамическая или статическая), то в случае с inside source NAT у него меняется параметр destination. И только после этого трафик подвергается маршрутизации и перенаправляется по назначению.

Поэтому маркировать интерфейсы как inside и outside необходимо, именно принимая во внимание механизм этой работы.

Необходимо рассмотреть особенности маршрутизации, если существует несколько адресов.

Если количество хостов, с которых необходимо выходить в интернет, увеличивается, то в этом случае необходимо использовать Dynamic NAT.

Принцип маршрутизации при этом тот же, однако, возможности (функционал) Dynamic NAT позволяет использовать пулы (диапазоны) IP-адресов.

Причём, возможна настройка таким образом, чтобы все хосты локальной сети получали доступ к сервисам Интернет через один и тот же официальный IP-адрес по очереди. В таком случае конфигурация маршрутизатора несколько изменится, как показано ниже:

Router#conf tRouter(config)#ip route 0.0.0.0 0.0.0.0 gigabitEthernet 0/1Router(config)#interface gigabitEthernet 0/0Router(config-if)#ip address 192.168.0.1 255.255.255.0Router(config-if)#no shutdown Router(config-if)#ip nat inside Router(config-if)#exitRouter(config)#interface gigabitEthernet 0/1Router(config-if)#ip address 11.0.0.1 255.255.255.0Router(config-if)#no shutdown Router(config-if)#ip nat outside Router(config-if)#exitRouter(config)#ip nat pool Test 11.0.0.2 11.0.0.10 netmask 255.255.255.0Router(config)#access-list 10 permit 192.168.0.0 0.0.0.255Router(config)#ip nat inside source list 10 pool Test

Как видно, в этом случае добавляется список управления доступом, который определяет, какие хосты имеют право пользоваться NAT-ом, а также добавляется пул адресов, которые выделяются для доступа в Интернет (приобретены у провайдера). В остальном все также, как в случае статического NAT.

Однако, остается нерешенной проблема одновременного доступа в Интернет устройств (хостов), количество которых превышает количество выделенных, т.н. «белых» адресов.

Для решения такой задачи применяется технология PAT (Port Address Translation, или трансляция порт-адрес).

При этом для доступа в интернет будет использован один адрес + порт, который для каждого хоста локальной сети будет отличаться.

Например, наш выделенный или «белый» IP - 11.0.0.2, но нам необходимо, чтобы одновременно доступ к сервисам Интернет мог быть организован с хостов с адресами:

· 192.168.0.11;

· 192.168.0.12;

· 192.168.0.13;

· 192.168.0.14.

В этом случае каждый из них будет выходить в глобальную сеть, имея привязку адрес+порт как показано в табл.6.1:

Таблица 5.1

Привязка адрес+порт по технологии PAT

Адрес в локальной	Адрес в глобальной сети
192.168.0.11	11.0.0.2 port 678
192.168.0.12	11.0.0.2 port 664
192.168.0.13	11.0.0.2 port 679
192.168.0.14	11.0.0.2 port 456

Имена портов берутся из диапазона, не зарезервированного за определёнными протоколами, и, в сущности, служат средством распознавания того или иного хоста в локальной сети.

Пример: Получая доступ в Интернет хост 192.168.0.12 будет всегда иметь адрес 11.0.0.2 и все службы Интернет будут «знать» его именно под этим адресом, а порт значения не имеет. Однако, пакеты данных, адресованные в нашу локальную сеть, должны попасть в адрес хоста 192.168.0.12 и именно для распознавания этого хоста будет использован порт 664. Пакет данных, попадая на пограничный маршрутизатор, в процессе обратной трансляции конвертирует связку «IP-адрес+port» в адрес 192.168.0.12.

В этом случае настройки PAT изменятся и будут следующими:

Router#conf tRouter(config)#ip route 0.0.0.0 0.0.0.0 gigabitEthernet 0/1Router(config)#interface gigabitEthernet 0/0Router(config-if)#ip address 192.168.0.1 255.255.255.0Router(config-if)#no shutdown Router(config-if)#ip nat inside Router(config-if)#exitRouter(config)#interface gigabitEthernet 0/1Router(config-if)#ip address 11.0.0.1 255.255.255.0Router(config-if)#no shutdown Router(config-if)#ip nat outside Router(config-if)#exitRouter(config)#access-list 10 permit 192.168.0.0 0.0.0.255Router(config)# ip nat inside source list 10 interface gigabitEthernet 0/1 overload

Дата добавления: 2018-05-12; просмотров: 314; Мы поможем в написании вашей работы!

Поделиться с друзьями:

⇐ Предыдущая 5 6 7 8 91011 12 13 14 Следующая ⇒

Мы поможем в написании ваших работ!