14 – laboratoriya ishi

Mavzu: “Standart turdagi ACL ro`yxatini sozlash va tekshirish”

Ishdan maqsad:
1. Fayl serveriga ruhsatni cheklash uchun standart nomlangan ruhsatlar ro`yxatini yaratish;
2. Standart nomlangan foydalanishga ruhsat berish ro`yxatini yaratish;
3. Foydalanishga ruhsat berishlar ro`yxatini vazifalarini tekshirish.

Nazariy ma’lumotlar

ACL (Access Control List) —ruhsat berishlar ro`yxati bo`lib, bu orqali tarmoq paketlariga ruhsat berish yoki ularni ta’qiqlash mumkin. Odatda ACL IP-paketlarga ruhsat beradi yoki taqiqlaydi, lekin bundan tashqari u IP-paket tarkibini tekshirishi, paket turini aniqlashi va TCP va UDP portlarni tekshirishi mumkin. ACL turli tarmoq protokollari uchun ham mavjud (IP, IPX, Apple Talk va boshqalar). Ruhsat berishlar ro`yxati xizmati asosan tarmoq qurilmalari (marshrutizator, kommutator, tarmoqlararo ekran)da mavjud bo`lib, ichki tarmoq va internet o`rtasidagi keraksiz bo`lgan trafikni filtrlashda ishlatiladi. ACLda trafikni klassifikatsiyalash funktsiyasi uni tekshirish va qayerda qo`llanilishiga qarab aniqlanadi.
ACL turli holatlarda qo`llanilishi mumkin, masalan:
• Interfeysda: paketlarni filtrlash
• Telnet tarmog`ida: marshrutizatorga ruhsat berishni chelkash
• VPN: trafikni qaysi qismini shifrlash lozim
• QoS: trafik muhimlilik darajasini aniqlash
• NAT: qaysi manzillarni translyattsiyalash lozim
ACL xizmati o`zida permit (ruhsat berish) yoki deny(taqiqlash)dan iborat matnlardan iborat qoidalar to`plamini qamrab oladi va shu qoidalar asosida tarmoqda paketlarni qayta ishlanish jarayonini tartibga solib turadi.
ACL xizmatining ikki xil toifasi mavjud:
• Standart (Standard): faqatgina manbaning manzilini tekshira oladi
• Kengaytirilgan (Extended): nafaqat manbaning balki qabul qiluvchining manzilini, balki IP holatida foydalanuvchilarning TCP/UDP portlarini xam tekshira oladi
Ruhsat berishlar ro`yxati qoidalari raqamlar yoki simvolli nomlar orqali ifodalanadi. Bundan tashqari ACLdan turli xil tarmoq protokollari bilan ishlash jarayonida xam foydalaniladi. O`z navbatida biz IP prokoli bilan ishlaymiz. Raqamlangan ruhsat berishlar ro`yxati quyidagicha ifodalanadi:
• Standart: 1 dan 99gacha
• Kengaytirilgan: 100 dan 199
Simvolli ACL xizmatinig ham standart va kengaytirilgan turga ajratiladi. Kengaytirilgan ACL standart turiga qaraganda ko`proq ma’lumotlarni tekshirish mumkin, ammo u paketlarni tekshirish jarayonida paket tarkibini xam tekshirishi hisobiga sekin ishlaydi. ACL qoidalarini yaratish jarayonida xar bir yozuv belgilangan tartib raqamlari (10, 20, 30) ko`rinishida yoziladi. Shuni yodda tutish lozimki interfeysga, protokolga yoki yo`nalishga 1tadan ortiq ruhsat berishlar ro`yxatini qo`llash mumkin emas. Manzillarni filtrlash uchun ACL xizmatida WildCard-maska ishlatiladi. Bu teskari maska hisoblanadi. Bunga quyidagi andozani misol qilib keltirishimiz mumkin: 255.255.255.255 oddiy maskadan 255.255.255.0 maskani hosil qilamiz, va bunga teskari bo`lib 0.0.0.255 maskasi olinadi. 255.255.255.0 oddiy maska, 0.0.0.255 esa oddiy maskaga teskari WildCard maska bo`lib hisoblanadi.

ACLni sozlash

Ruhsat berishlar ro`yxati o`zi alohida global konfigda yaratiladi va interfeysga bog`lanadi. Shundan so`ngra ruhsat berishlar ro`yxati ishlashni boshlaydi. Ruhsat berishlar ro`yxatini to`g`ri sozlash uchun quyidagi momentlarni yodda tutish lozim:
• Paketlarni qayta ishlash jarayoni belgilangan qoidalarga muvofiq qatiy tartibda olib boriladi
• Agar paket qoidaga to`g`ri kelsa u qayta ishlanmaydi
• Har bir ruhsat berishlar ro`yxatining oxirida ko’rinmaydigan deny any (hammasini taqiqlash) turadi
• Kengaytirilgan ACLni iloji boricha manbaga yaqinroq, standart ACLni esa qabul qiluvchiga yaqinroq joylashtirish lozim
• Interfeysga, protokolga va yo`nalishga 1tadan ortiq ro`yxatni joylashtirish mumkin emas
• ACL marshrutizator tomonidan generatsiya qilingan trafikka ta’sir qilmaydi
• Tarmoq manzillarini filtrlash uchun WildCard maska ishlatiladi
Standart ruhsat berishlar ro`yxati
Router(config)#access-list <ro`yxat raqami 1 dan 99 gacha> {permit | deny | remark} {address | any | host} [source-wildcard] [log]
• permit: ruhsat berish
• deny: taqiqlash
• remark: ruhsat berish ro`yxati haqidaizoh
• address: tarmoqni taqiqlash yoki ruhsat berish
• any: xammasini taqiqlash yoki ruhsat berish
• host: xostni taqiqlash yoki ruhsat berish
• source-wildcard: tarmoqning WildCardmaskasi
• log: ushbu ACL orqali o`tuvchi paketlarni loglashni yoqish
Interfeysga biriktirish
Router(config-if)#ip access-group <ro`yxat raqami yoki ACL nomi> {in | out}
• in: kiruvchi yo`nalish
• out: chiquvchi yo`nalish
Nomlangan ruhsat berishlar ro`yxati
Router(config)#ipaccess-list {standard | extended} {<ACL raqami> | <ACL nomi>}
Router(config-ext-nacl)# {default | deny | exit | no | permit | remark}
• standard: standart ACL
• extended: kengaytirilganACL
• default: buyruqni belgilangan ko`rsatkichda o`rnatish
Marshrutizatorga ruhsat berishni cheklash
R(config)#linevty 0 4 — virtual liniyalarni sozlash rejimiga o`tish
R(config-line)#password <parol>
R(config-line)#login
R(config-line)#access-class 21 in — login va parolni sozlaymiz, hamda ruhsat berilgan IP-manzilli ro`yxatni biriktiramiz.

 

Laboratoriya mashg’ulotni to’liq yuklab olish uchun quyidagi tugmani bosing: