Access Control list (ACL)
Тухайн сүлжээндэх орж, гарж байгаа урсгалыг удирдах боломжийг олгодог. Өөрөөр хэлбэл ACL нь IP хаяг болон түүнээс түвшний протоколууд дээр үндэслэн пакетийг permit эсвэл deny хийхийг шийддэг.
ACL нь permit болон deny хийхдээ пакетийн header дэх дараах мэдээллийн тусламжтай шийднэ.
– Source IP address
– Destination IP address
– ICMP message type
– TCP/UDP source port
– TCP/UDP destination port
ACL-г хаана хэрэглэх вэ?
· Гадаад дотоод сүлжээний дундах firewall router дээр
· Сүлжээний 2 дэд хэсгийг холбож байгаа router дээр
· Border router-д дээр
· Border router-н оролт гаралтын интерфэйс дээр
ACL-н давуу тал
· Сүлжээний ажиллагааг сайжруулахын тулд трафикийг хязгаарлаж өгдөг
· Трафикийг удирдах боломжоор хангадаг
· Сүлжээнд анхан шатны хамгаалалт болж өгдөг
· Router-н аль интерфэйс дээр урсгалыг forward хийх болон block хийхийг шийддэг
· Сүлжээнд холбогдож байгаа client-дыг удирдаж болно.
ACL operation
ACL нь орж ирж байгаа болон гарж байгаа урсгалын аль алинд нь тохируулагдаж болдог.
Орж ирж байгаа талын ACL- Inbound ACL
Гарж байгаа талын ACL- Outbound ACL
Access Control List Types
· Standard ACLs
· Extended ACLs
· Dynamic (lock and key) ACLs
· IP-named ACLs
· Reflexive ACLs
· Time-based ACLs that use time ranges
· Commented IP ACL entries
· Context-based ACLs
· Authentication proxy
· Turbo ACLs
· Distributed time-based ACLs
Standart ACLs: Зөвхөн source IP хаягаар филтер хийдэг. Пакетийн destination болон ямар портынх гэдэг нь чухал биш байдаг
- · NAT
- · DCHP
- · DNS
Extended ACLs: 3 төрлийн зүйлээр филтер хийж өгдөг үүнд:
- · Source and destination address
- · Source and destination TCP/UDP port
- · Protocol type
Configuring StarndartIP ACL
1. Standart ACL-ээ үүсгэж өгнө
2. Интерфэйстэйгээ холбож өгнө
Жишээ нь:
| Router(config)#access-list 10 permit 192.168.3.0 0.0.0.255 Router(config)#interface fa0/0 Router(config-if)# ip access-group10 in (default нь outbound)
|
192.168.3.0 - 192.168.3.255 хоорондох бүх хаягийн урсгалыг зөвшөөрж, энэхүү access-group-ээ fa0/0 дээр тодорхойлж байна.
Хэрэв Access list-н мэдээллийг харах бол:
| Router(config)# show access-lists - shows all access lists. |
Устгах бол:
| Router(config)#no access-list [access-group number] |
Remark хийх:
| Router(config)#access-list access-list-number remark [тодорхойлолт]
|
Remark хийснээр ACL-г ойлгоход илүү хялбар болох бөгөөд 100 тэмдэгтэд багтаан тухайн ACL-н талаарх товч мэдээллийг бичнэ. ACL-г харахад мөн цугтаа гарч ирдэг.
Extended IP Access Lists
Extended ACL-г standart-с илүү хэргэлдэг. Учир нь илүү өргөн сонголтоор филтерлэх боломжтой байдаг.
Configuring ExtendedIP ACL
1. Extended ACL-ээ үүсгэж өгнө
2. Интерфэйстэйгээ холбож өгнө
| lt | Less than |
| gt | Greater than |
| neq | Not equal to |
| eq | Equal to |
ACL-г нэрлэх
ACL үүсгэх бас нэг арга нь ACL-г нэрлэх юм. Жишээ нь:
| Router(config)# ip access-list standard Nik |
No comments:
Post a Comment