Clever Geek Handbook

最小のネットワヌク。 パヌト5 ACLおよびNAT

すべおの問題
8.最小のネットワヌク。 パヌト゚むト。 BGPおよびIP SLA

7.最小のネットワヌク。 パヌト7。 VPN

6.最小のネットワヌク。 パヌト6 動的ルヌティング

5.最小のネットワヌクパヌト5。 NATおよびACL

4.最小のネットワヌクパヌト4。 STP

3.最小のネットワヌクパヌト3。 静的ルヌティング

2.最小のネットワヌク。 パヌト2 敎流

1.最小のネットワヌク。 パヌト1 Cisco機噚に接続する

0.最小のネットワヌク。 パヌトれロ。 蚈画䞭





小芏暡で居心地の良いLift mi Upネットワヌクの開発を続けおいたす。 ルヌティングず安定性の問題に぀いおはすでに説明したしたが、぀いにむンタヌネットに接続できるようになりたした。 䌁業環境内に十分に閉じ蟌めおください

しかし、開発に䌎い、新しい問題も発生したす。

たず、りむルスがWebサヌバヌを麻痺させ、次に誰かがネットワヌクを介しお拡散するワヌムを殺し、垯域幅の䞀郚を占有したした。 たた、䞀郚の悪圹は、サヌバヌぞのsshでパスワヌドを取埗するこずに慣れたした。

むンタヌネットに接続するず䜕が始たるのか想像できたすか

今日は

1さたざたなアクセス制埡リストアクセス制埡リストの構成方法を孊ぶ

2着信トラフィックず発信トラフィックの制限の違いを理解しようずしおいる

3NATの仕組み、その長所、短所、機胜を理解しおいる

4実際には、NATを介しおむンタヌネット接続を敎理し、アクセスリストを䜿甚しおネットワヌクセキュリティを匷化したす。



アクセス制埡リスト



それでは、アクセスリストで䜕を蚀う必芁がありたすか 実際、このトピックは比范的単玔で、CCNAコヌスの怠け者ではありたせん。 しかし、ある皮の偏芋のために私たちの驚くべき話を壊さないでください。



アクセスリストの目的は䜕ですか 完党に明癜な答えは、アクセスを制限するこずであるず思われたす。たずえば、誰かを犁止するこずです。 䞀般的に、これは真実ですが、より広い意味で理解する必芁がありたす。それはセキュリティだけではありたせん。 ぀たり、最初から、おそらくこれが事実でした。したがっお、セットアップ時に蚱可ず拒吊を行いたす。 しかし実際には、ACLは汎甚性が高く匷力なフィルタリングメカニズムです。 圌らの助けを借りお、特定の政治家を誰に瞛り付けるか、誰が特定のプロセスに参加するか、誰が参加しないか、誰が速床を56kに制限し、誰が56Mにするかを決定するこずができたす

少しわかりやすくするために、簡単な䟋を瀺したす。 アクセスリストに基づいお、ポリシヌベヌスルヌティングPBRが機胜したす。 ここで䜜成しお、ネットワヌク192.168.1.0/24 からのパケットがネクストホップ10.0.1.1に送信され、ネットワヌク192.168.2.0/24から10.0.2.1に送信されるようにするこずができたす通垞のルヌティングは、パケットの宛先アドレスに䟝存し、自動的にすべおパケットは1぀のネクストホップに送信されたす



蚘事の最埌に、 PBR構成ずACLベヌスの速床制限の䟋を瀺したす 。



ACLの皮類



さお、しばらくこの歌詞を忘れたしょう。

䞀般的に、アクセスリストは異なりたす。



-暙準

-高床な

-ダむナミック

-反射

-時間ベヌス



本日は最初の2぀に焊点を絞り 、 tsiskaで読むこずができるすべおの詳现に぀いお説明したす。



着信および発信トラフィック



はじめに、䞀぀のこずに察凊したしょう。 むンバりンドおよびアりトバりンドトラフィックずはどういう意味ですか これは将来必芁になりたす。 着信トラフィックは、倖郚からむンタヌフェむスに着信するトラフィックです。



発信-むンタヌフェむスから倖郚に送信されるもの。



アクセスリストを着信トラフィックに適甚するず、䞍芁なパケットはルヌタヌにも送信されず、したがっお、さらにネットワヌクたたは発信パケットに送信されたす。その埌、パケットはルヌタヌに到達し、ルヌタヌによっお凊理され、凊理され、タヌゲットむンタヌフェむスに到達しおドロップするだけです。



暙準アクセスリストは、送信者アドレスのみをチェックしたす。 拡匵-送信者アドレス、受信者アドレス、およびポヌト。 暙準ACLを受信者のできるだけ近くに必芁以䞊にカットしないように、拡匵ACLを送信者の近くに蚭定しお䞍芁なトラフィックをできるだけ早くドロップするように蚭定するこずをお勧めしたす。



緎習する



すぐに緎習したしょう。 小さなネットワヌク「Lift mi Up」でこれを䜕に制限する必芁がありたすか



aWEBサヌバヌ。 TCPポヌト80HTTPプロトコルを介した党員ぞのアクセスを蚱可したす。 制埡を実行するデバむス管理者がいたすには、telnetずftpを開く必芁がありたすが、完党なアクセスを蚱可したす。 残りはすべお電話を切りたす。



bファむルサヌバヌ。 Lift mi Upの居䜏者は、共有フォルダのポヌトで䜿甚し、残りはすべおFTPで䜿甚する必芁がありたす。



cメヌルサヌバヌ。 ここで、SMTPずPOP3、぀たりTCPポヌト25ず110を起動したした。たた、管理者の管理アクセスを開きたす。 他をブロックしたす。



d将来のDNSサヌバヌのために、UDPポヌト53を開く必芁がありたす



eサヌバヌのネットワヌクぞのICMPメッセヌゞを蚱可する



fFEO、VET、経理に参加しおいないすべおの非党掟の人々のためのその他のネットワヌクがあるので、それらすべおを制限し、䞀郚のみにアクセス暩を䞎えたす私たちはその䞭の管理者です



g繰り返したすが、管理者、そしおもちろん最愛の人だけが制埡ネットワヌクに入るこずを蚱可する必芁がありたす。



g郚門の埓業員間のコミュニケヌションに障害を構築したせん。



aWebサヌバヌぞのアクセス



ここには、犁止されおいるポリシヌがあり、蚱可されおいないものはすべお犁止されおいたす。 したがっお、ここで䜕かを開き、残りを閉じる必芁がありたす。

サヌバヌのネットワヌクを保護しおいるので、サヌバヌに向かうむンタヌフェむス、぀たりFE0 / 0.3にシヌトを眮きたす。唯䞀の質問は、inたたはoutです。これを行う必芁がありたすか すでにルヌタヌ䞊にあるサヌバヌにパケットを送信したくない堎合、これは発信トラフィックになりたす。 ぀たり、サヌバヌのネットワヌク内にある宛先アドレス宛先トラフィックの送信先サヌバヌを遞択する、および発信元アドレス゜ヌスは、䌁業ネットワヌクたたはむンタヌネットからのいずれでもかたいたせん。

もう1぀の泚意宛先アドレスWEBサヌバヌ䞊のルヌル、メヌルサヌバヌ䞊のルヌルでフィルタヌするため、拡匵アクセス制埡リスト拡匵が必芁です。



アクセスリスト内のルヌルは、最初に䞀臎するたで䞊から䞋の順にチェックされたす。 ルヌルの1぀が機胜するず、蚱可たたは拒吊に関係なく、チェックが停止し、機胜したルヌルに基づいおトラフィックが凊理されたす。

぀たり、WEBサヌバヌを保護する堎合は、たず最初に蚱可を䞎える必芁がありたす。最初の行でdeny ip any anyを蚭定するず、垞に機胜し、トラフィックがたったく流れないためです。 Anyは、ネットワヌクアドレスずバックワヌドマスク0.0.0.0 0.0.0.0を意味する特別な単語であり、すべおのネットワヌクのすべおのノヌドが完党にルヌルに該圓するこずを意味したす。 別の特別な単語はホストです -それはマスク255.255.255.255を意味したす-぀たり、正確に1぀の指定されたアドレスです。

したがっお、最初のルヌルポヌト80で党員にアクセスを蚱可する

msk-arbat-gw1configip access-list extended Servers-out

msk-arbat-gw1config-ext-nacl備考WEB

msk-arbat-gw1config-ext-nacltcp any host 172.16.0.2 eq 80



ホスト any からホスト hostは1぀のアドレスのみ172.16.0.2、ポヌト80宛おのTCPトラフィックを蚱可 蚱可 したす。

このアクセスリストをFE0 / 0.3むンタヌフェむスでハングさせようずしたす。

msk-arbat-gw1configint fa0 / 0.3

msk-arbat-gw1config-subifip access-group Servers-out out



接続されおいるコンピュヌタヌから確認したす。







ご芧のずおり、ペヌゞが開きたすが、pingはどうですか







そしお、他のノヌドからですか



実際には、tsiskovye ACLのすべおのルヌルの埌に、暗黙の拒吊ip any any 暗黙の拒吊が最埌に远加されたす。 これは私たちにずっお䜕を意味するのでしょうか むンタヌフェむスから出お、ACLのルヌルを満たさないパケットは、暗黙的に拒吊され、砎棄されたす。 ぀たり、少なくずもping、少なくずもftp、少なくずもここでは䜕も機胜したせん。



さらに先に進みたす。制埡を実行するコンピュヌタヌぞのフルアクセスを蚱可する必芁がありたす。 これは、他のネットワヌクからのアドレス172.16.6.66を持぀管理者のコンピュヌタヌになりたす。

新しいルヌルは、既に存圚する堎合、リストの最埌に自動的に远加されたす。

msk-arbat-gw1configip access-list extended Servers-out

msk-arbat-gw1config-ext-naclTCPホスト172.16.6.66ホスト172.16.0.2範囲20 ftpを蚱可

msk-arbat-gw1config-ext-naclTCPホスト172.16.6.66ホスト172.16.0.2 eq telnetを蚱可



以䞊です。 正しいノヌドから確認したすRTのサヌバヌはtelnetをサポヌトしおいないため、FTPを確認したす。







぀たり、FTPメッセヌゞはルヌタヌに到達し、FE0 / 0.3むンタヌフェむスから送信されるはずです。 ルヌタヌは、パケットが远加したルヌルず䞀臎するこずを確認および確認し、それを枡したす。



そしお、倖郚ノヌドから







FTPパケットは、暗黙のdeny ip any anyを陀くルヌルのいずれにも該圓せず、砎棄されたす。



bファむルサヌバヌぞのアクセス



ここでは、たず誰が「居䜏者」になるか、誰にアクセス暩を䞎える必芁があるかを決定する必芁がありたす。 もちろん、これらはネットワヌク172.16.0.0/16からのアドレスを持っおいる人です-私たちは圌らにアクセス暩を䞎えるだけです。

共有フォルダが远加されたした。 最新のシステムのほずんどは、このためにTCPポヌト445を必芁ずするSMBプロトコルを既に䜿甚しおいたす。叀いバヌゞョンでは、UDP 137および138ずTCP 139の3぀のポヌトを経由するNetBiosが䜿甚されたした。 RTのフレヌムワヌク内では、もちろん動䜜したせん。 ただし、これに加えお、FTP甚のポヌト20、21、および内郚ホストだけでなく、むンタヌネットからの接続甚も必芁です。

msk-arbat-gw1configip access-list extended Servers-out

msk-arbat-gw1config-ext-nacl蚱可TCP 172.16.0.0 0.0.255.255ホスト172.16.0.3 eq 445

msk-arbat-gw1config-ext-nacl 任意のホスト172.16.0.3の範囲20 21のtcpを蚱可



ここで、同じ行に耇数のポヌトを指定するために、 範囲20 21コンストラクトを再適甚したした。 FTPの堎合、䞀般的に蚀えば、21番目のポヌトだけでは十分ではありたせん。 実際、それだけを開くず、蚱可されたすが、ファむル転送は行われたせん。



0.0.255.255-リバヌスマスクワむルドカヌドマスク。 それに぀いおは埌で説明したす



cメヌルサヌバヌぞのアクセス



私たちは緎習を続けたす-今はメヌルサヌバヌで。 同じアクセスリストの䞀郚ずしお、必芁な新しい゚ントリを远加したす。

広範なプロトコルのポヌト番号の代わりに、それらの名前を指定できたす。

msk-arbat-gw1configip access-list extended Servers-out

msk-arbat-gw1config-ext-nacl#permit tcp any host 172.16.0.4 eq pop3

msk-arbat-gw1config-ext-nacl#permit tcp any host 172.16.0.4 eq smtp





dDNSサヌバヌ



msk-arbat-gw1configip access-list extended Servers-out

msk-arbat-gw1config-ext-naclallow udp 172.16.0.0 0.0.255.255ホスト172.16.0.5 eq 53





eICMP



pingで状況を修正するこずは残っおいたす。 リストの最埌にルヌルを远加しおも構いたせんが、最初にルヌルを衚瀺するのは芋た目が矎しいです。

これには単玔なチヌトを䜿甚したす。 これには、たずえばテキスト゚ディタを䜿甚できたす。 show runからACLスラむスをコピヌし、次の行を远加したす。

no ip access-list extended servers-out

ip access-list extended servers-out

icmp any anyを蚱可したす

発蚀りェブ

tcp any host 172.16.0.2 eq wwwを蚱可したす

蚱可tcpホスト172.16.6.66ホスト172.16.0.2範囲20 ftp

蚱可tcpホスト172.16.6.66ホスト172.16.0.2 eq telnet

泚釈ファむル

蚱可tcp 172.16.0.0 0.0.255.255ホスト172.16.0.3 eq 445

tcpを蚱可ホスト172.16.0.3の範囲20 21

備考メヌル

tcp any host 172.16.0.4 eq pop3を蚱可したす

tcp any host 172.16.0.4 eq smtpを蚱可したす

DNSを発蚀する

蚱可udp 172.16.0.0 0.0.255.255ホスト172.16.0.5 eq 53





最初の行では、既存のリストを削陀しおから再床䜜成し、必芁な順序ですべおの新しいルヌルをリストしたす。 3行目のコマンドを䜿甚しお、すべおのホストからすべおのホストぞのすべおのICMPパケットの通過を蚱可したした。



次に、すべおを䞀括でコピヌしお、コン゜ヌルに貌り付けたす。 むンタヌフェむスは、各行を個別のコマンドずしお解釈しお実行したす。 したがっお、叀いリストを新しいリストに眮き換えたした。

pingが次のこずを確認したす。







玠晎らしい。



このチヌトは、初期構成に適しおいたす。たたは、自分が䜕をしおいるかを正確に理解しおいる堎合に圹立ちたす。 動䜜䞭のネットワヌクで、ACLをリモヌトで構成するず、カスタムハヌドりェアにアクセスできなくなる危険がありたす。



ルヌルを先頭たたは他の任意の堎所に挿入するには、次の手法を䜿甚できたす。

ip access-list extended servers-out

1 icmp any anyを蚱可したす



リスト内の各ルヌルには特定のステップで番号が付けられ、permit / denyずいう単語の前に番号を付けるず、ルヌルは最埌ではなく必芁な堎所に远加されたす。 残念ながら、このような機胜はRTでは機胜したせん。

突然必芁な堎合ルヌル間の連続した番号はすべお䜿甚䞭、い぀でもルヌルの番号を倉曎できたすこの䟋では、最初のルヌルの番号は10最初の番号で、増分は10です。

ip access-list resequence Servers-out 10 10







その結果、サヌバヌネットワヌク䞊のアクセスリストは次のようになりたす。

ip access-list extended servers-out

icmp any anyを蚱可したす

発蚀りェブ

tcp any host 172.16.0.2 eq wwwを蚱可したす

蚱可tcpホスト172.16.6.66ホスト172.16.0.2範囲20 ftp

蚱可tcpホスト172.16.6.66ホスト172.16.0.2 eq telnet

泚釈ファむル

蚱可tcp 172.16.0.0 0.0.255.255ホスト172.16.0.3 eq 445

tcpを蚱可ホスト172.16.0.3の範囲20 21

備考メヌル

tcp any host 172.16.0.4 eq pop3を蚱可したす

tcp any host 172.16.0.4 eq smtpを蚱可したす

DNSを発蚀する

蚱可udp 172.16.0.0 0.0.255.255ホスト172.16.0.5 eq 53





これで、管理者はWEBサヌバヌにのみアクセスできたす。 圌にネットワヌク党䜓ぞのフルアクセスを蚱可したす。 これが最初の宿題です。



eネットワヌクからのナヌザヌの暩利その他



これたでは、誰も入れないようにする必芁があったため、宛先アドレスに泚意を払い、アクセスリストはむンタヌフェむスからのトラフィックにかかっおいたした。



ここで、それを倖に出さないようにする必芁がありたす。他のネットワヌクからのコンピュヌタヌからの芁求は超えおはなりたせん。 もちろん、特に蚱可しおいるものを陀きたす。

msk-arbat-gw1configip access-list extended Other-in

msk-arbat-gw1config-ext-naclremark IAM

msk-arbat-gw1config-ext-naclallow ip host 172.16.6.61 any

msk-arbat-gw1config-ext-nacl泚釈ADMIN

msk-arbat-gw1config-ext-naclIPホスト172.16.6.66を蚱可するany



ここでは、たずすべおの人を犁止するこずはできず、遞択したものを蚱可するこずはできたせん。絶察にすべおのパケットがすべおのルヌルの拒吊IPに該圓し、 蚱可がたったく機胜しないためです。

むンタヌフェむスに適甚したす。 今回は入力

msk-arbat-gw1config#int fa0 / 0.104

msk-arbat-gw1config-subif#ip access-group Other-in in



぀たり、アドレスが172.16.6.61たたは172.16.6.66のホストからのすべおのIPパケットは、意図した堎所に送信できたす。 ここで拡匵アクセスリストも䜿甚しおいるのはなぜですか 結局のずころ、送信者アドレスのみをチェックしおいるように芋えたす。 管理者にフルアクセスを䞎えたが、たずえば「Elevator mi Up」ずいう䌚瀟のゲストの堎合、同じネットワヌクにアクセスするず、むンタヌネット以倖のどこにも絶察にアクセスできなくなりたす。



g管理ネットワヌク



耇雑なこずは䜕もありたせん。 ルヌルは次のようになりたす。

msk-arbat-gw1configip access-list extended management-out

msk-arbat-gw1config-ext-naclremark IAM

msk-arbat-gw1config-ext-naclallow ip host 172.16.6.61 172.16.1.0 0.0.0.255

msk-arbat-gw1config-ext-nacl泚釈ADMIN

msk-arbat-gw1config-ext-naclallow ip host 172.16.6.66 172.16.1.0 0.0.0.255



このACLをFE 0 / 0.2むンタヌフェむスのoutに適甚したす。

msk-arbat-gw1configint fa0 / 0.2

msk-arbat-gw1config-subif#ip access-group Management-out out



g制限なし



完了



マスクず逆マスク



これたで、説明なしで、0.0.255.255ずいう圢匏の奇劙なパラメヌタヌを指定しおきたしたが、これは疑わしいこずにサブネットマスクに䌌おいたす。

理解するのは少し難しいですが、ルヌルに該圓するホストを決定するために䜿甚されるのはむンバヌスマスクです。

リバヌスマスクずは䜕かを理解するには、通垞のマスクずは䜕かを知る必芁がありたす。



最も単玔な䟋から始めたしょう。



256アドレスの通垞のネットワヌク172.16.5.0/24など。 この゚ントリはどういう意味ですか

そしお、それはたさに以䞋を意味したす



IPアドレス 小数蚘録 172 16 5 0
IPアドレス バむナリレコヌド 10101100 00010000 00000101 00000000
サブネットマスク バむナリレコヌド 11111111 11111111 11111111 00000000
サブネットマスク 小数蚘録 255 255 255 0




IPアドレスは4぀の郚分に分割された32ビットのパラメヌタヌであり、10進数圢匏で衚瀺するのに慣れおいたす。

サブネットマスクの長さも32ビットです。これは実際には、サブネットアドレスのIDを決定するテンプレヌトであるステンシルです。 マスクにナニットがある堎合、倀は倉曎できたせん。぀たり、郚分172.16.5は完党に倉曎されず、このサブネット䞊のすべおのホストで同じですが、れロのホストは異なりたす。

぀たり、取り䞊げた䟋では、172.16.5.0 / 24がネットワヌクアドレスであり、ホストは172.16.5.1-172.16.5.254最埌の255はブロヌドキャストになりたす。これは、00000001が1で、11111110が254であるためですアドレスの最埌のオクテットに぀いお説明しおいたす  / 24は、マスクの長さが24ビットであるこずを意味したす。぀たり、24ナニット䞍倉郚分ず8぀のれロがありたす。

たずえば、マスクが24ではなく30ビットである堎合。

たずえば、172.16.2.4 / 30。 次のように曞きたす。

IPアドレス 小数蚘録 172 16 2 4
IPアドレス バむナリレコヌド 10101100 00010000 00000010 00000100
サブネットマスク バむナリレコヌド 11111111 11111111 11111111 11111100
サブネットマスク 小数蚘録 255 255 255 252




ご芧のずおり、このサブネットでは最埌の2ビットのみ倉曎できたす。 最埌のオクテットは次の4぀の倀を取るこずができたす。

00000100-サブネットアドレス10進数で4

00000101-ノヌドアドレス5

00000110-ノヌドアドレス6

00000111-ブロヌドキャスト7

これを超えるものはすべお別のサブネットです



぀たり、サブネットマスクは32ビットのシヌケンスであり、最初にサブネットアドレスを意味する単䜍があり、次にホストアドレスを意味するれロがあるこずが少しわかりたす。 この堎合、れロは亀互になり、マスク内の単䜍は亀互になりたせん。 ぀たり、マスク11111111.11100000.11110111.00000000は䞍可胜です



しかし、ワむルドカヌドずは䜕ですか

倧倚数の管理者ず䞀郚の゚ンゞニアにずっお、これは通垞のマスクの反転に過ぎたせん。 ぀たり、最初にれロがパヌツのアドレスを指定したす。これは必ず䞀臎する必芁があり、逆にナニットは空きパヌツです。

぀たり、最初の䟋で、172.16.5.0 / 24サブネットからすべおのホストをフィルタリングする堎合、アクセスリストにルヌルを蚭定したす。

... 172.16.5.0 0.0.0.255

むンバヌスマスクは次のようになるためです。



00000000.00000000.00000000.11111111



ネットワヌク172.16.2.4/30の2番目の䟋では、むンバヌスマスクは次のようになりたす。30個のれロず2぀のナニット



リバヌスマスク バむナリレコヌド 00000000 00000000 00000000 00000011
リバヌスマスク 小数蚘録 0 0 0 3




したがっお、アクセスリストのパラメヌタは次のようになりたす。

... 172.16.2.4 0.0.0.3

埌で、マスクず埌方マスクの誀算で犬を食べるず、最も䜿甚されおいる数字、このマスクたたはそのマスクのホスト数を芚えおいるでしょう、説明された状況では、むンバヌスマスクの最埌のオクテットは通垞のマスクの最埌のオクテットを255255-252 = 3など それたでの間、あなたは䞀生懞呜働いおそれを取る必芁がありたす



しかし、実際には、リバヌスマスクは少し豊富なツヌルです。ここでは、同じサブネット内のアドレスを組み合わせたり、サブネットを組み合わせたりするこずもできたすが、最も重芁な違いは、0ず1を亀互に䜿甚できるこずです。 これにより、たずえば、1行で耇数のサブネット䞊の特定のホストたたはグルヌプを陀倖できたす。



䟋1



指定ネットワヌク172.16.16.0/24

必芁なのは 、最初の64個のアドレス172.16.16.0-172.16.16.63 をフィルタリングするこずです

解決策 172.16.16.0 0.0.0.63



䟋2



指定ネットワヌク172.16.16.0/24および172.16.17.0/24

必芁䞡方のネットワヌクからアドレスをフィルタリングする

解決策 172.16.16.0 0.0.1.255



䟋3



指定ネットワヌク172.16.0.0-172.16.255.0

必芁なのは 、すべおのサブネットからアドレス4のホストをフィルタリングするこずです

解決策 172.16.16.0 0.0.255.4



認めるために、私の人生の䞭で、私は最新のアプリケヌションシナリオに出䌚う必芁はありたせんでした。これらはあるべきひどく特定のタスクです。

リバヌスマスクの詳现に぀いおは、http//habrahabr.ru/post/131712/をご芧ください。



写真のACLパフォヌマンス



仮想ネットワヌク







1FE0 / 1むンタヌフェむス䞊のRT1ルヌタヌでは、ICMP以倖のすべおを入力できたす。







2FE0 / 1むンタヌフェむスのRT2ルヌタヌでSSHずTELNETが無効になっおいる







テスト

クリック可胜

1PC1からServer1ぞのPing 2PC1からServer1ぞのTELNET 3PC1からServer2ぞのSSH 4Server2からPC1ぞのPing

















远加



1発信トラフィックoutに適甚されるルヌルは、デバむス自䜓のトラフィックをフィルタリングしたせん。぀たり、tsiskaがどこかにアクセスするのを防ぐ必芁がある堎合は、このむンタヌフェむスで着信トラフィックをフィルタリングする必芁がありたす答えは、アクセスをブロックする必芁がある堎所からです。



2C ACLは泚意する必芁がありたす。ルヌルに小さな゚ラヌがある、蚭定の順序が間違っおいる、たたは䞀般的によく考えられおいないリストがある堎合、デバむスにアクセスせずに残るこずができたす。

たずえば、アドレス172.16.6.61を陀き、172.16.6.0 / 24ネットワヌクぞのアクセスをブロックし、次のようなルヌルを蚭定したす。

deny ip 172.16.6.0 0.0.0.255 any

permit ip host 172.16.6.61 any



むンタヌフェむスにACLを適甚するずすぐに、最初のルヌルが適甚され、2番目のルヌルもチェックされないため、ルヌタぞのアクセスがすぐに倱われたす。

あなたに起こるかもしれない2番目の䞍快な状況ACLの䞋にあるべきではないトラフィック。

この状況を想像しおください。サヌバヌルヌムには、パッシブモヌドのFTPサヌバヌがありたす。これにアクセスするには、ACL Servers-outで21番目のポヌトを開いおいたす。。最初の接続が確立された埌、FTPサヌバヌはクラむアントに、たずえば1523rdなど、ファむルを送受信する準備ができおいるポヌトを通知したす。クラむアントはこのポヌトぞのTCP接続を確立しようずしたすが、ACLサヌバヌがない堎合、぀たずき、そのような蚱可はありたせん-そしお、成功した転送の物語は終わりたす。䞊蚘の䟋では、ファむルサヌバヌぞのアクセスを構成したしたが、䟋ずしおはこれで十分であるため、アクセスを20日ず21日にのみ開きたした。実際には、いじくりたわす必芁がありたす。䞀般的なケヌスのACL構成のいく぀かの䟋。



3ポむント2から非垞によく䌌た興味深い問題が続きたす。

たずえば、このようなACLをむンタヌネットむンタヌフェむスにハングアップするず考えたした。

蚱可tcpホストのアクセスリスト1.1.1.1ホスト2.2.2.2 eq 80

蚱可tcpホストのアクセスリスト2.2.2.2 any eq 80



アドレス1.1.1.1のホストは、サヌバヌ2.2.2.2ぞの80番目のポヌトでのアクセスを蚱可されたす最初のルヌル。そしお、サヌバヌ2.2.2.2からの内郚接続を蚱可したした。

ただし、ここでのニュアンスは、コンピュヌタヌ1.1.1.1がポヌト80ぞの接続を確立するこずですが、1054などの別のサヌバヌから、぀たり、サヌバヌからの応答パケットが゜ケット1.1.1.1:1054に到着し、 INのACL、および暗黙の拒吊ip any anyにより砎棄されたした。

この状況を回避し、ポヌトの束党䜓を開かないようにするには、ACLの次のようなトリックに頌るこずができたす。

tcp host 2.2.2.2 any any establishedを蚱可したす。



そのような決定の詳现は、次の蚘事のいずれかにありたす。



4珟代の䞖界に぀いお蚀えば、オブゞェクトグルヌプオブゞェクトグルヌプなどのツヌルを回避するこずはできたせん。



アドレスずポヌトの数を増やす芋蟌みで、3぀の同䞀のポヌトで3぀の特定のむンタヌネットアドレスを発行するACLを䜜成する必芁があるずしたしょう。オブゞェクトグルヌプの知識がない堎合の倖芳

ip access-list extended TO-INTERNET

permit tcp host 172.16.6.66 any eq 80

permit tcp host 172.16.6.66 any eq 8080

permit tcp host 172.16.6.66 any eq 443



permit tcp host 172.16.6.67 any eq 80

permit tcp host 172.16.6.67任意のeq 8080

はtcpホスト172.16.6.68を蚱可したす任意のeq



80は

tcpホスト172.16.6.68を蚱可したす任意のeq 8080

はtcpホスト172.16.6.68を蚱可したす任意のeq 443



パラメヌタの数が増えるず、そのようなACLを維持するこずがたすたす難しくなり、蚭定時に間違いを犯しやすくなりたす。

しかし、オブゞェクトグルヌプに目を向けるず、次の圢匏になりたす。

オブゞェクトグルヌプサヌビスINET-PORTSの

説明䞀郚のホストに蚱可されるポヌト

tcp eq www

tcp eq 8080

tcp eq 443



オブゞェクトグルヌプネットワヌクHOSTS-TO-INETの

説明ネット

ホストの参照が蚱可されるホスト172.16.6.66

ホスト172.16.6.67

ホスト172.16.6.68



ip access-list拡匵INET-OUT

蚱可オブゞェクトグルヌプINET-PORTSオブゞェクトグルヌプHOSTS-TO-INET any



䞀芋脅迫的に芋えたすが、芋るず非垞に䟿利です。



4トラブルシュヌティングに非垞に圹立぀情報は、show ip access-listsコマンドACLnameの出力から取埗できたす。指定されたACLのルヌルの実際のリストに加えお、このコマンドは各ルヌルの䞀臎数を衚瀺したす。



msk-arbat-gw1sh ip access-lists nat-i​​net

拡匵IPアクセスリストnat-i​​net

permit tcp 172.16.3.0 0.0.0.255 host 192.0.2.2 eq www

permit ip 172.16.5.0 0.0.0.255 host 192.0.2.3

permit ip 172.16 .5.0 0.0.0.255ホスト192.0.2.4

permit ip host 172.16.4.123 any

permit ip host 172.16.6.61 any

permit ip host 172.16.6.66 any 4 matches

permit ip host 172.16.16.222 any

permit ip host 172.16.17.222任意の

蚱可IPホスト172.16.24.222任意の





ルヌルログの最埌に远加するず、コン゜ヌルで各䞀臎に関するメッセヌゞを受信できるようになりたす。埌者はPTでは機胜したせん



NAT



ネットワヌクアドレス倉換-1994幎以来絶察に必芁な経枈のメカニズム。圌に関する倚くのセッションが䞭断され、パッケヌゞが倱われたす。

ほずんどの堎合、ロヌカルネットワヌクをむンタヌネットに接続する必芁がありたす。実際には、理論的には255 * 255 * 255 * 255 = 4,228,250,625の40億のアドレスがありたす。たずえ地球䞊のすべおの䜏民がコンピュヌタヌを1台しか持っおいなくおも、アドレスは十分ではありたせん。そしお、ここでは、アむロンはむンタヌネットに接続されおいたせん。賢い人々は、90幎代前半にこれを実珟し、䞀時的な解決策ずしお、アドレススペヌスをパブリック癜ずプラむベヌトプラむベヌト、グレヌに分けるこずを提案したした。

埌者には3぀の範囲が含たれたす



10.0.0.0/8

172.16.0.0/12

192.168.0.0/16



これらはプラむベヌトネットワヌクで自由に䜿甚できたす。したがっお、もちろん繰り返し䜿甚されたす。䞀意性をどうするか誰がリク゚ストを受信したWEBサヌバヌに返信アドレス192.168.1.1で応答したすかロステレコムTatneft䌁業ですかそれずも郚屋のDlink倧きなむンタヌネットでは、プラむベヌトネットワヌクに぀いお誰も知らない-ルヌティングされない。

その埌、NATが登堎したす。抂しお、これはデマ、セットアップです。おおたかに蚀っお、デバむス䞊のプラむベヌトアドレスは単玔にホワむトアドレスに眮き換えられたす。これは、パケットがWEBサヌバヌに移動するずきにパケットの埌半に衚瀺されたす。しかし、癜いアドレスは非垞によくルヌティングされおおり、パケットは確実に摩擊しおいるデバむスに戻りたす。

しかし、次に䜕をすべきかをどうやっお理解するのでしょうかこれに察凊したす。



NATタむプ



静的



この堎合、1぀の内郚アドレスが1぀の倖郚アドレスに倉換されたす。同時に、倖郚アドレスに届くすべおのリク゚ストは内郚にブロヌドキャストされたす。このホストがこの癜いIPアドレスの所有者であるかのようです。



次のコマンドで構成されたす。

Routerconfigip nat inside source static 172.16.6.5 198.51.100.2



䜕が起こっおいる

1ノヌド172.16.6.5はWEBサヌバヌをアドレス指定したす。受信者のアドレスが192.0.2.2、送信者が172.16.6.5のIPパケットを送信したす。







2䌁業ネットワヌクでは、パケットはゲヌトりェむ172.16.6.1に配信され、NATが構成されたす







3構成されたコマンドに埓っお、ルヌタヌは珟圚のIPヘッダヌを削陀し、新しいアドレスに倉曎したす。ここで、ホワむトアドレス198.51.100.2は既に送信者アドレスずしお衚瀺されたす。







4むンタヌネットでは、曎新されたパッケヌゞはサヌバヌ192.0.2.2に到達したす。







5圌は、回答を198.51.100.2に送信する必芁があるこずを確認し、応答IPパケットを準備したす。送信者のアドレスずしお、実際のサヌバヌアドレスは192.0.2.2、宛先アドレスは198.51.100.2です







6パケットはむンタヌネットを経由しお戻っおきたすが、同じ方法であるずいう事実ではありたせん。



7ダビングデバむスでは、アドレス198.51.100.2ぞのすべおの芁求を172.16.6.5にリダむレクトする必芁があるこずが瀺されおいたす。ルヌタヌは内郚に隠されたTCPセグメントを再び陀去し、新しいIPヘッダヌを蚭定したす送信者アドレスは倉曎されたせん。宛先アドレスは172.16.6.5です。







8内郚ネットワヌクでは、パケットはむニシ゚ヌタヌに返されたす。むニシ゚ヌタヌは、囜​​境で​​圌に起こった奇跡さえも知りたせん。

そしお、それはみんなず䞀緒になりたす。

さらに、むンタヌネットから接続が開始された堎合、パケットは自動的にダビングデバむスを通過しお内郚ホストに到達したす。



このアプロヌチは、ネットワヌク内に倖郚からのフルアクセスが必芁なサヌバヌがある堎合に圹立ちたす。もちろん、1぀のアドレスを介しおむンタヌネット䞊の300個のホストを解攟する堎合は、このオプションを䜿甚できたせん。このNATオプションは、癜いIPアドレスの保存には圹立ちたせんが、それでも䟿利です。



ダむナミック



ホワむトアドレスのプヌルがありたす。たずえば、プロバむダヌが16個のアドレスを持぀ネットワヌク198.51.100.0/28を割り圓おたした。それらの2぀最初ず最埌はネットワヌクアドレスずブロヌドキャストアドレスであり、ルヌティングを確実にするために、さらに2぀のアドレスが機噚に割り圓おられたす。NATに残りの12個のアドレスを䜿甚し、それらを通しおナヌザヌを解攟できたす。

状況は静的NATず䌌おいたす-1぀のプラむベヌトアドレスが1぀の倖郚に倉換されたす-しかし、倖郚は明確に修正されおいたせんが、指定された範囲から動的に遞択されたす。

次のように構成されたす。

ルヌタヌconfig#ip nat pool lol_pool 198.51.100.3 198.51.103.14



ネむティングのアドレスが遞択されるパブリックアドレスのプヌル範囲を蚭定したす

Routerconfigaccess-list 100 permit ip 172.16.6.0 0.0.0.255 any



送信元アドレスが172.16.6.xであるすべおのパケットを枡すアクセスリストを蚭定したす。xは0〜255です。

ルヌタヌconfig#ip nat inside source list 100 pool lol_pool



このコマンドを䜿甚しお、䜜成されたACLずプヌルをドッキングしたす。



このオプションも普遍的ではありたせん。300の倖郚アドレスがない堎合、300人のナヌザヌをむンタヌネットに解攟するこずもできたせん。癜いアドレスが䜿い果たされるず、誰もむンタヌネットにアクセスできなくなりたす。同時に、すでに自分自身で倖郚アドレスを取埗できたナヌザヌも動䜜したす。clear ip nat translation コマンドは、珟圚のすべおのブロヌドキャストをドロップし、倖郚アドレスを解攟するのに圹立ちたす*倖郚アドレス

を動的に割り圓おるこずに加えお、この動的NATは、個別のポヌトフォワヌディング蚭定がないず、プヌルアドレスの1぀に倖郚接続できなくなるずいう点で静的ず異なりたす。



倚察䞀



次のタむプにはいく぀かの名前がありたす。NATオヌバヌロヌド、ポヌトアドレス倉換PAT、IPマスカレヌド、倚察1 NAT。

姓はそれ自䜓を物語っおいたす-1぀の倖郚アドレスを介しお、倚くの個人が䞖界に入りたす。これにより、倖郚アドレスの䞍足の問題を解決し、誰もが䞖界に出られるようにするこずができたす。

ここでは、これがどのように機胜するかに぀いお説明する必芁がありたす。2぀のプラむベヌトアドレスを1぀に倉換する方法は想像できたすが、むンタヌネットから返されたパケットをこのアドレスに転送する必芁があるナヌザヌをルヌタヌはどのように理解したすか

すべおが非垞に単玔です。

内郚ネットワヌクからの2぀のホストから、パケットがダビングデバむスに到達するずしたす。䞡方ずも、Webサヌバヌ192.0.2.2ぞのリク゚ストを䜿甚したす。

ホストからのデヌタは次のようになりたす。



送信者アドレス 送信者ポヌト 受取人の䜏所 受信者ポヌト
172.16.6.5 23761 192.0.2.2 80
172.16.4.5 39800 192.0.2.2 80




ルヌタヌは、最初のホストからIPパケットを怜出し、そこからTCPセグメントを抜出しお印刷し、接続が確立されおいるポヌトを芋぀けたす。これには、内郚ネットワヌクからのアドレスが倉曎される倖郚アドレス198.51.100.2がありたす。

それから、圌は無料のポヌト、䟋えば11874を遞択したす。そしお、圌は次に䜕をしたすか圌はすべおのアプリケヌションレベルのデヌタを新しいTCPセグメントにパックしたす。宛先ポヌトずしおただ80が残っおおりWEBサヌバヌは接続を埅機しおいたす、送信者ポヌトは23761から11874に倉わりたす。このTCPセグメントは新しいIPにカプセル化されたす送信者のIPアドレスが172.16.6.5から198.51.100.2に倉曎されるパケット。

2番目のホストからのパケットでも同じこずが起こりたす。たずえば、11875など、次の空きポヌトのみが遞択されたす。「空き」は、他のそのような接続でただ占有されおいないこずを意味したす。

むンタヌネットに送信されるデヌタは、このようになりたす。



送信者アドレス 送信者ポヌト 受取人の䜏所 受信者ポヌト
198.51.100.2 11874 192.0.2.2 80
198.51.100.2 11875 192.0.2.2 80




NATテヌブルに、圌は送信者ず受信者のデヌタを曞き蟌みたす



ロヌカル送信者アドレス 送信者のロヌカルポヌト グロヌバル送信者アドレス 送信者グロヌバルポヌト 受取人の䜏所 受信者ポヌト
172.16.6.5 23761 198.51.100.2 11874 192.0.2.2 80
172.16.4.5 39800 198.51.100.2 11875 192.0.2.2 80




WEBサヌバヌの堎合、これらは2぀の完党に異なる芁求であり、それぞれ個別に凊理する必芁がありたす。その埌、圌は次のような回答を送信したす。



送信者アドレス 送信者ポヌト 受取人の䜏所 受信者ポヌト
192.0.2.2 80 198.51.100.2 11874
192.0.2.2 80 198.51.100.2 11875




これらのパケットの1぀がルヌタヌに到達するず、このパケットのデヌタずNATテヌブルの゚ントリが䞀臎したす。䞀臎が芋぀かるず、逆の手順が発生したす。パケットずTCPセグメントは、宛先ずしおのみ元のパラメヌタヌずずもに返されたす。



送信者アドレス 送信者ポヌト 受取人の䜏所 受信者ポヌト
192.0.2.2 80 172.16.6.5 23761
192.0.2.2 80 172.16.4.5 39800




そしお今、パケットは内郚ネットワヌクを介しお開始コンピュヌタヌに配信されたす。開始コンピュヌタヌは、デヌタが境界で厳しく凊理されおいるこずを認識しおいたせん。



異議申し立おはそれぞれ別の぀ながりです。぀たり、WEBペヌゞを開こうずしたした-これはポヌト80を䜿甚するHTTPプロトコルです。これを行うには、コンピュヌタヌがリモヌトサヌバヌずのTCPセッションを確立する必芁がありたす。このようなセッションTCPたたはUDPは、2぀の゜ケットで定矩されたすロヌカルIPアドレスロヌカルポヌトずリモヌトIPアドレスリモヌトポヌト。通垞の状況では、コンピュヌタヌサヌバヌ接続を1぀確立したすが、NAT接続の堎合は、ルヌタヌサヌバヌずコンピュヌタヌがコンピュヌタヌサヌバヌセッションを持っおいるず考える2぀の接続がありたす。



構成はわずかに異なりたすオヌバヌロヌドずいう蚀葉が远加されおいたす

Routerconfigaccess-list 101 permit 172.16.4.0 0.0.0.255

Routerconfig#ip nat inside source list 101 interface fa0 / 1 overload



同時に、もちろん、アドレスプヌルを構成するこずもできたす。

Routerconfig#ip nat pool lol_pool 198.51.100.2 198.51.103.14

Routerconfigaccess-list 100 permit 172.16.6.0 0.0.0.255

Routerconfig#ip nat inside source list 100 pool lol_pool overload





ポヌト転送



それ以倖の堎合、圌らはより倚くのポヌト転送たたはマッピングを蚀いたす。

NATに぀いお話し始めたずき、1察1の倉換が行われ、倖郚からの芁求はすべお内郚ホストに自動的にリダむレクトされたした。したがっお、サヌバヌをむンタヌネット䞊に配眮するこずが可胜です。

しかし、あなたがそのような機䌚を持っおいない堎合-あなたは癜いアドレスに制限されおいる、たたはポヌトの束党䜓でそれを公開したくない堎合、私は䜕をすべきですか

特定のホワむトアドレスおよびルヌタヌ䞊の特定のポヌトに到着するすべおの芁求を、目的の内郚アドレスの目的のポヌトにリダむレクトするように指定できたす。

Routerconfig#ip nat inside source static tcp 172.16.0.2 80 198.51.100.2 80拡匵可胜



このコマンドを䜿甚するず、むンタヌネットからポヌト80のアドレス198.51.100.2に送信されたTCP芁求は、同じ80番目のポヌトの内郚アドレス172.16.0.2にリダむレクトされたす。もちろん、UDPを転送しお、あるポヌトから別のポヌトにリダむレクトするこずもできたす。これは、たずえば、倖郚RDPアクセスを必芁ずするコンピュヌタヌが2台ある堎合に䟿利です。RDPはポヌト3389を䜿甚したす。同じポヌトを異なるホストに転送するこずはできたせん同じ倖郚アドレスを䜿甚しおいる堎合。したがっお、これを行うこずができたす。

Routerconfigip nat inside source static tcp 172.16.6.61 3389 198.51.100.2 3389

Routerconfigip nat inside source static tcp 172.16.6.66 3389 198.51.100.2 3398



次に、コンピュヌタヌ172.16.6.61にアクセスするには、ポヌト198.51.100.2lla389、および172.16.6.66-198.51.100.2lla398でRDPセッションを開始したす。ルヌタヌ自䜓は、必芁に応じおすべおを分散したす。



ちなみに、このコマンドは最初の特別なケヌスですip nat inside source static 172.16.6.66 198.51.100.2。この堎合にのみ、すべおのトラフィック、およびこの䟋では特定のTCPプロトコルポヌトの転送に぀いお説明しおいたす。



これが䞀般的なNATの機胜です。その機胜、長所/短所に぀いお倚くの蚘事が曞かれおいたすが、それらは泚目に倀したせん。



NATの匱点ず匷み



+



-たず、 NATを䜿甚するず、パブリックIPアドレスを保存できたす。実際に、このために圌は䜜成されたした。 1぀のアドレスを通じお、理論的には65,000を超えるグレヌアドレスポヌトの数を発行できたす。

-第二に、PATずダむナミックNATはある皋床、ファむアりォヌルであり、倖郚接続が独自のファむアりォヌルずりむルス察策を持たない゚ンドコンピュヌタヌに到達するこずを防ぎたす。実際には、予期しない、たたは蚱可されおいないデバむスの倖郚からパケットが到着した堎合、単に砎棄されたす。

パケットをスキップしお凊理するには、次の条件を満たしおいる必芁がありたす

。1NATテヌブルには、パケット内の送信者アドレスずしお瀺されるこの倖郚アドレスの゚ントリが必芁です。

そしお

2パケット内の送信者ポヌトは、゚ントリ内のこの癜いアドレスのポヌトず䞀臎する必芁がありたす

そしお

3パケットの宛先ポヌトは、゚ントリのポヌトず䞀臎したす。

たたは

ポヌト転送が構成されたす。

ただし、NATをファむアりォヌルず芋なす必芁はありたせん。远加のバンにすぎたせん。



-第䞉に、NATはネットワヌクの内郚構造をpr玢奜きな目から隠したす-倖郚からルヌトをトレヌスするずき、ラビングデバむス以倖に䜕も衚瀺されたせん。



-



NATには短所がありたす。 最も具䜓的なものは、おそらく次のずおりです。

-䞀郚のプロトコルは、束葉杖なしではNATを介しお動䜜できたせん。 たずえば、FTPたたはトンネリングプロトコルラボでFTPをセットアップしただけであるにもかかわらず、実際には、これにより倚くの問題が発生する可胜性がありたす

-別の問題は、1぀のアドレスから1぀のサヌバヌぞの芁求が倚数あるこずです。 Rapidshareに行ったずきに倚くの人がこれを目撃したしたが、圌はあなたのIPからすでに接続があり、圌は嘘を぀いおいる、犬、そしおあなたの隣人はすでに吞い蟌んでいるず思いたす。 同じ理由で、サヌバヌが登録を拒吊されたずきにICQに問題がありたした。

-珟圚、問題はあたり関係ありたせんプロセッサずRAMの負荷。 小芏暡オフィスでは、単玔なルヌティングIPヘッダヌを芋るだけでなく、削陀、TCPヘッダヌの削陀、テヌブルぞの新しいヘッダヌの远加が必芁に比べお䜜業量が非垞に倧きいため、これに問題がありたす。

私はそのような状況に出くわしたした。

考えられる解決策の1぀は、NAT機胜を別のPCたたはCisco ASAなどの専甚デバむスに転送するこずです。

3〜4のBGPフルビュヌをロヌリングするルヌタヌを持぀倧芏暡なプレヌダヌの堎合、これは問題ではありたせん。



他に䜕を知る必芁がありたすか

-NATは、䞻にプラむベヌトアドレスを持぀ホストぞのむンタヌネットアクセスを提䟛するために䜿甚されたす。 しかし、別のアプリケヌションがありたす-亀差するアドレススペヌスを持぀2぀のプラむベヌトネットワヌク間の接続。

たずえば、あなたの䌚瀟はアクチュビンスクで支店を賌入したす。 アドレス指定は10.0.0.0-10.1.255.255で、10.1.1.0-10.1.10.255です。 範囲は明らかに亀差したす。同じアドレスがアクチュビンスクず本郚にある可胜性があるため、ルヌティングを蚭定するこずはできたせん。

この堎合、NATはゞャンクションで構成されたす。 グレヌのアドレスは枬定しないため、たずえば10.2.1.0-10.2.10.255の範囲を遞択しお、1察1の倉換を実行できたす。

10.1.1.1-10.2.1.1

10.1.1.2-10.2.1.2

...

10.1.10.255-10.2.10.255



-倧芏暡な倧人のおもちゃでは、NATは別のボヌドに実装できたす倚くの堎合、実装されおいたす。 反察に、オフィス腺には、ほずんど垞にありたす。



-IPv6の普及により、NATの必芁性はなくなりたす。 すでに、倧芏暡な顧客はNAT64機胜に興味を持ち始めおいたす。これは、IPv4経由で䞖界にアクセスでき、内郚ネットワヌクがすでにIPv6䞊にあるずきです。



-もちろん、これはNATの衚面的な倖芳にすぎず、独孊はあなたをdrれさせないために圹立぀ニュアンスの海がただありたす。



NATプラクティス



珟実は私たちに䜕を必芁ずしたすか

1制埡ネットワヌクにはむンタヌネットアクセスがたったくありたせん

2VETネットワヌクのホストは、Linkmeup.ruなどの専甚サむトにのみアクセスできたす。

3䌚蚈の玠敵な女性は、クラむアント銀行の䞖界に窓を開ける必芁がある。

4FEOは、ファむナンシャルディレクタヌを陀き、どこにもリリヌスしたせん

5その他のネットワヌク、コンピュヌタヌ、および管理者のコンピュヌタヌ-むンタヌネットぞのフルアクセスを蚱可したす。 他のすべおは曞面による芁求に応じお開くこずができたす。

6サンクトペテルブルクずケメロノォの枝を忘れないでください。 簡単にするために、これらのサブネットからのenikiesに察するフルアクセスを構成したす。

7サヌバヌで別の歌。 それらに぀いおは、ポヌト転送を構成したす。 必芁なもの

aWEBサヌバヌはポヌト80でアクセス可胜でなければなりたせん

b25日ず110日のメヌルサヌバヌ

cファむルサヌバヌはFTP経由で䞖界䞭からアクセスできたす。

8管理者および圓瀟のコンピュヌタヌは、R​​DPを介しおむンタヌネットからアクセスできる必芁がありたす。 実際、これは間違った方法です。すでにロヌカルネットワヌク䞊にある堎合、リモヌト接続にVPN接続を䜿甚し、RDPを䜿甚する必芁がありたすが、これは別のたったく異なる蚘事のトピックです。



最初に、テストサむトを準備したす。



むンタヌネット接続は、プロバむダヌが提䟛する既存のリンクを介しお敎理されたす。

圌はプロバむダヌのネットワヌクに行きたす。 このクラりド内のすべおは抜象的なネットワヌクであり、実際には数十のルヌタヌず数癟のスむッチで構成されるこずを思い出しおください。 ただし、管理ず予枬が可胜なものが必芁なので、ここに別のルヌタヌを配眮したす。 䞀方では、むンタヌネット䞊のもう䞀方のサヌバヌ䞊のスむッチからのリンクがありたす。



次のサヌバヌが必芁です。

1.䌚蚈士向けの2぀のクラむアントバンクsperbank.ru、mmm-bank.ru

2. PTOshnikovのLinkmeup.ru

3. Yandexyandex.ru







このような接続の堎合、別のVLANをmsk-arbat-gw1に䞊げたす。 もちろん、圌の数はプロバむダヌず䞀臎しおいたす。 VLAN 6にしたしょう

プロバむダヌが198.51.100.0/28のサブネットを提䟛するずしたす 。 最初の2぀のアドレスはリンクの構成に䜿甚され198.51.100.1および198.51.100.2、残りのアドレスはNATのプヌルずしお䜿甚したす。 ただし、プヌルにアドレス198.51.100.2を䜿甚するこずを完党に気にする人はいたせん。 それでは、やっおみたしょう  pool198.51.100.2-198.51.100.14

簡単にするために、公開サヌバヌが同じサブネット䞊にあるず仮定したす。

192.0.2.0/24

既に完党に認識しおいるリンクずアドレスの構成方法。

プロバむダヌのネットワヌクにはルヌタヌが1぀しかなく、すべおのネットワヌクがそこに盎接接続されおいるため、ルヌティングを構成する必芁はありたせん。

ただし、msk-arbat-gw1はむンタヌネットぞのパケットの送信先を認識しおいる必芁があるため、デフォルトルヌトが必芁です。

msk-arbat-gw1configip route 0.0.0.0 0.0.0.0 198.51.100.1



順番に



たず、アドレスプヌルを構成したす

msk-arbat-gw1configip nat pool main_pool 198.51.100.2 198.51.100.14 netmask 255.255.255.240



次に、ACLを収集したす。

msk-arbat-gw1configip access-list extended nat-i​​net





1管理ネットワヌク



むンタヌネットにたったくアクセスできない

完了



2VETネットワヌクからのホスト



Linkmeup.ruなどの専門サむトにのみアクセスできたす。

msk-arbat-gw1config-ext-nacl蚱可TCP 172.16.3.0 0.0.0.255ホスト192.0.2.2 eq 80





3䌚蚈



䞡方のサヌバヌ䞊のすべおのホストぞのアクセスを蚱可したす

msk-arbat-gw1config-ext-naclpermit ip 172.16.5.0 0.0.0.255 host 192.0.2.3

msk-arbat-gw1config-ext-naclpermit ip 172.16.5.0 0.0.0.255 host 192.0.2.4





4FEO



CFOのみに蚱可を䞎えたす-これは1぀のホストにすぎたせん。

msk-arbat-gw1config-ext-naclallow ip host 172.16.4.123 any





5その他



フルアクセス可胜なコンピュヌタヌ

msk-arbat-gw1config-ext-naclallow ip host 172.16.6.61 any

msk-arbat-gw1config-ext-naclIPホスト172.16.6.66を蚱可するany





6サンクトペテルブルクずケメロノォの支店



゚ニキスのアドレスを同じにしたす172.16.x.222

msk-arbat-gw1config-ext-naclIPホスト172.16.16.222を蚱可するany

msk-arbat-gw1config-ext-naclallow ip host 172.16.17.222 any

msk-arbat-gw1config-ext-naclallow ip host 172.16.24.222 any





これは、ACLが珟圚どのように芋えるかです

ip access-list extended nat-i​​net

PTOの発蚀

蚱可tcp 172.16.3.0 0.0.0.255ホスト192.0.2.2 eq www

説明䌚蚈

蚱可IP 172.16.5.0 0.0.0.255ホスト192.0.2.3

IP 172.16.5.0 0.0.0.255ホスト192.0.2.4を蚱可

発蚀FEO

IPホスト172.16.4.123を蚱可

発蚀IAM

IPホスト172.16.6.61を蚱可

備考ADMIN

IPホスト172.16.6.66を蚱可

泚釈SPB_VSL_ISLAND

IPホスト172.16.16.222を蚱可

備考SPB_OZERKI

IPホスト172.16.17.222を蚱可

備考KMR

IPホスト172.16.24.222を蚱可





以䞋を開始したす。

msk-arbat-gw1configip nat inside source list nat-i​​net pool main_pool overload



しかし、むンタヌフェヌスを構成しなければ幞犏を完党にするこずはできたせん。

倖郚むンタヌフェむスで、 ip nat outsideコマンドを䞎える必芁がありたす

内郚 ip nat inside

msk-arbat-gw1configint fa0 / 0.101

msk-arbat-gw1config-subifip nat inside

msk-arbat-gw1configint fa0 / 0.102

msk-arbat-gw1config-subifip nat inside

msk-arbat-gw1configint fa0 / 0.103

msk-arbat-gw1config-subifip nat inside

msk-arbat-gw1configint fa0 / 0.104

msk-arbat-gw1config-subifip nat inside



msk-arbat-gw1configint fa0 / 1.6

msk-arbat-gw1config-subifip nat outside





これにより、ルヌタヌはパケットの凊理を埅機する堎所ず、埌で送信する堎所を把握できたす。



むンタヌネット䞊のサヌバヌがドメむン名でアクセスできるようにするには、ネットワヌク䞊にDNSサヌバヌを取埗するこずをお勧めしたす。







圓然、アクセスをチェックするデバむスに登録する必芁がありたす。





ショヌは続けなければなりたせん



管理コンピュヌタヌから、すべおが利甚可胜です





VETネットワヌクからは、ポヌト80HTTPを介しおlinkmeup.ru Webサむトにのみアクセスできたす。







FEOネットワヌクでは、4.123のみが䞖界に入りたす財務ディレクタヌ







䌚蚈では、クラむアントバンクサむトのみが機胜したす。 ただし、IPプロトコルには完党に蚱可が䞎えられおいるため、pingも可胜です。



7サヌバヌ



ここで、むンタヌネットからアクセスできるようにポヌト転送を構成する必芁がありたす。



aWebサヌバヌ



msk-arbat-gw1configip nat inside source static tcp 172.16.0.2 80 198.51.100.2 80



たずえば、アドレス192.0.2.7のテストPCからこれを実行できたす。

サヌバヌのネットワヌクでは、msk-arbat-gw1に蚭定されたむンタヌフェむスがないため、䜕も機胜したせん。

msk-arbat-gw1configint fa0 / 0.3

msk-arbat-gw1config-subifip nat inside



そしお今



bファむルサヌバヌ



msk-arbat-gw1configip nat inside source static tcp 172.16.0.3 20 198.51.100.3 20

msk-arbat-gw1configip nat inside source static tcp 172.16.0.3 21 198.51.100.3 21



この目的のために、ACL Servers-outで、すべおのナヌザヌのために20-21番目のポヌトも開きたした



cメヌルサヌバヌ



msk-arbat-gw1configip nat inside source static tcp 172.16.0.4 25 198.51.100.4 25

msk-arbat-gw1configip nat inside source static tcp 172.16.0.4 110 198.51.100.4 110



チェックも難しくありたせん。 指瀺に埓っおください

たず、メヌルサヌバヌを構成したす。 ドメむンを指定し、2人のナヌザヌを䜜成したす。







次に、ドメむンをDNSに远加したす。 この手順はオプションです-IP経由でサヌバヌにアクセスできたすが、なぜですか







ネットワヌクからコンピュヌタヌを構成したす。







倖から







私たちは手玙を準備しおいたす







ロヌカルホストで、[受信]をクリックしたす。



8管理コンピュヌタヌおよび圓瀟のコンピュヌタヌぞのRDPアクセス



msk-arbat-gw1configip nat inside source static tcp 172.16.6.61 3389 198.51.100.10 3389

msk-arbat-gw1configip nat inside source static tcp 172.16.6.66 3389 198.51.100.10 3398



安党性





最埌に、1぀の発蚀。 これはおそらく、し぀こいデバむスです。IPnatの倖郚むンタヌフェむスで、むンタヌネットに察しお倖向きに芋えたす。 したがっお、必芁なものを拒吊、蚱可する堎所で、このむンタヌフェむスでACLをハングアップしおも害はありたせん。 この蚘事では既にこの問題に぀いおは觊れたせん。



これに関しお、NATテクノロゞヌの最初の知人は完党であるず考えるこずができたす。

別のDZが、サンクトペテルブルクずケメロノォにあるEnikievコンピュヌタヌからむンタヌネットにアクセスできない理由に぀いおの質問に答えたす。 結局のずころ、すでにアクセスリストに远加しおいたす。



リリヌス資料



新しいIP蚈画、各ポむントおよび芏制の切り替え蚈画

実隓宀でのRTファむル

デバむス構成



远加リンク

䞀般情報ずTCPロヌドバランシング

2぀のプロバむダヌ+ NAT

シスコからの有甚な情報

私たちの同僚habruiserはNATの機胜に関するいく぀かの蚘事を曞きたした 。 この蚘事は特に興味深いかもしれたせん。

しかし、それがそうであるように、誰もciscoに぀いおciscoに぀いお曞くこずはありたせん。

リバヌスマスク



ボヌナス



蚘事の䟋のPBRセットアップ
グロヌバルコンフィギュレヌションモヌド。

デフォルトルヌトを远加したす。

ip route 0.0.0.0 0.0.0.0 10.0.1.1



アクセスリストで、192.168.2.0 / 24ネットワヌクからのトラフィックを陀倖したす

アクセスリスト101 permit ip 192.168.2.0 0.0.0.255 any



ルヌトマップを䜜成したす。ネットワヌクからのパケットが192.168.2.0/24の堎合、ネクストホップ10.0.2.1を10.0.1.1ではなく割り圓おたす。



ルヌトマップクラむアント蚱可5

IPアドレス101ず䞀臎

ip next-hop 10.0.2.1を蚭定したす



むンタヌフェむスでカヌドを䜿甚したす。

ip policy route-map CLIENT



これは匷力なポリシヌベヌスルヌティングツヌルの䜿甚の1぀に過ぎず、残念ながらRTのどの圢匏にも実装されおいたせん。

ACLむンタヌフェむスの速床制限
同じ䟋では、192.168.1.0 / 24ネットワヌクの速床を1.5 Mb / sに、192.168.2.0 / 24の速床を64 kb / sに制限したす。

10.0.1.1では、次のコマンドを実行できたす。

Routerconfigaccess-list 100 permit ip 192.168.1.0 0.0.0.255 any

Routerconfigaccess-list 101 permit ip 192.168.2.0 0.0.0.255 any

ルヌタヌconfiginterface fa0 / 0

Routerconfig-ifrate-limit output access-group 100 1544000 64000 64000 conform-action transmit exceed-action drop

ルヌタconfig-ifレヌト制限出力access-group 101 64000 16000 16000 conform-action transmit exceed-action drop







䞍泚意な人々の成熟問題は、 LJで実装できたす。

共著者のthegluckに感謝

JDima蚘事の準備にご協力いただきありがずうございたす



More articles:


All Articles