Thursday, October 22, 2015

Reflexive Access Control Lists




Сүлжээний аюулгүй байдалыг хангахын тулд гадаад сүлжээнээс ирсэн холболт тогтоох хүсэлтийг хориглох шаардлагатай болдог. Ингэж тохируулсанаар дотоод сүлжээнээс гадаад сүлжээрүү гарсан холболтын хариу мөн хориглогддог. Тэгвэл дотоод сүлжээнээс гадаад сүлжээрүү гарсан холболтын хариу мөн эсэхийг тодорхойлж дотоод сүлжээрүү нэвтрүүлэх шаардлагатай болдог. Энэ үед Reflexive Access Lists-г ашигладаг.


Reflexive Access Lists нь дотоод сүлжээнээс гарч багаа холболтын хариуг зөвшөөрсөн ACL-г түр зуур үүсгэдэг.



Дээрх зураг үзүүлсэн сүлжээнд туршилт хийе

Reflexive Access Lists нь зөвхөн Extended Named IP ACL-г ашигладаг. Outbound Egress ACL үүсгэж fa0/1 дээр тохируулав.
Router(config)# ip access-list extended Egress
Router(config-ext-nacl)# permit ip any any reflect Mirror
Router(config-ext-nacl)# interface f0/1
Router(config-if)# ip access-group out Egress

Mirror ACL бол Egress ACL reflect буюу эргүүлсэн ACL юм. Egress ACL-д IP  урсгал таарах бөгөөд бид TCP өгөгдлийг reflect хийж чадна.


Хэрэглэгч 192.168.0.0/24 сүлжээнээс гадаад сүлжээрүү TCP холболт үүсгэв. Mirror ACL дотор шинээр дүрэм үүсгэнэ.
Router# show ip access-lists Mirror
Reflexive IP access list Mirror
               permit tcp host 209.20.64.81 eq www host 192.168.0.123 eq 62839 (7 matches) (time left 294)

Evaluate гэсэн түлхүүр үгийг ашиглаж Mirror ACL-г Ingress-д дотор байрлуулав. Өөрөөр хэлбэр Ingres нь Mirror шиг ажиллана гэсэн үг.

Router(config)# ip access-list extended Ingress
Router(config-ext-nacl)# evaluate Mirror
Router(config-ext-nacl)# interface f0/1
Router(config-if)# ip access-group in Ingress

TCP холболтын хариуг ирэх үед Ingress ACL ажиллаж дотоод сүлжээрүү нэвтрэх боломжтой болно.

Router# show ip access-lists 
Extended IP access list Egress
  10 permit ip any any reflect Mirror (76 matches)
Extended IP access list Ingress
  10 evaluate Mirror
Reflexive IP access list Mirror
  permit tcp host 209.20.64.81 eq www host 192.168.0.123 eq 62839 (7 matches) (time left 248)

Time left бол Mirror ACL идвэхтэй байх хугацаа юм. Шинэ холболт үүсгэх болгонд шинээр 300 секунд тоолж эхэлдэг. Нэмэж хэлхэд TCP холболт дуусах буву TCP-н FIN flag ирэх юм бол Reflexive ACL-н reflect acl нь шууд устгадаг.

Бусад ACL-уудын жишээ:
Posted by at

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)