Особенности сооружения опор в сложных условиях: Сооружение ВЛ в районах с суровыми климатическими и тяжелыми геологическими условиями...
Архитектура электронного правительства: Единая архитектура – это методологический подход при создании системы управления государства, который строится...
Топ:
Техника безопасности при работе на пароконвектомате: К обслуживанию пароконвектомата допускаются лица, прошедшие технический минимум по эксплуатации оборудования...
Генеалогическое древо Султанов Османской империи: Османские правители, вначале, будучи еще бейлербеями Анатолии, женились на дочерях византийских императоров...
Теоретическая значимость работы: Описание теоретической значимости (ценности) результатов исследования должно присутствовать во введении...
Интересное:
Уполаживание и террасирование склонов: Если глубина оврага более 5 м необходимо устройство берм. Варианты использования оврагов для градостроительных целей...
Принципы управления денежными потоками: одним из методов контроля за состоянием денежной наличности является...
Как мы говорим и как мы слушаем: общение можно сравнить с огромным зонтиком, под которым скрыто все...
Дисциплины:
2020-10-20 | 146 |
5.00
из
|
Заказать работу |
|
|
Для того, чтобы сконфигурировать именованный IР АСLs на маршрутизаторе Сisсо, надо в режиме глобальной конфигурации выполнить следующую команду.
Router(config)# ip access-list { standard | extended } name
Далее, в подрежиме конфигурирования именованного списка контроля доступа указываются условия доступа, которые определяют, будет пакет пропущен или отброшен.
Строка в стандартном именованном списке контроля доступа будет иметь вид:
Router(config-std-nacl)# deny { source [source-wildcard]| а ny }
Router(config-std-nacl)# permit { source [source-wildcard]| а ny }
Строка в расширенном именованном списке контроля доступа будет иметь вид:
Router(config-ext-nacl)# deny { source [source-wildcard] destination [destination-wildcard] [operator port] }
Router(config-ext-nacl)# permit { source [source-wildcard] destination [destination-wildcard] [operator port] }
Команда deny
Команда deny используется для задания условий блокировки пакетов в именованных списках контроля доступа.
deny { source [source-wildcard] |any }[log]
Эта же команда с ключевым словом no используется для удаления условия блокировки доступа.
no deny { source [source-wildcard] |any}
Команда permit
Команда permit используется для задания условий разрешения пакетов в именованных списках контроля доступа.
permit { source [source-wildcard] |any }[log]
Эта же команда с ключевым словом no используется для удаления условия из списка.
no permit { source [source-wildcard] |any }
Пример.
Администратору необходимо сформировать расширенный АСL с именем telnet, который бы запрещал только Те ln е t из подсети 172.1.1.0.
Рис 7
Поскольку сеть, из которой ограничен доступ, подключена к маршрутизатору R1 через интерфейс Е0, а в расширенном списке контроля доступа указывается источник и назначение, то ACL будем размещать на R1.
R1(config)#ip access-list extended telnet
|
R1(config-ext-nacl)#deny ip 172.1.1.0 0.0.0.255 any eq 23
R1(config-ext-nacl)#permit ip any any
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip access-group telnet in
Этот АСL блокирует из сети 172.1.1.0 только Те ln е t. Весь другой трафик проходит.
TCP - Протокол транспортного уровня.
eq 23 - Порт назначения; указывает на стандартный номер порта для Те lnet.
permit any any - cтрока разрешения пропускает весь остальной IР трафик на входе интерфейса Е0
Конфигурация АС L на vty
У маршрутизатора, помимо физических портов, или интерфейсов, таких, как Е0 и Е1, есть и виртуальные порты, через которые открывается для настройки маршрутизатора. По умолчанию можно открыть одновременно 5 telnet сессий (виртуальных терминальных линий), с номерами от vty 0 до vty 4.
Для обеспечения безопасности можно запретить доступ на маршрутизатор по линиям vty или разрешить доступ по vty, но запретить Telnet доступ с маршрутизатора.
Фильтрация протокола Telnet требует применения расширенного IР АСL, так как протокола верхнего уровня. Но можно использовать стандартный IР АСL для фильтрации входящих Telnet сессий от источника.
Для того, чтобы установить IР АСLs на линиях vty, надо в подрежиме настройки vty выполнить команду access - class.
Router(config)# line vty {vty#|vty-range}
Router(config-line)# access-class access-list number {in|out}
Параметры команды line | Описание |
vty # | Переход к конфигурации данной линии vty |
vty-range | Переход к конфигурации диапазона vty линий |
Команда access - class применяет АС L к терминальной линии или диапазону терминальных линий.
Параметры команды access - class | Описание |
access - list - number | Указывает номер АС L, привязанный к терминальной линии. Это десятичное значение от 1 до 99 или от 1300 до 2699. |
in | Защищает маршрутизатор от входящих Telnet соединений от источников, указанных в строке запрета АС L. |
out | Не позволяет vty портам маршрутизатора инициировать Telnet соединения к адресам, определенным в строке запрета стандартного АСL. Замечание: адрес источника, указанный в стандартном АС L, рассматривается как адрес назначения, если он используется в access - class out. |
|
Пример: доступ по vty
Пример:
Администратору необходимо сформировать АСL, который бы разрешал разрешаете любому узлу из сети 172.1.1.0 0.0.0.255 устанавливать telnet сессию с маршрутизатором. Кроме этого, пользователь должен знать соответствующие пароли для доступа пользовательский и привилегированного режим.
На каждую линию виртуального канала (0 - 4) устанавливаются одинаковые ограничения, так как неизвестно, какая линия будет задействована для подключения пользователя.
R1(config)#access-list 1 permit 172.1.1.0 0.0.0.255
R1(config)#line vty 0 4
R1(config-line)#access-class 12 in
Правила размещения АС L
АСLs используются для управления трафиком с помощью отфильтровывания и уничтожения нежелательных пакетов. Правильная установка АСL поможет уменьшить объем нежелательного трафика в сети.
Основные принципы конфигурации АС L:
• Для правильной работы АСL важен порядок строк. АСL лучше создавать в текстовом редакторе на компьютере, а затем копировать АСL в командную строку маршрутизатора. Например, можно использовать Word на компьютере для создания АСL, а затем Telnet или консольное подключение к маршрутизатору с компьютера. Войдите в режим глобальной конфигурации на маршрутизаторе, а затем скопируйте АСL в буфер на компьютере и вставьте его из документа Word в командную строку маршрутизатора.
• АСL обрабатываются сверху вниз, поэтому можно снизить нагрузку на маршрутизатор от анализа АСL, если в начало списка поместить более специфические и чаще встречающиеся условия проверки.
• Только именованные АСLs позволяют удаление (но не вставку в середину) отдельных строк списка. Если возникает необходимость расположить строки АСL в другом порядке, то придется удалить весь список и заново создать его, расположив строки в желаемом порядке.
• Все АСL заканчиваются невидимой строкой, запрещающей весь трафик.
Размещение ACL.
В стандартных АСLs указываются только адреса источников пакетов. Если стандартный список контроля доступа разместить у источника, то его пакеты могут не достичь не только того, для кого трафик блокируется, но и до всех других узлов. Поэтому стандартный АСL размещается как можно ближе к сети назначения нежелательного трафика.
В расширенных АСLs указываются адреса источников и назначения. Расширенные АСL должны помещаться как можно ближе к источнику с целью уменьшения ненужного трафика.
|
Проверка настройки АС L.
Для проверки настроек ACL используется команды show.
Команда show ip interfaces показывает IР настройки интерфейса, а также установлены ли какие-нибудь I Р АС Ls на этом интерфейсе.
В выводе команды show ip interfaces E 0, на интерфейсе Е0 активизирован исходящий IР АСL с именем telnet.
R1#show ip interface fastEthernet 0/0
FastEthernet0/0 is up, line protocol is down
Internet address is 200.1.2.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.10
Outgoing access list is 1
Inbound access list is telnet
Proxy ARP is enabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is disabled
IP Flow switching is disabled
IP Feature Fast switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
IP route-cache flags are Fast
Router Discovery is disabled
IP output packet accounting is disabled
IP access violation accounting is disabled
TCP/IP header compression is disabled
RTP/IP header compression is disabled
Probe proxy name replies are disabled
Policy routing is disabled
Network address translation is disabled
WCCP Redirect outbound is disabled
WCCP Redirect inbound is disabled
WCCP Redirect exclude is disabled
BGP Policy Mapping is disabled
Для просмотра содержания всех АСLs используется команда show access - lists.
Можно посмотреть конкретный АСL, написав его имя или номер в качестве дополнительного аргумента этой команды.
R1#show access-lists
Standard IP access list 1
permit 172.1.1.0, wildcard bits 0.0.0.255
Extended IP access list 101
deny tcp 172.1.3.0 0.0.0.255 172.1.1.0 0.0.0.255 eq ftp
deny tcp 172.1.3.0 0.0.0.255 172.1.1.0 0.0.0.255 eq ftp-data
permit ip any any
Extended IP access list telnet
deny ip 172.1.1.0 0.0.0.255 any eq 23
permit ip any any
Чтобы посмотреть содержание всех АСLs только для протокола IР используется команда show ip access - lists.
R1#show ip access-lists
Standard IP access list 1
permit 172.1.1.0, wildcard bits 0.0.0.255
Extended IP access list 101
deny tcp 172.1.3.0 0.0.0.255 172.1.1.0 0.0.0.255 eq ftp
deny tcp 172.1.3.0 0.0.0.255 172.1.1.0 0.0.0.255 eq ftp-data
permit ip any any
Extended IP access list telnet
deny ip 172.1.1.0 0.0.0.255 any eq 23
permit ip any any
R1#
|
|
Общие условия выбора системы дренажа: Система дренажа выбирается в зависимости от характера защищаемого...
Типы сооружений для обработки осадков: Септиками называются сооружения, в которых одновременно происходят осветление сточной жидкости...
Двойное оплодотворение у цветковых растений: Оплодотворение - это процесс слияния мужской и женской половых клеток с образованием зиготы...
Биохимия спиртового брожения: Основу технологии получения пива составляет спиртовое брожение, - при котором сахар превращается...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!