Настройка контекстных списков доступа
Eq — только пакеты на этом порте. VPN: какой трафик нужно шифровать. Any: разрешаем или запрещаем всё; NAT: какие адреса транслировать. Расширенный список доступа: Именованные списки доступа: Прикрепение к интерфейсу: Out: исходящее направление; Source-wildcard: WildCard маска сети; Any — любой конечный хост. A.B.C.D — адрес получателя. In: входящее направление; Range — диапазон портов. Standard… Читать ещё >
Настройка контекстных списков доступа (реферат, курсовая, диплом, контрольная)
ACL (Access Control List) — это набор текстовых выражений, которые что-то разрешают, либо что-то запрещают. Обычно ACL разрешает или запрещает IP-пакеты, но помимо всего прочего он может заглядывать внутрь IP-пакета, просматривать тип пакета, TCP и UDP порты. Также ACL существует для различных сетевых протоколов (IP, IPX, AppleTalk и так далее).
В основном применение списков доступа рассматривают с точки зрения пакетной фильтрации, то есть пакетная фильтрация необходима в тех ситуациях, когда у вас стоит оборудование на границе Интернет и вашей частной сети и нужно отфильтровать ненужный трафик. Вы размещаете ACL на входящем направлении и блокируете избыточные виды трафика.
Функционал ACL состоит в классификации трафика, нужно его проверить сначала, а потом что-то с ним сделать в зависимости от того, куда ACL применяется. ACL применяется везде, например:
- — На интерфейсе: пакетная фильтрация
- — На линии Telnet: ограничения доступа к маршрутизатору
- — VPN: какой трафик нужно шифровать
- — QoS: какой трафик обрабатывать приоритетнее
- — NAT: какие адреса транслировать
Сами ACL создаются отдельно, то есть это просто некий список, который создается в глобальном конфиге, потом он присваивается к интерфейсу и только тогда он и начинает работать. Необходимо помнить некоторые моменты, для того, чтобы правильно настроить списки доступа:
- — обработка ведется строго в том порядке, в котором записаны условия;
- — если пакет совпал с условием, дальше он не обрабатывается;
- — в конце каждого списка доступа стоит неявный deny any (запретить всё);
- — расширенные ACL нужно размещать как можно ближе к источнику, стандартные же как можно ближе к получателю;
- — нельзя разместить более 1 списка доступа на интерфейс, на протокол, на направление;
- — ACL не действует на трафик, сгенерированный самим маршрутизатором;
- — для фильтрации адресов используется WildCard маска.
- — permit: разрешить;
- — deny: запретить;
- — remark: комментарий о списке доступа;
- — address: запрещаем или разрешаем сеть;
- — any: разрешаем или запрещаем всё;
- — host: разрешаем или запрещаем хосту;
- — source-wildcard: WildCard маска сети;
- — log: включаем логгирование пакеты проходящие через данную запись ACL;
- — Расширенный список доступа:
- — protocol source: какой протокол будем разрешать или закрывать (ICMP, TCP, UDP, IP, OSPF и т. д);
- — deny: запретить;
- — operator:
A.B.C.D — адрес получателя.
any — любой конечный хост.
eq — только пакеты на этом порте.
gt — только пакеты с большим номером порта.
host — единственный конечный хост.
lt — только пакеты с более низким номером порта.
neq — только пакеты не на данном номере порта.
range — диапазон портов.
- — port: номер порта (TCP или UDP), можно указать имя;
- — established: разрешаем прохождение TCP-сегментов, которые являются частью уже созданной TCP-сессии;
Прикрепение к интерфейсу:
- — in: входящее направление;
- — out: исходящее направление;
Именованные списки доступа:
- — standard: стандартный ACL;
- — extended: расширенный ACL;
- — default: установить команду в значение по умолчанию;