Фильтрация трафика: назначение, устройства фильтрации. Конфигурация именованных списков доступа.
Фильтрация трафика позволяет контролировать доступ к сети путем анализа входящих и исходящих пакетов и пропускание или не пропускание их на основе указанных критериев.
Маршрутизатор выступает в качестве пакетного фильтра, когда он передает или запрещает пакеты в соответствии с правилами фильтрации. Когда пакет приходит маршрутизатор с фильтрацией пакетов, маршрутизатор извлекает определенную информацию из заголовка пакета и принимает решение в соответствии с правилами фильтрации относительно того, может пройти пакет или должен быть отброшен. Фильтрация пакетов работает на сетевом уровне модели взаимодействия открытых систем (OSI) модели, или интернет слое TCP / IP.
Как устройство 3-го уровня, маршрутизатор с фильтрацией пакетов использует правила, чтобы определить, следует разрешить или запретить трафик на основе IP адреса источника и назначения, порта источника и порта назначения, и протокола пакета. Эти правила определяются с помощью списков контроля доступа или ACL.
ACL представляет собой последовательный список правил «запретить» или «разрешить», которые применяются к IP-адресам или протоколов верхнего уровня. ACL может извлечь следующую информацию заголовка пакета, сравнить ее с правилами, и принять «разрешить» или «отказать» решение, основанных на:
IP адрес источника
IP адрес назначения
типа ICMP-сообщения
ACL может также извлечь информацию более верхнего уровня и сверить ее с правилами. Верхний слой информация включает в себя:TCP / UDP порт источника, TCP / UDP порт назначения.
Устройства фильтрации:
- устройства безопасности CISCO
- серверные межсетевые экраны
- беспроводной маршрутизатор с интегрированным межсетевым экраном
- маршрутизатор CISCO со встроенным межсетевым экраном
- отдельно уствойство DPI(deep packet inspector – используется в Китае для админ-и интернет трафика) – устройство глубокой фильтрации, проверяет не только заголовки, но и «внутренность» пакета.
Именованные списки доступа Router(config)#ip access-list {standard | extended} {<номер ACL> | <имя ACL>} Router(config-ext-nacl)# {default | deny | exit | no | permit | remark}
standard: стандартный ACL
extended: расширенный ACL
default: установить команду в значение по умолчанию
Протокол dhcp: назначение, описание, логика обмена. Способы «раздачи» адресов. Формат сообщения dhcp. Настройка dhcp-сервера на базе роутера.
DHCP (англ. Dynamic Host Configuration Protocol — протокол динамической конфигурации узла) — это сетевой протокол, позволяющий компьютерам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP. Данный протокол работает по модели «клиент-сервер». Для автоматической конфигурации компьютер-клиент на этапе конфигурации сетевого устройства обращается к так называемому серверу DHCP, и получает от него нужные параметры. Сетевой администратор может задать диапазон адресов, распределяемых сервером среди компьютеров. Это позволяет избежать ручной настройки компьютеров сети и уменьшает количество ошибок. Протокол DHCP используется в большинстве сетей TCP/IP.
Предоставление IP-адреса клиентам, является фундаментальной задачей которая выполняется сервером DHCP. DHCP включает в себя три разных механизма распределения адресов, чтобы обеспечить гибкость при назначении IP-адресов:
Manual Allocation: администратор назначает предварительно выделенный IP-адрес клиенту и DHCP только сообщает IP-адрес устройству.
Automatic Allocation: DHCP автоматически присваивает статический IP- адрес непосредственно устройству, выбрав его из пула доступных адресов. Нет lease-таймеров и адрес жестко привязан к устройству.
Dynamic Allocation: DHCP автоматически динамически назначает или временно выдает в пользование, IP-адрес из пула адресов в течение ограниченного периода времени, выбранного сервером, или пока клиент сообщает серверу DHCP, что он больше не нуждается в его адресе.
Логика обмена
Формат сообщения:
Для настройки роутера в качестве DHCP сервера необходимо выполнить следующие шаги:
Шаг 1. Определить диапазон адресов, которые DHCP не выделит. Эти, как правило, статические адреса зарезервированые для интерфейсов маршрутизатора, IP-адрес управдения свитчом, адреса серверов и принтеров локальной сети.
R1(config)#ip dhcp excluded-address low-address [high-address]
Шаг 2. Создать пул DHCP используя ip dhcp pool команду
R1(config)#ip dhcp pool pool-name
Шаг 3. Конфигурация деталей пула
