- •Курс СиСпк в рисунках
- •Сеть (более 4×109 абонентов)
- •Локальные и глобальные сети
- •1.8. Инкапсуляция данных
- •1.10. Передача сообщения по сети
- •2.1. Уровень приложений
- •Протоколы передачи электронной почты
- •Протоколы передачи файлов ftp (tcp) и tftp (udp)
- •Система доменных имен dns
- •Протокол удаленного доступа Telnet
- •Транспортный уровень моделей osi, tcp/ip
- •Результат выполнения команды netstat
- •Физический уровень модели osi Медные кабели – в сетях доступа, в локальных сетях.
- •Канальный уровень. Локальные сети
- •Подуровни канального уровня
- •Сеть на базе коммутатора
- •Технология Gigabit Ethernet
- •Протокол arp
- •Адресация в ip – сетях Логические адреса версии iPv4 - иерархические
- •Адреса версии iPv6
- •Функционирование маршрутизаторов Назначение ip-адресов
- •Передача данных в сетях с маршрутизаторами
- •Сетевые протоколы. Формат пакета протокола ip
- •Протоколы маршрутизации
- •Протокол rip Алгоритм Беллмана-Форда.
- •Сеть из последовательно соединенных маршрутизаторов
- •Меры борьбы с маршрутными петлями
- •Основы конфигурирования маршрутизаторов
- •Создание начальной конфигурации маршрутизатора
- •Конфигурирование интерфейсов
- •Конфигурирование маршрутизации Конфигурирование статической маршрутизации
- •Конфигурирование конечных узлов и верификация сети
- •Динамическая маршрутизация. Конфигурирование протокола rip
- •Конфигурирование динамической маршрутизации по умолчанию
- •Особенности протоколов вектора расстояния
- •Общие сведения о протоколе eigrp
- •Конфигурирование протокола eigrp
- •Протокол маршрутизации ospf
- •Области функционирования протокола ospf
- •Метрика протокола ospf
- •Конфигурирование протокола ospf
- •Конфигурирование стандартных списков доступа
- •Конфигурирование расширенных списков доступа
- •Для этого создается список доступа:
- •Именованные списки доступа
- •Контроль списков доступа
- •Лекция 15. Конфигурирование коммутаторов Общие вопросы конфигурирования коммутаторов
- •Адресация коммутаторов, конфигурирование интерфейсов
- •Управление таблицей коммутации
- •Конфигурирование безопасности на коммутаторе
- •Виртуальные локальные сети
- •Транковые соединения
- •Транковые соединения коммутаторов
- •Конфигурирование виртуальных сетей
- •16.3. Маршрутизация между виртуальными локальными сетями
- •Конфигурирование транковых соединений
- •Список литературы
- •Список терминов и сокращений
Конфигурирование расширенных списков доступа
В отличие от стандартных списков доступа, где в качестве критерия фильтрации только один параметр – адрес источника, расширенные списки используют несколько параметров:
- адрес источника,
- адрес назначения,
- протокол,
- порт.
Формат команды создания расширенного списка доступа следующий:
Router(config)#access-list
{номер} {permit
или
deny}
{протокол} {адрес источника} {адрес
назначения} {порт}
В поле протокола задается имя или номер (0 – 255) протокола сети Интернет. Наиболее часто используются протоколы IP, TCP, UDP, OSPF, RIP и др. Поле порта используется либо для задания номера (0 – 65535), либо – имени портов, например, FTP или Telnet.
Формат команды привязки списка доступа к интерфейсу аналогичен команде стандартного списка:
Router(config-if)#{протокол}
access-group
{номер}
{in
или
out}
Пример 4. В сети (рис. 14.2) необходимо:
разрешить одной рабочей станции 192.168.30.11 Сети 3 доступ к серверу с адресом 192.168.10.25 Сети 1 с адресом порта 8080;
разрешить всем рабочим станциям Сети 2 с адресом 192.168.20.0 доступ к тому же серверу;
разрешить всем рабочим станциям доступ ко всем Web-серверам Сети
Для этого создается список доступа:
Router_А(config)#access-list
110
permit
tcp
host
192.168.30.11 host 192.168.10.25 eq 8080
Router_А(config)#access-list
110
permit
tcp
192.168.20.11
0.0.0.255 host 192.168.10.25 eq 8080
Router_А(config)#access-list
110
permit
tcp
any any eq WWW
Router_А(config)#int
f0/0
Router_А(config-if)#ip
access-group 110 out
Запись any (все) эквивалентна записи 0.0.0.0 255.255.255.255, т.е. ни один бит адреса не должен анализироваться. Следовательно, в третьем условии Примера 4 записано требование, исключить фильтрацию по адресу источника и адресу назначения, т.е. запись permit tcp any any означает «разрешить доступ всем сегментам tcp ко всем узлам сети». Единственный критерий фильтрации – это порт eq WWW.
Запись eq означает требование анализа пакетов только с данным номером порта назначения. Вместо нее могла быть другая запись, например, neq, означающая требование анализа пакетов с другими номерами, за исключением данного. Запись range означает требование анализа пакетов с номерами портов в указанном диапазоне.
Пример 5. Необходимо в сети (рис.14.2) создать список доступа, чтобы:
блокировать рабочей станции 192.168.20.11 Сети 2 доступ по telnet в Сеть 1, но оставить доступ для другого сервиса;
блокировать рабочей станции 192.168.30.24 Сети 3 доступ по telnet в Сеть 1, но оставить доступ для другого сервиса;
Для этого создается список доступа:
Router_А(config)#access-list
115
deny
tcp
host
192.168.20.11 192.168.10.0 0.0.0.255 eq telnet
Router_А(config)#access-list
115
deny
tcp
host
192.168.30.24 192.168.10.0 0.0.0.255 eq telnet
Router_А(config)#access-list
115
permit
ip
any any
Router_А(config)#int
f0/0
Router_А(config-if)#ip
access-group 115 out
Удаление списков доступа производится с использованием отрицания no. Например, удаление списка доступа из предыдущего примера производится по команде:
RouterА(config)#no
access-list
115