Контрольні питання:
1.Яка команда дозволить отримати інформацію про окремий інтерфейс маршрутизатора?
2.Коли необхідно використовувати функцію відладки на маршрутизаторі?
3.Який тип інкапсуляції по замовчуваню використовується для маршрутизатора Cisco?
4.Який алгоритм роботи протоколу аутентифікації РАР?
5.Які недоліки протоколу аутентифікації РАР?
6.З яким інтервалом відбувається обмін повідомленнями про стан каналу в даній лабораторній роботі?
Лабораторна робота №12.
Налаштування списків контролю доступу ACL.
Тема роботи: налаштування списків контролю доступу ACL.
Мета роботи: вивчити принципи налаштування списків контролю доступу ACL на маршрутизаторах Cisco.
Порядок виконання роботи
Виконання даної лабораторної роботи, складається з двох частин:
Підготовки на емуляторі Packet Tracer v.5.х
Робота на базі маршрутизаторів Cisco 2801
План роботи
Ознайомитись з теоретичними відомостями.
Скласти схему макету у емуляторі Packet Tracer.
Ознайомитися з теоретичними відомостями в роботі.
Провести конфігурування ACL на маршрутизаторі на емуляторі та перевірити коректність роботи налаштованих листів.
Провести конфігурування ACL на реальному обладнанні, після чого перевірити правильність усіх налаштувань.
По закіненні роботи стерти всі налаштування, вимкнути обладнання та підготувати звіт.
Теоретичні відомості
Що таке листи контролю доступу (ACL)
ACL списки дозволяють вам контролювати трафік всередині та за межами вашої мережі. ACL - це конфігураційний скрипт маршрутизатора, який керує тим, яким пакетам дозволено проходити через певний інтерфейс маршрутизатора, а яким ні. Такі дії здійснюються на основі аналізу заголовка пакету. Списки контролю доступу також використовуються для визначення типу трафіку, який необхідно аналізувати, спрямовувати або обробляти.
Кожен пакет, що приходить на порт маршрутизатора, на якому встановлений ACL, перевіряється на схожість інформації у заголовку пакета з записом у списку. ACL складаються з правил, які дозволяють чи забороняють проходження пакету через інтерфейс маршрутизатора. Спискт ACL реалізують політику безпеки мережі.
Розмір ACL-списку може змінюватись від однієї інструкції, по якій дозволяється або блокується трафік від одного джерела, до сотні інструкцій, що дозволяють або забороняють пакети з різних джерел. В основному, ACL-списки використовуються для визначення типів пакетів, які приймаються чи відхиляються.
По замовчуванню на маршрутизаторі немає налаштованих ACL списків для фільтруваня трафіку. Весь вхідний трафік маршрутизується відповідно до таблиці маршрутизації.
Рекомендації по використанню списків контролю доступу (ACL):
Використовуйте ACL на маршрутизаторах, що виконують функції фаєрволів, розміщуючи ACL між внутрішньою та зовнішньою мережами(наприклад, мережею Інтернет);
Використовуйте списки контролю доступу розміщуючи їх між двома частинами вашої мережі, тоді можна контролювати вхідний та вихідний трафік у важливій ділянці внутрішньої мережі;
Налаштовуйте ACL для кожного мережевого протоколу, що налаштований на інтерфейсі граничного маршрутизатора. Можна налаштувати ACL на інтерфейсі для фільтрації вхідного трафіку, вихідного трафіку, або і вхідного і вихідного трафіку.
Приклад встановлених ACL списків зображено на рисунку 13.1:
Рис. 13.1 Встановлення ACL списків
Розширені ACL-списки
Розширений ACL-список використовується для фільтрації не тільки по ІP-адресі джерела, а також і по ІP-адресі призначення пакету, протоколу, номерах tcp портів. Розширені ACL-списки використовуються частіше стандартних, оскільки, вони є більш гнучкими і дозволяють забезпечити більш високий рівень контролю. Розширеним ACL-спискам привласнюються номера з діапазону від 100 до 199 і від 2000 до 2699.
Обробка ACL-списку
У списках контролю доступу міститься одна чи більше інструкцій. Кожна інструкція дає дозвіл, або забороняє трафік на основі зазначених параметрів. Трафік порівнюється з кожною інструкцією в ACL-списку одна за одною, поки не буде знайдене співпадіння, або не закінчиться список інструкцій.
Остання інструкція в ACL-списку завжди містить неявну заборону трафіку. Ця інструкція автоматично вставляється в кінець кожного ACL-списку. Неявна заборона блокує весь трафік. Ця можливість дозволяє запобігти випадковому проходженню небажаного трафіку.
Після створення списку контролю доступу, його необхідно застосувати до інтерфейсу. ACL-список призначений для фільтрації вхідного або вихідного трафіку, що проходить через інтерфейс. Якщо пакет відповідає інструкції, що дозволяє проходження, то він пропускається маршрутизатором. Якщо ж пакет відповідає інструкції, що забороняє проходження, він зупиняється. ACL-список без жодної інструкції, яка дозволяє проходження, приводить до блокування всього трафіку. Це пояснюється тим, що в кінці кожного ACL-списку вказується неявна заборона. Таким чином, ACL-список буде перешкоджати проходженню всього трафіку, якщо не зазначені особливі дозволи.
Адміністратор може використовувати вхідний чи вихідний ACL-список для інтерфейсу маршрутизатора. Вхідний чи вихідний напрямок завжди розглядається з погляду маршрутизатора. Трафік, що приходить на інтерфейс з мережі, є вхідним, а трафік, який відправляється через інтерфейс в мережу – вихідним.
При отриманні пакету через інтерфейс маршрутизатор перевіряє такі параметри:
наявність ACL-списку, налаштованого на інтерфейсі;
визначення типу ACL-списку (вхідний/вихідний);
визначення відповідності трафіку правилам описаним в списку контролю доступу.
ACL-список, що використовується як вихідний до інтерфейсу, не діє для вхідного трафіку на тому ж інтерфейсі.
Для кожного інтерфейсу маршрутизатор може мати один ACL-список для одного напрямку по кожному мережевому протоколу. Для ІP-протоколу один інтерфейс може мати один вхідний і один вихідний ACL-список одночасно.
ACL списки визначають набір правил, які дають додаткові можливості управління для пакетів, які надходять на вхідний інтерфейс, пакетів, які передаються через маршрутизатор та пакетів, що виходять через вихідні інтерфейси маршрутизатора. ACL списки не діють на пакети, які стосуються самого маршрутизатора.
Вхідні ACL списки – вхідні пакети обробляються перед тим, як вони направляються на вихідний інтерфейс. Вхідні ACL є ефективними, оскільки економлять ресурси маршрутизатора, у випадку коли пакет треба відкинути. Якщо пакет дозволений він маршрутизується.
Вихідні ACL списки – вхідні пакети направляються на вихідний інтерфейс, а потім вони обробляються за допомогою вихідного ACL.
Перед тим, як пакет направляється на вихідний інтерфейс, маршрутизатор перевіряє таблицю маршрутизації, щоб переконатися, що існує маршрут для даного пакету. Якщо пакет не маршрутизується, він відкидається маршрутизатором. Потім маршрутизатор перевіряє, чи є ACL на вихідному інтерфейсі. Для вихідних списків, "permit" означає послати пакет у вихідний буфер, а "deny" означає відкинути пакет.
ACL-списки, що застосовуються до інтерфейсу, створюють затримку трафіку. Навіть один довгий ACL-список може вплинути на продуктивність маршрутизатора.
Налаштування нумерованих розширених ACL-списків
Правила, що діють для стандартних ACL-списків, також дійсні для розширених ACL-списків:
в одному ACL-списку можна вказувати кілька інструкцій;
кожна інструкція повинна мати той же номер ACL-списку;
для представлення ІP-адрес варто використовувати ключові слова host чи any.
Основною відмінністю синтаксису розширеного ACL-списку є необхідність вказувати протокол після умови дозволу або заборони. Це може бути ІP-протокол із вказівкою всього ІP-трафіку чи фільтрації визначеного ІP-протоколу, такого як TCP, UDP, ІCMP, OSPF.
При плануванні ACL-списку необхідно забезпечити мінімальну кількість інструкцій, якщо це можливо. Для зменшення числа інструкцій і скорочення навантаження на обробку маршрутизатором, можна використати наступні рекомендації:
забезпечте виявлення прохідного трафіку великого об’єму і заборону трафіку, що блокується в перших інструкціях ACL-списку, це дозволить уникнути порівняння пакетів з інструкціями, що знаходяться нище у списку;
об'єднайте декілька інструкцій в одну інструкцію за допомогою діапазонів;
намагайтеся блокувати доступ визначеній групі замість того, щоб дозволяти його іншій групі з більшою кількістю користувачів.