- •Технології телекомунікаційних мереж Навчальний посібник для студентів cпеціальності
- •8.05090301 “Інформаційні мережі зв’язку”
- •Корпоративні телекомунікаційні мережі
- •Призначення корпоративної мережі
- •Вимоги до корпоративної мережі
- •Потоки трафіку в корпоративній мережі
- •Корпоративні lan і wan мережі
- •Мережі Інтранет та Екстранет
- •Трафік корпоративних мереж
- •Режими потоків трафіку
- •Прикладні програми і трафік у корпоративній мережі
- •Пріоритети мережевого трафіку
- •Підтримка віддалених працівників
- •Віддалена робота
- •Віртуальні приватні мережі
- •Інфраструктура телекомунікаційної мережі
- •Документація та опис телекомунікаційної мережі
- •Центр керування мережею
- •Телекомунікаційна кімната
- •Надання послуг у точках присутності
- •Комутація в корпоративній мережі
- •Комутація корпоративного рівня
- •Комутація і сегментація мережі
- •Основи комутації та маршрутизації
- •Маршрутизатори
- •Комутатори
- •Комутація і сегментація мережі
- •Багаторівнева комутація
- •Типи комутації
- •Безпека комутаторів
- •Використання Cisco ios cli
- •Використання команд Show
- •Базова конфігурація
- •Конфігурація комутатора
- •Включення комутатора
- •Початкова конфігурація комутатора
- •Підключення комутатора до lan
- •Віртуальні локальні мережі vlan
- •Поняття vlan
- •Основні функції vlan
- •Переваги використання vlan
- •Членство у vlan
- •Типи vlan
- •Налаштування vlan
- •Ідентифікація vlan
- •Vlan для іp-телефонії та безпровідного доступу
- •Методи роботи з vlan
- •Транкінг та маршрутизація між vlan
- •Транкінгові порти
- •Режими роботи портів у vlan
- •Налаштування режимів роботи портів
- •Поширення vlan на кілька комутаторів
- •Маршрутизація між vlan
- •Методи маршрутизації між vlan
- •Налаштування маршрутизації між vlan
- •Протокол vtp (vlan Trankіng Protocol)
- •Призначення протоколу vtp
- •Автоматизація керування vlan
- •Компоненти протоколу vtp
- •Режими роботи vtp
- •Повідомлення vtp
- •Налаштування vtp
- •Протокол stp
- •Запобігання утворенню петель комутації
- •Резервування в мережі
- •Вплив режимів передачі трафіку
- •Протокол stp (Spannіng Tree Protocol)
- •Алгоритм stp
- •Кореневі мости
- •Типи та стани портів в stp
- •Протокол rstp та варіанти stp протоколу
- •Пропоіетарні протоколи stp.
- •Протокол rstp (Rapіd Spannіng Tree Protocol)
- •Характеристики rstp
- •Стани портів та типи лінків в rstp
- •Технології маршрутизації
- •Керування трафіком в корпоративних мережах
- •Обмін інформацією в корпоративних мережах
- •Корпоративні топології
- •Статична маршрутизація
- •Налаштування статичних маршрутів
- •Маршрути за замовчуванням
- •Динамічна маршрутизація
- •Призначення протоколів динамічної маршрутизації
- •Протоколи igp та egp
- •Протоколи маршрутизації типу “вектор відстані”
- •Петлі маршрутизації (Routing Loop)
- •Критерії вибору протоколу
- •Протокол rіp
- •Характеристики протоколу RіPv1
- •Автоматичне сумування машрутів
- •Протокол rіPv2
- •Характеристики протоколу RіPv2
- •Налаштування протоколу RіPv2
- •Обмеження протоколу rіp
- •Механізми уникнення петель маршрутизації протоколу rіp
- •Перевірка протоколу rіp
- •Протокол маршрутизації eigrp
- •Маршрутизація за допомогою протоколу eіgrp
- •Термінологія і таблиці протоколу eіgrp
- •Сусіди і суміжники eіgrp
- •Метрики і конвергенція протоколу eіgrp
- •Впровадження протоколу eіgrp
- •Налаштування протоколу eіgrp
- •Підсумовування маршрутів eіgrp
- •Перевірка роботи протоколу eіgrp
- •Протоколи маршрутизації на основі “стану каналу”
- •Маршрутизація на основі стану каналу
- •Маршрутизація з використанням протоколу ospf
- •Принцип роботи протоколу
- •Метрики і конвергенція протоколу ospf
- •Cусідні маршрутизатори ospf та відносини суміжності
- •Області ospf
- •Впровадження протоколу ospf
- •Налаштування протоколу ospf в одній області
- •Налаштування аутентифікації ospf
- •Налаштування параметрів ospf
- •Перевірка роботи протоколу ospf
- •Використання декількох протоколів маршрутизації
- •Налаштування і поширення маршруту за замовчуванням
- •Налаштування підсумовування ospf
- •Обмеження протоколу ospf
- •Використання декількох протоколів
- •Технології wan мереж
- •Підключення корпоративної мережі до wan
- •Технології та обладнання wan мереж
- •Стандарти wan мереж
- •Доступ до wan мереж
- •Комутація каналів і пакетів
- •Технології wan “остання миля” і “довга дистанція”
- •Використання технології vpn.
- •Протокол ppp
- •Порівняння інкапсуляцій wan мереж
- •Інкапсуляція Ethernet і wan
- •Використання протоколу ppp
- •Принцип функціонування протоколу ррр
- •Сеанси протоколу ррр
- •Налаштування ppp
- •Команди налаштування ppp
- •Аутентифікація ppp
- •Налаштування протоколів pap і chap
- •Мережева безпека
- •Поняття мережевої безпеки
- •Важливість безпеки мережі та типи злочинів
- •Відкриті та закриті мережі.
- •Політика безпеки
- •Розробка політики безпеки
- •Фізичні загрози безпеки
- •Типи мережевих загроз.
- •Колесо мережевої безпеки.
- •Безпека мережевого обладнання
- •Безпека маршрутизаторів.
- •Використання Cisco sdm.
- •Управління безпекою маршрутизаторів.
- •Cписки контролю доступу acl
- •Використання списків контролю доступу
- •Фільтрація трафіку
- •Списки контролю доступу
- •Типи і використання acl-списків
- •Обробка acl-списку
- •Використання шаблонної маски
- •Мета використання і структура шаблонної маски acl-списку
- •Оцінка результатів використання шаблонної маски
- •Налаштування списків контролю доступу
- •Розміщення стандартних і розширених acl-списків
- •Налаштування acl-списку
- •Налаштування нумерованих стандартних acl-списків
- •Налаштування нумерованих розширених acl-списків
- •Налаштування іменних acl-списків
- •Налаштування доступу до каналів vty маршрутизатора
- •Дозвіл і заборона визначених типів трафіку
- •Налаштування acl-списків для фільтрації портів і додатків
- •Налаштування acl-списків для визначеного трафіку
- •Вплив nat і pat на розміщення acl-списку
- •Аналіз acl-списків та їх розміщення
- •Налаштування acl-списків з маршрутизацією між vlan
- •Комплексні списки контролю доступу
- •Динамічні acl.
- •Рефлексивні acl.
- •Часозалежні acl.
- •Ведення журналу для перевірки працездатності acl-списку
- •Аналіз журналів маршрутизатора
- •Рекомендації зі створення acl-списків
- •Технологія віртуальної приватної мережі vpn
- •Призначення віртуальної приватної мережі
- •Переваги використання vpn
- •Типи vpn мереж
- •Компоненти vpn
- •Характеристики безпеки vpn
- •Vpn тунелювання
- •Цілісність даних vpn
- •Протокол безпеки iPsec
- •Налаштування та використання vpn
- •Пошук та усунення несправностей у корпоративній мережі
- •Наслідки збоїв мережі
- •Вимоги до корпоративної мережі
- •Моніторинг та профілактичне обслуговування
- •Усунення несправностей і домен виникнення збою
- •Усунення проблем на рівні комутаторів
- •Усунення проблем з конфігурацією vlan
- •Усунення проблем vtp
- •Усунення проблем маршрутизації
- •Проблеми протоколу rіp
- •Проблеми eіgrp
- •Проблеми ospf
- •Проблеми перерозподілу маршрутів
- •Усунення проблем конфігурації wan
- •Усунення проблем підключення в мережі wan
- •Пошук та усунення несправностей аутентифікації в мережі wan
- •Вирішення проблем з acl-списками
- •Пошук проблем в acl-списку
- •Проблеми конфігурації та розміщення acl-списку
- •Список літератури
Типи і використання acl-списків
Адміністратору доступно кілька варіантів створення списків контролю доступу. Складність вимог до структури визначає тип необхідного ACL-списку.
Існує три типи ACL-списків.
Стандартні списки контролю доступу
Стандартний ACL-список є найпростішим із трьох типів. При створенні стандартного ACL-списку для ІP-протоколу, фільтрація по ACL-списках здійснюється на основі вихідної ІP-адреси пакету. Адреса призначення пакету та порт не мають значення. Стандартні ACL-списки визначають дозвіл пакетові на основі всього протоколу, такого як ІP-протокол. Таким чином, при забороні вузлового пристрою стандартним ACL-списком, забороняються всі служби цього вузла. Такий тип ACL-списку корисний для дозволу доступу всіх служб визначеного користувача чи локальної мережі (LAN) через маршрутизатор із забороною доступу з інших ІP-адрес. Стандартні ACL-списки визначаються по номерах, які їм привласнюються. Номери з діапазону від 1 до 99 і від 1300 до 1999 привласнюються спискам доступу, що дозволяють або блокують ІP-трафік.
Розширені ACL-списки
Розширений ACL-список використовується для фільтрації не тільки по вихідній ІP-адресі, а також по кінцевій ІP-адресі, протоколу і номерах портів. Розширені ACL-списки використовуються частіше стандартних, оскільки вони є більш визначеними і забезпечують більш високий рівень контролю. Розширеним ACL-спискам привласнюються номери з діапазону від 100 до 199 і від 2000 до 2699.
Іменовані ACL-списки
Іменований ACL-список (NACL-список) має формат стандартного чи розширеного списку і позначається описовим ім'ям, а не номером. При налаштуванні іменованих ACL-списків, маршрутизатор ІOS використовує режим підкоманди NACL.
Обробка acl-списку
У списках контролю доступу міститься одна чи більше інструкцій. Кожна інструкція дає дозвіл, або забороняє трафік на основі зазначених параметрів. Трафік порівнюється з кожною інструкцією в ACL-списку одна за одною, поки не буде знайдене співпадіння, або не закінчиться список інструкцій.
Остання інструкція в ACL-списку завжди містить неявну заборону трафіку. Ця інструкція автоматично вставляється в кінець кожного ACL-списку, хоча і не є присутньою в ньому фізично. Неявна заборона блокує весь трафік. Ця можливість дозволяє запобігти випадковому проходженню небажаного трафіку.
Після створення списку контролю доступу, його необхідно застосувати до інтерфейсу, щоб задіяти його. ACL-список призначений для фільтрації вхідного або вихідного трафіку, що проходить через інтерфейс. Якщо пакет відповідає інструкції, що дозволяє проходження, то він пропускається маршрутизатором. Якщо ж пакет відповідає інструкції, що забороняє проходження, він зупиняється. ACL-список без жодної інструкції, що дозволяє проходження, приводить до блокування всього трафіку. Це пояснюється тим, що наприкінці кожного ACL-списку вказується неявна заборона. Таким чином, ACL-список буде перешкоджати проходженню всього трафіку, якщо не зазначені особливі дозволи.
Адміністратор може використовувати вхідний чи вихідний ACL-список для інтерфейсу маршрутизатора. Вхідний чи вихідний напрямок завжди розглядається з погляду маршрутизатора. Трафік, що надходить через інтерфейс, є вхідним, а трафік, який відправляється через інтерфейс – вихідним.
При отриманні пакету через інтерфейс маршрутизатор перевіряє такі параметри:
наявність ACL-списку, пов'язаного з інтерфейсом;
визначення типу ACL-списку (вхідний/вихідний);
визначення відповідності трафіку умовам.
ACL-список, що використовується як вихідний до інтерфейсу, не діє для вхідного трафіку на тому ж інтерфейсі.
Для кожного інтерфейсу маршрутизатор може мати один ACL-список для одного напрямку по кожному мережевому протоколу. Для ІP-протоколу один інтерфейс може мати один вхідний і один вихідний ACL-список одночасно.
ACL списки визначають набір правил, які дають додаткові можливості управління для пакетів, які надходять на вхідний інтерфейсу, пакетів, які передаються через маршрутизатор та пакетів, що виходять через вихідні інтерфейси маршрутизатора. ACL списки не діють на пакети, які виходять від самого маршрутизатора.
Вхідні ACL списки – вхідні пакети обробляються перед тим, як вони направляються на вихідний інтерфейс. Вхідні ACL є ефективними, оскільки економлять ресурси маршрутизатора, якщо пакет відкидається. Якщо пакет дозволений потім він маршрутизується.
Вихідні ACL списки – вхідні пакети направляються на вихідний інтерфейс, а потім вони обробляються за допомогою вихідного ACL.
Перед тим, як пакет направляється на вихідний інтерфейс, маршрутизатор перевіряє таблицю маршрутизації, щоб переконатися, що ємаршрут для даного пакету. Якщо пакет не маршрутизується, він відкидається маршрутизатором. Потім маршрутизатор перевіряє, чи є ACL на вихідний інтерфейс. Для вихідних списків, "permit" означає послати пакет у вихідний буфер, а "deny" означає відкинути пакет.
ACL-списки, що застосовуються до інтерфейсу, створюють затримку трафіку. Навіть один довгий ACL-список може вплинути на продуктивність маршрутизатора.