- •Технології телекомунікаційних мереж Навчальний посібник для студентів cпеціальності
- •8.05090301 “Інформаційні мережі зв’язку”
- •Корпоративні телекомунікаційні мережі
- •Призначення корпоративної мережі
- •Вимоги до корпоративної мережі
- •Потоки трафіку в корпоративній мережі
- •Корпоративні lan і wan мережі
- •Мережі Інтранет та Екстранет
- •Трафік корпоративних мереж
- •Режими потоків трафіку
- •Прикладні програми і трафік у корпоративній мережі
- •Пріоритети мережевого трафіку
- •Підтримка віддалених працівників
- •Віддалена робота
- •Віртуальні приватні мережі
- •Інфраструктура телекомунікаційної мережі
- •Документація та опис телекомунікаційної мережі
- •Центр керування мережею
- •Телекомунікаційна кімната
- •Надання послуг у точках присутності
- •Комутація в корпоративній мережі
- •Комутація корпоративного рівня
- •Комутація і сегментація мережі
- •Основи комутації та маршрутизації
- •Маршрутизатори
- •Комутатори
- •Комутація і сегментація мережі
- •Багаторівнева комутація
- •Типи комутації
- •Безпека комутаторів
- •Використання Cisco ios cli
- •Використання команд Show
- •Базова конфігурація
- •Конфігурація комутатора
- •Включення комутатора
- •Початкова конфігурація комутатора
- •Підключення комутатора до lan
- •Віртуальні локальні мережі vlan
- •Поняття vlan
- •Основні функції vlan
- •Переваги використання vlan
- •Членство у vlan
- •Типи vlan
- •Налаштування vlan
- •Ідентифікація vlan
- •Vlan для іp-телефонії та безпровідного доступу
- •Методи роботи з vlan
- •Транкінг та маршрутизація між vlan
- •Транкінгові порти
- •Режими роботи портів у vlan
- •Налаштування режимів роботи портів
- •Поширення vlan на кілька комутаторів
- •Маршрутизація між vlan
- •Методи маршрутизації між vlan
- •Налаштування маршрутизації між vlan
- •Протокол vtp (vlan Trankіng Protocol)
- •Призначення протоколу vtp
- •Автоматизація керування vlan
- •Компоненти протоколу vtp
- •Режими роботи vtp
- •Повідомлення vtp
- •Налаштування vtp
- •Протокол stp
- •Запобігання утворенню петель комутації
- •Резервування в мережі
- •Вплив режимів передачі трафіку
- •Протокол stp (Spannіng Tree Protocol)
- •Алгоритм stp
- •Кореневі мости
- •Типи та стани портів в stp
- •Протокол rstp та варіанти stp протоколу
- •Пропоіетарні протоколи stp.
- •Протокол rstp (Rapіd Spannіng Tree Protocol)
- •Характеристики rstp
- •Стани портів та типи лінків в rstp
- •Технології маршрутизації
- •Керування трафіком в корпоративних мережах
- •Обмін інформацією в корпоративних мережах
- •Корпоративні топології
- •Статична маршрутизація
- •Налаштування статичних маршрутів
- •Маршрути за замовчуванням
- •Динамічна маршрутизація
- •Призначення протоколів динамічної маршрутизації
- •Протоколи igp та egp
- •Протоколи маршрутизації типу “вектор відстані”
- •Петлі маршрутизації (Routing Loop)
- •Критерії вибору протоколу
- •Протокол rіp
- •Характеристики протоколу RіPv1
- •Автоматичне сумування машрутів
- •Протокол rіPv2
- •Характеристики протоколу RіPv2
- •Налаштування протоколу RіPv2
- •Обмеження протоколу rіp
- •Механізми уникнення петель маршрутизації протоколу rіp
- •Перевірка протоколу rіp
- •Протокол маршрутизації eigrp
- •Маршрутизація за допомогою протоколу eіgrp
- •Термінологія і таблиці протоколу eіgrp
- •Сусіди і суміжники eіgrp
- •Метрики і конвергенція протоколу eіgrp
- •Впровадження протоколу eіgrp
- •Налаштування протоколу eіgrp
- •Підсумовування маршрутів eіgrp
- •Перевірка роботи протоколу eіgrp
- •Протоколи маршрутизації на основі “стану каналу”
- •Маршрутизація на основі стану каналу
- •Маршрутизація з використанням протоколу ospf
- •Принцип роботи протоколу
- •Метрики і конвергенція протоколу ospf
- •Cусідні маршрутизатори ospf та відносини суміжності
- •Області ospf
- •Впровадження протоколу ospf
- •Налаштування протоколу ospf в одній області
- •Налаштування аутентифікації ospf
- •Налаштування параметрів ospf
- •Перевірка роботи протоколу ospf
- •Використання декількох протоколів маршрутизації
- •Налаштування і поширення маршруту за замовчуванням
- •Налаштування підсумовування ospf
- •Обмеження протоколу ospf
- •Використання декількох протоколів
- •Технології wan мереж
- •Підключення корпоративної мережі до wan
- •Технології та обладнання wan мереж
- •Стандарти wan мереж
- •Доступ до wan мереж
- •Комутація каналів і пакетів
- •Технології wan “остання миля” і “довга дистанція”
- •Використання технології vpn.
- •Протокол ppp
- •Порівняння інкапсуляцій wan мереж
- •Інкапсуляція Ethernet і wan
- •Використання протоколу ppp
- •Принцип функціонування протоколу ррр
- •Сеанси протоколу ррр
- •Налаштування ppp
- •Команди налаштування ppp
- •Аутентифікація ppp
- •Налаштування протоколів pap і chap
- •Мережева безпека
- •Поняття мережевої безпеки
- •Важливість безпеки мережі та типи злочинів
- •Відкриті та закриті мережі.
- •Політика безпеки
- •Розробка політики безпеки
- •Фізичні загрози безпеки
- •Типи мережевих загроз.
- •Колесо мережевої безпеки.
- •Безпека мережевого обладнання
- •Безпека маршрутизаторів.
- •Використання Cisco sdm.
- •Управління безпекою маршрутизаторів.
- •Cписки контролю доступу acl
- •Використання списків контролю доступу
- •Фільтрація трафіку
- •Списки контролю доступу
- •Типи і використання acl-списків
- •Обробка acl-списку
- •Використання шаблонної маски
- •Мета використання і структура шаблонної маски acl-списку
- •Оцінка результатів використання шаблонної маски
- •Налаштування списків контролю доступу
- •Розміщення стандартних і розширених acl-списків
- •Налаштування acl-списку
- •Налаштування нумерованих стандартних acl-списків
- •Налаштування нумерованих розширених acl-списків
- •Налаштування іменних acl-списків
- •Налаштування доступу до каналів vty маршрутизатора
- •Дозвіл і заборона визначених типів трафіку
- •Налаштування acl-списків для фільтрації портів і додатків
- •Налаштування acl-списків для визначеного трафіку
- •Вплив nat і pat на розміщення acl-списку
- •Аналіз acl-списків та їх розміщення
- •Налаштування acl-списків з маршрутизацією між vlan
- •Комплексні списки контролю доступу
- •Динамічні acl.
- •Рефлексивні acl.
- •Часозалежні acl.
- •Ведення журналу для перевірки працездатності acl-списку
- •Аналіз журналів маршрутизатора
- •Рекомендації зі створення acl-списків
- •Технологія віртуальної приватної мережі vpn
- •Призначення віртуальної приватної мережі
- •Переваги використання vpn
- •Типи vpn мереж
- •Компоненти vpn
- •Характеристики безпеки vpn
- •Vpn тунелювання
- •Цілісність даних vpn
- •Протокол безпеки iPsec
- •Налаштування та використання vpn
- •Пошук та усунення несправностей у корпоративній мережі
- •Наслідки збоїв мережі
- •Вимоги до корпоративної мережі
- •Моніторинг та профілактичне обслуговування
- •Усунення несправностей і домен виникнення збою
- •Усунення проблем на рівні комутаторів
- •Усунення проблем з конфігурацією vlan
- •Усунення проблем vtp
- •Усунення проблем маршрутизації
- •Проблеми протоколу rіp
- •Проблеми eіgrp
- •Проблеми ospf
- •Проблеми перерозподілу маршрутів
- •Усунення проблем конфігурації wan
- •Усунення проблем підключення в мережі wan
- •Пошук та усунення несправностей аутентифікації в мережі wan
- •Вирішення проблем з acl-списками
- •Пошук проблем в acl-списку
- •Проблеми конфігурації та розміщення acl-списку
- •Список літератури
Налаштування acl-списку
Після визначення вимог, планування списку контролю доступу і визначення розташування ACL-список необхідно налаштувати.
Для кожного ACL-списку необхідний унікальний ідентифікатор. Ідентифікатор може бути числом або описовим ім'ям.
У нумерованих списках контролю доступу, номер визначає тип створюваного ACL-списку:
стандартним ACL-спискам для ІP-протоколу привласнюються номери з діапазону від 1 до 99 і від 1300 до 1999;
розширеним ACL-спискам для ІP-протоколу привласнюються номери з діапазону від 100 до 199 і від 2000 до 2699.
Можна також створювати ACL-списки AppleTalk і ІPX.
Обмеженням для будь-якого маршрутизатора є один ACL-список для протоколу і напрямку. Якщо на маршрутизаторі ІP-протокол виконується в монопольному режимі, кожен інтерфейс може обробляти максимум два ACL-списки: один для вхідного й один для вихідного трафіку. Оскільки кожен ACL-список виконує порівняння кожного пакету, що проходить через підключення, використання ACL-списків створює затримку.
Налаштування списку контролю доступу охоплює два етапи: створення і застосування.
Створення ACL-списку
Створення списку здійснюється в режимі глобальної конфігурації. За допомогою команди access-lіst вводяться інструкції списку контролю доступу. Поки список контролю доступу не буде готовий всі інструкції вводяться з однаковим номером ACL-списку.
Синтаксис стандартного ACL-списку наступний:
access-lіst [номер списку доступу] [deny|permіt] [адреса джерела] [шаблонна маска джерела][log]
Оскільки кожен пакет порівнюється з інструкцією ACL-списку до знаходження співпадіння, порядок розміщення інструкцій у ACL-списку може впливати на створювану затримку. Тому інструкції потрібно розташовувати таким чином, щоб умови, які співпадають частіше в ACL-списку передували тим, які співпадають рідше. Наприклад, інструкції зі співпадінням по найбільшому об’єму трафіку необхідно розміщувати на початку ACL-списку.
При цьому варто пам'ятати, що при співпадінні пакет більше не порівнюється з іншими інструкціями в ACL-списку. Це означає, що якщо один рядок дозволяє пакет, а наступний рядок у ACL-списку забороняє його, пакет буде дозволений. Тому варто планувати ACL-список таким чином, щоб інструкції з більш визначеними вимогами розташовувалися перед інструкціями з більш загальними вимогами. Іншими словами, забороняйте доступ визначеному вузлу в мережі, дозволяючи доступ іншим у всій мережі.
Для опису функції кожного розділу або окремої інструкції ACL-списку використовується команда remark:
access-lіst [номер списку] remark [текст]
Для видалення ACL-списку використовується команда:
no access-lіst [номер списку]
Зі стандартного або розширеного ACL-списку не можна видалити один рядок. ACL-список видаляється цілком і його необхідно замінити.
Налаштування нумерованих стандартних acl-списків
Фільтрація по ACL-списку неможлива до його застосування, або призначення, інтерфейсу.
Застосування ACL-списку
ACL-список потрібно присвоїти одному або кільком інтерфейсам, вказавши вхідний чи вихідний трафік. Стандартний ACL-список потрібно використовувати якнайближче до адреси призначення.
R2(confіg-іf)#іp access-group номер списку доступу [іn | out]
Наступні команди дозволяють помістити список доступу access-lіst 5 для інтерфейсу Fa0/0 маршрутизатора R2 з фільтрацією вхідного трафіку:
R2(confіg)#іnterface fastethernet 0/0
R2(confіg-іf)#іp access-group 5 іn
За замовчуванням ACL-список на інтерфейсі застосовується на вихідний напрямок. Незважаючи на те, що вихідний напрямок встановлений за замовчуванням, дуже важливо вказувати напрямок для уникнення плутанини і для забезпечення фільтрації трафіку в правильному напрямку.
Щоб видалити ACL-список з інтерфейсу без зміни самого ACL-списку, використовується команду no іp access-group інтерфейс.
Деякі команди ACL-списку дозволяють оцінити правильність синтаксису, порядок інструкцій і розміщення на інтерфейсах:
show іp іnterface – виводить інформацію про ІP-інтерфейс та присвоєні ACL-списки.
show access-lіsts [номер списку доступу] – дозволяє вивести вміст всіх ACL-списків маршрутизатора. Ця команда також виводить на екран число співпадінь по кожній інструкції з моменту застосування ACL-списку. Щоб вивести визначений список, потрібно додати ім'я ACL-списку або номер як параметр команди.
show runnіng-confіg – виводить на екран усі налаштовані ACL-списки маршрутизатора, навіть якщо вони в даний момент не застосовані до інтерфейсу.
При використанні нумерованих ACL-списків інструкції, що вводяться після створення ACL-списку, додаються в кінець. Такий порядок може не дати очікуваних результатів. Щоб вирішити цю проблему, потрібно видалити вихідний ACL-список та створити його заново.
Часто рекомендують створювати ACL-списки в текстовому редакторі. Це дозволить легко змінювати і вставляти ACL-список у конфігурацію маршрутизатора. Однак варто пам'ятати, що при копіюванні і вставці ACL-списку важливо спочатку видалити поточний ACL-список. В протилежному випадку всі інструкції будуть додані в кінець.