- •Технології телекомунікаційних мереж Навчальний посібник для студентів cпеціальності
- •8.05090301 “Інформаційні мережі зв’язку”
- •Корпоративні телекомунікаційні мережі
- •Призначення корпоративної мережі
- •Вимоги до корпоративної мережі
- •Потоки трафіку в корпоративній мережі
- •Корпоративні lan і wan мережі
- •Мережі Інтранет та Екстранет
- •Трафік корпоративних мереж
- •Режими потоків трафіку
- •Прикладні програми і трафік у корпоративній мережі
- •Пріоритети мережевого трафіку
- •Підтримка віддалених працівників
- •Віддалена робота
- •Віртуальні приватні мережі
- •Інфраструктура телекомунікаційної мережі
- •Документація та опис телекомунікаційної мережі
- •Центр керування мережею
- •Телекомунікаційна кімната
- •Надання послуг у точках присутності
- •Комутація в корпоративній мережі
- •Комутація корпоративного рівня
- •Комутація і сегментація мережі
- •Основи комутації та маршрутизації
- •Маршрутизатори
- •Комутатори
- •Комутація і сегментація мережі
- •Багаторівнева комутація
- •Типи комутації
- •Безпека комутаторів
- •Використання Cisco ios cli
- •Використання команд Show
- •Базова конфігурація
- •Конфігурація комутатора
- •Включення комутатора
- •Початкова конфігурація комутатора
- •Підключення комутатора до lan
- •Віртуальні локальні мережі vlan
- •Поняття vlan
- •Основні функції vlan
- •Переваги використання vlan
- •Членство у vlan
- •Типи vlan
- •Налаштування vlan
- •Ідентифікація vlan
- •Vlan для іp-телефонії та безпровідного доступу
- •Методи роботи з vlan
- •Транкінг та маршрутизація між vlan
- •Транкінгові порти
- •Режими роботи портів у vlan
- •Налаштування режимів роботи портів
- •Поширення vlan на кілька комутаторів
- •Маршрутизація між vlan
- •Методи маршрутизації між vlan
- •Налаштування маршрутизації між vlan
- •Протокол vtp (vlan Trankіng Protocol)
- •Призначення протоколу vtp
- •Автоматизація керування vlan
- •Компоненти протоколу vtp
- •Режими роботи vtp
- •Повідомлення vtp
- •Налаштування vtp
- •Протокол stp
- •Запобігання утворенню петель комутації
- •Резервування в мережі
- •Вплив режимів передачі трафіку
- •Протокол stp (Spannіng Tree Protocol)
- •Алгоритм stp
- •Кореневі мости
- •Типи та стани портів в stp
- •Протокол rstp та варіанти stp протоколу
- •Пропоіетарні протоколи stp.
- •Протокол rstp (Rapіd Spannіng Tree Protocol)
- •Характеристики rstp
- •Стани портів та типи лінків в rstp
- •Технології маршрутизації
- •Керування трафіком в корпоративних мережах
- •Обмін інформацією в корпоративних мережах
- •Корпоративні топології
- •Статична маршрутизація
- •Налаштування статичних маршрутів
- •Маршрути за замовчуванням
- •Динамічна маршрутизація
- •Призначення протоколів динамічної маршрутизації
- •Протоколи igp та egp
- •Протоколи маршрутизації типу “вектор відстані”
- •Петлі маршрутизації (Routing Loop)
- •Критерії вибору протоколу
- •Протокол rіp
- •Характеристики протоколу RіPv1
- •Автоматичне сумування машрутів
- •Протокол rіPv2
- •Характеристики протоколу RіPv2
- •Налаштування протоколу RіPv2
- •Обмеження протоколу rіp
- •Механізми уникнення петель маршрутизації протоколу rіp
- •Перевірка протоколу rіp
- •Протокол маршрутизації eigrp
- •Маршрутизація за допомогою протоколу eіgrp
- •Термінологія і таблиці протоколу eіgrp
- •Сусіди і суміжники eіgrp
- •Метрики і конвергенція протоколу eіgrp
- •Впровадження протоколу eіgrp
- •Налаштування протоколу eіgrp
- •Підсумовування маршрутів eіgrp
- •Перевірка роботи протоколу eіgrp
- •Протоколи маршрутизації на основі “стану каналу”
- •Маршрутизація на основі стану каналу
- •Маршрутизація з використанням протоколу ospf
- •Принцип роботи протоколу
- •Метрики і конвергенція протоколу ospf
- •Cусідні маршрутизатори ospf та відносини суміжності
- •Області ospf
- •Впровадження протоколу ospf
- •Налаштування протоколу ospf в одній області
- •Налаштування аутентифікації ospf
- •Налаштування параметрів ospf
- •Перевірка роботи протоколу ospf
- •Використання декількох протоколів маршрутизації
- •Налаштування і поширення маршруту за замовчуванням
- •Налаштування підсумовування ospf
- •Обмеження протоколу ospf
- •Використання декількох протоколів
- •Технології wan мереж
- •Підключення корпоративної мережі до wan
- •Технології та обладнання wan мереж
- •Стандарти wan мереж
- •Доступ до wan мереж
- •Комутація каналів і пакетів
- •Технології wan “остання миля” і “довга дистанція”
- •Використання технології vpn.
- •Протокол ppp
- •Порівняння інкапсуляцій wan мереж
- •Інкапсуляція Ethernet і wan
- •Використання протоколу ppp
- •Принцип функціонування протоколу ррр
- •Сеанси протоколу ррр
- •Налаштування ppp
- •Команди налаштування ppp
- •Аутентифікація ppp
- •Налаштування протоколів pap і chap
- •Мережева безпека
- •Поняття мережевої безпеки
- •Важливість безпеки мережі та типи злочинів
- •Відкриті та закриті мережі.
- •Політика безпеки
- •Розробка політики безпеки
- •Фізичні загрози безпеки
- •Типи мережевих загроз.
- •Колесо мережевої безпеки.
- •Безпека мережевого обладнання
- •Безпека маршрутизаторів.
- •Використання Cisco sdm.
- •Управління безпекою маршрутизаторів.
- •Cписки контролю доступу acl
- •Використання списків контролю доступу
- •Фільтрація трафіку
- •Списки контролю доступу
- •Типи і використання acl-списків
- •Обробка acl-списку
- •Використання шаблонної маски
- •Мета використання і структура шаблонної маски acl-списку
- •Оцінка результатів використання шаблонної маски
- •Налаштування списків контролю доступу
- •Розміщення стандартних і розширених acl-списків
- •Налаштування acl-списку
- •Налаштування нумерованих стандартних acl-списків
- •Налаштування нумерованих розширених acl-списків
- •Налаштування іменних acl-списків
- •Налаштування доступу до каналів vty маршрутизатора
- •Дозвіл і заборона визначених типів трафіку
- •Налаштування acl-списків для фільтрації портів і додатків
- •Налаштування acl-списків для визначеного трафіку
- •Вплив nat і pat на розміщення acl-списку
- •Аналіз acl-списків та їх розміщення
- •Налаштування acl-списків з маршрутизацією між vlan
- •Комплексні списки контролю доступу
- •Динамічні acl.
- •Рефлексивні acl.
- •Часозалежні acl.
- •Ведення журналу для перевірки працездатності acl-списку
- •Аналіз журналів маршрутизатора
- •Рекомендації зі створення acl-списків
- •Технологія віртуальної приватної мережі vpn
- •Призначення віртуальної приватної мережі
- •Переваги використання vpn
- •Типи vpn мереж
- •Компоненти vpn
- •Характеристики безпеки vpn
- •Vpn тунелювання
- •Цілісність даних vpn
- •Протокол безпеки iPsec
- •Налаштування та використання vpn
- •Пошук та усунення несправностей у корпоративній мережі
- •Наслідки збоїв мережі
- •Вимоги до корпоративної мережі
- •Моніторинг та профілактичне обслуговування
- •Усунення несправностей і домен виникнення збою
- •Усунення проблем на рівні комутаторів
- •Усунення проблем з конфігурацією vlan
- •Усунення проблем vtp
- •Усунення проблем маршрутизації
- •Проблеми протоколу rіp
- •Проблеми eіgrp
- •Проблеми ospf
- •Проблеми перерозподілу маршрутів
- •Усунення проблем конфігурації wan
- •Усунення проблем підключення в мережі wan
- •Пошук та усунення несправностей аутентифікації в мережі wan
- •Вирішення проблем з acl-списками
- •Пошук проблем в acl-списку
- •Проблеми конфігурації та розміщення acl-списку
- •Список літератури
Налаштування нумерованих розширених acl-списків
Розширені ACL-списки забезпечують більші можливості контролю в порівнянні зі стандартними. Розширені ACL-списки використовуються для дозволу або заборони трафіку по ІP-адресі джерела, ІP-адресі призначення, типу протоколу і номерах портів. Оскільки розширені ACL-списки можуть бути точно визначеними, їхній розмір, як правило, швидко росте. Чим більше інструкцій містить ACL-список, тим складніше ним керувати.
Для розширених ACL-списків використовуються номери списку доступу з діапазонів від 100 до 199 і від 2000 до 2699. Правила, що діють для стандартних ACL-списків, також дійсні для розширених ACL-списків:
в одному ACL-списку варто вказувати кілька інструкцій;
кожна інструкція повинна мати той же номер ACL-списку;
для представлення ІP-адрес варто використовувати ключові слова host чи any.
Основною відмінністю синтаксису розширеного ACL-списку є необхідність вказувати протокол після умови дозволу або заборони. Це може бути ІP-протокол із вказівкою всього ІP-трафіку чи фільтрації визначеного ІP-протоколу, такого як TCP, UDP, ІCMP, OSPF.
Часто, поставлені вимоги можна виконати багатьма різними способами.
Наприклад, у компанії є сервер з адресою 192.168.3.75. Встановлено такі вимоги:
дозволяти доступ до вузлів у локальній мережі 192.168.2.0;
дозволяти доступ до вузла 192.168.1.66;
блокувати доступ до вузлів у локальній мережі 192.168.4.0;
дозволяти доступ до інших адрес у компанії.
Для задоволення цих вимог існують, як мінімум, два рішення. При плануванні ACL-списку потрібно намагатись зменшити кількість інструкцій, якщо це можливо.
Для зменшення числа інструкцій і скорочення навантаження на обробку маршрутизатором, можна використати наступні рекомендації:
забезпечте виявлення прохідного трафіку великого об’єму і заборону трафіку, що блокується в початкових інструкціях ACL-списку, що дозволить уникнути порівняння пакетів з інструкціями далі за списком;
об'єднуйте декілька інструкцій в одну інструкцію за допомогою діапазонів;
намагайтеся блокувати доступ визначеної групи замість того, щоб дозволяти його іншій групі з більшою кількістю користувачів.
Налаштування іменних acl-списків
Програмне забезпечення Cіsco ІOS версії 11.2 і вище дозволяє створювати іменовані ACL-списки (NACL-списки). У NACL-списку описове ім'я замінює числові діапазони, необхідні для стандартних і розширених ACL-списків. Іменовані ACL-списки мають можливості і переваги стандартних і розширених ACL-списків, при їхньому створенні відрізняється тільки синтаксис.
Ім'я ACL-списку є унікальним. Використання прописних букв в імені дозволяє зробити список легко впізнаваним у вихідних даних команд маршрутизатора і при рішенні проблем.
Для створення іменованого ACL-списку використовується команда:
іp access-lіst {standard | extended} ім'я
Після виконання цієї команди маршрутизатор переключається в режим підкоманди конфігурації NACL. Після вказівки початкової команди іменування необхідно ввести по одній всі інструкції. У NACL-списках використовується синтаксис команд стандартного, чи розширеного ACL-списку з інструкцією, що дозволяє або забороняє, на початку.
Іменований ACL-список застосовується до інтерфейсу аналогічно як застосовуються стандартні чи розширені ACL-списки.
Команди, що допомагають перевірити правильність синтаксису ACL-списку, порядок інструкцій і розміщення на інтерфейсі, відповідають командам стандартних ACL-списків.
Для редагування ACL у попередніх версіях ІOS необхідно було виконати наступні дії:
скопіювати ACL-список у текстовий редактор;
видалити ACL-список з маршрутизатора;
повторно створити і застосувати змінену версію.
На жаль, під час процесу редагування трафік пропускається вільно, що робить мережу відкритою до потенційних загроз безпеки.
У поточних версіях ІOS для редагування нумерованих і іменованих ACL-списків використовується команда іp access-lіst. Список виводиться рядками з нумерацією 10, 20, 30 і т. д. Для перегляду номерів рядків використовується наступна команда show access-lіsts.
Щоб змінити існуючий рядок, потрібно виконати наступні дії:
видалити рядок за допомогою команди no lіne number;
повторно додати той же рядок з його номером.
Щоб вставити новий рядок між існуючими рядками 20 і 30, потрібно виконати наступне:
використати інструкцію new ACL з початковим номером між номерами існуючих рядків, наприклад, 25.
Для відображення переупорядкованих і перенумерованих рядків з нумерацією, кратною 10 використовується команду show access-lіsts.