- •Технології телекомунікаційних мереж Навчальний посібник для студентів cпеціальності
- •8.05090301 “Інформаційні мережі зв’язку”
- •Корпоративні телекомунікаційні мережі
- •Призначення корпоративної мережі
- •Вимоги до корпоративної мережі
- •Потоки трафіку в корпоративній мережі
- •Корпоративні lan і wan мережі
- •Мережі Інтранет та Екстранет
- •Трафік корпоративних мереж
- •Режими потоків трафіку
- •Прикладні програми і трафік у корпоративній мережі
- •Пріоритети мережевого трафіку
- •Підтримка віддалених працівників
- •Віддалена робота
- •Віртуальні приватні мережі
- •Інфраструктура телекомунікаційної мережі
- •Документація та опис телекомунікаційної мережі
- •Центр керування мережею
- •Телекомунікаційна кімната
- •Надання послуг у точках присутності
- •Комутація в корпоративній мережі
- •Комутація корпоративного рівня
- •Комутація і сегментація мережі
- •Основи комутації та маршрутизації
- •Маршрутизатори
- •Комутатори
- •Комутація і сегментація мережі
- •Багаторівнева комутація
- •Типи комутації
- •Безпека комутаторів
- •Використання Cisco ios cli
- •Використання команд Show
- •Базова конфігурація
- •Конфігурація комутатора
- •Включення комутатора
- •Початкова конфігурація комутатора
- •Підключення комутатора до lan
- •Віртуальні локальні мережі vlan
- •Поняття vlan
- •Основні функції vlan
- •Переваги використання vlan
- •Членство у vlan
- •Типи vlan
- •Налаштування vlan
- •Ідентифікація vlan
- •Vlan для іp-телефонії та безпровідного доступу
- •Методи роботи з vlan
- •Транкінг та маршрутизація між vlan
- •Транкінгові порти
- •Режими роботи портів у vlan
- •Налаштування режимів роботи портів
- •Поширення vlan на кілька комутаторів
- •Маршрутизація між vlan
- •Методи маршрутизації між vlan
- •Налаштування маршрутизації між vlan
- •Протокол vtp (vlan Trankіng Protocol)
- •Призначення протоколу vtp
- •Автоматизація керування vlan
- •Компоненти протоколу vtp
- •Режими роботи vtp
- •Повідомлення vtp
- •Налаштування vtp
- •Протокол stp
- •Запобігання утворенню петель комутації
- •Резервування в мережі
- •Вплив режимів передачі трафіку
- •Протокол stp (Spannіng Tree Protocol)
- •Алгоритм stp
- •Кореневі мости
- •Типи та стани портів в stp
- •Протокол rstp та варіанти stp протоколу
- •Пропоіетарні протоколи stp.
- •Протокол rstp (Rapіd Spannіng Tree Protocol)
- •Характеристики rstp
- •Стани портів та типи лінків в rstp
- •Технології маршрутизації
- •Керування трафіком в корпоративних мережах
- •Обмін інформацією в корпоративних мережах
- •Корпоративні топології
- •Статична маршрутизація
- •Налаштування статичних маршрутів
- •Маршрути за замовчуванням
- •Динамічна маршрутизація
- •Призначення протоколів динамічної маршрутизації
- •Протоколи igp та egp
- •Протоколи маршрутизації типу “вектор відстані”
- •Петлі маршрутизації (Routing Loop)
- •Критерії вибору протоколу
- •Протокол rіp
- •Характеристики протоколу RіPv1
- •Автоматичне сумування машрутів
- •Протокол rіPv2
- •Характеристики протоколу RіPv2
- •Налаштування протоколу RіPv2
- •Обмеження протоколу rіp
- •Механізми уникнення петель маршрутизації протоколу rіp
- •Перевірка протоколу rіp
- •Протокол маршрутизації eigrp
- •Маршрутизація за допомогою протоколу eіgrp
- •Термінологія і таблиці протоколу eіgrp
- •Сусіди і суміжники eіgrp
- •Метрики і конвергенція протоколу eіgrp
- •Впровадження протоколу eіgrp
- •Налаштування протоколу eіgrp
- •Підсумовування маршрутів eіgrp
- •Перевірка роботи протоколу eіgrp
- •Протоколи маршрутизації на основі “стану каналу”
- •Маршрутизація на основі стану каналу
- •Маршрутизація з використанням протоколу ospf
- •Принцип роботи протоколу
- •Метрики і конвергенція протоколу ospf
- •Cусідні маршрутизатори ospf та відносини суміжності
- •Області ospf
- •Впровадження протоколу ospf
- •Налаштування протоколу ospf в одній області
- •Налаштування аутентифікації ospf
- •Налаштування параметрів ospf
- •Перевірка роботи протоколу ospf
- •Використання декількох протоколів маршрутизації
- •Налаштування і поширення маршруту за замовчуванням
- •Налаштування підсумовування ospf
- •Обмеження протоколу ospf
- •Використання декількох протоколів
- •Технології wan мереж
- •Підключення корпоративної мережі до wan
- •Технології та обладнання wan мереж
- •Стандарти wan мереж
- •Доступ до wan мереж
- •Комутація каналів і пакетів
- •Технології wan “остання миля” і “довга дистанція”
- •Використання технології vpn.
- •Протокол ppp
- •Порівняння інкапсуляцій wan мереж
- •Інкапсуляція Ethernet і wan
- •Використання протоколу ppp
- •Принцип функціонування протоколу ррр
- •Сеанси протоколу ррр
- •Налаштування ppp
- •Команди налаштування ppp
- •Аутентифікація ppp
- •Налаштування протоколів pap і chap
- •Мережева безпека
- •Поняття мережевої безпеки
- •Важливість безпеки мережі та типи злочинів
- •Відкриті та закриті мережі.
- •Політика безпеки
- •Розробка політики безпеки
- •Фізичні загрози безпеки
- •Типи мережевих загроз.
- •Колесо мережевої безпеки.
- •Безпека мережевого обладнання
- •Безпека маршрутизаторів.
- •Використання Cisco sdm.
- •Управління безпекою маршрутизаторів.
- •Cписки контролю доступу acl
- •Використання списків контролю доступу
- •Фільтрація трафіку
- •Списки контролю доступу
- •Типи і використання acl-списків
- •Обробка acl-списку
- •Використання шаблонної маски
- •Мета використання і структура шаблонної маски acl-списку
- •Оцінка результатів використання шаблонної маски
- •Налаштування списків контролю доступу
- •Розміщення стандартних і розширених acl-списків
- •Налаштування acl-списку
- •Налаштування нумерованих стандартних acl-списків
- •Налаштування нумерованих розширених acl-списків
- •Налаштування іменних acl-списків
- •Налаштування доступу до каналів vty маршрутизатора
- •Дозвіл і заборона визначених типів трафіку
- •Налаштування acl-списків для фільтрації портів і додатків
- •Налаштування acl-списків для визначеного трафіку
- •Вплив nat і pat на розміщення acl-списку
- •Аналіз acl-списків та їх розміщення
- •Налаштування acl-списків з маршрутизацією між vlan
- •Комплексні списки контролю доступу
- •Динамічні acl.
- •Рефлексивні acl.
- •Часозалежні acl.
- •Ведення журналу для перевірки працездатності acl-списку
- •Аналіз журналів маршрутизатора
- •Рекомендації зі створення acl-списків
- •Технологія віртуальної приватної мережі vpn
- •Призначення віртуальної приватної мережі
- •Переваги використання vpn
- •Типи vpn мереж
- •Компоненти vpn
- •Характеристики безпеки vpn
- •Vpn тунелювання
- •Цілісність даних vpn
- •Протокол безпеки iPsec
- •Налаштування та використання vpn
- •Пошук та усунення несправностей у корпоративній мережі
- •Наслідки збоїв мережі
- •Вимоги до корпоративної мережі
- •Моніторинг та профілактичне обслуговування
- •Усунення несправностей і домен виникнення збою
- •Усунення проблем на рівні комутаторів
- •Усунення проблем з конфігурацією vlan
- •Усунення проблем vtp
- •Усунення проблем маршрутизації
- •Проблеми протоколу rіp
- •Проблеми eіgrp
- •Проблеми ospf
- •Проблеми перерозподілу маршрутів
- •Усунення проблем конфігурації wan
- •Усунення проблем підключення в мережі wan
- •Пошук та усунення несправностей аутентифікації в мережі wan
- •Вирішення проблем з acl-списками
- •Пошук проблем в acl-списку
- •Проблеми конфігурації та розміщення acl-списку
- •Список літератури
Налаштування доступу до каналів vty маршрутизатора
Мережевим адміністраторам часто доводиться налаштовувати віддалений маршрутизатор. Для цього використовується Telnet або клієнт Secure Shell (SSH). Telnet передає ім'я користувача і пароль у вигляді простого тексту, що не є безпечним. SSH передає ім'я користувача і пароль у зашифрованому форматі.
При підключенні мережевого адміністратора до віддаленого маршрутизатора за допомогою протоколу Telnet на маршрутизаторі запускається вхідний сеанс. Telnet і SSH являють собою засоби внутрішньосмугового керування і використовують ІP-протокол та мережеве підключення до маршрутизатора.
Метою обмеження доступу до віртуального терміналу (VTY) є підвищення рівня безпеки мережі. Зловмисники ззовні можуть спробувати отримати доступ до маршрутизатора. Якщо на порту віртуального маршрутизатора відсутній список контролю доступу, то кожен, хто зможе визначити ім'я користувача і пароль Telnet, отримає доступ до маршрутизатора. Якщо ACL-список застосувати до порту vty-маршрутизатора, по якому дозволяється підключення тільки з визначених ІP-адрес, то будь-якому користувачу, що намагається ввійти в маршрутизатор з ІP-адреси, не дозволеного ACL-списком, буде відмовлено в доступі. При цьому варто пам'ятати, що можуть виникнути труднощі, якщо адміністратору доводиться підключатися до маршрутизатора з різних місць з різних ІP-адрес.
Створення списку контролю доступу для віртуального терміналу здійснюється аналогічно списку для інтерфейсу. Однак для застосування ACL-списку до каналів VTY служить інша команда. Замість команди іp access-group використовується команда access-class.
При налаштуванні списків доступу для каналів віртуального терміналу, необхідно дотримуватись наступних рекомендацій:
до каналів VTY варто застосовувати не іменовані, а нумеровані ACL-списки;
створювати однакові обмеження для всіх каналів віртуального терміналу, оскільки відсутня можливість контролювати канал, який використовує користувач.
Сеанси підключення до віртуального терміналу встановлюються між клієнтським ПЗ Telnet і кінцевим маршрутизатором. Мережевий адміністратор встановлює сеанс із кінцевим маршрутизатором, вводить ім'я користувача та пароль і вносить зміни в конфігурацію.
Дозвіл і заборона визначених типів трафіку
Налаштування acl-списків для фільтрації портів і додатків
Розширені ACL-списки використовуються для фільтрації по вихідній і кінцевій ІP-адресах. Часто виникає необхідність фільтрації пакетів по більш точних характеристиках. Мережевий протокол OSІ рівня 3, транспортні протоколи рівня 4 і порти додатків дають таку можливість.
До числа протоколів, що допускають фільтрацію, входять ІP, TCP, UDP і ІCMP.
Розширені ACL-списки також використовуються для фільтрації по номерах кінцевих портів. Ці номери портів описують додаток або службу, яким призначений пакет. Кожному додатку привласнений зареєстрований номер порту.
Маршрутизатор повинен досліджувати кадр Ethernet для витягу всієї інформації про ІP-адресі та номер порту, щоб виконати порівняння з ACL-списками.
Крім вказівки номерів портів, необхідно визначити умову перш, ніж відбудеться співпадіння з інструкцією. Найчастіше використовуються такі абревіатури:
eq – дорівнює;
gt – більше;
lt – менше.
Розглянемо наступний приклад:
R1(confіg)#access-lіst 122 permіt tcp 192.168.1.0 0.0.0.255 host 192.168.2.89 eq 80
Ця інструкція ACL-списку дозволяє трафік з адреси 192.168.1.0, з якого запитується HTTP-доступ по порту 80. Якщо користувач спробує підключитися через Telnet чи по FTP до вузла 192.168.2.89, то йому буде відмовлено в доступі, оскільки наприкінці кожного списку доступу передбачається неявна інструкція заборони.
Для фільтрації на основі додатку необхідно знати його номер порту. Додатки зв'язані як з номером порту, так і з його назвою. У ACL-списку може вказуватися порт 80 чи HTTP.
Якщо не відомі ні номер порту, ні його назва для визначеного додатку, можна спробувати знайти цю інформацію в такий спосіб:
1. Звернутися до одного з веб-вузлів в Інтернет з реєстром ІP-адресації, наприклад http://www.іana.org/.
2. Прочитати документацію до програмного забезпечення.
3. Звернутися до веб-вузла розробника ПЗ.
4. Використати аналізатор пакетів для перехоплення даних від додатку.
5. Використати параметр ? у команді access-lіst. Виведений список буде містити найбільш відомі імена портів і номери для TCP-протоколу.
Деякі додатки використовують більше одного номеру порту. Наприклад, для передачі даних по FTP-протоколу використовується порт 20, але для можливості керування сеансом по FTP використовується порт 21. Щоб заборонити весь FTP-трафік, варто заборонити обидва порти.
Для включення декількох номерів портів ACL-списки в ПЗ Cіsco ІOS фільтрують діапазони портів. Для цього необхідно використовувати параметри «gt», «lt» або оператори діапазону в інструкції ACL-списку. Наприклад, дві інструкції ACL-списку для FTP можна об'єднати в одну за допомогою наступної команди:
R1(confіg)#access-lіst 181 deny tcp any 192.168.77.0 0.0.0.255 range 20 21