3 Просмотр информации о списках доступа

Введя команду show access-list, можно просмотреть количество «попаданий» пакетов определенной строке списка доступа. Таким образом, можно повышать эффективность работы фильтрации пакетов путем помещения наиболее часто используемых строк в начало списка, так как списки доступа просматриваются сверху вниз.

Для того чтобы сбросить показания счетчиков попаданий, нужно ввести команду clear access-list counters номер списка.

Чтобы узнать к какому интерфейсу привязан тот или иной список доступа, нужно воспользоваться командами show interface имя интерфейса или show running-config.

3 Порядок выполнения

1 Создать строку списка доступа с номером 10, фильтрующую выходящие пакеты.

2 Произвести привязку списка доступа к интерфейсу.

3 Указать, что будут фильтровать выходящие пакеты, применяя параметр out в строке ip access-group 10.

4 Выйти из режима подинтерфейса.

5 Создать строку списка доступа с номером 150, открывающую всем хостам одной подсети доступ к Интернету.

6 Создать строку списка доступа с номером 150, открывающую всем хостам доступ к Proxy-серверу образной сети.

7 Выйти из режима конфигурирования.

8 Сохранить конфигурацию в энергонезависимую память.

9 Просмотреть информации о списках доступа.

10 Просмотреть количество «попаданий» пакетов строкам списка доступа.

11 Сбросить счетчик «попаданий» для списка 150.

12 Снова просмотреть количество «попаданий».

13 Просмотреть информацию об интерфейсе Ethernet0.

14 Просмотреть текущую конфигурацию.

15 Проверить созданные списки доступа на работоспособность, используя команды ping и telnet.

4 Контрольные вопросы

1 Принципы создания списка доступа.

2 Стандартный список доступа.

3 Расширенный список доступа.

4 Блок схема работы списка доступа

5 Инверсная маска и ключевые слова, используемые при составлений списка доступа.

6 Межсетевые экраны. Типы межсетевых экранов. Выбор и адаптация межсетевых экранов к практическим задачам.

5 Лабораторная работа № 5. Настройка службы nat на граничном маршрутизаторе

Цель работы: изучить характеристики NAT (Network Address Translation), приобрести практические навыки по настройке маршрутизатора на различные режимы трансляции адресов.

1Рабочее задание

1 Настроить маршрутизатор на статическую трансляцию.

2 Настроить маршрутизатор на динамическую трансляцию.

3 Настроить маршрутизатор для пользования одного внутреннего глобального адреса.

2 Методические указания

При необходимости подключения к Интернет, когда количество внутренних узлов сети превышает выданное поставщиком услуг Интернет, количество реальных адресов IP. NAT позволяет частным сетям IP, использующим незарегистрированные адреса, получать доступ к ресурсам Интернет. Функции NAT настраиваются на пограничном маршрутизаторе, разграничивающем частную (внутреннюю) сеть и сеть общего пользования (например, Интернет). Далее сеть общего пользования будем называть внешней сетью, а частную сеть – внутренней сетью. Функции NAT перед отправкой пакетов во внешнюю сеть осуществляют трансляцию внутренних локальных адресов в уникальные внешние адреса IP.

Прежде чем приступить к настройке функции NAT, необходимо проанализировать имеющуюся информацию о локальных и глобальных внутренних адресах.

Трансляция внутренних адресов Source. Эта функция NAT позволяет имеющиеся внутренние адреса IP в уникальные адреса, принадлежащие глобальному адресному пространству, при необходимости обеспечения взаимодействия внутренней сети с внешней сетью. Имеется возможность использования статической или динамической трансляции:

– Статическая трансляция устанавливает соответствие адресов по типу "один к одному", т.е один глобальный внутренний адрес соответствует одному локальному внутреннему адресу. Статическая трансляция применяется в тех случаях, когда некий внутренний узел должен быть доступен извне по постоянному адресу (например, сервер WWW).

– Динамическая трансляция устанавливает соответствие между внутренним локальным адресом и пулом глобальных адресов.

На рисунке 1 показан маршрутизатор, транслирующий адреса узлов, содержащихся в поле Source заголовков пакетов IP из внутренних во внешние.

Рисунок 1 – Трансляция внутренних адресов Source

Ниже описана трансляция локальных адресов Source, в соответствии с рисунком 1:

1) Пользователь узла 1.1.1.1 открывает соединение с узлом В.

2) Первый пакет, полученый маршрутизатором от узла, 1.1.1.1 приводит к тому, что маршрутизатор начинает проверку таблицы NAT.

3) Если имеется статическая запись в таблице трансляции, то маршрутизатор переходит к пункту 5.

4) Если статической записи в таблице трансляции нет, то маршрутизатор определяет, что адрес узла-источника пакета (SA - Source Address) 1.1.1.1 должен транслироваться динамический. Далее маршрутизатор выбирает свободный глобальный адрес из пула адресов и создает в таблице запись о трансляции. Тип такой записи называется простая запись (Simple Entry)

5) Узел В получает пакет и отвечает узлу 1.1.1.1, используя внутренний глобальный адрес назначения (DA, Destination Address) 2.2.2.2.

6) Когда маршрутизатор получает пакет с внутренним глобальным адресом, он сверяется с таблицей NAT, используя внутренний глобальный адрес в качестве ключа поиска. Далее происходит трансляция внутреннего глобального адреса во внутренний локальный адрес 1.1.1.1, и передается узлу 1.1.1.1.

7) Узел 1.1.1.1 получает этот пакет и продолжает взаимодействие с узлом В. Маршрутизатор осуществляет действия, описанные в пунктах 4 - 7, по отношению к каждому пакету.