Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4614 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича
Предмет:
Принципы организации глобальных вычислительных сетей
Файл:
экз.docx
Скачиваний:
30
Добавлен:
10.04.2023
Размер:
4.97 Mб
Скачать
►Содержание►

Модуль 4 Принципы создания acl

  • ACL-список — это ряд команд IOS, определяющих, пересылает ли маршрутизатор пакеты или сбрасывает их, исходя из информации в заголовке пакета.

  • Маршрутизатор не имеет списков ACL, настроенных по умолчанию.

  • Если ACL-список используется на интерфейсе, маршрутизатор выполняет дополнительную задачу, оценивая все сетевые пакеты, проходящие через интерфейс, с целью определения разрешения пересылки пакета.

  • Список контроля доступа (ACL) — это последовательный список разрешающих или запрещающих операторов, называемых записями списка контроля доступа (ACE).

  • Маршрутизаторы Cisco поддерживают два типа ACL: стандартные ACL и расширенные ACL.

  • Входящий ACL фильтрует пакеты, приходящие на определенный интерфейс, до того, как они будут направлены на исходящий интерфейс. Если согласно списку контроля доступа (ACL) прохождение пакета следует разрешить, то этот пакет маршрутизируется.

  • Исходящий ACL фильтрует пакеты после их маршрутизации вне зависимости от входящего интерфейса.

  • IPv4 ACE использует 32-разрядную шаблонную маску, чтобы определить, какие биты адреса необходимо проверить на соответствие.

  • Шаблонная маска аналогична маске подсети в том, что она использует процесс логического И для определения того, какие биты IPv4-адреса соответствуют. Однако они отличаются тем, как они соответствуют двоичным 1 и 0.Бит 0 шаблонной маски — совпадает с соответствующим значением бита в адресе.Бит 1 шаблонной маски — игнорирует соответствующее значение бита в адресе.

  • Другой способ расчета шаблонной маски заключается в вычитании маски подсети из 255.255.255.255.

  • Работа с десятичными представлениями битов маски двоичных подстановочных знаков может быть упрощена с помощью host ключевых слов Cisco IOS и any из них для определения наиболее распространенных применений маскировки подстановочных знаков.

  • Существует ограничение на количество списков ACL, которые могут быть применены к интерфейсу.

  • Списки контроля доступа не требуется конфигурировать на оба направления. Количество списков ACL и их направление, применяемое к интерфейсу, будут зависеть от политики безопасности организации.

  • Стандартные списки ACL разрешают или запрещают пакеты, основываясь на исходном IPv4-адресе.

  • Расширенные списки ACL— разрешают или запрещают пакеты, основанные на адресе IPv4 источника и адресе назначения IPv4, типе протокола, TCP-или UDP-портах источника и назначения и т. д.

  • ACL, пронумерованные 1-99 или 1300-1999, являются стандартными ACL. ACL, пронумерованные 100-199 или 2000-2699, являются расширенными ACL.

  • Именованные списки ACL являются предпочтительным методом для использования при настройке списков ACL.

  • В частности, стандартные и расширенные списки ACL могут быть названы для предоставления сведений о назначении ACL.

  • Каждый список контроля доступа (ACL) должен быть размещен там, где он может демонстрировать максимальную эффективность.

  • Расширенные списки контроля доступа следует располагать как можно ближе к источнику фильтруемого трафика. Таким образом, нежелательный трафик отклоняется близко к сети-источнику, не пересекая инфраструктуру сети.

  • Стандартные списки контроля доступа следует размещать как можно ближе к месту назначения. Если стандартный список контроля доступа размещен на источнике трафика, то трафик разрешается или отклоняется на основе данного адреса источника, независимо от места назначения трафика.

  • Размещение ACL может зависеть от степени организационного контроля, пропускной способности сетей и простоты настройки

Соседние файлы в предмете Принципы организации глобальных вычислительных сетей
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности