Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5091 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Юго-Западный государственный университет
Предмет:
Сети и системы передачи информации
Файл:

Реферат №14 Рохтин Я.А

..docx
Скачиваний:
0
Добавлен:
01.05.2025
Размер:
25.87 Кб
Скачать

14.1. Функционирование списков доступа

Сетевые фильтры, также называемые списками доступа (Access Control Lists, ACL), обеспечивают контроль над потоком данных, помогая ограничивать нежелательный трафик и предоставлять доступ только авторизованным пользователям. Они используются для повышения безопасности сети и оптимизации ее работы.

Основные функции ACL:

  • Управление передачей пакетов через маршрутизатор (разрешение или блокировка).

  • Ограничение доступа к внутренней сети из интернета.

  • Контроль доступа по протоколам, например Telnet.

Списки доступа могут применяться для разных протоколов (например, IP или IPX) и направлений трафика (входящего и исходящего). Основой работы является последовательная проверка пакетов на соответствие условиям, заданным в ACL, включая:

  • Адрес источника и назначения.

  • Протокол.

  • Номер порта.

Если пакет не соответствует ни одному из условий, он автоматически блокируется благодаря неявной команде deny any, присутствующей в конце списка.

Виды ACL:

  1. Стандартные (Standard ACL):

    • Фильтруют только по IP-адресу источника.

    • Номера: 1-99, 1300-1999.

  2. Расширенные (Extended ACL):

    • Учитывают IP-адреса источника и назначения, протоколы, порты.

    • Номера: 100-199, 2000-2699.

  3. Именованные:

    • Используют уникальные имена вместо номеров, обеспечивая гибкость настройки.

Пример настройки стандартного ACL:

  • Разрешить доступ к серверу только одному устройству:

plaintext

Router(config)#access-list 10 permit 192.168.20.11

Router(config)#int f0/0

Router(config)#ip access-group 10 out

14.2. Конфигурирование стандартных списков доступа

Настройка стандартного списка доступа включает два этапа:

  1. Создание списка:

plaintext

Router(config)#access-list {номер} {permit|deny} {адрес источника}

  1. Привязка списка к интерфейсу:

plaintext

Router(config-if)#ip access-group {номер} {in|out}

Пример:

  • Разрешить доступ всем устройствам из сети 192.168.20.0 и одному узлу 192.168.30.11:

plaintext

Router(config)#access-list 11 permit 192.168.20.0 0.0.0.255

Router(config)#access-list 11 permit host 192.168.30.11

Router(config)#int f0/0

Router(config)#ip access-group 11 out

14.3. Конфигурирование расширенных списков доступа

Расширенные ACL предоставляют больше возможностей благодаря фильтрации по нескольким параметрам:

  • IP-адресам источника и назначения.

  • Протоколам.

  • Портам.

Формат команды:

plaintext

Router(config)#access-list {номер} {permit|deny} {протокол} {адрес источника} {адрес назначения} {порт}

Пример:

  • Разрешить узлу 192.168.30.11 доступ к серверу 192.168.10.25 через порт 8080:

plaintext

Router(config)#access-list 110 permit tcp host 192.168.30.11 host 192.168.10.25 eq 8080

Router(config)#int f0/0

Router(config-if) #ip access-group 110 out

Контроль и удаление ACL

Для проверки настроек используются команды:

  • show access-list — выводит список всех ACL.

  • show ip access-list — выводит IP-списки.

  • show ip interface — показывает, какие ACL применены к интерфейсам.

Для удаления списка используется команда:

plaintext

Копировать код

Router(config)#no access-list {номер}

Рекомендации по настройке ACL

  1. Стандартные ACL размещаются ближе к адресу назначения.

  2. Расширенные ACL устанавливаются ближе к источнику трафика.

  3. Условия фильтрации располагаются от специфических к общим.

  4. Все новые условия добавляются в конец списка.

Именованные списки доступа

Именованные ACL снимают ограничения на количество списков и упрощают их управление. Пример создания именованного списка:

plaintext

Router(config)#ip access-list extended spisok

Router(config-ext-nac1)#permit tcp host 192.168.30.11 host 192.168.10.25 eq 8080

Router(config-ext-nac1)#exit

Router(config)#int f0/0

Router(config-if)#ip access-group spisok out

Именованные списки позволяют сохранять конфигурацию и избегать ограничения на диапазон номеров.

14.4. Маски WildCard в списках доступа

Маски WildCard используются для настройки фильтрации трафика в сетях. Они позволяют определить, какие биты IP-адреса должны анализироваться, а какие игнорироваться, что делает фильтрацию более гибкой. Нулевые значения в маске требуют проверки соответствующего бита адреса, а единичные значения позволяют их игнорировать.

14.5. Последовательная проверка условий

Списки доступа проверяют пакеты последовательно по всем условиям сверху вниз. Как только пакет удовлетворяет какому-либо условию, дальнейшая проверка прекращается. Если ни одно условие не подходит, пакет блокируется из-за неявного правила deny any, присутствующего в конце каждого списка.

14.6. Рекомендации по размещению списков доступа

Для эффективного использования списков доступа важно правильно их размещать в сети. Стандартные списки рекомендуется устанавливать ближе к месту назначения трафика, чтобы минимизировать нагрузку на сеть. Расширенные списки следует размещать ближе к источнику трафика, чтобы ограничить нежелательные данные до их распространения.

14.7. Контроль и мониторинг ACL

Для проверки и управления списками доступа используются диагностические команды. С их помощью можно увидеть текущую конфигурацию, список примененных правил и статистику срабатывания условий. Это позволяет анализировать работу сетевых фильтров и оперативно вносить изменения при необходимости.

5

Соседние файлы в предмете Сети и системы передачи информации
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности