ICND2_Vol2_RUS
.pdf
Резюме модуля
В этом разделе приводится резюме вопросов, рассмотренных в модуле.
Резюме модуля
Списки контроля доступа используются для фильтрацииIP-пакетов или идентификации трафика для специальной обработки.
Списки контроля доступа обрабатывают пакеты сверху вниз и могут быть настроены для входящего или исходящего трафика.
В шаблонной маске бит 0 обозначает совпадение соответствующего бита адреса, и бит 1 означает, что соответствующий бит адреса неважен.
Стандартныесписки контроля доступа для IPv4 обеспечивают фильтрацию по адресу источника.
Расширенные списки контроля доступа дляIPv4 обеспечивают фильтрацию по адресам источника и назначения, а также по протоколу и номеру порта.
Номерапоследовательности списков доступа протокола IP позволяют удалять отдельные записии добавлять записи в любом месте списка контроля доступа.
Команды show access-lists и show ip interface могут быть полезны припоиске и устранении ошибок списка контроля доступа.
© 200 7 Cisco Syst ems , Inc. Вс епр ава за щищ ены. |
ICND2 v1 .0– 6-1 |
Стандартные и расширенные списки контроля доступа (ACL) ПО Cisco IOS используются для классификации IP-пакетов. Списки контроля доступа предлагают множество функций, таких как средства безопасности, шифрование, маршрутизацию на основе политик и качество обслуживания (QoS). Эти функции активируются на интерфейсах маршрутизаторов и коммутаторов в определенном направлении (входящем или исходящем).
Нумерованные списки контроля доступа позволяют идентифицировать тип списка – стандартный или расширенный. Именованные списки контроля доступа дают администраторам больше гибкости при изменении отдельных записей.
© 2007 Cisco Systems, Inc. |
Списки контроля доступа |
6-57 |
Вопросы для самопроверки по модулю
Используйте эти вопросы, чтобы проверить, насколько хорошо вы освоили материал, представленный в данном модуле. Верные ответы и решения можно найти в разделе «Ответы на вопросы для самопроверки».
В1) Что маршрутизатор Cisco делает с пакетом, соответствующим разрешающей инструкции списка контроля доступа? (Источник: введение в списки контроля доступа)
А) отбрасывает пакет Б) возвращает пакет в источник
В) отправляет пакет в исходящий буфер Г) сохраняет пакет для дальнейшей обработки
В2) Что маршрутизатор Cisco делает с пакетом, соответствующим запрещающей инструкции списка контроля доступа? (Источник: введение в списки контроля доступа)
А) отбрасывает пакет Б) возвращает пакет в источник
В) отправляет пакет в исходящий буфер Г) сохраняет пакет для дальнейшей обработки
В3) Список контроля доступа модно применить к нескольким интерфейсам. Сколько списков контроля доступа можно активировать на протокол, направление и интерфейс? (Источник: введение в списки контроля доступа)
А) |
1 |
Б) |
2 |
В) |
4 |
Г) |
любое количество |
В4) Какой термин используется для описания последней инструкции по умолчанию в конце каждого списка контроля доступа? (Источник: введение в списки контроля доступа)
А) инструкция «Отклонить все» Б) инструкция «Отклонить хост» В) инструкция «Разрешить все» Г) инструкция « Разрешить хост»
В5) Какое утверждение наилучшим образом описывает разницу между стандартными и расширенными списками контроля доступа? (Источник: введение в списки контроля доступа)
|
А) |
Стандартные списки контроля доступа используют диапазон номеров |
|
|
|
100 – 149, расширенные – диапазон 150 – 199. |
|
|
Б) |
Стандартные списки контроля доступа используют фильтрацию по адресу |
|
|
|
источника и назначения, расширенный – фильтрацию по адресу источника. |
|
|
В) |
Стандартные списки контроля доступа разрешают или запрещают доступ |
|
|
|
к определенному широко известному порту, расширенные списки |
|
|
|
выполняют фильтрацию по адресу источника и маске. |
|
|
Г) |
Стандартные списки контроля доступа разрешают или запрещают весь |
|
|
|
пакет протоколов TCP/IP, расширенные позволяют выбрать конкретный |
|
|
|
протокол или номер порта. |
|
|
|
|
|
6-58 |
Interconnecting Cisco Networking Devices Part 2 (ICND2) v1.0 |
© 2007 Cisco Systems, Inc. |
|
В6) Какие два диапазона номеров используются для идентификации расширенных списков контроля доступа для IPv4 на маршрутизаторе Cisco? (Выберите два варианта.) (Источник: введение в списки контроля доступа)
А) |
1 |
– 99 |
|
Б) |
51 – 99 |
||
В) |
100 – |
199 |
|
Г) |
200 – |
299 |
|
Д) |
1 |
300 |
– 1 999 |
Е) |
2 |
000 |
– 1 699 |
В7) Списки контроля доступа обрабатываются сверху вниз. Какое из следующих утверждений описывает преимущество добавления более конкретных инструкций и инструкций, которым будет соответствовать значительная часть трафика, в начало списка контроля доступа? (Источник: введение в списки контроля доступа)
А) |
Снижение издержек на обработку. |
Б) |
Списки контроля доступа можно использовать на других |
|
маршрутизаторах. |
В) |
Списки контроля доступа проще редактировать. |
Г) |
Добавление менее конкретных проверок упрощается. |
В8) Системный администратор хочет настроить стандартный список контроля доступа для IPv4 на маршрутизаторе Cisco, разрешающий прием только пакетов с хостов подсети 10.1.1.0/24 на интерфейсе маршрутизатора. Какая конфигурация списка контроля доступа позволит добиться этой цели? (Источник: настройка и устранение неполадок списков контроля доступа (ACL).)
А) access-list 1 permit 10.1.1.0
Б) access-list 1 permit 10.1.1.0 host
В) access-list 99 permit 10.1.1.0 0.0.0.255 Г) access-list 100 permit 10.1.1.0 0.0.0.255
В9) Какая команда Cisco IOS привязывает расширенный список контроля доступа для IPv4 к интерфейсу? (Источник: настройка и устранение неполадок списков контроля доступа (ACL).)
А) ip access-list 101 e0 Б) access-group 101 e0 В) ip access-group 101 in
Г) access-list 101 permit tcp access-list 100 permit 10.1.1.0 0.0.0.255 eq 21
В10) Как выглядит полная команда для создания записи списка контроля доступа со следующими параметрами? (Источник: настройка и устранение неполадок списков контроля доступа (ACL).)
IP-адрес источника 172.16.0.0
Маска источника 0.0.255.255
Разрешить эту запись
Номер списка контроля доступа 1
А) access-list 1 deny 172.16.0.0 0.0.255.255 Б) access-list 1 permit 172.16.0.0 0.0.255.255 В) access-list permit 1 172.16.0.0 255.255.0.0 Г) access-list 99 permit 172.16.0.0 0.0.255.255
© 2007 Cisco Systems, Inc. |
Списки контроля доступа |
6-59 |
В11) Ниже приводится список контроля доступа, введенный на маршрутизаторе Cisco.
access-list 135 deny tcp 172.16.16.0 0.0.15.255
172.16.32.0 0.0.15.255 eq telnet
access-list 135 permit ip any any
Если этот список доступа используется для контроля входящих пакетов на интерфейсе Ethernet 0, какие 3 утверждения будут верны? (Выберите три варианта.) (Источник: настройка и устранение неполадок списков контроля доступа (ACL).)
А) |
Адресу 172.16.1.1 будет запрещен доступ к адресу 172.16.37.5 |
|
через Telnet. |
Б) |
Адресу 172.16.31.1 будет разрешен доступ к адресу 172.16.45.1 через FTP. |
В) |
Адресу 172.16.1.1 будет разрешен доступ к адресу 172.16.32.1 |
|
через Telnet. |
Г) |
Адресу 172.16.16.1 будет разрешен доступ к адресу 172.16.32.1 |
|
через Telnet. |
Д) |
Адресу 172.16.16.1 будет разрешен доступ к адресу 172.16.50.1 |
|
через Telnet. |
Е) |
Адресу 172.16.30.12 будет разрешен доступ к адресу 172.16.32.12 |
|
через Telnet. |
В12) Какая команда активирует фильтрацию на основе стандартного списка контроля доступа для протокола IP на линияъ VTY для исходящих сеансов Telnet, запущенных на маршрутизаторе? (Источник: настройка и устранение неполадок списков контроля доступа (ACL).)
А) access-vty 1 out Б) access-class 1 out В) ip access-list 1 out
Г) ip access-group 1 out
В13) Какая команда используется на маршрутизаторах Cisco, чтобы определить, активированы ли списки контроля доступа по протоколу IP на интерфейсе Ethernet? (Источник: настройка и устранение неполадок списков контроля доступа (ACL).)
А) show interfaces Б) show ACL
В) show ip interface Г) show ip access-list
В14) С помощью какой команды можно узнать, настроен ли список доступа ACL 100 на маршрутизаторе Cisco? (Источник: настройка и устранение неполадок списков контроля доступа (ACL).)
А) show interfaces Б) show ip interface В) show ip access-list
Г) show access-groups
6-60 |
Interconnecting Cisco Networking Devices Part 2 (ICND2) v1.0 |
© 2007 Cisco Systems, Inc. |
Ответы на вопросы для самопроверки по модулю
В1) |
В |
В2) |
A |
В3) |
A |
В4) |
A |
В5) |
Г |
В6) |
В, Е |
В7) |
A |
В8) |
В |
В9) |
В |
В10) |
Б |
В11) |
Б, В, Д |
В12) |
Б |
В13) |
В |
В14) |
В |
© 2007 Cisco Systems, Inc. |
Списки контроля доступа |
6-61 |
6-62 |
Interconnecting Cisco Networking Devices Part 2 (ICND2) v1.0 |
© 2007 Cisco Systems, Inc. |
Модуль 7
Управление адресным пространством
Обзор
Один из главных недостатков IPv4 – ограниченное количество уникальных сетевых адресов и в настоящий момент доступное адресное пространство Интернета заканчивается. Эту проблему можно решить двумя путями – преобразование
сетевых адресов (NAT – Network Address Translation) и использование протокола IPv6.
NAT предлагает краткосрочное решение проблемы, преобразуя частные адреса IPv4 в маршрутизируемые IP-адреса, уникальные в глобальном масштабе. IPv6 – долгосрочное решение. Увеличивая размер IP-адреса до 128 бит, IPv6 повышает общее число доступных адресов. В этом модуле рассматриваются оба решения.
Задачи модуля
По окончании этого модуля вы сможете описывать ситуации, в которых следует внедрять NAT и PAT в сети среднего размера, а также настраивать NAT и PAT (Port Address Translation) на маршрутизаторах. Кроме того, вы сможете объяснять принципы адресации IPv6 и настраивать протокол IPv6 на маршрутизаторах Cisco. Это значит, что вы сможете выполнять следующие задачи:
настраивать и проверять статическое, динамическое и перегруженное (overloading) преобразование NAT, определять основные параметры команд show и debug, необходимые для поиска и устранения неполадок NAT и PAT;
описывать формат адресов IPv6 и компоненты, необходимые для запуска IPv6, настраивать IPv6 с маршрутизацией RIP и рассказывать о влиянии IPv6 на маршрутизацию в сети.
7-2 |
Interconnecting Cisco Networking Devices Part 2 (ICND2) v1.0 |
© 2007 Cisco Systems, Inc. |
Занятие 1
Масштабирование сети с помощью NAT и PAT
Обзор
Две главные проблемы масштабируемости Интернета – нехватка адресного пространства IPv4 и масштабирование маршрутизации. Функции преобразования сетевых адресов (NAT – Netork Address Translation) и преобразования адресов и портов (PAT – Port Address Translation) ПО Cisco IOS позволяют экономить зарегистрированные адреса IPv4 в крупных сетях и упрощают управление адресами IPv4. NAT и PAT преобразуют адреса IPv4 в частных внутренних сетях в зарегистрированные адреса IPv4 для передачи данных через открытые сети, такие как Интернет, без потребности в зарегистрированных адресах для подсети. При получении входящего трафика во внутреннюю сеть выполняется обратное преобразование.
Это преобразование IPv4 устраняет потребность в изменении адресов хостов и позволяет использовать один диапазон адресов IPv4 в нескольких интрасетях. В этом разделе описываются функции преобразования NAT и PAT, а также методы настройки NAT и PAT на маршрутизаторах Cisco.
Задачи
По окончании этого занятия вы сможете настраивать и проверять статическое, динамическое и перегруженное (overloading) преобразование NAT, а также определять параметры команд show и debug, необходимые для поиска и устранения неполадок NAT и PAT. Это значит, что вы сможете выполнять следующие задачи:
описывать функции и преимущества NAT и PAT;
описывать статическое и динамическое преобразование внутренних адресов источника, а также настройку преобразования NAT;
настраивать PAT путем перегрузки внутреннего глобального адреса;
выявлять и устранять проблемы таблицы преобразования NAT;
выявлять и устранять проблемы, связанные с использованием записей преобразования.
Общие сведения о NAT и PAT
В этом разделе описываются функции NAT и PAT.
Преобразование сетевых адресов
IP-адрес может быть локальным или глобальным
Локальные адреса IPv4 доступны во внутренней сети.
Глобальные адреса IPv4 доступны во внешнейсети.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены. |
ICND2 v1 .0– 7-2 |
Преобразование NAT поддерживается маршрутизатором Cisco и предназначено для экономии адресного пространства IPv4 и упрощения работы с ним. NAT позволяет частным интерсетям IPv4 использовать незарегистрированные адреса IPv4 для подключения к Интернету. Как правило, NAT соединяет две сети и преобразует частные (внутренние локальные) адреса внутренней сети в открытые (внутренние глобальные) адреса перед пересылкой пакетов в другую сеть. Эта функция позволяет NAT объявлять только один адрес внешним сетям. Объявление одного адреса скрывает внутреннюю сеть от внешнего мира, что обеспечивает дополнительную безопасность.
Любое устройство между внутренней сетью и сетью общего доступа, например брандмауэр, маршрутизатор или компьютер, использует преобразование NAT, описанное в стандарте RFC 1631.
В терминологии NAT под «внутренней сетью» подразумевается набор преобразуемых сетей. Термин «внешняя сеть» относится ко всем остальным адресам. Как правило, подразумеваются действующие адреса, расположенные в Интернете.
Список терминов NAT, используемых компанией Cisco, приводится ниже:
Внутренний локальный адрес (Inside local address). Адрес IPv4, назначенный хосту во внутренней сети. Как правило, внутренний локальный адрес не является адресом IPv4, назначенным сетевым информационным центром (NIC) или поставщиком услуг.
Внутренний глобальный адрес (Inside global address). Зарегистрированный адрес IPv4, назначенный центром NIC или поставщиком услуг. Представляет один или несколько внутренних локальных адресов IPv4 во внешних сетях.
7-4 |
Interconnecting Cisco Networking Devices Part 2 (ICND2) v1.0 |
© 2007 Cisco Systems, Inc. |