Бабич А.В. Оргранизация информационных сетей: Учебное пособие

Подождите немного. Документ загружается.

Рекомендации по самостоятельной работе

Календарно-тематический план работы

№ Название темы

Время, отводимое

на изучение темы

Виды учебной работы;

рекомендуемое время

на выполнение, ч

Форма контроля

Сроки представ-

ления заданий

на проверку

1 2 3 4 5 6

Списки доступа

(Access Lists)

Изучение теоретических

материалов 10

Тестирование

Конец семестра

Ответы на вопросы

для самопроверки 1

Выполнение

практических заданий 6

Промежуточное

тестирование 1

Всего 18

Обзор протокола

DHCP

Изучение теоретических

материалов 10

Тестирование

Конец семестра

Ответы на вопросы

для самопроверки 1

Выполнение

практических заданий 7

Промежуточное

тестирование 1

Всего 19

Коммутация

и виртуальные

локальные сети

(VLAN)

Изучение теоретических

материалов 9

Тестирование

Конец семестра

Ответы на вопросы

для самопроверки 1

Выполнение

практических заданий 7

Промежуточное

тестирование 1

Всего 18

1 2 3 4 5 6

Обзор протокола

EIGRP

Изучение теоретических

материалов 10

Тестирование

Конец семестра

Ответы на вопросы

для самопроверки 1

Выполнение

практических заданий 6

Промежуточное

тестирование 2

Всего 19

Протокол OSPF

Изучение теоретических

материалов

Тестирование

Конец семестра

Ответы на вопросы

для самопроверки

Выполнение

практических заданий

Промежуточное

тестирование

Всего 19

Введение

в глобальные

сети. Основные

понятия

и определения

Изучение теоретических

материалов

Тестирование

Конец семестра

Ответы на вопросы

для самопроверки

Выполнение

практических заданий

Промежуточное

тестирование

Всего 18

Сети Frame Relay

Изучение теоретических

материалов

Тестирование

Конец семестра

Ответы на вопросы

для самопроверки

Выполнение

практических заданий

Промежуточное

тестирование

Всего 18

1 2 3 4 5 6

Протокол PPP

Изучение теоретических

материалов

Тестирование

Конец семестра

Ответы на вопросы

для самопроверки

Выполнение

практических заданий

Промежуточное

тестирование

Всего 19

Указания к промежуточной аттестации

с применением балльно-рейтинговой системы оценки знаний

Оценка выполненных заданий

и активности студента

в баллах

Соответствие оценок

Название

работы

Максималь-

ный балл

Возможный

итоговый балл

Итоговая оценка

Задание,

выполняемое

на практических

занятиях

50 50

«зачтено»

«не зачтено»

Итоговая

аттестация

(тестирование)

По 5 баллов

за 1 тестовое

задание

До 10% ошибок,

до 20% ошибок,

до 40% ошибок,

более 40% ошибок

«отлично»

«хорошо»

«удовлетворительно»

«неудовлетворительно»

ТеоРеТиЧеСКие МаТеРиалЫ

глава 1. ПаКеТнЫе фильТРЫ

Пакетные фильтры позволяют управлять прохождением трафика

через интерфейсы маршрутизатора, разрешая или запрещая переда-

чу пакетов, удовлетворяющих указанным условиям. Используются в

качестве базового средства обеспечения безопасности сети.

Пакетные фильтры в Cisco реализованы через списки доступа

(Access Lists).

Ключевые слова: списки доступа, интерфейс.

§1. Списки доступа (Access Lists)

Списки доступа (Access Lists) используются в целом ряде случа-

ев и являются общим механизмом задания условий, которые марш-

рутизатор проверяет перед выполнением каких-либо действий. Не-

которые примеры использования списков доступа:

управление передачей пакетов на интерфейсах; x

управление доступом к виртуальным терминалам маршрутиза- x

тора и управлению через SNMP;

ограничение информации, передаваемой динамическими прото- x

колами маршрутизации.

Списки доступа либо нумеруются, либо именуются. Использова-

ние нумерованных либо именованных списков доступа определяется

их применением (некоторые протоколы требуют использования толь-

ко нумерованных списков, другие допускают как именованные, так

и нумерованные списки).

Если используются нумерованные списки, то номера их должны

лежать в определенных диапазонах в зависимости от области при-

менения списка. Некоторые наиболее часто применяемые диапазоны

приведены в таблице 1:

Таблица 1

Диапазоны номеров для различных типов списков доступа

Протокол Диапазон номеров

Стандартный список IP 1 — 99

Расширенный список IP 100 — 199

MAC Ethernet address 700 — 799

IPX 800 — 899

Расширенный Extended IPX 900 — 999

IPX SAP 1000 — 1099

Задачи и правила построения списков доступа для разных про-

токолов различны, но, в общем, можно выделить два этапа работы с

любыми списками доступа. Сначала необходимо создать список до-

ступа, затем применить его к соответствующему интерфейсу, линии

или логической операции, выполняемой маршрутизатором.

Списки доступа определяют критерии, на соответствие которым

проверяется каждый обрабатываемый пакет.

Типичными критериями являются адреса отправителя и получа-

теля пакета, тип протокола. Однако для каждого конкретного про-

токола существует свой собственный набор критериев, которые мож-

но задавать в списках доступа.

Каждый критерий в списке доступа записывается отдельной

строкой. Список в целом представляет собой набор строк с крите-

риями, имеющих один и тот же номер (или имя).

Запомните, что дополнение списка доступа новыми критериями

производится в конец списка. Запомните также, что невозможно ис-

ключить какой-либо критерий. Есть только возможность стереть весь

список целиком.

Порядок задания критериев весьма существенен. Проверка паке-

та на соответствие списку производится последовательным примене-

нием критериев из данного списка (в том порядке, в котором они

были введены). Если пакет удовлетворяет какому-либо критерию, то

дальнейшие проверки его на соответствие следующим критериям в

списке не производятся!

В конце каждого списка системой добавляется неявное правило,

запрещающее весь трафик. Таким образом, пакет, который не соот-

ветствует ни одному из введенных критериев, будет отвергнут.

§2. Редактирование списков доступа

Поскольку порядок строк в списке доступа очень важен, а также

поскольку невозможно изменить этот порядок или исключить какие-

либо строки из существующего списка, рекомендуется создавать спи-

ски доступа на tftp-сервере и загружать их целиком в маршрутизатор,

а не пытаться редактировать их на маршрутизаторе.

Не забывайте, что если список доступа с данным номером (име-

нем) существует, то строки с тем же номером (именем) будут до-

бавляться к существующему списку в конец его. Поэтому первой

строкой в файле, содержащем описание списка доступа для загрузки

с tftp-сервера, должна стоять команда отмены данного списка «no

access-list <number/name>».

§3. Назначение списков доступа на интерфейсы

Для каждого протокола на интерфейс может быть назначен толь-

ко один список доступа. Для большинства протоколов можно задать

раздельные списки для разных направлений трафика.

Если список доступа назначен на входящий через интерфейс

трафик, то при получении пакета маршрутизатор проверяет крите-

рии, заданные в списке. Если пакет разрешен данным списком, то он

передается для дальнейшей обработки. Если пакет запрещен, то от-

брасывается.

Если список доступа назначен на выходящий через интерфейс

трафик, то после принятия решения о передаче пакета через данный

интерфейс маршрутизатор проверяет критерии, заданные в списке.

Если пакет разрешен данным списком, то он передается в интер-

фейс. Если пакет запрещен, то отбрасывается.

Не забывайте, что в конце каждого списка стоит неявное правило

«deny all», поэтому при назначении списков на интерфейс нужно

следить, чтобы явно разрешить все виды необходимого трафика через

интерфейс (не только пользовательского, но и служебного, например,

обмен информацией по протоколам динамической маршрутизации).

§4. Стандартные и расширенные

нумерованные списки доступа

Поддерживаются следующие виды списков доступа для IP:

Стандартные (проверяют адрес отправителя пакета). x

Расширенные (проверяют адрес отправителя, адрес получателя x

и еще ряд параметров пакета).

Динамические расширенные (имеют конечное x <время жизни> и

условия применения).

Создание стандартного списка доступа:

Критерии записываются последовательно в следующем формате:

access-list access-list-number deny|permit source [source-wildcard]

Пример:

CLI Router(config) access-list 1 deny 192.168.1.0 0.0.0.255

Router(config) access-list 1 permit 192.168.0.0 0.0.255.255

Разрешается прохождение пакетов с адресов в блоке 192.168.0.0/16

за исключением адресов 192.168.1.0/24.

Обратите внимание на порядок записи критериев. Запись их в

другом порядке приведет к тому, что второе условие не будет рабо-

тать никогда.

Обратите внимание на запись маски. В отличие от метода за-

писи маски на сетевых интерфейсах, маска в списках доступа за-

писана инверсно; единицами отмечены биты, которые не будут про-

веряться.

Часто используемое описание фильтра, которому удовлетворяет

любой адрес 0.0.0.0 255.255.255.255 имеет специальное обозначение

«any».

CLI Router(config)access-list access-list-number deny | permit any

Создание расширенного списка доступа:

Критерии расширенного списка доступа записываются в следую-

щем формате:

access-list access-list-number deny|permit protocol source source-

wildcard destination destination-wildcard [precedence precedence]

[tos tos] [established] [log]

access-list access-list-number deny|permit protocol any any

access-list access-list-number deny|permit protocol host source

host destination

Ключевое слово «log» вызывает выдачу записи о совпадении

пакета с данным критерием на консоль и в системный лог-файл.

Если в качестве протокола указано «tcp» или «udp», то описа-

ния source- и destination-wildcard могут включать номера портов для

данных протоколов с ключевыми словами «eq», «lt», «gt», «range».

Для протокола «tcp» возможно также применение слова «established»

с целью выделения только установленных tcp-сессий.

Ключевое слово «host source» эквивалентно записи: «source

0.0.0.0».

§5. Именованные списки доступа

Именованные списки доступа не распознаются Cisco IOS в вер-

сиях младше 11.2.

Именованные списки доступа в настоящее время можно исполь-

зовать только в качестве пакетных фильтров и фильтров маршрути-

зации.

Прежде чем использовать их, запомните следующее:

Именованные списки несовместимы с предыдущими версиями x

IOS.

Не во всех случаях, где необходимы списки доступа, могут быть x

использованы именованные списки.

Не могут существовать одновременно стандартный и расширен- x

ный списки с одинаковым именем.

Создание стандартного именованного списка доступа

Шаг 1. Задание имени и переход в режим формирования списка.

CLI Router(config) ip access-list standard name

Шаг 2. Задание критериев в порядке, в котором они должны

применяться в списке.

CLI Router(config-std-nacl)deny source [source-wildcard]| any

Router(config-std-nacl) permit source [source-wildcard]|

any

Шаг 3. Выход из режима формирования списка.

CLI Router(config-std-nacl)exit

Расширенный именованный список доступа создается аналогично:

Шаг 1.

CLI Router(config)ip access-list extended name

Шаг 2.

CLI Router(config-ext-nacl)deny | permitprotocol

source source-wildcard destination destination-wildcard

[precedence precedence] [tos tos] [established] [log]

Router (config-ext-nacl)deny | permitprotocol lany any

Router (config-ext-nacl)deny | permitprotocol

host source host destination

Шаг 3.

CLI Router(config-ext-nacl)exit

§6. Применение списков доступа

Списки доступа могут быть назначены на интерфейс для филь-

трации входящего или исходящего трафика, а также на терминаль-

ную линию для ограничения возможных источников входящего со-

единения.

На терминальную линию могут быть назначены только нумеро- x

ванные списки.

На интерфейс могут назначаться как нумерованные, так и име- x

нованные списки.

В режиме конфигурирования терминальной линии выполните

команду:

CLI Router(config-line)access-class access-list-number in | out

В режиме конфигурирования интерфейса выполните команду:

CLI Router(config-if)ip access-group access-list-number | name

in | out

Параметры in | out задают направление фильтрации пакетов.

Направление фильтрации стоит рассматривать так, как если бы

вы находились внутри маршрутизатора:

in x — фильтрация пакетов, поступающих извне на интерфейс

маршрутизатора. В случае терминальных линий — фильтрация

входящих соединений;

out x — фильтрация пакетов, отправляемых с интерфейса марш-

рутизатора.

Стоит отметить, что применение списков доступа на интерфейсе

по направлению out не будет фильтровать собственный трафик

маршрутизатора. К такому виду трафика относятся telnet-сессии с

данного маршрутизатора или icmp-эхо запросы и т. д.

Если в результате применения списка доступа, назначенного на

интерфейс, пакет отбрасывается, то отправителю посылается ICMP

Host Unreachable message.

Если на интерфейс назначен список доступа, который не опреде-

лен в конфигурации, то считается, что никакого списка не назначено

и никакой фильтрации пакетов не происходит.

Обратите внимание, что как только будет введен хотя бы один

критерий с этим номером (именем) списка доступа, вслед за ним

появится критерий «deny all», который добавляется в конце всех

существующих списков доступа. Поэтому, во избежание полной бло-

кировки системы, при заведении списков доступа следует:

либо отменять назначение списка доступа на интерфейс перед x

редактированием списка и назначать на интерфейс только пол-

ностью сформированные и проверенные списки;

либо создавать и редактировать списки доступа на tftp-сервере и x

загружать в маршрутизатор опять-таки полностью сформирован-

ные и проверенные списки доступа.

Пример

Первый критерий разрешает любые входящие TCP-соединения

на порты с номерами больше 1023, второй — входящие SMTP-

соединения на адрес 128.88.1.2. Следующий критерий разрешает

прохождение ICMP-сообщений.

ВСЕ остальные пакеты, входящие с интерфейса Ethernet0, будут

отброшены!

CLI Router(config)access-list 102 permit tcp 0.0.0.0 255.255.255.255

128.88.0.0 0.0.255.255 gt 1023

Router(config)access-list 102 permit tcp 0.0.0.0 255.255.255.255

128.88.1.2 0.0.0.0 eq 25

Router(config)access-list 102 permit icmp 0.0.0.0

255.255.255.255 128.88.0.0 255.255.255.255

Router(config)interface ethernet 0

Router(config-if)ip access-group 102 in

Резюме

Списки доступа представляют список правил, определяющих

порты служб или имена доменов, доступных на узле или другом