Дибров М.В., Кузьменко Н.Г., Журавлев А.А. Маршрутизаторы. Учебно-методическое обеспечение самостоятельной работы

Подождите немного. Документ загружается.

зервную копию операционной системы Cisco IOS на TFTP сервере с помо-

щью команды copy flash tftp. Этот образ системы Cisco IOS может быть

сохранен на центральном сервере вместе с другими образами для восстанов-

ления или обновления программного обеспечения IOS на маршрутизаторах и

коммутаторах объединенной сети.

На сетевом сервере должна функционировать служба протокола TFTP.

Обновление программного обеспечения Cisco IOS осуществляется в привиле-

гированном ЕХЕС режиме с помощью команды copy tftp flash (Пример 2.14).

Пример 2.14 – Использование команды copy для копирования IOS

r1#copy tftp flash

Address or name of remote host []? 10.89.1.1

Source filename []? c1700–y–mz.122–6.bin

Destination filename [c1700–y–mz.122–6.bin]?

Accessing tftp://10.89.1.1/c1700–y–mz.122–6.bin...

Erase flash: before copying? [confirm]

Erasing the flash filesystem will remove all files! Continue? [confirm]

Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased

Erase of flash: complete

Loading c1700–y–mz.122–6.bin from 10.88.42.178 (via

FastEthernet0): !!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

[OK – 3575332 bytes]

Verifying checksum...

VVVVVVVVVVVVVVVVVVVVVVVVVVV

Flash verification successful.

2.5.3 Восстановление образа ОС Cisco IOS

Программное обеспечение Cisco IOS может быть также восстановлено в

сеансе протокола TFTP. Самым быстрым способом восстановления образа

операционной системы IOS в маршрутизаторе является его загрузка с помо-

щью протокола TFTP в режиме ROMmon. Для этого требуется установить

переменные среды и выполнить команду tftpdnld.

Поскольку режим ROMmon имеет ограниченные функции, при переза-

грузке в него файл конфигурации не загружается. По этой причине на марш-

рутизаторе после загрузки отсутствуют протокол IP и конфигурации интер-

фейсов. Переменные среды обеспечивают минимальную конфигурацию, ко-

торая позволяет использовать протокол TFTP из образа программного обеспе-

чения Cisco IOS. Передача по протоколу TFTP в режиме ROMmon может ис-

пользоваться только с первым портом сети LAN, поэтому для этого интер-

фейса устанавливается только простой набор параметров. Для задания значе-

ния переменной среды ROMmon следует ввести имя переменной, знак равен-

ства «=» и значение этой переменной (ИМЯ_ПЕРЕМЕННОЙ = значение).

Например, Для того чтобы установить IP адрес равным 10.0.0.1, следует вве-

сти в командной строке команду IP_ADDRESS=10.0.0.1.

Минимально необходимые переменные для использования команды tft-

pdnld приведены в таблице 2.8.

Таблица 2.8 – Минимальное количество переменных использования tft-

pdnld

Переменная Описание

IP_ADDRESS IP адрес для Ethernet интерфейса

IP_SUBNET_MASK Маска подсети интерфейса

DEFAULT_GATEWAY Шлюз по умолчанию

TFTP_SERVER IP адрес TFTP сервера

TFTP_FILE Имя файла на TFTP сервере

В примере 2.15 приводится пример использование команды tftpdnld.

Пример 2.15 – Использование команды tftpdnld для копирования IOS

rommon 1 > tftpdnld

IP_ADDRESS: 0.0.0.0

IP_SUBNET_MASK: 0.0.0.0

DEFAULT_GATEWAY: 0.0.0.0

TFTP_SERVER: 0.0.0.0

TFTP_FILE:

Invoke this command for disaster recovery only.

WARNING: all existing data in all partitions on flash will be lost!

Do you wish to continue? y/n: [n]: n

TFTP download aborted – user request

rommon 2 > IP_ADDRESS=10.89.1.2

rommon 3 > IP_SUBNET_MASK=255.255.255.240

rommon 4 > DEFAULT_GATEWAY=10.89.1.1

rommon 5 > TFTP_SERVER=10.89.1.1

rommon 6 > TFTP_FILE=c1700–y–mz.122–40.bin

rommon 7 > tftpdnld

IP_ADDRESS: 10.89.1.2

IP_SUBNET_MASK: 255.255.255.240

DEFAULT_GATEWAY: 10.89.1.1

TFTP_SERVER: 10.89.1.1

TFTP_FILE: c1700–y–mz.122–40.bin

Invoke this command for disaster recovery only.

WARNING: all existing data in all partitions on flash will be lost!

Do you wish to continue? y/n: [n]: y

Receiving c1700–y–mz.122–40.bin from 10.88.42.178 !!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

File reception completed.

Copying file c1700–y–mz.122–40.bin to flash.

Erasing flash at 0x603f0000

Programming location 60390000

rommon 9 >

После установки переменных для загрузки программного обеспечения

следует ввести команду tftpdnld без аргументов. При этом ROMmon отобра-

жает значения переменных и в командной строке появляется запрос на под-

тверждение загрузки с предупреждением, что выполнение этой операции при-

ведет к уничтожению образа во Flash памяти.

После того как новый образ записан во Flash память и появилась ко-

мандная строка режима ROMmon, можно снова запустить маршрутизатор пу-

тем ввода в командной строке символа «i» или введя команду reset для пе-

резагрузки устройства. В этом случае загрузка произойдет из нового образа

Cisco IOS, находящегося во Flash памяти.

Если по какой–то причине восстановление ОС Cisco IOS по протоколу

TFTP невозможно следует воспользоваться способом восстановления образа

операционной системы с помощью консоли. На локальном компьютере, с ко-

торого будет производиться восстановление должна быть подлежащая восста-

новлению копия файла программного обеспечения IOS и программа эмуля-

ции терминала, такая, например, как Hyper Terminal. Восстановление образа

системы IOS может быть выполнено на стандартной скорости консоли 9600

бит/с. Для ускорения загрузки скорость можно увеличить вплоть до значения

115200 бит/с. Скорость передачи в консоли можно изменить в режиме ROM-

mon с помощью команды confreg. После ввода команды confreg маршрутиза-

тор запросит различные параметры, которые могут быть изменены. В приме-

ре 2.16 приводится пример использование команды confreg.

Пример 2.16 – Использование команды confreg

rommon 1 >confreg

Configuration Summary

.. .. ..

console baud: 9600

boot: the ROM Monitor

do you wish to change the configuration? y/n [n] : у

enable "diagnostic mode"? y/n [n]:

.. .. ..

enable "ignore system config info"? y/n [n] :

change console baud rate? y/n [n] : у

enter rate: 0 = 9600, 1 = 4800, 2 = 1200, 3 = 2400

4 = 19200, 5 = 38400, 6 = 57600, 7 = 115200 [0]: 7

change the boot characteristics? y/n [n] : y

Configuration Summary

enabled are:

break/abort has effect

console baud: 115200

boot: the ROM Monitor

do you wish to change the configuration? y/n [n] :

Для того чтобы новая конфигурация стала действующей, необходимо

перезагрузить маршрутизатор или выключить и вновь включить электропита-

ние.

В режиме ROMmon можно использовать команду xmodem для восста-

новления образа программного обеспечения Cisco IOS с персонального

компьютера. Команда xmodem имеет синтаксис xmodem –с image_file_name.

Ключ «–с» в команде указывает процессу Xmodem на необходимость

использовать контроль с помощью циклического избыточного кода (Cyclic

Redundancy Check – CRC) для проверки ошибок при загрузке файла. В приме-

ре 2.17 приводится пример использование команды xmodem.

Пример 2.17 – Использование команды xmodem

rommon 1 >

rommon 1 >xmodem –?

xmodem: illegal option –– ?

usage: xmodem [–cyrx] <destination filename>

–c CRC–16

–y ymodem–batch protocol

–r copy image to dram for launch

–x do not launch on download completion

rommon 2 > xmodem –c c1700–y–mz.122–40.bin

Do not start the sending program yet...

Warning: All existing data in bootflash will be lost!

Invoke this application only for disaster recovery.

Do you wish to continue? y/n [n]: у

Ready to receive file c1700–y–mz.122–40.bin ...

При перезагрузке маршрутизатора заканчивается сеанс на скорости

115200 бит/с и начинается сеанс на стандартной скорости.

3 Введение в списки контроля доступа

Сетевой администратор должен уметь запрещать несанкционированный

доступ к сети и в то же время обязан обеспечить доступ к сети авторизиро-

ванных пользователей. Несмотря на то, что средства безопасности, такие, как

пароли, средства установления обратного вызова и физические устройства

безопасности, достаточно полезны, им часто не хватает гибкости при

фильтрации потока данных и специализированных управляющих средств, ко-

торые чаще всего предпочитают администраторы. Например, бывают ситуа-

ции, когда сетевой администратор готов предоставить пользователям локаль-

ной сети выход в сеть Internet, но при этом не хочет разрешать пользователям

сети Internet, находящимся вне такой локальной сети, входить в сеть предпри-

ятия средствами протокола telnet.

Следует помнить, что списки контроля доступа интенсивно используют

ресурсы центрального процессора маршрутизатора. При использовании

списков доступа каждый поступающий на устройство пакет должен быть об-

работан центральным процессором.

Маршрутизаторы предоставляют администраторам основные возмож-

ности фильтрации, такие, как блокирование потока данных из сети Internet с

использованием списков контроля доступа (Access Control List – ACL). Спи-

сок контроля доступа представляет собой последовательный набор разрешаю-

щих или запрещающих директив, которые относятся к адресам или протоко-

лам верхнего уровня.

Правила списка ACL, которые принадлежат одному и тому же списку

контроля доступа, всегда содержат один и тот же номер списка:

– список контроля доступа 1

– правило списка ACL 1,

– правило списка ACL 1;

– список контроля доступа 2

– правило списка ACL 2,

– правило списка ACL 2;

– список контроля доступа 3

– правило списка ACL3,

– правило списка ACL 3,

– правило списка ACL 3.

В приведенной структуре списков ACL правило, номер которого совпа-

дает с номером списка, относится к определенному нумерованному списку.

Сами правила выполняются в процессе отработки списка последовательно.

Администратору и техническому специалисту необходимо уметь пра-

вильно конфигурировать списки контроля доступа и знать, где их следует

разместить в сети.

Основные функции списков контроля доступа включают в себя:

– фильтрацию внутренних пакетов;

– защиту внутренней сети от несанкционированного доступа;

– ограничение доступа к портам виртуального терминала.

Списки ACL представляют собой набор инструкций применяемых к ин-

терфейсу маршрутизатора. Они указывают маршрутизатору, какие пакеты

следует принять, а какие – отбросить. Решение о том, как поступить пакетом,

может быть основано на определенных критериях, таких, как адреса отправи-

теля и получателя или номер TCP/UDP порта.

Списки контроля доступа позволяют администратору управлять потока-

ми данных и сканировать определенные пакеты. Любые потоки данных, кото-

рые проходят через интерфейс маршрутизатора, проверяются на соответствие

условиям списка.

Списки контроля доступа могут быть созданы для всех маршрутизируе-

мых сетевых протоколов, например, IP или IPX с целью фильтрации пакетов

по мере их поступления на маршрутизатор. Для списков ACL может быть

установлена конфигурация, позволяющая управлять доступом к сети или под-

сети.

Алгоритм списков контроля доступа при фильтрации потока данных

принимает решение о том, направить пакет далее или заблокировать его на

интерфейсе. Каждый пакет исследуется на соответствие условиям, которые

указаны в списке; в качестве условий могут выступать адреса отправителя и

получателя, идентификатор протокола верхнего уровня или другая информа-

ция.

Список ACL должен составляться для каждого отдельного протокола.

Иными словами, для каждого используемого на интерфейсе маршрутизатора

протокола должен быть составлен список, который будет регулировать тра-

фик именно на этом интерфейсе. Например, если интерфейс маршрутизатора

используется для передачи IP, Apple Talk и IPX трафика, то необходимо будет

сконфигурировать, по меньшей мере, три списка контроля доступа.

Списки могут быть использованы в качестве гибкого средства фильтра-

ции пакетов, поступающих на интерфейс маршрутизатора или отправляемых

с него (Рисунок 3.1).

Internet

192.168.1.0

172.16.0.0

ACL

Рисунок 3.1 – Применение списков ACL

Для создания списков доступа существует множество причин:

– Списки ACL можно использовать для ограничения потока данных в

сети и повышения ее производительности. В частности, списки могут быть

использованы для того, чтобы некоторые пакеты какого–либо протокола об-

рабатывались маршрутизатором ранее других. Такая функция называется

установкой очередности и используется для того, чтобы маршрутизатор не

обрабатывал пакеты, которые в данный момент не являются жизненно необ-

ходимыми. Установка пакетов в очередь ограничивает поток данных в сети и

уменьшает вероятность перегрузки.

– Списки ACL можно использовать для управления потоком данных.

Например, с помощью списков можно ограничить или уменьшить количество

сообщений об изменениях в сети. Такие ограничения используются для

предотвращения распространения информации об отдельных сетях на всю

сеть.

– Списки ACL можно использовать для обеспечения базового уровня

защиты от несанкционированного доступа. Например, списки доступа позво-

ляют разрешить одному узлу доступ к некоторому сегменту сети, а другому

закрыть доступ к этой же области. Если на маршрутизатор не установлен спи-

сок контроля доступа, то все пакеты, проходящие через него, поступают во

все сегменты сети.

– Списки ACL можно использовать для указания данных, которые бу-

дут направляться далее или блокироваться на интерфейсе маршрутизатора.

Например, можно разрешить маршрутизацию трафика электронной почты и в

то же время заблокировать весь поток данных протокола telnet.

Рисунок 3.2 – Обработка пакетов списком ACL

Принимая решение о дальнейшей отправке пакета или его блокировке,

ОС Cisco IOS проверяет его соответствие всем директивам в том порядке, в

каком они записаны. Как показано на рисунке 3.2 пакеты последовательно

проверяются на соответствие записям до тех пор, пока не будет найдено соот-

ветствие одному из правил. Если такое соответствие обнаружено, то осталь-

ные директивы списка не рассматриваются, и к пакету применяется указанное

в списке действие. Например, если было указано правило, которое разрешает

передачу всех данных, то все последующие директивы не проверяются. Если

требуется внести дополнительные директивы, то нужно удалить весь список и

заново создать его с новыми записями. Поэтому при изменении списков до-

ступа целесообразнее всего отредактировать конфигурацию маршрутизатора

с помощью текстового редактора, а затем переслать ее на устройство посред-

ством TFTP или встроенной возможностью терминальной программы.

Каждая добавленная запись заносится в конец списка. Таким образом,

невозможно удалить в нумерованном списке отдельные директивы после

того, как они были созданы, а можно удалить только весь список полностью.

ОС Cisco IOS проверяет пакет и заголовки верхних уровней для списков до-

ступа как показано на рисунке 3.3.

Кадр

(HDLC,

PPP)

Пакет

(IP

заголовок )

Сегмент

(TCP

заголовок)

Данные

Проверка пакета на

соответствие директивам

ACL

Отказ в

доступе

Разрешение

доступа

Рисунок 3.3 – Последовательная проверка заголовка пакета списком ACL

3.1 Принцип роботы списков ACL

Список контроля доступа представляет собой набор директив, которые

определяют то, как пакеты:

– поступают на входной интерфейс маршрутизатора,

– доставляются внутри маршрутизатора,

– пересылаются далее через выходной интерфейс маршрутизатора.

Начальная стадия процесса установления связи не зависит от того, ис-

пользуются ли списки контроля доступа или нет.

Когда пакет поступает на интерфейс, маршрутизатор определяет, куда

его направить. Если пакет по какой–либо причине не может быть обработан

маршрутизатором или мостом, он отбрасывается. Далее операционная систе-

ма проверяет, связан ли со входным интерфейсом какой–либо список досту-

па. Если список есть, то операционная система сверяет параметры пакета с за-

писями такого списка ACL. Если пакет соответствует разрешающему правилу

и подвергается маршрутизации, то в таблице маршрутизации выполняется по-

иск сети получателя, определяется метрика маршрут или состояние и интер-

фейс, через который следует отправить пакет. Список контроля доступа не

фильтрует пакеты, которые возникают внутри маршрутизатора, но фильтрует

пакеты из иных источников.

Далее маршрутизатор проверяет, находится ли интерфейс получателя в

группе списка контроля доступа. Если его там нет, то пакет может быть

направлен на интерфейс получателя.

Директивы списка исполняются в последовательном порядке. Если за-

головок пакета соответствует директиве списка, то остальные директивы про-

пускаются. Если условие директивы выполнено, пакет передается далее или

отбрасывается в соответствии с конфигурацией. Если заголовок пакета не со-

ответствует ни одной директиве списка, то к нему применяется стандартное

правило, размещенное конце списка, которое запрещает передачу любых па-

кетов. Такая директива не отображается в последней строке списка контроля

доступа, она стандартно там присутствует. Если пакет не соответствует усло-

вию первой директивы, он проверяется на соответствие второй директиве из

списка контроля доступа, и т.д. Алгоритм обработки пакетов списком ACL

представлен на рисунке 3.4.

Списки ACL позволяют контролировать, каким пользователям разре-

шен доступ к конкретной сети. Условия в списке контроля доступа позволя-

ют:

– просмотреть адреса определенных узлов для того, чтобы разрешить

или заблокировать им доступ к некоторой части сети;

– разрешить или запретить доступ пользователям только к определен-

ным видам приложений, таким, как службы FTP и HTTP.

Проверить выполнение

первого условия

Проверить выполнение

следующих условий

Проверить выполнение

последнего условия

Отказ в доступе

Маршрутизировать пакет

на соответствующий

выходной интерфейс

Нет

Да

Отказ в доступе Разрешить доступ

Отказ в доступе

Разрешить доступ

Да

ДаДа

Нет

Рисунок 3.4 – Алгоритм обработки пакетов списком ACL

3.2 Конфигурирование списков ACL

Списки ACL создаются в режиме глобальной конфигурации устройства.

Существует великое множество разных типов списков контроля доступа:

стандартные, расширенные, списки протокола IPX, списки AppleTalk и мно-

гие другие. При создании списков ACL в маршрутизаторе каждому списку

следует назначить уникальный номер. Такой номер идентифицирует тип

списка и не должен выходить за границы диапазона номеров, который выде-

лен для определенной разновидности списков.

После того как администратор принял решение о том, из какого диапа-

зона следует выбрать номер списка, он последовательно вводит директивы

списка ACL, начиная с ключевого слова access–list. Создание списка контроля