Дибров М.В., Кузьменко Н.Г., Журавлев А.А. Маршрутизаторы. Учебно-методическое обеспечение самостоятельной работы
Подождите немного. Документ загружается.
Продолжение таблицы 3.4
time–range time–range–name Задает время срабатывания записи
списка ACL. Параметры временного
интервала (имя и ограничения) зада-
ются отдельной конфигурационной
командой time–range.
icmp–type ICMP пакеты могут быть отфильтро-
ваны по типу ICMP сообщений. Тип
указывают с помощью номера в
диапазоне от 0 до 255.
icmp–code ICMP пакеты могут быть отфильтро-
ваны по коду ICMP сообщений. Код
сообщения указывают с помощью но-
мера в диапазоне от 0 до 255.
icmp–message ICMP пакеты могут быть отфильтро-
ваны по имени типа ICMP сообщений
или символьному имени–параметру
кода ICMP сообщения.
igmp–type IGMP пакеты могут быть отфильтро-
ваны по типу IGMP сообщений. Тип
указывают с помощью номера в
диапазоне от 0 до 15.
operator Используется для сравнения портов
отправителя и/или получателя. Воз-
можные варианты включают в себя
ключи lt (меньше, чем), gt (больше,
чем), eq (равно), neq (не равно) и
range (порты, которые входят в
диапазон).
Если оператор расположен после ад-
реса и инвертированной маски отпра-
вителя, он задает порт отправителя.
Если оператор расположен после ад-
реса и инвертированной маски полу-
чателя, он задает порт получателя.
Оператор диапазона range требует
указания двух номеров портов. Для
всех остальных операторов должен
быть указан один номер порта.
61
Продолжение таблицы 3.4
port Задает в десятичном формате номера
или символьные имена TCP или UDP
портов. Порт – это номер в диапазоне
от 0 до 65 535. Символьное имя TCP
порта может быть использовано толь-
ко при фильтрации протокола из
стека TCP. Символьное имя UDP пор-
та может использоваться только при
фильтрации UDP протоколов.
established Используется только для TCP прото-
колов: пропускает пакеты лишь уста-
новленного соединения. TCP дейта-
граммы с флагом АСК, FIN, PSH,
RST или установленным управляю-
щим URG битом будут соответство-
вать данной записи списка контроля
доступа. Первая дейтаграмма, кото-
рая отправляется при установке TCP
соединения, не отвечает условию, ко-
торое задано данным ключевым сло-
вом.
fragments Этот параметр применяется для по-
следующих ( всех, кроме первого)
фрагментов пакетов; фрагменты мо-
гут быть разрешены или запрещены к
передаче.
В одном списке контроля доступа может быть указано несколько ди-
ректив. Каждая из записей списка должна содержать один и тот же номер
списка доступа, чтобы относиться к одному и тому же списку. В одном
списке контроля доступа может быть указано столько директив, сколько
требуется. Количество директив ограничено только доступной памятью
маршрутизатора. Чем больше записей содержится в каждом списке контроля
доступа, тем сложнее будет поддерживать и управлять списками ACL в
маршрутизаторе.
В примере 3.7 используются три последовательные директивы, кото-
рые указывают, что telnet, ftp пакеты и пакеты данных протокола FTP разре-
шено передавать от любых узлов подсети 172.16.6.0 в любую сеть.
62
Пример 3.7 – Пример расширенного списка доступа
access–list 114 permit tcp 172.16.6.0 0.0.0.255 any eq telnet
access–list 114 permit tcp 172.16.6.0 0.0.0.255 any eq ftp
access–list 114 permit tcp 172.16.6.0 0.0.0.255 any eq ftp–data
В таблице 3.5 перечислены часто используемые номера UDP и TCP пор-
тов.
Таблица 3.5 – Часто используемые номера UDP и TCP портов
Число Ключевое слово Описание
0 – Зарезервирован
1–4 – Не назначены
5 RJE Удаленные задания
7 ECHO Эхо
9 DISCARD Уничтожение пакета
11 USERS Активные пользователи
13 DAYTIME Дата и время
15 NETSTAT Список активных соедине-
ний
17 QUOTE Цитата дня
19 CHARGEN Генератор символов
20 FTP–DATA Протокол FTP (данные)
21 FTP Протокол FTP
23 TELNET Терминальное соединение
25 SMTP Протокол SMTP
53 DOMAIN Служба DNS
69 TFTP Протокол TFTP
80 HTTP Протокол HTTP
3.4.3 Использование именованных списков ACL
Именованные списки контроля доступа впервые были представлены в
операционной системе Cisco IOS 11.2. Они позволяют обращаться к стандарт-
ным и расширенным спискам контроля доступа посредством символьной
строки – имени списка. Именованным спискам контроля доступа присущи
следующие преимущества:
– в символьном имени можно указать краткое интуитивно понятное
описание списка;
63
– исключен лимит в 99 стандартных и 100 расширенных списков
контроля доступа;
– администратор может изменять списки контроля доступа без их уда-
ления и повторного введения.
Именованные списки контроля доступа создаются с помощью команды
ip access–list. Синтаксис команды приведен в примере 3.8.
Пример 3.8 – Синтаксис команды ip access–list
(config)# ip access–list {extended | standart} name
(config)# no ip access–list name
В режиме конфигурирования списка доступа можно указать одну или
несколько директив для разрешения или блокирования доступа. Именованный
список контроля доступа позволяет удалять отдельные директивы, но новые за-
писи могут быть добавлены только в конец списка.
Перед тем как начинать внедрение и конфигурирование именованных
списков контроля доступа, следует учесть такие две особенности:
– именованные списки контроля доступа несовместимы с операционной
системой Cisco IOS версии ниже 11.2;
– одни и те же названия не могут быть использованы для разных
списков контроля доступа. Нельзя определить стандартный и расширенный
списки контроля доступа с одним и тем же именем George.
3.5 Правила размещения списков ACL
Списки контроля доступа используются для контроля потоков данных
путем фильтрации пакетов и уничтожения нежелательных потоков. От того,
где помещен список, зависит эффективность его применения. Если список
размещен в нужном месте, он не только фильтрует пакеты, но также может
существенно повысить быстродействие сети. Для фильтрации потоков дан-
ных список контроля доступа должен находиться в том месте, где он больше
всего будет влиять на трафик и производительность сети.
Пример правильного расположения списка доступа представлен на ри-
сунке 3.9.
64
S0
S0
Fa0/0
Fa0/1
Fa0/0
Fa0/0
Fa0/0
Fa0/1
Рисунок 3.9 – Правильное расположение списка доступа
Предположим, основная цель политики предприятия состоит в том, что-
бы запретить telnet и FTP трафик на маршрутизаторе R1 к порту Fa0/0 марш-
рутизатора R4. В то же время все остальные потоки данных должны прохо-
дить беспрепятственно. Добиться поставленной цели можно несколькими
способами. Рекомендуется подход, связанный с использованием расширенно-
го списка контроля доступа, который выполняет проверку как адреса отпра-
вителя, так и адреса получателя. Один расширенный список контроля доступа
следует разместить на интерфейсе Fa0/0 маршрутизатора R1, тогда пакеты не
пройдут через Fa0/1 интерфейс маршрутизатора R1 и далее через последова-
тельные интерфейсы маршрутизаторов R2 и R3 и не попадут на маршрутиза-
тор R4. Такая конфигурация уменьшит трафик в сети между маршрутизатора-
ми R1 и R4.
3.6 Ограничение доступа к виртуальным терминалам
Стандартные и расширенные списки управления воздействуют на паке-
ты, которые следуют через маршрутизатор. Они не блокируют доступ паке-
там данных, которые создаются внутри маршрутизатора. Например, стандарт-
но расширенные списки ACL, которые применяются в исходящем направле-
нии и рассчитаны на telnet трафик, не предотвращают telnet сеансов, которые
инициируются на маршрутизаторе.
Кроме физических интерфейсов, у каждого маршрутизатора есть так на-
зываемые виртуальные порты, которые называют линиями vty. У маршрути-
затора обычно есть 5 линий vty, которые пронумерованы цифрами от 0 до 4.
В целях повышения безопасности администратор может разрешить или
запретить доступ посредством виртуальных терминальных линий к маршру-
тизатору (Рисунок 3.10), вместо того чтобы запрещать определенные типы
трафика от маршрутизатора к получателям.
65
E0
0 1 2 3 4
vty 0-4
Рисунок 3.10 – Запрет доступа vty линиям
Так, например, администратор может сконфигурировать списки контро-
ля доступа, которые разрешают терминальное подключение к маршрутизато-
ру для управления устройством и устранения неисправностей, но соответ-
ствующие службы могут быть запрещены в остальной части сети.
Ограничение vty доступа обычно не используется в качестве механизма
управления потоками данных; такая функция необходима для повышения
уровня защиты сети. Терминальное подключение использует протокол telnet
и позволяет установить нефизическое соединение с маршрутизатором, поэто-
му существует только одна разновидность vty списка контроля доступа. Оди-
наковые ограничения должны быть использованы для всех виртуальных ли-
ний, потому что невозможно заранее сказать, к какой именно линии присо-
единится пользователь.
Несмотря на то, что список контроля доступа для виртуальных терми-
налов выглядит точно так же, как и любой другой список ACL, для привязки
vty списка к терминальной линии использует команда access–class вместо ac-
cess–group. Пример использования команды access–class приводится в приме-
ре 3.9.
Пример 3.9 – Пример использования команды access–class
r1(config)# access–list 2 permit 172.16.1.0 0.0.0.255
r1(config)# access–list 2 permit 172.16.2.0 0.0.0.255
r1(config)# access–list 2 deny any
r1 (config)# line vty 0 4
r1 (config–line)# login local
r1 (config–line)# access–class 2 in
66
4. Обзор NAT
Нехватка IP адресов представляет собой основную проблему в откры-
тых сетях передачи данных. Для максимально эффективного использования
зарегистрированных IP адресов программное обеспечение Cisco использует
службу преобразования адресов (Network Address Translation – NAT). Соот-
ветствующая служба программного обеспечения, представляющая собой реа-
лизацию корпорацией Cisco стандарта RFC 1631, представляет собой способ
использования одних и тех же IP адресов в нескольких внутренних подсетях,
уменьшая тем самым потребность в зарегистрированных IP адресах.
Функция NAT позволяет частным сетям с внутренней адресацией под-
соединяться к открытым сетям, таким, как Internet. Устройство их «внутрен-
ней» сети, в которой используются частные адреса, посылает пакет через
маршрутизатор NAT. Такие адреса преобразуются в официально зарегистри-
рованные IP адреса, что позволяет передавать пакеты по открытым сетям.
Трансляция, выполняемая NAT, может быть статической либо динами-
ческой:
– Статическая трансляция осуществляется при ручной конфигурации
таблицы преобразования адресов. Определенные внутренние адреса преобра-
зуются в указанные внешние адреса. Внутренняя часть таблицы адресов одно-
значно отображается во внешнюю часть таблицы.
– Динамическое преобразование происходит, когда на граничном
маршрутизаторе сконфигурирован пул внешних адресов, в которые можно
транслировать внутренние адреса. Может применяться несколько пулов
внешних адресов.
Множество внутренних хостов могут использовать один внешний IP
для экономии адресного пространства. Совместное использование адреса вы-
полняется мультиплексированием порта или заменой исходного порта на ис-
ходящих пакетах таким образом, что бы ответные пакеты смогли быть от-
правлены на соответствующий хост. Эта опция обычно упоминается как
трансляция адреса на основе порта (Port Address Translation – PAT) или пере-
грузка.
67
4.1 Концепция и терминология NAT
Технология NAT позволяет частным корпоративным IP сетям, которые
используют незарегистрированные IP адреса (частные), подсоединяться к
открытой сети передачи данных, такой как Internet. Маршрутизатор NAT рас-
полагается на границе тупикового домена (внутренней сети) и открытой сети
(внешней) и преобразует внутренние локальные адреса в уникальные гло-
бальные IP адреса перед отправкой пакетов во внешнюю сеть. Чтобы долж-
ным образом понять концепцию и конфигурацию NAT, необходимо понять
терминологию используемую NAT.
Как показано на рисунке 4.1, используя устройство NAT как точку от-
счета, все IP адреса могут быть классифицированы как внутренние и внешние
или как местные и глобальные.
– Внутренние или внешние. Определяют физическое расположение
хостов относительно устройства NAT.
– Локальные или глобальные. Определяют местоположение пользо-
вателя или точки зрения пользователя относительно устройства NAT.
NAT
Внутренние
Адреса
Internet
Внешние
Локальные Глобальные
Узлы
Рисунок 4.1 – Классификация IP адресов в технологии NAT
Например, внутренний глобальный адрес является адресом хоста в ло-
кальной сети с точки зрения пользователя находящегося в глобальной сети.
Это тот адрес, которым воспользуется пользователь глобальной сети, что бы
обратиться к ресурсам хоста в локальной сети.
Внутренняя или локальная это одна сторона устройства NAT, эта сторо-
на обычно обозначает внутреннюю или частную сеть. Внешняя или глобаль-
ная это сторона NAT устройства обычно обозначающая внешнюю или обще-
доступную сеть.
Ключевым отличием является то, что внутренней/внешний применяется
к местоположению хоста, а локальный/глобальный применяется к местополо-
жению пользователя.
68
Внутренний
локальный IP адрес
10.1.1.1
Внутренний
глобальный IP адрес
10.1.1.2
NAT
Internet
10.1.1.1
SA
10.1.1.1
SA
192 .168 .2.2
DA
192 .168 .2.2
172 .20.7.3
A
B
DA
10.1.1.1
C
10.1.1.2
192 .168.2.2
192 .168 .2.3
Внутренняя сеть
Внешняя сеть
Простая таблица NAT
D
Рисунок 4.2 – Терминология NAT
Устройство NAT производит трансляцию внутренних локальных адре-
сов в глобальные зарегистрированные адреса перед отправкой их во внеш-
нюю сеть (Рисунок 4.2). Служба NAT использует тот факт, что относительно
немногие узлы тупикового домена выходят во внешне пространство домена в
одно и то же время. По этой причине для внешней коммуникации лишь
немногие IP адреса тупикового домена должны транслироваться в глобальные
уникальные IP адреса.
В таблице 4.1 приводятся термины, используемые для описания функ-
ционирования службы NAT.
Таблица 4.1 – Термины технологии NAT
Термин Описание
Внутренний локальный адрес
(A)
IP адрес, назначенный узлу во внутренней
сети. Такой адрес должен быть локально
уникален и должен соответствовать стан-
дарту RFC 1918.
Внутренний глобальный ад-
рес (B)
Зарегистрированный IP адрес, который
представляет один или несколько внутрен-
них локальных IP адресов во внешнем ад-
ресном пространстве. Такой адрес выделяет-
ся из пространства глобально уникальных
зарегистрированных адресов и обычно
предоставляется провайдером ISP
Внешний глобальный адрес
(C)
IP адрес, который был назначен узлу во
внешней сети ее владельцем. Такой адрес
выделяется из глобально маршрутизируемо-
го адресного пространства
69
Продолжение таблицы 4.1
Внешний локальный адрес IP адрес внешнего узла, каким он выглядит
для внутренней сети. Такой адрес выделяет-
ся из маршрутизируемого адресного про-
странства внутри сети или, возможно, выби-
рается согласно стандарту, описанному в
документе RFC 1918
Простая запись преобразова-
ния (D)
Запись преобразования, которая отображает
один IP–адрес в другой
Расширенная запись преоб-
разования
Запись преобразования, которая отображает
пару значений, состоящую из IP адреса и
номера порта
4.2 Функции NAT
Внутренний
локальный IP адрес
10.1.1.1
Внутренний
глобальный IP адрес
10.1.1.2
NAT
Internet
10.1.1.1
SA
10.1.1.1
SA
192 .168 .2.2
172 .20.7.3
10.1.1.2
192 .168.2.2
192 .168.2.3
Внутренняя сеть
Внешняя сеть
Простая таблица NAT
Рисунок 4.3 – Функции NAT
Технология NAT выполняет следующие функции:
– Трансляция внутренних адресов отправителя. Устанавливает отоб-
ражение между внутренними локальными и внутренними глобальными адре-
сами.
– Перегрузка внутренних глобальных адресов. Можно сэкономить
адреса в пуле внутренних глобальных адресов за счет преобразования адресов
на основе портов отправителей в соединениях TCP или в сеансах UDP. При
отображении различных внутренних локальных адресов на одни и те же вну-
тренние глобальные адреса внутренние номера портов TCP или UDP узлов
используются для того, чтобы отличать их друг от друга.
70