Глава 10: Управление трафиком с помощью списков доступа (Access Lists)

Primary tabs

vedro-compota's picture
Submitted by vedro-compota on Tue, 12/18/2012 - 01:03

Forums:

Глава 10: Управление трафиком с помощью списков доступа (Access Lists)

Списки доступа позволяют сетевым администраторам контролировать трафик в сети. Также можно =

  1. собирать статистику
  2. и реализовывать политики безопасности,
  3. защищать сетевое оборудование от несанкционированного доступа.

Списки доступа (Access lists) могут использоваться=

  1. для разрешения (permit) или запрещения (deny) продвижения пакетов через маршрутизатор,
  2. разрешения и запрещения Telnet (VTY) доступа к командной строке маршрутизатора.

Можно использовать списки доступа и для триггеров маршрутизации по требованию (dial-on demand, DDR),
для NAT-преобразований и в других случаях.

Здесь мы будем изучать списки доступа как средство пакетной фильтрации и контроля доступа к VTY.

Обратите внимание: Необходима настроенная сеть учебной топологии "Standard Lab".

Желательно вначале прочитать главу учебника Тода Лэммела о списках доступа.

Предлагается выполнить следующие лабораторные задания:

  1. Lab 10.1: Стандартные списки доступа (Standard IP Access-Lists)
  2. Lab 10.2: Проверка работы стандартных списков доступа
  3. Lab 10.3: Применение списков доступа к линиям VTY
  4. Lab 10.4: Расширенные списки доступа (Extended IP Access-Lists)
  5. Lab 10.5: Проверка расширенных списков доступа

Команды, используемые в этой главе: :

Команда  //Действие

access-list //Создание списка условий
host   //Задания одного адреса
any   //Подстановка, означающая любой адрес, аналогична выражению 0.0.0.0 255.255.255.255.
0.0.0.0 255.255.255.255 //Подстановка, аналогичная any.
ip access-group  //Применяет список доступа к конкретному интерфейсу.
access-class  //Применяет стандартный список доступа к линии VTY.
show access-list  //Показывает все созданные на маршрутизаторе списки доступа.
show access-list 110   //Показывает список доступа номер 110.
show ip access-list   //Показывает только IP списки доступа (кроме IP списков, можно задавать MAC, IPX и проч.).
show ip interface    //Показывает какие интерфейсы имеют примененные списки доступа.

Два типа списков доступа существует для IP =

  1. Standard access lists: Стандартные списки доступа, определяющие только IP адрес источника.
  2. Extended access lists: Расширенные списки доступа, которые помимо адреса источника содержат адрес назначения, протокол и номер порта транспортного протокола.

Списки можно применять =

  1. ко входящему (inbound) потоку пакетов
  2. и исходящему (outbound) с интерфейса потоку пакетов.

Key Words for FKN + antitotal forum (CS VSU):

  • Log in to post comments
  • 2020 reads