Sunset(config)# interface FA 0/1
Sunset(config-if)# no ip address
Sunset(config-if)# no shutdown
Sunset(config-if)# int FA 0/1.1
Sunset(config-if)# encapsulation isl 8
Sunset(config-if)# ip address 172.16.128.200 255.255.240.0
Sunset(config-if)# int FA 0/1.2
Sunset(config-if)# encapsulation isl 9
Sunset(config-if)# ip address 172.16.144.200 255.255.240.0
Перед сетевым администратором стоит задача запрета несанкционированного доступа к сети, но при этом разрешение предсказуемого трафика. Кроме различных методов обеспечения безопасности сети, таких как определение паролей для различных уровней пользования, оператору необходим специальный механизм контроля трафика. Возможность запрета трафика по различным критериям. К примеру, перед администратором может стоять задачи запрета Telnet из внешней сети в LAN, но при этом у пользователей должна оставаться возможность выхода в интернет.
Для решения этих задач служат списки доступа (Access Control Lists - ACL). Список доступа – это последовательность запрещающих и разрешающих условий, которые относятся к адресам или протоколам высших уровней.
Таким образом, ACL – набор инструкций, относящихся к тому или иному интерфейсу. Эти инструкции требуются маршрутизатору для принятия решения о том, запрещать передачу пакета или разрешать. Решение может выстраиваться в зависимости от адреса источника, адреса назначения, номера порта и других условий. Весь трафик, приходящий на интерфейс, тестируется по условиям, изложенным в списке доступа.
Список доступа может быть создан для любого маршрутизируемого протокола, такого как IP или IPX.
Существует множество причин для использования ACL. Вот лишь некоторые из них:
- ограничить трафик сети, повысить ее работоспособность. К примеру, базируясь на протоколе, можно расставить приоритеты для прохождения трафика. Этот процесс назван Queuing (queue – очередь). Тем самым снижается загруженность сети.
- можно изменить или запретить пакеты обмена маршрутной информацией между маршрутизаторами, тем самым не позволить информации о той или иной сети поступить в таблицу маршрутизации маршрутизатора.
- создать базовый уровень безопасности. К примеру, можно запретить доступ одного хоста к сети, при этом сохранить доступ для другого.
- решить трафик какого свойства будет проходить через интерфейс, а какой будет запрещен. К примеру, можно разрешить трафик E-mail, но запретить Telnet.
Перед списками доступа маршрутизаторов нашей сети стоят следующие задачи:
- разрешить весь исходящий трафик в сеть Internet;
- запретить входящий трафик из сети Internet в учебное заведение;
- запретить доступ из студенческой сети в административную сеть и главную сеть;
- разрешить доступ из студенческой сети к внутренним серверам: E-mail, DNS, Library, Application.
- разрешить входящий трафик SNMP.
Итак, access-list маршрутизатора SunsetB:
SunsetB(#) configure terminal
SunsetB(config)# access-list 101 permit tcp any any established
SunsetB(config)# access-list 101 permit icmp any any echo-reply
SunsetB(config)# access-list 101 permit ip 170.10.4.0 0.0.3.255 any
SunsetB(config)# access-list 101 permit tcp any 170.10.8.3 0.0.0.3
SunsetB(config)# access-list 101 permit udp any host 170.10.8.4 eq dns
SunsetB(config)# interface serial 0/0
SunsetB(config-if)# access-group 101 in
Access-list №1 маршрутизатора Sunset:
Sunset(#) configure terminal
Sunset(config)# access-list 101 permit udp any eq snmp 170.10.4.0 0.0.3.255
Sunset(config)# access-list 101 permit tcp any 172.10.4.0 0.0.3.255 established
Sunset(config)# access-list 101 deny tcp 172.16.112.0 0.0.127.255 170.10.0.0. 0.0.255.255
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.