Проект сети передачи данных для концерна, страница 4

Исключение в этих ACL могут быть сделаны на индиви-дуальной основе. Приложения такие, как электронная почта и cлужебные серверы должны быть свободно пропущены, после того как выясниться, что они не несут угрозу. Уникальные (име-на) пользователей и пароли позволят следить за всеми ком-пьютерами в округе. Все компьютеры в окружной сети должны иметь полный доступ в Internet. Все ACL должны контролиро-ваться из центрального офиса. ACL могут иметь нескольких стандартных типов , расши-ренные и именные. Стандартные access-lists могут фильтро-вать пакеты только по адресу источника пакетов. Standart Access-lists могут фильтровать различные типы трафика в за-висимости от номера листа доступа. Чтобы создать standart access-list нужно набрать следующую команду в глобальном режиме. Router(config)# access-list 1-99 permit|deny "source address" ["wildcard mask"] [log]. Номер 1-99 означает,что это стандартный IP access-list. Permit (разрешить) или deny (запретить) прохождения трафика от источника.

Wildcard mask позволяет задать в качестве источника не только отдельный компьютер но и целую сеть или под-сеть. Команда log позволяет отследить сколько было “обраще-ний” к этому листу-доступа. Для активации листа-доступа нужно создать группу дос-тупа наружную (out) и внутреннею (in) и указать номер тот же, что и на используемом листе-доступа. Router(config)# interface "type" "port #" Router(config-if)# ip access-group "list #" in|out Пример применения стандартного access-lists. Router(config)# access-list 1 deny 192.168.1.2 Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)# interface serial 0 Router(config-if)# ip access-group 1 in

Расширенный лист-доступа обладает более широкой возможностью фильтрации трафика по адресу получателя по типу используемого протокола по номеру порта. Чтобы создать расширенный extended IP access-lists нужно наб-рать следующую команду в глобальном режиме. Router(config)# access-list 100-199 permit|deny "protocol" "source address and wildcard mask" ["operator" "source port #"] "destination address and wildcard mask" ["operator" "destination port #"] [established] [log] Номер 100-199 означает,что это расширенный IP access-list. Permit (разрешить) или deny (запретить) прохождения тра-фика. Wildcard mask позволяет задать в качестве источника не только отдельный компьютер, но и целую сеть или под-сеть. Оperator “source port" - номер порта источника TCP или UDP. Destination address and wildcard mask - адрес получате-ля и номер порта. Команда log позволяет отследить сколько было “обращений” к этому расширенному листу-доступа. Для активизации расширенного листа доступа точно также как и для стандартного листа доступа нужно создать группу-доступа.

Пример применения расширенных листов доступа. Router(config)# access-list 100 permit tcp any 172.16.0.0 0.0.255.255 established log Router(config)# access-list 100 permit udp any host 172.16.1.1 eq dns log Router(config)# access-list 100 permit tcp 172.17.0.0 0.0.255.255 host 176.16.1.2 eq telnet log Router(config)# access-list 100 permit icmp any 176.16.0.0 0.0.255.255 echo-reply log Router(config)# access-list 100 deny ip any any Router(config)# interface ethernet 0 Router(config-if)# ip access-group 100 in

Часть 6 -Соединение с сетью Internet