Фильтрация IP пакетов. Стандартные и расширенные списки доступа
Цель работы: ознакомиться с понятием фильтрации трафика, типами листов доступа. Научиться настраивать листы доступа на оборудовании компании Cisco.
Теоретические сведения
В данной работе используется схема сети из лабораторной работы №3. Маршрутизацию пакетов в данной локальной сети необходимо назначить с использованием протокола динамической маршрутизации RIP.
Access Control List или ACL — список контроля доступа, который определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом. В оборудовании Cisco ACL представляют список правил, определяющих порты служб или имена доменов, доступных на узле или другом устройстве третьего уровня OSI, каждый со списком узлов и/или сетей, которым разрешен доступ к сервису. Сетевые листы ACL могут быть настроены как на обычном сервере, так и на маршрутизаторе и могут управлять как входящим, так и исходящим трафиком, в качестве межсетевого экрана.
Для внедрения фильтрации трафика необходимо назначить списки доступа, которые создаются по принципу «запрещено все, что не разрешено». Списки доступа создаются для каждого необходимого интерфейса маршрутизатора, однако прописываются они в общем режиме конфигурирования устройства.
Списки доступа подразделяются на две категории: стандартные и расширенные. Стандартный список доступа выполняет сравнение только с IP-адресом источника пакета, тогда как расширенный список доступа может осуществлять сравнение с IP-адресами источника и пункта назначения, типом IP-протокола, портами источника и пункта назначения транспортного уровня.
|
|
|
Список доступа выглядит следующим образом:
ip access-list 1 permit 175.10.1.0 0.0.0.255,
где 1 – идентификатор листа доступа, permit – префикс разрешения (deny – префикс запрещения), после чего идет подсеть и обратная маска подсети. Такой лист доступа разрешает любые действия по отношению к указанной подсети. Возможен лист доступа следующего вида:
ip access-list 100 permit tcp host 175.10.1.2any eq telnet,
где после permit идет обозначение протокола, далее идет адрес, к которому разрешено данное соединение (host 175.10.1.2), после чего – обозначение группы адресов, которым оно разрешено (any – всем); после префикса eq идет номер порта, по которому разрешено соединение (используется стандартное наименование порта или его номер: http или 80, ftp или 21 и т.п.).
Данные access-list’s являются простыми, так как позволяют разместить внутри себя только одно правило. В случае, когда правил должно быть несколько, используется расширенный access-list, который строится следующим образом:
ip access-list extended test
remark----------------------this is an example---------
|
|
|
permit tcp host 192.168.1.3 host 192.168.3.2 eq 80
permit tcp host192.168.1.2 host 192.168.3.2 eq 21
где extended обозначает тип листа доступа (расширенный), remark – комментарий к листу доступа, далее идут стандартные правила для листа доступа.
Все списки доступа неявно имеют в конце оператор deny. Это означает, что любой пакет, который не удовлетворяет критериям фильтрации одной из строк списка доступа, запрещается.
Затем необходимо включить данный интерфейс в группу листа доступа (находясь в режиме конфигурирования интерфейса) командой:
ip access-group test in,
где test – имя листа доступа (при создании листа доступа он автоматически распространяется на все интерфейсы), in – направление трафика – входящий (может быть установлено значение out – исходящий). Следует отметить, что одному интерфейсу может быть назначен только один список доступа в одном направлении.
Отменить действие листа доступа можно командой:
noip access-group test in.
К примеру, если на Router0 поставить лист доступа, представленный ниже, то с ПК PC1 будет возможен ping на ПК PC0, однако невозможен ping на Server0.
ip access-list extended test
permit icmp host 192.168.2.2host192.168.1.3
permit udp host 192.168.3.2host 192.168.1.2
Также с Router0 в соответствии с данным листом доступа станет возможна выгрузка конфигурации на Server0. Пример выгрузки конфигурации показан ниже:
|
|
|
Router#copy running-config tftp
Address or name of remote host []? 192.168.1.2
Destination filename [Router-confg]? 555
Writind running-config…!!
[OK – 956 bytes]
956 bytes copied in 0.021 secs (45000 bytes/sec)
Router#
Однако если принудительно исключить все интерфейсы из-под действия командой noip access-group 1 in,ограничения будут сняты.
В Cisco Packet Tracer имеется возможность экспорта конфигурации маршрутизаторов и коммутаторов в текстовый файл. Для этого необходимо зайти на устройстве в раздел «Config», на левой панели выбрать пункт «Settings» и произвести экспорт «Running Config». Данные будут экспортированы в текстовый файл, открыв который через текстовый редактор, можно изменить конфигурацию устройства. Поскольку листы доступа прописываются в файле конфигурации, их так же можно редактировать при помощи экспорта конфигурации. После того как мы отредактировали этот файл, необходимо произвести загрузку данной конфигурации в маршрутизатор. Для этого в разделе «Config» выбираем пункт «Settings», нажимаем на кнопку «Merge» и выбираем изменённый нами файл. Чтобы изменения вступили в силу, маршрутизатор необходимо перезагрузить командой reload.
Так же можно экспортировать конфигурацию на сервер и скачать на компьютер через FTP сервер. Для этого необходимо зайти на маршрутизатор, установить имя пользователя и пароль для подключения к FTP, командами: ip ftp username имя_пользователя и ip ftp password пароль. Чтобы скопировать конфигурацию на FTP сервер, необходимо ввести команду copy running-config ftp. В результате проделанных действий, файл конфигурации появится на FTP сервере. Далее скачиваем файл с FTP сервера на компьютер (рассматривалось в лабораторной работе №2).
|
|
|
Задание к лабораторной работе:
1. Загрузить схему из лабораторной работы №3;
2. Настроить сервисы, описанные в лабораторной работе №2.
3. В соответствии с вариантами настроить списки доступа.
4. Продемонстрировать работу списков доступа.
Варианты листов доступа:
1. C PC0 возможен ping на Server1, но не возможен на PC1;
С Server0 возможен ping и на Server1, и на PC1;
Router0 может выгружать конфигурацию на Server1;
PC1 не может подключаться к FTP на Server0;
2. С PC0 не возможен ping на Server1, но возможен ping на PC1;
С Server0 не возможен ping ни на Server1, ни на PC1;
Router1 может выгружать конфигурацию на Server1;
PC0 может подключаться по HTTP к Server1;
3. С PC1 возможен ping на Server0, но не возможен ping на PC0;
С PC0 возможен ping и на Server1, и на PC1;
Router0 не может выгружать конфигурацию на Server1;
PC0 может подключаться к FTP на Server1;
4. С PC0 не возможен ping ни на Server1, ни на PC1;
С Server0 возможен ping и на Server1, и на PC1;
Router1 может выгружать конфигурацию на Server0 и Server1;
PC1 может подключаться к FTP и HTTP к Server0;
5. С Server1 возможен ping на Server0, но не возможен ping на PC0;
С Server0 возможен ping на Server1, но не возможен ping на PC1;
Router0 не может выгружать конфигурацию на Server0, но может – на Server1;
PC0 может подключаться к HTTP на Server1;
Контрольные вопросы:
1. Понятие списка доступа.
2. Простые и расширенные списки доступа.
3. На каком уровне модели OSI работает протокол UDP?
4. Различия между протоколами UDP и TCP.
5. Назначение протокола ICMP.
6. Перечислите и опишите основные протоколы прикладного уровня модели OSI.
Лабораторная работа №5
Дата добавления: 2018-06-01; просмотров: 632; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!