Маршрут по умолчанию (Default route or Gateway of the last resort )
Обычно, если на маршрутизаторе отсутствует маршрут к сети назначения, то маршрутизатор сбрасывает весь трафик предназначенный для этой сети. Чтобы этого не произошло, используется маршрут по умолчанию, который позволят передавать трафик даже если в таблице маршрутизации отсутствует маршрут к сети назначения.
Маршрут по умолчанию записывается с использованием нулей -“0” во всех октетах в адресе сети назначения и маске подсети. Такой маршрут необходим для того чтобы обеспечить возможность передать трафик до сети назначения маршрут к которой не известен. Обычно маршрут по умолчанию настраивается по направлению к провайдеру, так как на его маршрутизаторах имеется больше маршрутов к разным сетям , на нем так же так же настраивается маршрут по умолчанию, на случай, если не будет найден соответствующий маршрут.
Конфигурация маршрута по умолчанию:
Router(config)#ip route 0.0.0.0 0.0.0.0 [ адрес следующего перехода / интерфейс выхода ]
Тема 6. Управление трафиком с помощью acl. Как работают acl в ios. Типы acl. Стандартные и расширенные acl.
Рано или поздно перед каждым администратором сети встаёт вопрос управления доступом к ресурсам сети. Нужно ограничивать доступ пользователей к серверам, запрещать большое количество веб-сайтов, разграничивать права пользователей и администраторов. Это задача тривиальная, и она обычно решается настройкой списков управления доступом (англ. ACL – Access Control List) – таблиц, которые определяют, какие операции можно совершать над тем или иным сетевым компонентом. По сути, ACL – это мини-файрволлы, фильтрующие трафик к хосту (или от хоста, или к подсети, или от подсети). Списки контроля доступа – мощный инструмент управления трафиком. С их помощью можно обезопасить сеть, ограничить объем трафика, разграничить пользователей по правам. Надо лишь уметь их правильно применять.
Итак, списки управления доступом бывают:
Стандратные (Standard ACL’s)
Позволяют фильтровать трафик только по адресу отправителя по причине синтаксиса, в котором отражён лишь IP-адрес устройства, с которого должен фильтроваться поток данных.
router(conf)# access-list <1-99> <permit | deny | remark> source [source-wildcard]
ПРИМЕР
router(conf)# access-list 10 permit 192.168.0.0 0.0.0.255
Любой ACL имеет строгую структуру. У него есть идентификатор (в данном примере – 10), который позволяет осуществить привязку ACL к чему-либо, правило, которое определяет действия с трафиком (в данном примере «permit», «разрешить»), и, собственно, адрес отправителя, с которого был отправлен пакет данных.
Работает этот так: Если трафик пришёл из сети 192.168.0.0/24 (обратите внимание, в синтаксе стандартных Access-lists используется обратная маска – wildcard типа 0.0.0.255, ей будет соответствовать прямая 255.255.255.0), то, руководствуясь списком доступа под номером 10, мы пропускаем его. А что же делать с трафиком ,который не попал под это правило? Важно: в конце любого ACL существует «неявное» (от англ. “Implicit”) правило отброса всего остального трафика. То есть любой поток данных, который попадает под действие списка управления доступом №10 и не исходит из сети 192.168.0.0/24 будет отброшен. Вытекает логичный вопрос: а как определить, попадает ли трафик под действие ACL? Для этого списки управления доступом привязываются к интерфейсам. Происходит это при помощи команды связки:
router(conf-if)# ip access-group <1-99> <in | out>
ПРИМЕР
router(conf-if)# ip access-group 10 in
Как видно, настройка происходит из режима конфигурации интерфейса (conf-if) и ACL тут будет иметь имя Access-group (на первый взгляд, причуда Циски). Помимо определения того, на каком порту устройства применять список управления доступом, надо ещё и указать направление, в котором трафик будет фильтроваться (на вход или на выход). Для стандартных ACL имеет смысл ставить режим «на вход», так как фильтрация, напомню, идет исходя из IP-адреса отправителя. Побочной эффект: такие ACL ставятся как можно ближе к пункту назначения, чтобы охватить весь поток трафика и не расходовать ресурсы впустую, так как на фильтрацию затрачиваются серьезные ресурсы системы.
Расширенные (Extended ACL’s)
Расширенные списки управления доступом более гибкие. Помимо адреса отправителя, они могут содержать в себе протокол, порт или/и адрес получателя. Соответственно, их функционал гораздо богаче, а список функций – шире. В отличии от стандартных ACL, расширенные могут быть применены где угодно, в зависимости от нужд администратора. Настройка Extended ACL имеет следующий вид:
router(conf)# access-list acl-number <permit|deny> <ip|icmp|ospf|eigrp...> source source-wildcard destination destination-wildcard
router(conf)# access-list acl-number <deny|permit> <tcp|udp> source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [log]
ПРИМЕР
R1(conf)# access-list 100 deny tcp host 10.0.3.2 host 192.168.3.10 eq 3389
R1(conf)# access-list 100 deny tcp host 10.0.3.1 any eq 80
R1(conf)# access-list 100 permit ip 10.0.3.0 0.0.0.255 any
R1(conf)# access-list 100 deny ip any any
Имена EACL имеют диапазон 100-999, синтаксис схож со стандартными ACL. И стандартные, и расширенные списки управления доступом могут иметь несколько строк, причём выполнение условий будет выполняться сверху вних, то есть построчно. Приоритет у любой команды равный, меньший приоритет только у правил неявного запрета (очевидно, чобы трафик всё же мог проходить сквозь).