- •47. Технологии коммутации Cisco
- •Адресация ip[править | править вики-текст]
- •Распределение ip-адресов
- •Опции dhcp
- •Устройство протокола
- •Структура сообщений dhcp
- •Intranet vpn
- •Internet vpn
- •4. Сетевые архитектуры
- •19. Коммутаторы lan
- •34. Одноадресная, широковещательная и многоадресная рассылка iPv4
- •49. Сегментация виртуальных локальных сетей ccna2, Глава 3.1
- •64. Настройка суммарных и плавающих статических маршрутов iPv4 и iPv6 (ccna2 , глава 6)
- •79. Принцип работы stp Настройка (ccna 3, глава 2,3)
- •94. Защита ospf ccana 3 , глава 5,1
- •109. Выбор технологии глобальной сети ccna 4. Глава2.2
- •124.Структура протокола iPsec ccna 4, глава 7,32
- •6. Сетевые протоколы и стандарты
- •21. Протоколы сетевого уровня
- •36. Icmp
- •51. Транки виртуальных сетей
- •66. Настройка протокола rip
- •96. Характеристики протокола eigrp
- •111. Инкапсуляция hdlc
- •126. Принцип работы Syslog и его настройка
- •7 Вопрос
- •22. Характеристики ip-протокола ccna1, 6.1.2
- •37Вопрос
- •52 Вопрос
- •67. Настройка протокола riPng ____________ ccna 2, глава 7.3.1
- •82 Вопрос
- •97 Вопрос
- •112 Вопрос
- •Вопрос 127
- •10. Протоколы физического уровня
- •Соединение с коммутацией каналов
- •25. Таблицы маршрутизации маршрутизатора
- •40. Уровень приложений, уровень представления и сеансовый уровень
- •55. Статически изученные маршруты
- •70. НастройкаOspFv2 дляоднойобласти. СтоимостьOspf
- •85. КомпонентысетейWlan
- •100. АлгоритмDual итаблицатопологии
- •115. НастройкастатическогоNat Настройка статического nat
- •130. Создание документация по сети
- •3 Вопрос ___ Сетевая безопасность
- •18 Вопрос ___ Протокол разрешения адресов
- •33 Вопрос ____ Адреса iPv4. Маска сети (подсети)
- •Вопрос 26. Устройство маршрутизаторов и их основные характеристики
- •86 Вопрос
- •Вопрос 56.Протоколы динамической маршрутизацииCcna 2, глава 7,1
- •11.Способы доступа или подключения к Интернет
- •69. Протокол ospf
- •Принцип работы
- •Вопрос 114. Принцип работы nat и его характеристики ccna 4, глава 5.1
- •9 Вопрос _____ Инкапсуляция данных
- •59. Реализация статической маршрутизации. Типы статических маршрутов
- •Маршрутизация между vlan - маршрутизатор на привязи
- •Встроенные службы маршрутизации Настройка параметров встроенного маршрутизатора
- •12. Сетевая среда и её основные характеристики Локальные и глобальные сети, а также сеть Интернет Компоненты сети
- •13 Вопрос____ Канальный уровень (Data Link)
- •Вопрос 43______
- •73 Вопрос_______ Списки контроля доступа (acl)
- •Расширенные acl-списки для iPv4 Структура расширенных acl-списков для iPv4
- •Структура расширенных acl-списков для iPv4
- •108 Вопрос _____ Структура и принципы построения сети Интернет
- •Вопрос 123 ___ Туннели gre между объектами
- •Вопрос 41____ Cisco: Конфигурация и команды управления ios
- •Часть 2
- •Iine vty 0 4
- •Iinevty 5 197
- •100BaseX Use rj45 for -tx; sc fo for -fx
- •Interface Ethernet0
- •Ip address 172.16.20.2 255.255.255.0 secondary
- •Ip address 172.16.10.2 255.255.255.0
- •7000(Config)#interface ethernet 2/0/0
- •Interface Ethernet0
- •Ip address 172.16.10.30 255.255.255.0
- •Interface Serial0
- •99 Вопрос _____
- •Вопрос 78 ______ slaac
- •Вопрос 48____Безопасность коммутатора: управление и исполнение
- •14. Топологии глобальной сети
- •29. Протоколы транспортного уровня
- •44. Коммутируемые сети
- •89. Настройка беспроводного маршрутизатора
- •104. Лицензирование ios
- •119. Беспроводные широкополосные сети
- •39. Протоколы уровня приложений. Способы взаимодействия протоколов приложений с приложениями конечных пользователей
- •72. Стандартные acl-списки для iPv4
- •87. Принципы работы беспроводной локальной сети
- •102. Расширенные настройки eigrp
- •117. Настройка преобразования адреса и номера порта (pat)
- •8. Эталонные модели сетевого взаимодействия
- •23. Пакет iPv4 структура и основные характеристики
- •38. Разбиение iPv6-сети на подсети
- •53. Коммутация пакетов между сетями
- •68. Динамическая маршрутизация по состоянию канала
- •83. Основные понятия агрегирования каналов и их настройка
- •98. Настройка eigrp для iPv4
- •101. Настройка eigrp для iPv6
- •113. Принцип работы и настройка протокола FrameRelay
- •128. Принцип работы NetFlow и его настройка
- •54. Маршрутизация
- •90. Вопрос
- •120. Вопрос
73 Вопрос_______ Списки контроля доступа (acl)
Тема сетевой безопасности очень обширна, многие её аспекты не входят в материал настоящего курса обучения. В данной главе мы рассмотрим один из важнейших навыков сетевого администратора - управление списками контроля доступа (ACL-списков).
Специалисты по проектированию сетей используют межсетевые экраны для обеспечения защиты сети от несанкционированного использования. Межсетевые экраны или брандмауэры представляют собой аппаратные или программные решения, направленные на повышение степени защищённости сети. Рассмотрим в качестве примера заблокированную дверь помещения внутри здания. Благодаря блокировке в помещение могут войти только авторизованные лица, имеющие ключ или карту доступа. Аналогичным образом межсетевой экран фильтрует неавторизованные или потенциально опасные пакеты, предотвращая их проникновение в сеть. На маршрутизаторе Cisco можно настроить простой межсетевой экран, который позволяет фильтровать трафик на базовом уровне с помощью ACL-списков. Использование ACL-списков позволяет администраторам останавливать трафик или допускать в сеть только определённый трафик.
Список контроля доступа (ACL) — это последовательный список правил разрешения или запрета, применяемых по отношению к адресам или протоколам более высокого уровня. ACL-списки позволяют эффективно контролировать входящий и исходящий трафик сети. ACL-списки также можно настраивать для всех маршрутизируемых протоколов сети.
Самой важной причиной для настройки ACL-списка является обеспечение безопасности сети. В этой главе объясняется, как использовать стандартные и расширенные ACL-списки на маршрутизаторе Cisco в рамках обеспечения сетевой безопасности. Материал главы включает советы, решения, общие рекомендации и инструкции по применению ACL-списков.
Данная глава даёт возможность развить ваши навыки создания и управления ACL-списками посредством упражнений для выполнения в аудитории, интерактивных заданий и лабораторных работ.
Расширенные acl-списки для iPv4 Структура расширенных acl-списков для iPv4
Проверка пакетов с помощью расширенных ACL-списков
Для более точного контроля над фильтрацией трафика управления можно создать расширенные списки контроля доступа IPv4. Расширенные ACL-списки нумеруются от 100 до 199 и от 2000 до 2699, обеспечивая 799 возможных расширенных нумерованных ACL-списков. Расширенным ACL-спискам также можно присваивать имена.
Расширенные ACL-списки используются чаще, чем стандартные, поскольку они обеспечивают больший объем контроля. На рисунке показано, что, как и стандартные, расширенные ACL-списки проверяют адреса источников пакетов, а также адрес назначения, протоколы и номера портов (или службы). Это обеспечивает более широкий спектр критериев, на которых можно строить ACL-список. Например, расширенный ACL-список может разрешить трафик электронной почты из сети к определённому месту назначения с одновременным запретом передачи файлов и просмотром веб-страниц.
Структура расширенных acl-списков для iPv4
Проверка портов и служб
Возможность фильтрации по протоколу и номеру порта позволяет сетевым администраторам создавать весьма специфические расширенные ACL-списки. Применение определяется путем настройки номера порта или имени известного порта.
На рис.1 показаны некоторые примеры того, как администратор определяет номера портов TCP или UDP, помещая его в конец оператора расширенного списка контроля доступа. Можно применить логические действия, такие как «равно» (eq), «не равно» (neq), «более чем» (gt) и «менее чем» (lt).
На рис. 2 показано, как отобразить список номеров портов и ключевых слов, которые можно использовать при создании ACL-списка, используя команду:
R1(config)# access-list 101 permit tcp any any eq ?
88 вопрос ______ Безопасность сети Wi-Fi всегда вызывала особое беспокойство, поскольку границы сети расширились. Сигналы беспроводной связи могут передаваться через твердые препятствия — потолки, полы, стены, за пределы дома или офиса. Без строгих мер безопасности установка сети WLAN — сродни повсеместному размещению Ethernet-портов, даже на улице.
Чтобы предотвратить угрозы со стороны злоумышленников, пытающихся проникнуть в беспроводную сеть, и защитить данные, использовались две функции обеспечения безопасности.
Сокрытие идентификатора SSID. Точки доступа и некоторые беспроводные маршрутизаторы позволяют отключить кадр сигнала идентификатора SSID. Беспроводные клиенты должны вручную определить имя SSID, чтобы подключиться к сети.
Фильтрация MAC-адресов. Администратор может вручную разрешить или запретить клиентам беспроводной доступ в зависимости от MAC-адреса их физического оборудования.
Хотя эти две функции отсеивают большинство пользователей, на самом деле ни сокрытие идентификатора SSID, ни фильтрация MAC-адресов не помешают умелому взломщику. Имена SSID легко обнаружить даже в том случае, если точки доступа не выполняют их широковещательную рассылку, а MAC-адреса можно подделать. Оптимальным способом защиты беспроводной сети является использование систем аутентификации и шифрования (см. рис. 1).
В исходном стандарте 802.11 представлено два типа аутентификации:
Аутентификация открытой системы. Все беспроводные клиенты могут легко выполнить подключение, и такая система может использоваться только в тех случаях, когда безопасность не имеет особого значения (например, в местах, где предоставляется бесплатный доступ к Интернету — кафе, отели и удалённые расположения).
Аутентификация согласованного ключа. Для аутентификации и шифрования данных, передаваемых между беспроводным клиентом и точкой доступа, предоставляет такие механизмы, как WEP, WPA или WPA2 . Однако для подключения пароль необходимо предварительно согласовать между сторонами.
На схеме на рис. 2 представлены краткие сведения о различных типах аутентификации.
103 вопрос_______ При выборе или обновлении маршрутизатора на базе Cisco IOS важно выбрать правильный образ IOS с соответствующим набором функций и его версию. Файлы образов Cisco IOS именуются в соответствии со специальной схемой нумерации. Имя файла образа Cisco IOS состоит из нескольких частей, каждая из которых имеет определённое значение. Важно понимать этот стандарт присвоения имён при обновлении или выборе Cisco IOS.
Как показано на рис. 1, команда show flashпоказывает файлы, хранящиеся во флеш-памяти, включая образ системы.
Пример имени образа IOS 12.4 показан на рис. 2.
Имя образа (c2800nm) определяет платформу, на которой работает образ. В данном примере платформой является маршрутизатор Cisco 2800 с сетевым модулем.
advipservicesk9 определяет набор функций. В данном примере advipservicesk9 относится к технологическому пакету Advanced IP Services, который включает в себя как расширенные функции обеспечения безопасности, так и комплектации оператора связи с IPv6.
mz указывает место запуска образа и сжат ли его файл. В данном примере mz означает, что файл запускается из ОЗУ и он сжат.
124-6.T формат имени файла для образа 12.4(6)Т. Это номер ветки, номер сборки и идентификатор ветки.
bin — расширение файла. Данное расширение обозначает двоичный исполняемый файл.
На рис. 3 показано, из чего состоит название файла образа IOS 15 на устройстве ISR G2:
Имя образа (c1900) определяет платформу, на которой работает образ. В данном примере платформой является маршрутизатор Cisco 1900.
universalk9 определяет обозначение образа. Universalk9 и universalk9_npe — это обозначения для маршрутизатора ISR G2. Universalk9_npe не содержит надежное шифрование и предназначен для стран с ограничениями на шифрование. Функции контролируются лицензированием. Их можно разделить на четыре технологических пакета, среди которых: IP Base, Security, UC и Data.
mz указывает место запуска образа и сжат ли его файл. В данном примере mz означает, что файл запускается из ОЗУ и он сжат.
SPA обозначает, что файл имеет цифровую подпись Cisco.
152-4.М3 определяет формат имени файла для образа 15.2(4)М3. Это выпуск IOS, который включает в себя номера основного выпуска, дополнительного выпуска, выпуска исправлений сборки. M означает, что это выпуск с расширенной поддержкой.
bin — расширение файла. Данное расширение обозначает двоичный исполняемый файл.
mz — это наиболее распространённое обозначение для формата участка памяти и сжатия. Первая буква, где маршрутизатор будет хранить образ во время работы. Возможные места:
f — флеш-память
m — ОЗУ
r — ПЗУ
l — переместимый
Образ может быть сжат либо в формате z (zip), либо x (mzip). Cisco использует сжатие в формате zip для уменьшения места, которое образы, исполняемые в оперативной памяти, занимают при хранении. Сжатые файлы являются самораспаковывающимися, так что после загрузки сжатого файла в ОЗУ сразу же начинается распаковка.
Примечание. Стандарты именования Cisco IOS, значения полей, содержимое образов и другие сведения могут быть изменены.
Требования к объёму памяти
На большинстве маршрутизаторов Cisco, в том числе маршрутизаторов с интегрированными службами, IOS хранится в компактной флеш-памяти в виде сжатого образа и загружается в динамическое ОЗУ во время загрузки. Образы выпуска Cisco IOS 15.0, доступные для маршрутизаторов Cisco 1900 и 2900, требуют 256 MБ флеш-памяти и 512 МБ ОЗУ. Маршрутизатор с интеграцией сервисов 3900 требует 256 МБ флеш-памяти и 1 ГБ ОЗУ. Сюда не входят дополнительные инструменты управления, например Cisco Configuration Professional (Cisco CP). Подробнее смотрите в инструкции по эксплуатации маршрутизатора.
118 вопрос _________ NAT для IPv6 используется в совсем другом контексте, нежели NAT для IPv4, как показано на рисунке. Разнообразные варианты NAT для IPv6 используются с целью предоставления прозрачного доступа между сетями, в которых используется только протокол IPv6, и сетями, в которых используется только протокол IPv4. NAT для IPv6 не применяется для преобразования частных IPv6-адресов в глобальные IPv6-адреса.
В идеале, IPv6 должен по возможности использоваться в чистом виде. То есть когда устройства IPv6 взаимодействуют друг с другом по сетям IPv6. Организация IETF разработала несколько методов перехода для различных сценариев перехода от IPv4 к IPv6, включая использование двойного стека, туннелирование и трансляция адресов.
Двойной стек применяется, когда устройства запускают набор протоколов и для IPv4, и для IPv6. Туннелирование для IPv6 — это процесс инкапсуляции пакетов IPv6 в пакеты IPv4. Данный метод позволяет передавать пакет IPv6 по сети, в которой используется только протокол IPv4.
NAT для IPv6 следует использовать не как долгосрочную стратегию, а лишь как временный механизм, помогающий перейти с IPv4 на IPv6. Со временем появилось несколько типов NAT для IPv6, включая NAT-PT (Network Address Translation-Protocol Translation, преобразование — преобразование протоколов). Организация IETF признала технологию NAT-PT устаревшей и порекомендовала использовать ее замену — NAT64. NAT64 не рассматривается в рамках настоящего учебного курса.