1 / 63

CCNA Exploration Accessing the WAN Тема 5 Access Control List (ACL)

CCNA Exploration Accessing the WAN Тема 5 Access Control List (ACL). ACL за повишаване на сигурността. TCP комуникации. Номера на портове. Филтриране на пакети. Филтрирането се извършва в рутерите, които работят на Layer2 , но може да филтрира и на базата на информация от по-високи нива

teresa
Download Presentation

CCNA Exploration Accessing the WAN Тема 5 Access Control List (ACL)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. CCNA Exploration Accessing the WANТема 5Access Control List (ACL) PavlinkaRadoyska / Botevgrad / otk_cisco@abv.bg

  2. ACLза повишаване на сигурността Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  3. TCP комуникации Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  4. Номера на портове Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  5. Филтриране на пакети • Филтрирането се извършва в рутерите, които работят на Layer2, но може да филтрира и на базата на информация от по-високи нива • Филтриране на базата на Layer2 • Source IP address • Destination IP address • ICMP message type • Филтриране на базата на Layer3 • TCP/UDP source port • TCP/UDP destination port Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  6. Пример за филтриране Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  7. Какво е ACL? • ACL е конфигурационен скрипт върху рутера. • За всеки интерфейс, за всеки мрежов протокол и за всяка посока се прави отделен ACL. • ACL съдържа редове с филтрирща информация, която предписва пропускане (permit) или отхвърляне (deny) на пакета. • Редовете се обхождат отгоре надолу. • При откриване на съответствие, предписанието се изпълнява и обхождането се прекратява. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  8. ACL - приложение • ACL-ите играят ролята на защитна стена между вътрешната мрежа и външната мрежа. • С помощта на ACL може да се филтрира трафика между подмрежи в локалната мрежа Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  9. ACL - задачи • Ограничава мрежовия трафик и подобрява производителността на мрежата (например забрана на обмен на видео информация). • Контрол на трафика (забрана на получаване на рутиращи ъпдейти, когато не е необходимо – икономия на капацитет). • Подобрява защитеността при достъп до интернет (разрешава на част от клиентите да имат достъп, а други –не). • Разрешава някои типове трафик и забранява друг (разрешава e-mail, но забранява Telnet). Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  10. Алгоритъм на входящия контрол PavlinkaRadoyska / Botevgrad / otk_cisco@abv.bg

  11. Алгоритъм на изходящия контрол PavlinkaRadoyska / Botevgrad / otk_cisco@abv.bg

  12. deny all В края на всеки ACL се счита, че е написано deny all, което означава, че всичко, което не е споменато в списъка е забранено. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  13. Типове ACL • Стандаретен • Филтрира само по адрес на източника access-list 10 permit 192.168.30.0 0.0.0.255 • Разширен: Филтрира по: • адрес на източника и на получателя • номер на порт на източника и на получателя • протокол – IP, ICMP, TCP, UDP или номер на протокола access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80 Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  14. Маркиране на ACL • С номера: • (0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL • (100 ÷ 199) и (2100 ÷ 2699) – разширен ACL • Изтриват се всички записи (редове) • Записите се подреждат по реда на въвеждане • С имена • Букви и цифри (бз интервали) • Започва с буква • Препоръчва се да се пише с главни букви • Позволява изтриване на отделни записи Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  15. Стандартните ACL се разполагат близо до получатля Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  16. Разширените ACL се разполагат близо до източника PavlinkaRadoyska / Botevgrad / otk_cisco@abv.bg

  17. Конфигуриране на стандартен ACL Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  18. Синтаксис на запис • Фиртриране на група адреси Router(config)#access-list№[deny | permit | remark] source [source-wildcard] [log] • Филтриране на един адрес Router(config)#access-list№ [deny | permit] hostsource [log] deny – забрана permit – разрешение remark – коментар Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  19. Пример Router(config)#access-list 2 deny host 192.168.10.1 Router(config)#access-list 2 permit 192.168.10.0 0.0.0.255 Router(config)#access-list 2 deny 192.168.0.0 0.0.255.255 Router(config)#access-list 2 permit 192.0.0.0 0.255.255.255 Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  20. Премахване на ACL • Синтаксис Router(config)#no access-list№ • Пример Router(config)#no access-list 2 ! Премахват се всички записи Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  21. Коментари Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  22. Коментари Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  23. Wildcard Mask • Има подобно действие като мрежовата маска • 0 – значещата част на адреса • 1 – незначеща част на адреса (игнорира се) Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  24. Изчисления с Wildcard Mask 1/2 Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  25. Изчисления с Wildcard Mask 2/2 • Вместо двата записа R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.11.0 0.0.0.255 • По-ефективно е да се запише R1(config)# access-list 10 permit 192.168.10.0 0.0.1.255 Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  26. Ключовите думи host и any • host wildcard mask0.0.0.0 R1(config)# access-list 10 permit 192.168.10.10 0.0.0.0 R1(config)# access-list 10 permit host 192.168.10.10 • any wildcard mask255.255.255.255 R1(config)# access-list 10 permit 0.0.0.0 255.255.255.255 R1(config)# access-list 10 permit any Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  27. Преглед на ACL • Router# show access-list[№|име] Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  28. Асоцииране на ACL с интерфейс • Създава се ACL с определен номер и последователност от записи • Влиза се в режим на конфигуриране на съответния интерфейс • Асоциира се ACL с интерфейса, като се указва посоката ! Винаги се гледа от вътрешността на рутера. Синтаксис Router(config-if)#ip access-group{access-list-number | access-list-name} {in | out} Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  29. PavlinkaRadoyska / Botevgrad / otk_cisco@abv.bg

  30. PavlinkaRadoyska / Botevgrad / otk_cisco@abv.bg

  31. PavlinkaRadoyska / Botevgrad / otk_cisco@abv.bg

  32. Използване на ACL за контрол на VTY • ACL може дасе използва за контрол на достъпа по VTY. Създаването е аналогично, но асоциирането става с командата access-class Router(config-line)#access-classaccess-list-number{in [vrf-also] | out} Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  33. PavlinkaRadoyska / Botevgrad / otk_cisco@abv.bg

  34. Редактиране на номериран ACL 1/2 ! С командата no access-list № се изтрива целия списък от ACL-а с този номер. • С командата show running-config| include access-listсе показват на екрана всички записи от всички ACL. • Копират се всички необходими записи(дори могат да се редактират в Notepade). • Влиза се в режим на създаване на ACL и се поставят всички записи. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  35. Редактиране на номериран ACL 2/2 Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  36. Създаване на именуван стандартен ACL Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  37. PavlinkaRadoyska / Botevgrad / otk_cisco@abv.bg

  38. Редактиране на именуван ACL 1/2 • Записите в именуваните ACL са номерирани, което позволява: • изтриване на определен запис • вмъкване на запис в списъка Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  39. Редактиране на именуван ACL 2/2 PavlinkaRadoyska / Botevgrad / otk_cisco@abv.bg

  40. Конфигуриране на разширени ACL Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  41. Синтаксис Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  42. Пример Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  43. Асоцииране на EACL към интерфейс PavlinkaRadoyska / Botevgrad / otk_cisco@abv.bg

  44. PavlinkaRadoyska / Botevgrad / otk_cisco@abv.bg

  45. PavlinkaRadoyska / Botevgrad / otk_cisco@abv.bg

  46. Съдсаване на именуван EACL

  47. Конфигуриране на сложни ACL Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  48. Видове • Dynamic ACL (lock-and-key) – само за IP трафик. Клиента първо се свързва с рутера по TELNET, идентифицира се и чак тогава неговите пакети са разрешени за преминаване през рутера. TELNET сесията може да се затвори. • Reflexive ACL – приема външен трафик, само ако сесията е инициирана от вътрешната мрежа. • Time-based ACL – достъпа се ограничава като дни, часове минути. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  49. Dynamic ACL • Кога се прилага: • За достъп на отдалечени клиенти с фирмения рутер. • За връзка на определени клиенти от вътрешната мрежа с външни адреси. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

  50. Предимства на Dynamic ACL - защитеност • Механизъм за идентифициране на отделни клиенти • Опростяване на управлението при свързване на мрежи • Намаляване на процесите в рутера по обработване на ACL • Намаляване на възможността за пробив от хакери • Създаване на динамичен достъп през защитната стена без да се налага непрекъсната промяна на конфигурацията на рутера. Pavlinka Radoyska / Botevgrad / otk_cisco@abv.bg

More Related