- •Міністерство освіти і науки України
- •Лабораторна робота №1. Пасивнемережеве обладнання
- •Теоретичні відомості.
- •Порядок виконання роботи
- •Контрольні запитання
- •Лабораторна робота №2. Активне мережеве обладнання
- •Теоретичні відомості.
- •Таблиця 2.1
- •Порядок виконання роботи
- •Контрольні питання
- •Лабораторна робота №3. Адресація в ip-мережах
- •Теоретичні відомості.
- •До адресації вузлів та схеми її призначення висувається кілька вимог:
- •Особливі ір-адреси
- •Таблиця 3.2 Особливі ip-адреси
- •Приватні ір-адреси
- •Порядок виконання роботи
- •Контрольні питання
- •Лабораторна робота №4. Безкласова адресація тапланування адресного простору
- •Теоретичні відомості.
- •Порядок виконання роботи
- •Контрольні питання
- •Лабораторна робота №5. Аналіз роботи мережевих протоколів arp(rarp), dns, dhcp
- •Теоретичні відомості
- •Порядок виконання роботи
- •Контрольні питання
- •Лабораторна робота №6. Аналіз роботи мережевих протоколів транспортного рівня tcp/udp
- •Теоретичні відомості
- •Опис роботи програми.
- •Основні кроки виконання програми.
- •Порядок виконання роботи
- •Контрольні питання
- •Лабораторна робота №7. Дослідження принципів роботи протоколів прикладного рівня:ftp,smtp,pop3,imap,http.
- •Теоретичні відомості.
- •Порядок виконання роботи
- •Контрольні питання
- •Лабораторна робота №8.Початкова конфігурація комутатора.
- •Теоретичні відомості
- •Порядок виконання роботи
- •На пк запустіть програму HyperTerminal з наступними параметрами:
- •Version 12,2
- •Порядок виконання роботи
- •Контрольні питання
- •Лабораторна робота №10. Віртуальні мережі vlan.
- •Порядок виконання роботи
- •План роботи
- •Теоретичні відомості
- •Хід роботи
- •1. Для комутатора s2.
- •2. Для комутатора s3.
- •Контрольні питання
- •Хід роботи
- •Контрольні питання
- •Лабораторна робота №12. Конфігурування статичних маршрутів та маршрутів по замовчуванню.
- •Теоретичні відомості
- •Ip route [мережа_призначення] [маска_підмережі] [адрес_шлюза]
- •Ip route [мережа_призначення] [маска_підмережі] [вихідний_інтерфейс]
- •Порядок виконання роботи
- •Контрольні питання
- •Лабораторна робота №13. Налаштування стандартних acl.
- •Порядок виконання роботи
- •План роботи
- •Теоретичні відомості
- •Хід роботи
- •Таблиця адресації
- •Контрольні питання
- •Хід роботи
- •Контрольні питання
Контрольні питання
Що таке ACL списки та для чого вони використовуються?
Які типи ACL Вам відомі?
Яка відмінність між різними типами ACL?
Які вимоги ставляться до налаштування стандартних ACL листів?
Лабораторна робота №14. Налаштування розширених ACL.
Тема роботи: налаштування розширених списків контролю доступу ACL.
Мета роботи: вивчити принципи налаштування розширених списків контролю доступу ACL на маршрутизаторах Cisco.
Порядок виконання роботи
Виконання даної лабораторної роботи, складається з двох частин:
Підготовки на емуляторі Packet Tracer v.5.х
Робота на маршрутизаторах Cisco.
План роботи
Ознайомитись з теоретичними відомостями.
Скласти макет згідно схеми в емуляторі Packet Tracer і провести конфігування розширених ACL листів на маршрутизаторі.
Перевірити налаштування розширених ACL на маршрутизаторі та правильність їх роботи.
Провести налаштування розширених ACL листів на реальних маршрутизаторах.
Закінчити роботу, підготувати звіт.
Теоретичні відомості
Списки контролю доступу
Одним з найбільш розповсюджених способів фільтрації трафіку є використання списків контролю доступу (ACL-списків). ACL-списки можна використовувати для керування вхідним і вихідним трафіком у мережі і його фільтрації.
ACL – це скрипт конфігурації маршрутизатора, який визначає, чи буде маршрутизатор дозволяти або забороняти передачу пакетів на основі критеріїв, які містяться в заголовку пакета. Списки ACL також використовуються для вибору типів трафіку, які будуть проаналізовані, передані чи оброблені іншими способами.
Кожен пакет проходить через інтерфейс з певними ACL. ACL перевіряються зверху вниз, рядок за рядком, шукаючи співпадіння шаблону у пакетах. ACL забезпечує корпоративну політику безпеки, застосовуючи правила заборони/дозволу для пакетів.
Розмір ACL-списку може змінюватись від однієї інструкції, по якій дозволяється або блокується трафік від одного джерела, до сотні інструкцій, що дозволяють або забороняють пакети з різних джерел. В основному, ACL-списки використовуються для визначення типів пакетів, які приймаються чи відхиляються.
Розширені ACL-списки
Розширений ACL-список використовується для фільтрації не тільки по ІP-адресі джерела, а також і по ІP-адресі призначення пакету, протоколу, номерах tcp портів. Розширені ACL-списки використовуються частіше стандартних, оскільки, вони є більш гнучкими і дозволяють забезпечити більш високий рівень контролю. Розширеним ACL-спискам привласнюються номери з діапазону від 100 до 199 і від 2000 до 2699.
Обробка ACL-списку
У списках контролю доступу міститься одна чи більше інструкцій. Кожна інструкція дає дозвіл, або забороняє трафік на основі зазначених параметрів. Трафік порівнюється з кожною інструкцією в ACL-списку одна за одною, поки не буде знайдене співпадіння, або не закінчиться список інструкцій.
Остання інструкція в ACL-списку завжди містить неявну заборону трафіку. Ця інструкція автоматично вставляється в кінець кожного ACL-списку. Неявна заборона блокує весь трафік. Ця можливість дозволяє запобігти випадковому проходженню небажаного трафіку.
Після створення списку контролю доступу, його необхідно застосувати до інтерфейсу. ACL-список призначений для фільтрації вхідного або вихідного трафіку, що проходить через інтерфейс. Якщо пакет відповідає інструкції, що дозволяє проходження, то він пропускається маршрутизатором. Якщо ж пакет відповідає інструкції, що забороняє проходження, він зупиняється. ACL-список без жодної інструкції, яка дозволяє проходження, приводить до блокування всього трафіку. Це пояснюється тим, що в кінці кожного ACL-списку вказується неявна заборона. Таким чином, ACL-список буде перешкоджати проходженню всього трафіку, якщо не зазначені особливі дозволи.
Адміністратор може використовувати вхідний чи вихідний ACL-список для інтерфейсу маршрутизатора. Вхідний чи вихідний напрямок завжди розглядається з точки зору маршрутизатора. Трафік, що приходить на інтерфейс з мережі, є вхідним, а трафік, який відправляється через інтерфейс в мережу – вихідним.
При отриманні пакету через інтерфейс маршрутизатор перевіряє такі параметри:
наявність ACL-списку, налаштованого на інтерфейсі;
визначення типу ACL-списку (вхідний/вихідний);
визначення відповідності трафіку правилам, описаним в списку контролю доступу.
ACL-список, що використовується як вихідний до інтерфейсу, не діє для вхідного трафіку на тому ж інтерфейсі.
Для кожного інтерфейсу маршрутизатор може мати один ACL-список для одного напрямку по кожному мережевому протоколу. Для ІP-протоколу один інтерфейс може мати один вхідний і один вихідний ACL-список одночасно.
ACL списки визначають набір правил, які дають додаткові можливості управління для пакетів, які надходять на вхідний інтерфейс, пакетів, які передаються через маршрутизатор та пакетів, що виходять через вихідні інтерфейси маршрутизатора. ACL списки не діють на пакети, які стосуються самого маршрутизатора.
Вхідні ACL списки – вхідні пакети обробляються перед тим, як вони направляються на вихідний інтерфейс. Вхідні ACL є ефективними, оскільки економлять ресурси маршрутизатора, у випадку, коли пакет треба відкинути. Якщо пакет дозволений він маршрутизується.
Вихідні ACL списки – вхідні пакети направляються на вихідний інтерфейс, а потім вони обробляються за допомогою вихідного ACL.
Перед тим, як пакет направляється на вихідний інтерфейс, маршрутизатор перевіряє таблицю маршрутизації, щоб переконатися, що існує маршрут для даного пакету. Якщо пакет не маршрутизується, він відкидається маршрутизатором. Потім маршрутизатор перевіряє, чи є ACL на вихідному інтерфейсі. Для вихідних списків, "permit" означає відправити пакет у вихідний буфер, а "deny" означає відкинути пакет.
ACL-списки, що застосовуються до інтерфейсу, створюють затримку трафіку. Навіть один довгий ACL-список може вплинути на продуктивність маршрутизатора.
Налаштування нумерованих розширених ACL-списків
Правила, що діють для стандартних ACL-списків, також дійсні для розширених ACL-списків:
в одному ACL-списку можна вказувати кілька інструкцій;
кожна інструкція повинна мати той же номер ACL-списку;
для представлення ІP-адрес, варто використовувати ключові слова host чи any.
Основною відмінністю синтаксису розширеного ACL-списку є необхідність вказувати протокол, після умови дозволу або заборони. Це може бути ІP-протокол із вказівкою всього ІP-трафіку чи фільтрації визначеного ІP-протоколу, такого як TCP, UDP, ІCMP, OSPF.
При плануванні ACL-списку, необхідно забезпечити мінімальну кількість інструкцій, якщо це можливо. Для зменшення числа інструкцій і скорочення навантаження на обробку маршрутизатором, можна використати наступні рекомендації:
забезпечте виявлення прохідного трафіку великого об’єму і заборону трафіку, що блокується в перших інструкціях ACL-списку. Це дозволить уникнути порівняння пакетів з інструкціями, що знаходяться нижче у списку;
об'єднайте декілька інструкцій в одну інструкцію за допомогою діапазонів;
намагайтеся блокувати доступ визначеній групі, замість того, щоб дозволяти його іншій групі з більшою кількістю користувачів.