2018-02-13
443
Для идентификации списков доступа они нумеруются, либо именуются. Использование нумерованных или именованных списков доступа определяется их применением (некоторые протоколы требуют использования только нумерованных списков, некоторые - допускают как нумерованные, так и именованные списки). Если используются нумерованные списки, то номера их должны лежать в определенных диапазонах, в зависимости от области применения списка. Некоторые, наиболее часто применяемые диапазоны номеров приведены ниже:
| Протокол | Диапазон номеров |
| Стандартный список IP | 1 - 99 |
| Расширенный список IP | 100 - 199 |
| MAC Ethernet address | 700 - 799 |
| IPX | 800 - 899 |
| Extended IPX | 900 - 999 |
| IPX SAP | 1000 - 1099 |
Задачи и правила построения списков доступа для различных протоколов различны, но, в общем, можно выделить два этапа работы с любыми списками доступа. Сначала, необходимо создать список доступа, затем применить его к соответствующему интерфейсу, линии или логической операции, выполняемой маршрутизатором (роутером).
|
|
|
Каждое предписание в списке доступа записывается отдельной строкой. Список доступа в целом представляет собой набор строк с предписаниями, имеющих один и тот же номер (или имя). Порядок задания предписаний в списке существенен. Проверка пакета на соответствие списку производится последовательным применением предписаний из данного списка (в том порядке, в котором они были введены). В конце каждого списка системой IOS добавляется неявное правило. Если пакет удовлетворяет какому-либо предписанию, то дальнейшие проверки его на соответствие следующим директивам в списке - НЕ ПРОИЗВОДЯТСЯ. Таким образом, пакет, который не соответствует ни одному из введенных предписаний, будет отвергнут.
Для одного списка можно определить несколько директив. Каждая из них должна ссылаться на имя или на номер, для того, чтобы все они были связаны с одним и тем же списком. Количество директив может быть произвольным, и ограничено лишь объемом имеющейся памяти. Конечно, чем больше в списке директив, тем труднее понять работу списка и контролировать ее. Поэтому рекомендуется аккуратно заносить всю информацию о списках в специальный журнал.
Порядок строк в списке доступа очень важен, поскольку невозможно изменить этот порядок или исключить какие-либо строки из существующего списка доступа. Поэтому рекомендуется предварительно создавать списки доступа (например, на tftp-сервере) и загружать их целиком в маршрутизатор, а не пытаться редактировать их на роутере.
Не забывайте, что если список доступа с данным номером (именем) существует, то строки с тем же номером (именем) будут добавляться к существующему списку в конец его. Поэтому, первой строкой в файле, содержащем описание списка доступа для загрузки с tftp-сервера, должна стоять команда отмены данного списка "no access-list".
|
|
|
Следует особо подчеркнуть, что в конце каждого списка стоит неявное правило "deny all", поэтому при назначении списков на интерфейс нужно следить, чтобы явно разрешить все виды необходимого трафика через интерфейс (не только пользовательского, но и служебного, например, обмен информацией по протоколам динамической маршрутизации).
Для протокола IP поддерживаются следующие виды списков доступа:
- стандартные списки доступа (проверяют только адрес отправителя пакета);
- расширенные списки доступа (проверяют адрес отправителя, адрес получателя и еще ряд параметров пакета);
- динамические расширенные списки доступа.
Расширенные списки управления доступом (extended access control list, extended ACL) используются чаще, чем стандартные, поскольку они обеспечивают большие возможности контроля. Рекомендуется, например, использовать их в тех случаях, когда надо разрешить передачу данных в WWW и заблокировать протоколы FTP (File Transfer Protocol) или Telnet для использования их сетями, не принадлежащими компании. Расширенные списки проверяют как адрес источника, так и адрес получателя. Они могут также проверять конкретные протоколы, номера портов и другие параметры. Это придает им большую гибкость в задании проверяемых условий. Пакету может быть разрешена отправка или отказано в передаче в зависимости от того, откуда он был выслан и куда направлен.
Компьютерное моделирование функционирования спроектированной сети
Цели и задачи моделирования сети
Целью компьютерного моделирования является проверка корректности функционирования спроектированной в соответствии с ТЗ сети до начала реализации сети на практике.
При достижении поставленной цели должны быть решены следующие задачи:
· создание топологии сети в среде редактора моделирующей программы;
· конфигурация оборудования сети;
· проверка достижимости абонентов сети;
· проверка функционирования системы доступа к ресурсам сети.
В процессе моделирования требуется выявить имеющиеся ошибки в сети, произвести, в случае необходимости, коррекцию схемы сети и конфигурацию оборудования. Затем процедуру моделирования и коррекцию сети необходимо повторять до тех пор, пока сеть станет функционировать в соответствии с ТЗ.
В процессе выполнения курсового проекта нет необходимости создавать и исследовать полную модель спроектированной сети. Достаточно лишь смоделировать 2-3 маршрута (по согласованию с преподавателем) между различными рабочими станциями и путем пингования проверить прохождение одних пакетов и невозможность прохождения других, путь для которых закрыт списком доступа или настройками межсетевого экрана (брандмауэра).
Если вы включили фильтрацию с использованием списков доступа IP, как минимум, убедитесь, что этот фильтр выполняет фильтрацию:
· исходных пакетов с частными адресами;
· исходных пакетов с нежелательными адресами, например широковещательными;
· пакетов, в которых адрес источника из внешней сети совпадает с одним из внутренних адресов.
