Professional Documents
Culture Documents
Literatura
Akademia Cisco, CCNA semestry 1&2, Akademia Cisco, CCNA semestry 3&4, Sieci komputerowe, Mark Sportack Sieci komputerowe, Andrew S. Tanenbaum, TCP/IP Administracja sieci, Craig Hunt, Materiay online Akademii Cisco
Model ISO/OSI
Model ISO/OSI
Model ISO/OSI
Model ISO/OSI
Model ISO/OSI
Model ISO/OSI
Model ISO/OSI
Model ISO/OSI
10
Model ISO/OSI
Enkapsulacja danych
11
12
Enkapsulacja danych
Obsuga routera
13
14
Router
Router
Routery cz ze sob dwie sieci, umoliwiaj ich wzajemn komunikacj i okrelaj najlepsz ciek dla danych przesyanych przez poczone sieci. Mog by stosowane zarwno w sieciach WAN jak i LAN
15 16
Router
Routery wymagaj oprogramowania IOS (ang. Internetwork Operating System). Routery korzystaj z protokow routingu do okrelenia najlepszej cieki dla pakietw. Pliki konfiguracyjne zawieraj instrukcje i parametry sterujce przepywem komunikacji do i z routerw.
17
18
19
20
Konfiguracja routera
Router moe by konfigurowany: Za porednictwem portu konsoli; Poprzez sie IP, za pomoc programu Telnet; Poprzez poczenie telefoniczne z modemem.
21
22
Porty konsoli
Porty konsoli
23
24
Porty konsoli
Parametry w oprogramowaniu emulacji terminala na komputerze PC: odpowiedni port COM, 9600 bodw, 8 bitw danych, brak bitu kontroli parzystoci, 1 bit stopu, brak kontroli przepywu. Podcz zcze RJ-45 kabla rollover do portu konsoli routera. Podcz drugi koniec kabla rollover do przejciwki RJ-45 na DB-9. Podcz eskie zcze DB-9 przejciwki do komputera PC.
25
26
27
28
Odzyskiwanie routera
Jeeli nie posiadamy hasa do routera nie bdzie mona wprowadzi adnych zmian konfiguracyjnych. Problem taki moe pojawi si wwczas, gdy otrzymujemy router ju skonfigurowany, na przykad z innego oddziau firmy czy poprzednich grup studentw, bez informacji o zwizanym z nim hale i ustawieniach. Procedur moe go przeprowadzi wycznie poprzez port konsoli routera. Przede wszystkim router musi zosta uruchomiony w specjalnym trybie monitora pamici ROM po to, aby zmodyfikowa szesnastobitow warto rejestru systemowego. W tym celu w cigu pierwszych 60 sekund od wczenia routera (warto podawana w dokumentacji Cisco), z konsoli naley wybra specjaln kombinacj klawiszy, przerywajc normalny proces startu. 29
Odzyskiwanie routera
Najczciej jest to kombinacja CTRL_Break, cho moe by rna w zalenoci od rodzaju emulowanego terminala. Inne kombinacje, ktre warto przetestowa to np. CTRL_B lub Alt_B. Przykadowo kombinacja CTRL_Break dziaa poprawnie w programie HyperTerminal systemu Windows 98 czy Windows 2000 (ale nie Windows NT 4.0). Czasami zdaa si e naley skorzysta z alternatywnego emulatora terminala (np. Putty.exe). Po wybraniu CTRL_ Break router uruchamiany jest w trybie monitora pamici ROM.
30
31
32
Symbol zachty (wskazuje tryb pracy) Tryb uprzywilejowany (znak #) Przejcie do trybu uprzywilejowanego: polecenie enable Wylogowanie: exit Wyjcie z trybu uprzywilejowanego: disable
34
Wersja systemu
show ?
udostpnia list moliwych parametrw dla polecenia show
Moliwe jest take stosowanie skrtw np. Sh zamiast show. Mona rozwin polecenia naciskajc klawisz Tab, np.: Sh<Tab> -> Show
40
Podsumowanie
Konfiguracja routera
41
42
47
48
Polecenie show ?
49
50
51
52
Polecenie show
show running-configuration show startup-configuration show arp show protocols show interfaces np. show interfaces serial 0/1
53
54
Konfiguracja interfejsw
Zasady oglne: Interfejsy routera naley skonfigurowa do pracy. W trybie konfiguracji globalnej naley wybra odpowiedni interfejs i przypisa mu adres IP oraz mask. Kady interfejs jest domylnie wyczony. Jeli chcemy go wykorzysta, naley go wczy. Kada modyfikacja konfiguracji jest uwzgldniana natychmiast (uwzgldniana w konfiguracji biecej)
55
Konfiguracja interfejsw
56
58
59
60
61
62
Pliki konfiguracji
W systemie IOS pliki konfiguracji okrela si synonimem: running-congig dla konfiguracji biecej startup-config dla konfiguracji startowej Mona dokonywa kopiowania konfiguracji za pomoc: copy running-config startup-config copy startup-config running-config Konfiguracj mona take przechowywa na serwerze tftp Dostpne s wtedy nastpujce operacje kopiowania: copy running-config tftp copy tftp startup-config copy tftp running-config copy startup-config tftp
63
64
65
66
W wersji 12 i nowszych wersjach oprogramowania IOS dostpny jest interfejs obsugujcy wszystkie wykorzystywane przez router systemy plikw. Mechanizm ten jest okrelany jako system plikw Cisco IFS (IOS File System).
W systemie IFS stosowana jest konwencja adresw URL suca do okrelania plikw w urzdzeniach sieciowych i w sieci. W adresach URL po dwukropku wystpuje nazwa lokalizacji pliku konfiguracyjnego: [[[//lokalizacja]/katalog]/nazwa_pliku]
67
68
Podsumowanie
Istnieje kilka trybw dziaania routera:
Tryb EXEC uytkownika Uprzywilejowany tryb EXEC Tryb konfiguracji globalnej Pozostae tryby konfiguracyjne
okrelanie nazwy hosta, ustawianie hase, konfigurowanie interfejsw, modyfikowanie konfiguracji, wywietlanie konfiguracji.
70
Protok IP
W wykadzie tym skupiono uwag na protokole IP. Innymi protokoami routowanymi (warstwy 3) s m.in: IPX/SPX i AppleTalk. Najbardziej popularnym protokoem nieroutowanym jest protok NetBEUI.
71
72
IP protok routowalny
IP protok routowalny
Na jakim poziomie modelu ISO/OSI dziaa protok IP? IP dziaa na poziomie warstwy sieciowej (lub na poziomie warstwy Internetu modelu TCP/IP) Jakie s funkcje tej warstwy? Warstwa ta wiadczy na rzecz warstwy transportowej usugi poczenie dwupunktowego, pomidzy dwoma odlegymi hostami w sieci. Warstwa transportowa jest wic izolowana od liczby, typu i topologii obecnych w sieci routerw.
73 74
IP protok routowalny
IP jest protokoem zawodnym, bezpoczeniowym (z przeczaniem pakietw) IP umoliwia wybr cieek w sieci (routing), adresowanie logiczne urzdze po drodze i dostarczanie pakietw przy uyciu dostpnych moliwoci.
Protok IP posuguje si zarwno 32 bit. adresem IP jak i 32 bit. mask, pozwalajc na odrnienie czci adresu sieci (podsieci) od adresu pojedynczego hosta. W procesie routingu maska podsieci pozwala na grupowanie nastpujcych po sobie adresw IP, co w znaczcy sposb uatwia dobr trasy dla pakietw (routing) i organizuje sie w sposb hierarchiczny.
75
76
Format pakietu IP
Format pakietu IP
VERS: wersja protokou. Dziki niemu przy przechodzeniu do kolejnych wersji pozwala na zachowanie zgodnoci z urzdzeniami poprzedniej wersji
77
HLEN: Dugo nagwka podawana w sowach 32 bitowych. Minimalna warto wynosi 5, gdy brak jest opcji. Maksymalnie jest to 15 co ogranicza nagwek do 60 bajtw. W wielu przypadkach to o wiele za mao (np. rejestracja trasy pakietu) 78
Format pakietu IP
Format pakietu IP
Typ usugi: Pozwala na odrnianie klas usug. Pierwotnie zawierao kilka znacznikw, ktre czsto byy ignorowane. Obecnie zawieraj wskazania do okrelonych klas Quality of Services.
79
Cakowita dugo pakietu: dugo caego datagramu razem z danymi. Maksymalnie jest to 65535 bajtw. Przewiduje si, e bdzie to o wiele za mao w szybkich sieciach gigabitowych.
80
Format pakietu IP
Format pakietu IP
Identyfikacja: pozwala na ustalenie do ktrego datagramu naley dany fragment. Wszystkie fragmenty jednego datagramu maj ten sam numer w tym polu.
81
Znaczniki: pierwszy bit jest niewykorzystywany, pozostae zawieraj pola DF dont fragment oraz MF more fragments.
82
Format pakietu IP
Format pakietu IP
Przesunicie fragmentu: okrela pozycj, gdzie w biecym pakiecie koczy si dany fragment datagramu..
Czas ycia: zawiera licznik ograniczajcy czas ycia pakietu. W praktyce zliczane s (dekrementowane) przeskoki. Gdy licznik dojdzie do zera pakiet jest odrzucany.
83 84
Format pakietu IP
Format pakietu IP
Protok: pole wskazujce, ktry protok wyszej warstwy, taki jak TCP lub UDP, odbiera pakiety przychodzce po zakoczeniu przetwarzania IP.
85
Suma kontrolna nagwka: przydatna do wykrywania bdw przy przekazywaniu nagwka (np. przez uszkodzon pami routera).
86
Format pakietu IP
Format pakietu IP
Adresy IP nadawcy i odbiorcy: przydatna do wykrywania bdw przy przekazywaniu nagwka (np.. Przez uszkodzon pami routera).
87
Opcje: pole umoliwiajce protokoowi IP obsug rnych opcji, takich jak funkcje zabezpiecze; zmienna dugo.
88
Format pakietu IP
Wypenianie: dodatkowe zera dodane w celu zagwarantowania, e dugo nagwka jest wielokrotnoci 32 bitw (co ma zwizek z HLEN).
89 90
Routery
Jak drog zostan dostarczone dane?
Decyduj o tym protokoy routingu (np. RIP, IGRP, OSPF, BGP, EIGRP)
91
Przecznik a router
93
94
Routery
Router - urzdzenie warstwy sieci. Okrela optymaln ciek przesyania ruchu sieciowego przy wykorzystaniu metryk routingu. Metryki routingu su do okrelania przewagi jednej cieki nad inn. Router musi zdekapsuowa ramk warstwy drugiej, aby uzyska dostp do nagwka warstwy trzeciej i odczyta odpowiadajcy tej warstwie adres. Proces przesyania danych przez router obejmuje wic enkapsulacj i dekapsulacj.
95
Protokoy routingu
Zadania protokow routingu: Optymalizacja Prostota i niski narzut Odporno na bdy i stabilno Elastyczno Szybka zbieno
96
Protokoy routingu
Protokoy routingu bior pod uwag rne metryki przy wyborze trasy. Metryki routingu bior pod uwag nastpujce parametry cza: Szeroko pasma Opnienie Obcienie Niezawodno Liczba przeskokw Impulsy zegarowe Koszt
97
Tablice routingu
W celu realizacji protkow routingu routery utrzymuja tzw. tablice routingu (ktre zawieraj informacje dotyczce tras) Routery rejestruj potrzebne informacje w swoich tablicach routingu, m.in: * Typ protokou * Odniesienia do punktu docelowego (nastpnego przeskoku) * Metryki routingu * Interfejsy wyjciowe
98
Protokoy routingu
Protokoy z rodziny IGP mog zosta dalej podzielone na protokoy wektora odlegoci i protokoy stanu cza.
Protokoy IGP (ang. Interior Gateway Protocols) i EGP (ang. Exterior Gateway Protocols) stanowi dwie rodziny protokow routingu.
99 100
101
102
103
104
105
106
Podsumowanie
Wprowadzone pojcia: Charakterystyka protokou routowanego. Etapy enkapsulacji danych w intersieci podczas przesyania danych do jednego lub wicej urzdze warstwy 3. Dostarczanie bezpoczeniowe i zorientowane poczeniowo. Pola pakietu IP. Protokoy routowane Algorytmy routingu Tablice routingu Wewntrzne protokoy routingu (IGP), zewntrzne protokoy routingu (EGP) dokonuj routingu danych midzy systemami autonomicznymi.
107
108
Routing statyczny
109
Warunkiem routingu jest poznanie metod dotarcia do celu. r. dynamiczny - informacje na podst. danych od innych routerw. r. statyczny - administrator sieci rcznie konfiguruje trasy. 110
ip route <podsiec> <maska> <adres_poredni> ip route <podsiec> <maska> <interfejs> dokonuje statycznego wpisu w tablicy routingu. Opcjonalnie na kocu mona poda dystans administracyjny.
111 112
0.0.0.0 0.0.0.0
Router zakada, e jeli administrator powici czas na przygotowanie trasy, ktr pakiet bdzie przebywa, to taka informacja musi by bardzo wiarygodna. Domylnie router przypisuje trasom statycznym dystans administracyjny o wartoci jeden. Domylny dystans administracyjny dla urzdze podczonych bezporednio wynosi zero. Nie naley myli dystansu administracyjnego z metryk trasy.
113
114
Przydatne s polecenia
ip route <podsiec> <maska> <adres_poredni> <dystans adm.> ip route <podsiec> <maska> <interfejs> <dystans adm.>
show running-config oraz show ip route lub show ip route <adres sieci>
Wysok warto dystansu administracyjny mona wykorzysta dla statycznych tras awaryjnych
115 116
Podsumowanie
Pojcie routingu statycznego Sposb konfigurowania tras statycznych Konfigurowanie tras domylnych Pojcie dystansu administracyjnego Uzyskiwanie informacji o trasach
Routing dynamiczny
z wykorzystaniem wektora odlegoci Protok RIP
117
118
Routing dynamiczny
Routing dynamiczny
Algorytmy routingu podzieli na: * a. wektora odlegoci, * a. stanu cza, * a. hybrydowe zrwnowaone.
W rozwizaniach opartych na wektorze odlegoci Okrelana jest odlego oraz kierunek (wektor) dodowolnego cza w intersieci.
Celem protokou routingu jest stworzenie i utrzymywanie tablicy routingu.
Podejcie oparte na analizie stanu cza polega na odtworzeniu dokadnej topologii caej intersieci.
119 120
121
122
Zmiana topologii
Zbieno
Gdy wszystkie trasy w intersieci dziaaj w oparciu o te same informacje, mwi si, e intersie osigna zbieno.
Metryki routingu
Konfiguracja routingu
Konfiguracja obejmuje: wybr protokou routingu (router <protok>) okrela bezporednio podpit sie (network <adres sieci>)
125
126
Ptle routingu
127
128
Regua split horizon nie zezwala routerowi, ktry jest nadawc informacji o sieci, na przyjmowanie aktualizacji informacji o tej sieci od innych routerw.
129
130
Wyzwalane aktualizacje s wysyane natychmiast, gdy wystpi zmiana w tablicy routingu. Router, ktry wykry zmian topologii, wysya komunikat aktualizacyjny do ssiednich routerw. Routery te generuj wyzwalane aktualizacje, aby powiadomi o zmianie.
131
Protok RIP
Aby wczy protok RIP, naley w trybie konfiguracji globalnej uy nastpujcych polece:
Router(config)#router rip wcza proces routingu RIP Router(config-router)#network numer_sieci tworzy powizanie sieci z procesem routingu RIP
133
134
Polecenie ip classless
Polecenie konfiguracji globalnej ip classless sprawia, e system Cisco IOS przekazuje te pakiety do najlepszej trasy supersieci. Trasa supersieci jest tras, ktrej pojedyncza pozycja obejmuje wikszy zakres podsieci. Jeli na przykad firma uywa caej podsieci 10.10.0.0 /16, to tras supersieci dla 10.10.10.0 /24 jest 10.10.0.0 /16. Polecenie ip classless jest domylnie wczone w systemie Cisco IOS w wersji 11.3 i nowszych. Aby wyczy t funkcj, naley poprzedzi to polecenie sowem kluczowym no.
135 136
GAD(config-if)#no ip split-horizon
Konfiguracja interfejsu
137
138
141
142
143
Rwnowaenie obcienia
Rwnowaenie obcienia jest procesem routingu przez wiele cieek o rwnym koszcie w celu zwikszenia przepustowoci.
145
146
Rwnowaenie obcienia
Router, ktry zna wiele tras do okrelonej sieci, wstawia do tablicy routingu tras o najkrtszej odlegoci administracyjnej. Trasa jest wybierana spord wielu dostpnych, o ktrych informacje zostay zebrane przy uyciu tego samego procesu routingu i ktre maj t sam odlego administracyjn. W takim przypadku router wybiera t tras, ktra ma najniszy koszt lub metryk. Kady proces routingu oblicza koszt inaczej, moe by wic konieczne rczne skonfigurowanie kosztw w celu uzyskania zrwnowaenia obcienia.
Rwnowaenie obcienia
Dystanse administracyjne dla rnych rde informacji o trasach
147
148
Rwnowaenie obcienia
Jeli router odbierze i umieci w tablicy routingu informacje o wielu ciekach, dla ktrych odlegoci administracyjne i koszty s takie same, obcienie moe zosta zrwnowaone. Domylnie maksymalnie cztery rwnolege trasy. Maksymalnie cieek moe by od jednej do szeciu. Aby zmieni naley uy nastpujcego polecenia: Router(config-router)#maximum-paths [liczba]
Rwnowaenie obcienia
Dwie metody rwnowaenia obcienia w przypadku pakietw IP: pakiet po pakiecie (per-packet) na poziomie adresu przeznaczenia (per-destination) <<<domylnie
Aby wyczy szybkie przeczanie, naley uy polecenia no ip route-cache Uycie tego polecenia spowoduje, e rwnowaenie obcienia bdzie realizowane metod pakiet po pakiecie.
Aby mona byo zrwnoway obcienie w sieciach RIP, liczba przeskokw dla sieci musi by taka sama. W protokole IGRP rwnowaenie obcienia jest realizowane na podstawie dostpnego pasma.
149
150
Podsumowanie
Studenci powinni zna i rozumie nastpujce podstawowe zagadnienia: * jak s przetwarzane informacje o routingu przez protokoy wektora odlegoci; * jak powstaj ptle routingu w protokoach wektora odlegoci; * jak unika powstawania ptli routingu; * jak zapobiega aktualizacjom routingu przez interfejs; * konfiguracja protokou RIP; * polecenie ip classless; * rwnowaenie obcienia w protokole RIP; * jak sprawdza konfiguracj protokou RIP;
152
Trasy statyczne wskazujce na interfejs mog by ogaszane przez router RIP bdcy ich wacicielem i propagowane w intersieci. Jeli trasa statyczna dotyczy interfejsu, ktry nie zosta zdefiniowany za pomoc polecenia network, to naley uy polecenia redistribute static, aby trasy takie mogy by rozgaszane.
151
Routing dynamiczny
z wykorzystaniem wektora odlegoci Protok IGRP
153
154
157
158
159
160
161
162
163
164
165
166
Podsumowanie
Zdobyte wiadomoci dotycz zagadnie: cechy protokou IGRP; metryki protokou IGRP; trasy protokou IGRP; stabilno protokou IGRP; jak konfigurowa protok IGRP; jak przeprowadzi migracj z protokou RIP do IGRP; jak sprawdzi konfiguracj protokou IGRP; jak rozwizywa problemy zwizane z protokoem IGRP.
167
168
Adresowanie IP
169
170
protokoy TCP/IP
171
172
Fizyczny adres MAC hosta ma znaczenie tylko lokalne, poniewa identyfikuje hosta w sieci lokalnej.
Adres IP
Sieciowy adres IP hierarchiczny, 32 bitowy, binarny, logiczny, reprezentowany przez cztery liczby dziesitne, zwane oktetami. Kady oktet reprezentuje jedn, 8 bitow liczb binarn. Przyjmuje wic wartoci od 0 do 255 Mamy wic notacj np.
118.57.251.26
Cz adresu to numer podsieci, cz to numer hosta. Jak rozpozna, ktra jest ktra?
175 176
177
179
180
Przyjte lub proponowane rozwizania globalnie: bezklasowy routing midzydomenowy CIDR (classless interdomain routing); IPv6; adresy prywatne (RFC 1918) wraz z NAT.
Prywatnych adresw IP mona uywa razem z adresami publicznymi; Podczenie do Internetu sieci z adresami prywatnymi wymaga translacji adresw NAT.
183 184
Po latach bada i rozwoju protok IPv6 jest powoli wprowadzany w wybranych sieciach. By moe w przyszoci protok IPv6 zastpi protok IPv4 jako podstawowy protok Internetu.
185
Wady: Zmienia charakter sieci na poczeniowy Narusza zasad warstwowoci protokow. Narusza zasad IP jednoznacznie identyfikuje hosta.186
W 1987 roku wizjonerzy przewidywali wzrost Internetu do nawet 100 000 sieci. Nikt nie dawa im wiary... 100 000 sie zostaa podczona w roku 1996!
256 hostw klasy C za mao! 65536 hostw klasy B za duo!
CIDR przydzielanie pozostaych w zasobach adresw IP w blokach o rnych wielkociach, bez zwracania uwagi na klasy Pojawio si pojci maski podsieci okrelajcej ile bitw w adresie IP przypada na adres sieci, a ile na adres hosta,
Wady: Znacznie skomplikowa si routing w sieciach (jednak dua tablica routingu, rozszerzona o 32 bitow mask, zamiast osobnych prostych 187 tablic dla kadej z klas).
189
190
191
192
195
196
198
Podsumowanie i uwagi
Adresowanie IP zapewnia kademu urzdzeniu w Internecie unikatowy identyfikator. Aby komunikowa si w Internecie, komputer musi mie adres IP. Klasy adresw IP okrelaj logiczny podzia przestrzeni adresowej, ktrego celem jest sprostanie wymaganiom sieci o rnych rozmiarach. Podzia na podsieci jest uywany do dzielenia sieci na mniejsze czci. Adresy zarezerwowane speniaj w adresowaniu IP specjaln rol i nie mona ich uywa do innych celw.
199
Zadaniem maski podsieci jest okrelenie czci adresu IP identyfikujcych sie i hosta. Adres IP mona skonfigurowa statycznie lub dynamicznie. Dynamiczny adres IP mona przypisa za pomoc protokou RARP, BOOTP lub DHCP. Protokoy ARP i proxy ARP mog by uywane do rozwizania problemw z odwzorowywaniem adresw.
200
Podzia na podsieci
Podzia oktetw w przykadowej podsieci klasy B
Adresowanie IP c.d.
(tworzenie podsieci)
Dla atwiejszego zapisu stosowana jest notacja z ukonikiem / W tym wypadku bdzie to 147.10.0.0 /21
201
Podzia na podsieci jest dla danej sieci operacj wewntrzn. Z zewntrz sie LAN jest widziana jako pojedyncza sie z pominiciem jakichkolwiek szczegw dotyczcych jej 202 struktury wewntrznej.
Podzia na podsieci
Podzia na podsieci
Przykad dla adresu 192.168.10.0 /27 (maska 255.255.255.224)
203
204
Podzia na podsieci
Liczba podsieci moliwych do wykorzystania (przykad dla 3 bitw podsieci). (2 (23)
liczba po. bitw)
(2 liczba pozost.
Bitw)
(25)
2 =
210
211
212
213
214
215
216
Podsumowanie
Po tej czci wykadu naley zapamita: Zastosowanie podsieci. Jak okreli odpowiedni w danej sytuacji mask podsieci. Jak utworzy podsieci sieci klasy A, B oraz C. Jak wykorzysta maski podsieci do okrelenia identyfikatora podsieci.
217
218
Wprowadzenie
Administratorzy sieci musz dysponowa narzdziami, ktre uniemoliwiaj niepodanym uytkownikom dostp do sieci oraz udostpniaj niezbdne usugi uytkownikom wewntrznym. Listy ACL obsuguj wiele aspektw pracy w sieci. ACL to sekwencyjna lista instrukcji zezwole i zakazw, ktre s stosowane w odniesieniu do adresw lub protokow wyszych warstw.
219 220
Wprowadzenie
Listy ACL s listami warunkw, ktre stosuje si wzgldem ruchu przechodzcego przez interfejs routera. Wskazuj one routerowi, jakie rodzaje pakietw maj by akceptowane i odrzucane. Listy ACL filtruj ruch w sieci i okrelaj czy pakiety maj by przekazywane, czy blokowane na interfejsach routera.
221
223
224
Listy ACL s definiowane osobno dla kadego protokou, kierunku oraz interfejsu. Jedna lista ACL kontroluje ruch na interfejsie w jednym kierunku dla danego protokou. Jeli router ma dwa interfejsy skonfigurowane dla protokow IP, AppleTalk i IPX, potrzebnych bdzie 12 oddzielnych list ACL.
Na przykad listy ACL, ktre ograniczaj ruch w ramach pocze wideo, mog bardzo zmniejszy obcienie sieci i zwikszy jej wydajno.
225
226
Listy ACL mog ograniczy dostarczanie aktualizacji tras. Jeli warunki w sieci nie wymagaj aktualizacji, pozwala to zaoszczdzi pasmo.
Listy ACL mog umoliwi jednemu hostowi dostp do czci sieci, uniemoliwiajc jednoczenie dostp do tej samej czci innemu hostowi. Na przykad host A ma dostp do sieci Zasoby ludzkie", podczas gdy host B nie ma do niej dostpu.
227
228
Listy ACL mog zezwala na routing ruchu pocztowego (e-mail), ale blokowa ruch Telnet.
Listy ACL mog by wykorzystywane do umoliwiania lub zakazywania dostpu uytkownika do plikw przy uyciu protokow FTP lub HTTP.
229
230
Numer listy okrela jej rodzaj. Administratorzy powinni zna numery list ACL
231
232
Przy wydawaniu polecenia access-list naley okreli, czy zezwalamy na dostp (permit) czy nie (deny): access-list numer permit ... lub access-list numer deny ...
Polecenie access-list
Nastpnie okrelamy adres IP lub nazw hosta. access-list numer permit A.B.C.D [...] lub access-list numer deny A.B.C.D [...] ...i na tym mona zakoczy lub zdefiniowa dodatkowo tzw bity blankietowe
Polecenie access-group
Po utworzeniu listy ACL mona gotow list przypisa do interfejsu. W tym celu wybieramy odpowiedni interfejs i przypisujemy mu (w trybie konfiguracji interfejsu) jedn ze zdefiniowanych list za pomoc polecenia: access-group numer_listy_dostpu in access-group numer_listy_dostpu out Okrelenie in lub out okrela list jako wyjciow lub wejciow (patrzc od strony wntrza routera).
235 236
237
238
Maski blankietowe
Maska blankietowa jest czona w par z adresem IP. Zera i jedynki w systemie dwjkowym maski opisuj sposb obsugi odpowiadajcych im bitw adresu IP w poleceniu. Tam, gdzie w masce blankietowej bit jest ustawiony na 1, moliwe jest dowolne dopasowanie z adresem IP (zgodne lub nie). Tam gdzie jest 0, dopasowanie badanego pakietu musi by zgodne (czyli 0 pokazuje na warto, ktra bdzie sprawdzana). Masek blanietowych nie naley myli z maskami podsieci!!!
239
240
Maski blankietowe
Dla list ACL s stosowane dwa specjalne sowa kluczowe: opcje any i host. Opcja any zastpuje adres IP i mask 255.255.255.255. Maska ta poleca ignorowanie caego adresu IP lub akceptacj dowolnego. Opcja host zastpuje mask 0.0.0.0. Maska ta oznacza, e wszystkie bity adresu IP musz by zgodne lub e dopasowywany jest tylko jeden host.
241
242
deny any
Jeli nie uda si za pomoc polece listy dopasowa pakietu, jest on automatycznie odrzucany!
243
244
245
246
247
248
Aby usun standardow list ACL, naley uy odmiany polecenia z wyrazem no. Skadnia jest nastpujca:
access-list 1 remark Umozliwia wylacznie dostep stacji roboczej Kowalskiego access-list 1 permit 171.69.2.88
249
250
Rozszerzone listy ACL umoliwiaj wikszy zakres kontroli. Rozszerzone listy ACL sprawdzaj rdowe i docelowe adresy pakietw oraz protokoy i numery portw. Dostp mona umoliwia lub blokowa na podstawie adresw nadawcy i odbiorcy pakietu, typu protokou oraz portu. Na jednej licie ACL mona konfigurowa wiele instrukcji. W przypadku masek blankietowych w instrukcji mona rwnie uywa sw kluczowych host i any.
251
252
Listy rozszerzone
Listy rozszerzone
Pierwsza cz rozszerzonej listy ACL dla adresw IP jest taka sama, jak w przypadku listy standardowej.
numer l.r. zawiera si w zakresie od 100 do 199. rt1(config)#access-list 101 deny protok ... rt1(config)#access-list 101 deny ... rt1(config)#access-list 101 permit ... rt1(config)#access-list 101 deny protok ...
Numer lub nazwa protokou IP: ahp, eigrp, esp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, pcp, pim, tcp, udp
253
254
Listy rozszerzone
Listy rozszerzone
Nastpnie ustala si szczegowe parametry dotyczce dopasowanie pakietw. Najwaniejsze dotycz numerw odpowiednich portw:
Nastpnie podawany jest adres nadawcy z mask blankietow, a po nim adres odbiorcy (rwnie z mask blankietow).
eq Dopasowywanie tylko pakietw z danym numerem portu gt Dopasowywanie tylko pakietw z wikszym numerem portu lt Dopasowywanie tylko pakietw z mniejszym numerem portu
Mona te wczy rejestrowanie dopasowa dla danej pozycji:
log
255
- Rejestrowanie dopasowa
256
257
258
Przypisywanie do interfejsw
Przypisywanie do interfejsw jest analogiczne jak w przypadku list standatrowych. Polecenie ip access-group suy do czenia istniejcej rozszerzonej listy ACL z interfejsem: Router(config-if)#ip access-group numer-listy-dostpu {in | out}
259
260
Nastpnie naley wpisa parametr extended lub standard oraz okreli nazw tworzonej listy:
brak ograniczenia do 99 prostych i 100 rozszerzonych list ACL, moliwo modyfikowania list ACL bez koniecznoci ich usuwania i rekonfiguracji.
261
262
263
264
Standardowa lista kontroli dostpu powinna zosta umieszczona moliwie najbliej miejsca docelowego. Najpierw uczestnicy powinni zadecydowa, ktry router znajduje si najbliej miejsca docelowego, a nastpnie wybra interfejs najbliszy wzgldem tego miejsca. Rozszerzona lista kontroli dostpu powinna zosta umieszczona moliwie najbliej miejsca rdowego. Uczestnicy powinni zadecydowa, ktry router jest najbliej, a nastpnie wybra waciwy interfejs.
Rt1(config-line)#access-class 2 in
266
Zapory
Zapora jest elementem architektury sieci umieszczonym midzy uytkownikiem wiatem zewntrznym. Jej zadaniem jest ochrona wewntrznej sieci przed intruzami.
W przypadku linii wirtualnych mona stosowa jedynie numerowane listy kontroli dostpu.
Listy ACL powinny by uywane przez routery zaporowe, poniewa s one czsto umieszczane midzy sieci wewntrzn a zewntrzn, tak jak Internet.
Dla wszystkich linii terminali wirtualnych naley stosowa takie same ograniczenia, poniewa uytkownik moe prbowa uzyska dostp do dowolnej z nich.
267
268
Podsumowanie
269