Сетевые технологии. ACL-списки

Содержание

Слайд 2

ACL-список — это ряд команд IOS, определяющих, пересылает ли маршрутизатор пакеты или

ACL-список — это ряд команд IOS, определяющих, пересылает ли маршрутизатор пакеты или
сбрасывает их, исходя из информации в заголовке пакета.
Одна из наиболее используемых функций операционной системы Cisco IOS.
Выполняют следующие задачи:
Ограничение сетевого трафика для повышения производительности сети.
Управление потоком трафика.
Обеспечивают базовый уровень безопасности в отношении доступа к сети
Осуществляют фильтрацию трафика на основе типа трафика.
По умолчанию ACL-списки не сконфигурированы на маршрутизаторе, поэтому маршрутизатор не фильтрует трафик

ACL-списки

Слайд 3

ACL – списки в действии

ACL – списки в действии

Слайд 4

ACL – списки в действии

ACL – списки в действии

Слайд 5

ACL – список с позиции модели OSI

Состоит из ACE записей (Access Control

ACL – список с позиции модели OSI Состоит из ACE записей (Access Control Entry)
Entry)

Слайд 6

В конце – неявный запрет

Состав ACL

В конце – неявный запрет Состав ACL

Слайд 7

Идентификатор правила

Идентификатор правила

Слайд 8

Подстановочная маска (инверсная, шаблонная)

0 и 1 могут быть в ЛЮБОМ месте

Подстановочная маска (инверсная, шаблонная) 0 и 1 могут быть в ЛЮБОМ месте

Слайд 9

0 и 1 могут быть в ЛЮБОМ месте

0 и 1 могут быть в ЛЮБОМ месте

Слайд 10

Примеры применения шаблонной маски

каждый бит в IPv4-адресе 192.168.1.1 должен точно совпадать

IP-адрес 192.168.1.1

Примеры применения шаблонной маски каждый бит в IPv4-адресе 192.168.1.1 должен точно совпадать
1100000.10101000.00000001.00000001

Wildcard Mask 0.0.0.0 0000000.00000000.00000000.00000000

Результат 192.168.1.1 1100000.10101000.00000001.00000001

Игнорировать все биты

IP-адрес 192.168.1.1 1100000.10101000.00000001.00000001

WM 255.255.255.255 11111111.11111111.11111111.11111111

Результат 0.0.0.0 0000000.00000000.00000000.00000000

Слайд 11

Примеры применения шаблонной маски

любой узел в сети 192.168.1.0/24 будет совпадать

IP-адрес 192.168.1.1 1100000.10101000.00000001.00000001

WMask

Примеры применения шаблонной маски любой узел в сети 192.168.1.0/24 будет совпадать IP-адрес
0.0.0.255 0000000.00000000.00000000.11111111

Результат 192.168.1.1 1100000.10101000.00000001.00000000

диапазон адресов от 192.168.16.0 до 192.168.31.0

IP-адрес 192.168.16.0 1100000.10101000.00010000.00000000

WMask 0.0. 15.255 0000000.00000000.00001111.11111111

Результат от 192.168.16.0 1100000.10101000.00010000.00000000
до 192.168.31.255 1100000.10101000.00011111.11111111

Слайд 12

Примеры применения шаблонной маски

все узлы из нечетных подсетей основной сети 192.168.0.0

IP-адрес 192.168.1.0

Примеры применения шаблонной маски все узлы из нечетных подсетей основной сети 192.168.0.0
1100000.10101000.00000001.00000000

WMask 0.0.254.255 0000000.00000000.11111110.11111111

Результат 192.168.1.0 1100000.10101000.00000001.00000000

Слайд 13

Расчет шаблонной маски

маску для соответствия сетям 192.168.10.0 и 192.168.11.0

IP-адрес 192.168.10.0 11000000.10101000.00001010.00000000

Маска 255.255.254.

Расчет шаблонной маски маску для соответствия сетям 192.168.10.0 и 192.168.11.0 IP-адрес 192.168.10.0
0 11111111.11111111.11111110.00000000

000.000.001.255 00000000.00000000.00000001.11111111

255.255.255.255 11111111. 11111111.11111111.11111111

255.255.254.000 11111111. 11111111.11111110.00000000

IP-адрес 192.168.11.0 11000000.10101000.00001011.00000000

R1(config)# access-list 10 permit 192.168.10.0
R1(config)# access-list 10 permit 192.168.11.0

R1(config)# access-list 10 permit 192.168.10.0 0.0.1.255

Слайд 14

Расчет шаблонной маски

Разрешить сети в диапазоне между 192.168.16.0 и 192.168.31.0

R1(config)# access-list 10

Расчет шаблонной маски Разрешить сети в диапазоне между 192.168.16.0 и 192.168.31.0 R1(config)#
permit 192.168.16.0
R1(config)# access-list 10 permit 192.168.17.0
R1(config)# access-list 10 permit 192.168.18.0
R1(config)# access-list 10 permit 192.168.19.0
R1(config)# access-list 10 permit 192.168.20.0
R1(config)# access-list 10 permit 192.168.21.0
R1(config)# access-list 10 permit 192.168.22.0
R1(config)# access-list 10 permit 192.168.23.0
R1(config)# access-list 10 permit 192.168.24.0
R1(config)# access-list 10 permit 192.168.25.0
R1(config)# access-list 10 permit 192.168.26.0
R1(config)# access-list 10 permit 192.168.27.0
R1(config)# access-list 10 permit 192.168.28.0
R1(config)# access-list 10 permit 192.168.29.0
R1(config)# access-list 10 permit 192.168.30.0
R1(config)# access-list 10 permit 192.168.31.0

R1(config)# access-list 10 permit 192.168.16.0 0.0.15.255

Слайд 15

Ключевые слова шаблонной маски

host
any

Ключевые слова шаблонной маски host any

Слайд 17

Классификация и идентификация

Классификация и идентификация

Слайд 18

Нумерованный: номер присваивается в зависимости от того, какой протокол будет фильтроваться
Cisco 1

Нумерованный: номер присваивается в зависимости от того, какой протокол будет фильтроваться Cisco
-99 и 1300-1999 стандартный ACL IPv4
Cisco 100 -199 и 2000-2699 расширенный ACL IPv4
Именованный: имя присваивается для определения ACL
Буквенно-цифровые символы
Рекомендуются заглавные символы
Без пробелов и знаков препинания

Нумерованные и именованные ACL-списки

Слайд 19

Базовые (Стандартные) и расширенные ACL-списки

Только по IP источника

IP источника
IP назначения
Порт источника
Порт назначения
Тип

Базовые (Стандартные) и расширенные ACL-списки Только по IP источника IP источника IP
(номер) протокола (IP, ICMP, UDP,…)

Слайд 20

Механизм сопоставления ACL

Механизм сопоставления ACL

Слайд 21

Порядок и результат взаимодействия ACL

Порядок и результат взаимодействия ACL

Слайд 22

Порядок записей списка

access-list 2 deny 192.168.10.10 0.0.0.0
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 2

Порядок записей списка access-list 2 deny 192.168.10.10 0.0.0.0 access-list 2 permit 192.168.10.0
deny 192.168.0.0 0.0.255.255
access-list 2 permit 192.0.0.0 0.255.255.255

Возможно изменение порядка?

192.0.0.0

192.168.0.0

192.168.10.0

192.168.10.10

Слайд 23

Входящий и исходящий ACL-списки

Входящий и исходящий ACL-списки

Слайд 24

Входящий и исходящий трафик

Входящий и исходящий трафик

Слайд 25

Рекомендации по применению: три правила

Рекомендации по применению: три правила

Слайд 26

Рекомендации по созданию

Рекомендации по созданию

Слайд 27

Размещение стандартного ACL

Размещение стандартного ACL

Слайд 28

Размещение расширенного ACL

Размещение расширенного ACL

Слайд 29

И размещение и тип списка доступа может зависеть от :
Сферы контроля сетевого

И размещение и тип списка доступа может зависеть от : Сферы контроля
администратора
Пропускной способности задействованных сетей

Размещение списков доступа

Слайд 30

Пример базового ACL

Пример базового ACL

Слайд 31

Пример расширенного ACL-1

rule permit ip any any

rule permit ip any any

Пример расширенного ACL-1 rule permit ip any any rule permit ip any any

Слайд 32

Пример расширенного ACL-2

Пример расширенного ACL-2

Слайд 33

Применение нумерованного списка доступа Cisco

Применение нумерованного списка доступа Cisco

Слайд 34

Применение именованного списка доступа Cisco

Применение именованного списка доступа Cisco

Слайд 35

Команда access-class Cisco

Команда access-class Cisco

Слайд 36

Проверка настройки безопасности vty Cisco

Проверка настройки безопасности vty Cisco

Слайд 37

Пример по 8 лабораторной работе

R1(config)# ip access-list standard ADMIN-MGT
R1(config-std-nacl)# permit host 192.168.0.3
R1(config-std-nacl)#

Пример по 8 лабораторной работе R1(config)# ip access-list standard ADMIN-MGT R1(config-std-nacl)# permit
exit
Примените список доступа на каналах vty.
R1(config)# line vty 0 15
R1(config-line)# access-class ADMIN-MGT in
R1(config-line)# exit
R1# show ip access-lists
Standard IP access list ADMIN-MGT
10 permit 192.168.0.3 (2 matches)

Слайд 38

Последняя запись списка

Последняя запись deny

Последняя запись списка Последняя запись deny
- Предыдущая
Пирамида, её основание, вершина, боковые рёбра, высота, боковая поверхность
Следующая -
Diab ahmed

Похожие презентации

Планирование структуры локальной сети и подключение устройств
Компьютер и его устройство
Занятие 8. Средства анализа данных MS Excel
Кибернетические системы
Алгоритмическая конструкция ветвление. Основные алгоритмические конструкции
Онтологический классификатор Ontologic (онтологик)
Окно в компьютерный мир
Базы данных и Системы управления базами данных. Лекция 1
Основные правила создания мультимедийной презентации в программе Power point
База данных – основа информационной системы
Общие сведения о языке программирования паскаль. Начала программирования
Электронные таблицы EXCEL
Комплексный интернет-маркетинг. Аналитика. Академия Digital-профессий
MPA1000 sw-master Doxygen documentation
Организация экономической информации
Web-программирование. Лекция 2
Числа и операторы. Лекция 2
Таблицы и графы. Задание 1. Информатика в ЕГЭ
Виды ссылок
Базовые категории и понятия информатики
Приложение DriveWindow
Презентация на тему Лицензионные и бесплатные программы
Интернет-матазины
Проект Quna
Геологическое картирование. Компьютерное сопровождение госгеолкарты-200
От Fork/Join к Stream API
Криптосистема RSA
Гаджеты спешат на помощь!
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть