[ главная ]   [ рейтинг статей ]   [ справочник радиолюбителя ]   [ новости мира ИТ ]



Ответов: 0
25-02-12 07:01







   Web - программирование
PHP


ASP






XML



CSS

SSI





   Программирование под ОС











   Web - технологии








   Базы Данных









   Графика






Данные




Web - технологии / Сети /

Пакетные фильтры и их конфигурирование

Списки доступа (Access Lists)

Списки доступа (access-lists) используются в целом ряде случаев и являются общим механизмом задания условий, которые роутер проверяет перед выполнением каких-либо действий. Некоторые примеры использования списков доступа:

 
  • Управление передачей пакетов на интерфейсах
     
  • Управление доступом к виртуальным терминалам роутера и управлению через SNMP
     
  • Ограничение информации, передаваемой динамическими протоколами роутинга
     

Конфигурирование списков доступа

Списки доступа либо нумеруются, либо именуются. Использование нумерованных, либо именованных списков доступа определяется их применением (некоторые протоколы требуют использования только нумерованных списков, некоторые - допускают как именованные, так и нумерованные списки).

Если используются нумерованные списки, то номера их должны лежать в определенных диапазонах, в зависимости от области применения списка. Некоторые, наиболее часто применяемые диапазоны приведены ниже:



 
Протокол Диапазон номеров
Стандартный список IP 1 to 99
Расширенный список IP 100 to 199
MAC Ethernet address 700 to 799
IPX 800 to 899
Extended IPX 900 to 999
IPX SAP 1000 to 1099

Задачи и правила построения списков доступа для различных протоколов различны, но, в общем, можно выделить два этапа работы с любыми списками доступа. Сначала, необходимо создать список доступа, затем применить его к соответствующему интерфейсу, линии или логической операции, выполняемой роутером.

Создание списков доступа (краткий обзор)

Списки доступа определяют критерии, на соответствие которым проверяется каждый пакет, обрабатываемый роутером в точке списка доступа.

Типичными критериями являются адреса отправителя и получателя пакета, тип протокола. Однако, для каждого конкретного протокола существует свой собственный набор критериев, которые можно задавать в списках доступа.

Каждый критерий в списке доступа записывается отдельной строкой. Список доступа в целом представляет собой набор строк с критериями, имеющих один и тот же номер (или имя).

Запомните, что дополнение списка новыми критериями производится в конец списка. Запомните также, что нет возможности исключить какой-либо критерий из списка. Есть только возможность стереть весь вписок целиком.

Порядок задания критериев в списке существенен. Проверка пакета на соответствие списку производится последовательным применением критериев из данного списка (в том порядке, в котором они были введены). Если пакет удовлетворяет какому-либо критерию, то дальнейшие проверки его на соответствие следующим критериям в списке - НЕ ПРОИЗВОДЯТСЯ

В конце каждого списка системой добавляется неявное правило. Таким образом, пакет, который не соответствует ни одному из введенных критериев будет отвергнут.

Использование tftp-сервера для создания списков доступа

Поскольку порядок строк в списке доступа очень важен, а также поскольку невозможно изменить этот порядок или исключить какие-либо строки из существующего списка доступа, рекомендуется создавать списки доступа на tftp-сервере и загружать их целиком в роутер, а не пытаться редактировать их на роутере.

Не забывайте, что если список доступа с данным номером (именем) существует, то строки с тем же номером (именем) будут добавляться к существующему списку в конец его. Поэтому, первой строкой в файле, содержащем описание списка доступа для загрузки с tftp-сервера, должна стоять команда отмены данного списка "no access-list ".

Назначение списков доступа на интерфейсы (Обзор)

Для каждого протокола на интерфейс может быть назначен только один список доступа.

Для большинства протоколов можно задать раздельные списки для разных направлений траффика.

Если список доступа назначен на входящий через интерфейс траффик, то при получении пакета, ротуер проверяет критерии, заданные в списке. Если пакет разрешен данным списком, то он передается для дальнейшей обработки. Если пакет запрещен, то он отбрасывается.

Если список доступа назначен на выходящий через интерфейс траффик, то после приянтия решения о передаче пакета через данный интерфейс роутер проверяет критерии, заданные в списке. Если пакет разрешен данным списком, то он передается в интерфейс. Если пакет запрещен, то он отбрасывается.

Не забывайте, что в конце каждого списка стоит неявное правило "deny all", поэтому при назначении списков на интерфейс нужно следить, чтобы явно разрешить все виды необходимого траффика через интерфейс (не только пользовательского, но и служебного, например, обмен информацией по протоколам динамического роутинга).

Источник: www.ciscolab.ru




Комментарии

 Ваш комментарий к данному материалу будет интересен нам и нашим читателям!



Последние статьи: Web - технологии / Сети /

Будущие интернет-каналы могут быть созданы на основе нанотрубок
30-01-2011   

Американские исследователи из Корнельского университета говорят, что углеродные нанотрубки способны передавать и принимать фотоны света в наномасштабах точно также, как радиостанции работают с радиоволнами.

... подробнее

Кол. просмотров: общее - 4331 сегодня - 0

Ботнет
15-03-2010   

В статье речь пойдет о том, что такое зомби-сети, или ботнеты, как они формируются, кто и как наживается с их помощью, а также о том, каковы тенденции развития ботнетов... подробнее

Кол. просмотров: общее - 3234 сегодня - 1

Как работает NAT
15-03-2010   

Если Вы читаете этот документ, то скорее всего вы подсоединены к Интернету, и используете трансляцию сетевых адресов (Network Address Translation, NAT) прямо сейчас! Интернет стал настолько огромным, чем кто-либо мог себе представить... подробнее

Кол. просмотров: общее - 3347 сегодня - 2

Построение безопасных сетей на основе VPN
15-03-2010   

В современных условиях развития информационных технологий, преимущества создания виртуальных частных сетей неоспоримы. Но прежде чем перечислить наиболее очевидные и полезные способы организации виртуальных частных сетей... подробнее

Кол. просмотров: общее - 3614 сегодня - 0

NAS – сетевая система хранения данных
15-03-2010   

NAS (англ. Network Attached Storage) – сетевая система хранения данных. Сетевые хранилища представляют собой внешние жёсткие диски... подробнее

Кол. просмотров: общее - 3138 сегодня - 0



  WWW.COMPROG.RU - 2009-2012 | Designed and Powered by Zaipov Renat | Projects