Списки доступа (access-lists) используются в целом ряде случаев и являются общим
механизмом задания условий, которые роутер проверяет перед выполнением
каких-либо действий. Некоторые примеры использования списков доступа:
Управление передачей пакетов на интерфейсах
Управление доступом к виртуальным терминалам роутера и управлению через
SNMP
Ограничение информации, передаваемой динамическими протоколами роутинга
Конфигурирование списков доступа
Списки доступа либо нумеруются, либо именуются. Использование нумерованных, либо
именованных списков доступа определяется их применением (некоторые протоколы
требуют использования только нумерованных списков, некоторые - допускают как
именованные, так и нумерованные списки).
Если используются нумерованные списки, то номера их должны лежать в определенных
диапазонах, в зависимости от области применения списка. Некоторые, наиболее
часто применяемые диапазоны приведены ниже:
Протокол
Диапазон номеров
Стандартный список IP
1 to 99
Расширенный список IP
100 to 199
MAC Ethernet address
700 to 799
IPX
800 to 899
Extended IPX
900 to 999
IPX SAP
1000 to 1099
Задачи и правила построения списков доступа для различных протоколов различны,
но, в общем, можно выделить два этапа работы с любыми списками доступа. Сначала,
необходимо создать список доступа, затем применить его к соответствующему
интерфейсу, линии или логической операции, выполняемой роутером.
Создание списков доступа (краткий обзор)
Списки доступа определяют критерии, на соответствие которым проверяется каждый
пакет, обрабатываемый роутером в точке списка доступа.
Типичными критериями являются адреса отправителя и получателя пакета, тип
протокола. Однако, для каждого конкретного протокола существует свой собственный
набор критериев, которые можно задавать в списках доступа.
Каждый критерий в списке доступа записывается отдельной строкой. Список доступа
в целом представляет собой набор строк с критериями, имеющих один и тот же номер
(или имя).
Запомните, что дополнение списка новыми критериями производится в конец списка.
Запомните также, что нет возможности исключить какой-либо критерий из списка.
Есть только возможность стереть весь вписок целиком.
Порядок задания критериев в списке существенен. Проверка пакета на соответствие
списку производится последовательным применением критериев из данного списка (в
том порядке, в котором они были введены). Если пакет удовлетворяет какому-либо
критерию, то дальнейшие проверки его на соответствие следующим критериям в
списке - НЕ ПРОИЗВОДЯТСЯ
В конце каждого списка системой добавляется неявное правило. Таким образом,
пакет, который не соответствует ни одному из введенных критериев будет
отвергнут.
Использование tftp-сервера для создания списков
доступа
Поскольку порядок строк в списке доступа очень важен, а также поскольку
невозможно изменить этот порядок или исключить какие-либо строки из
существующего списка доступа, рекомендуется создавать списки доступа на
tftp-сервере и загружать их целиком в роутер, а не пытаться редактировать их на
роутере.
Не забывайте, что если список доступа с данным номером (именем) существует, то
строки с тем же номером (именем) будут добавляться к существующему списку в
конец его. Поэтому, первой строкой в файле, содержащем описание списка доступа
для загрузки с tftp-сервера, должна стоять команда отмены данного списка "no
access-list ".
Назначение списков доступа на интерфейсы
(Обзор)
Для каждого протокола на интерфейс может быть назначен только один список
доступа.
Для большинства протоколов можно задать раздельные списки для разных направлений
траффика.
Если список доступа назначен на входящий через интерфейс траффик, то при
получении пакета, ротуер проверяет критерии, заданные в списке. Если пакет
разрешен данным списком, то он передается для дальнейшей обработки. Если пакет
запрещен, то он отбрасывается.
Если список доступа назначен на выходящий через интерфейс траффик, то после
приянтия решения о передаче пакета через данный интерфейс роутер проверяет
критерии, заданные в списке. Если пакет разрешен данным списком, то он
передается в интерфейс. Если пакет запрещен, то он отбрасывается.
Не забывайте, что в конце каждого списка стоит неявное правило "deny all",
поэтому при назначении списков на интерфейс нужно следить, чтобы явно разрешить
все виды необходимого траффика через интерфейс (не только пользовательского, но
и служебного, например, обмен информацией по протоколам динамического роутинга).
Американские исследователи из Корнельского университета говорят, что углеродные нанотрубки способны передавать и принимать фотоны света в наномасштабах точно также, как радиостанции работают с радиоволнами.
В статье речь пойдет о том, что такое зомби-сети, или ботнеты, как они формируются, кто и как наживается с их помощью, а также о том, каковы тенденции развития ботнетов... подробнее
Если Вы читаете этот документ, то скорее всего вы подсоединены к Интернету, и используете трансляцию сетевых адресов (Network Address Translation, NAT) прямо сейчас! Интернет стал настолько огромным, чем кто-либо мог себе представить... подробнее
В современных условиях развития информационных технологий, преимущества создания виртуальных частных сетей неоспоримы. Но прежде чем перечислить наиболее очевидные и полезные способы организации виртуальных частных сетей... подробнее
