close

Вход

Забыли?

вход по аккаунту

?

Глава 02

код для вставкиСкачать
Введение в управление трафиком и доступом
Вопросы, рассматриваемые в этой главе, важны для понимания того, как именно возможности маршрутизаторов Cisco применяются в реальном мире. На экзамене ACRC вы должны продемонстрировать хороший уровень знания данного материала.
Знание синтаксиса, правил и применения стандартных списков доступа, расширенных списков доступа и адресов поддержки IP позволяет сэкономить драгоценное время при настройке маршрутизатора - вам не придется копаться в справочниках, что, как правило, оставляет у заказчика крайне неприятное мнение о вашем профессионализме. Но более важно то, что, освоив предлагаемый материал, вы сможете быстро и грамотно настроить маршрутизатор. Если списки доступа правильно сконфигурированы с самого начала, это, без сомнения, сократит время отладки.
Многие вопросы экзамена требуют, чтобы вы написали ответ, а не выбрали верный вариант из нескольких предлагаемых. Обратите внимание на то, что ответ будет считаться неверным, если вы допустите описку.
Причины перегруженности сети
По мере подключения к сети все новых и новых пользователей ее производительность начинает падать, так как на определенном этапе пользователям уже не хватает имеющейся полосы пропускания. Происходит то же самое, что и на автостраде в час пик, когда число машин превышает пропускную способность дороги. В современных условиях, когда к сети подключаются мощные рабочие станции, по ее линиям передаются аудио- и видеофайлы, а приложения настольных компьютеров активно взаимодействуют с сетью, для нужд крупной фирмы явно недостаточно ресурсов локальной сети Ethernet с полосой пропускания 10 Мбит/с.
Знание причин перегруженности сети необходимо для отладки, разработки и администрирования сетей. Перегруженность сети может превратиться в серьезную проблему по многим причинам. Большинство фирм сильно зависит от работы своей сети, существуют также фирмы (например. провайдерские), которые представляют собой сеть. Для них перегруженность сети - болезнь, которая при отсутствии лечения быстро приведет к летальному исходу. Если же долгое время не обращать внимания на симптомы этой болезни, то лечение - отладка, ремонтные работы и обновление сети - может вылиться в астрономическую сумму. Прямых вопросов экзамена, посвященных этой теме, немного, но она ле-жит в основе других тем - например, сегментирования LAN.
Теоретический курс
Сетевой комплекс - это коммуникационная структура, служащая для объединения локальных и глобальных сетей. Основное назначение сетевого комплекса заключается в том, чтобы быстро и эффективно передавать информацию в любое место в пределах корпорации по первому требованию и с соблюдением целостности данных. Современные пользователи все больше и больше зависят от возможностей своей сети. Стоит серверу рабочей группы или концентратору выйти из строя, и в офисе воцаряется хаос. Следовательно, для сетевых компаний важно, насколько эффективно и регулярно администратор управляет такими действиями в сети:
• Передача графики и изображений
• Передача файлов объемом в несколько гигабайтов
• Клиент - серверные вычисления
• Высокая интенсивность сетевого трафика
Для удовлетворения этим требованиям компьютерный отдел фирмы должен обеспечить:
• Увеличение полосы пропускания
• Предоставление полосы пропускания по требованию
• Малую задержку
• Возможность передачи данных, аудио- и видеоинформации по одному и тому же каналу
Кроме того, современные сети должны быть гибкими, готовыми к появлению приложений завтрашнего дня. В самом ближайшем будущем компьютерные сети будут использоваться для передачи таких видов информации, как:
• Графика высокого разрешения • Высококачественное видео
• Оцифрованный звук
Другими словами, для того чтобы сетевой комплекс соответствовал своему назначению, он должен эффективно связывать между собой большое количество различных сетей, обслуживающих разные организации. Соединение не должно зависеть от типа используемого физического носителя. Компании, расширяющие свои сетевые комплексы, обязаны успешно преодолевать физические и географические ограничения по примеру всемирной сети Интернет.
Методы устранения перегруженности сети
Как правило, при перегрузке сети пользователи начинают требовать увеличения полосы пропускания. Но дело в том, что простое увеличение полосы не всегда дает нужный результат. Одним из способов решения проблемы перегруженности и повышения производительности локальной сети является разбиение одного сегмента Ethernet на несколько сегментов. При этом доступная ширина полосы пропускания достигает максимума.
Сегментация сети - один из наиболее важных и эффективных инструментов проектирования, отладки, модернизации и оптимизации сетей Ethernet. Большинство консультантов и опытных администраторов, услышав о тех или иных признаках перегруженности сети, сразу же начинают искать ошибки в сегментации. Этот вопрос следовало бы отнести к программе "Basic Networking 101", поскольку он является ключевым в проектировании и отладке сетей.
В этом разделе подробно рассматриваются дуплексные режимы, сегментация, Ethernet/Fast Ethernet, FDDI/Token Ring и маршрутизация/перемыкания. Теоретический курс
К методам борьбы с перегруженностью сети относятся:
• Физическая сегментация
• Технология коммутации сетей
• Применение дуплексных устройств Ethernet
• Использование Fast Ethernet
• Применение FDDI
Физическая сегментация
Физическая сегментация позволяет разбить коллизионные и широковещательные домены на более мелкие части. Три основных метода борьбы с перегруженностью сетей основаны на использовании для сегментации маршрутизаторов, мостов и коммутаторов LAN.
Сегментация с помощью мостов
Используя мосты, можно разбить сеть на мелкие, легко управляемые компоненты. Это позволит снизить уровень загруженности сети. Однако следует учитывать, что неправильно размещенный мост может принести больше вреда, чем пользы.
Мосты относятся к подуровню MAC канального уровня модели OSI. Они создают отдельные физические и логические сегменты сети для уменьшения общего объема передачи данных. При разбиении логической сети на мелкие компоненты повышаются ее надежность, доступность, управляемость и способность к расширению.
Мосты анализируют адреса MAC или аппаратные адреса всех кадров и затем пересылают кадры в соответствующие физические сегменты (только если это действительно нужно). Мосты динамически формируют таблицу пересылки путем сопоставления адресов MAC и сегментов, в которых находятся эти адреса.
Мост может пересылать любые пакеты во все другие сегменты, к которым он подключен. По умолчанию исходные адреса широковещательных пакетов не анализируются мостом, т.е. фильтрация не выполняется, при этом возможен так называемый широковещательный шторм, когда поток широковещательных пакетов превращается в потоп. Та же проблема может возникнуть и при использовании коммутаторов, так как с теоретической точки зрения порты коммутаторов являются портами мостов. Коммутатор фирмы Cisco на самом деле представляет собой мост с несколькими портами, работающий под управлением Cisco IOS и выполняющий те же функции, что и мост.
Важно помнить, что мосты создают маленькие коллизионные домены, в то время как вся сеть по-прежнему остается одним большим широковещательным доменом.
Сегментация с помощью маршрутизаторов
Маршрутизаторы относятся к сетевому уровню модели OSI и применяются для перенаправления пакетов в целевые сети. Маршрутизаторы, как и мосты, выбирают маршруты на основе таблиц. Однако маршрутизаторы хранят в таблицах информацию о том, как можно добраться до удаленных сетей, но не до отдельных хостов, и на ее основе выбирают маршруты следования пакетов в сетевом комплексе. При выборе маршрутов маршрутизаторы оперируют IP-адресами, а не аппаратными адресами.
Маршрутизаторы хранят и обновляют отдельные таблицы маршрутизации для всех протоколов, используемых в сети, так что маршрутизатор Cisco может хранить отдельную таблицу маршрутизации для AppleTalk, отдельную таблицу для IPX и еще одну для IP.
Применение маршрутизаторов дает следующие преимущества:
Управляемость Возможность работы с несколькими протоколами маршрутизации предоставляет проектировщику большую гибкость при разработке сети.
Расширенный объем функций Маршрутизаторы Cisco могут выполнять такие функции, как адресация выхода потока, контроль ошибок и загруженности, фрагментация, повторная сборка пакетов и управление временем существования пакета.
Несколько активных маршрутов С помощью соответствующих протоколов, DSAP, SSAP и метрик путей маршрутизаторы могут выбирать маршруты на основе большого объема информации и интерпретировать протоколы следующего уровня. Это позволяет маршрутизаторам поддерживать несколько активных маршрутов к одной сети.
Сегментация с помощью коммутаторов LAN
Применение коммутаторов - один из наиболее эффективных методов сегментации LAN. Коммутаторы повышают производительность локальной сети благодаря использованию коммутации кадров, значительно увеличивающей скорость обмена данными.
Как и мосты, коммутаторы перенаправляют пакеты в выходные порты на основе адресов MAC. При сквозной коммутации LAN пересылка пакета начинается еще до окончания его приема, в результате величина задержки сводится к минимуму. При коммутации с промежуточным хранением коммутатор принимает весь кадр, записывает его во встроенные буферы, выполняет контроль CRC и затем пересылает кадр через целевой порт.
Различают три метода коммутации:
Коммутация с конфигурацией портов (port-configuration switching)
Позволяет сопоставлять порты физическим сегментам сети под программным управлением. Простейшая форма коммутации.
Коммутация кадров (frame switching) Применяется для оптимизации полосы пропускания в сети. Допускает параллельную передачу нескольких пакетов. Этот метод коммутации реализован во всех коммутаторах Catalyst.
Коммутация ячеек (cell switching) Аналогична коммутации кадров. В ATM используются малые ячейки фиксированной длины, которые коммутируются при передаче по сети. Этот метод коммутации реализован во всех коммутаторах Cisco Lightstream.
Коммутаторы LAN предоставляют большую плотность портов с меньшей стоимостью по сравнению со стандартными мостами. Поскольку коммутаторы LAN позволяют работать с сегментами, состоящими из небольшого числа пользователей, увеличивается средняя ширина полосы пропускания, приходящаяся на каждого пользователя. Тенденция к сокращению числа пользователей на сегмент получила название микросегментации; при таком подходе можно создавать выделенные сегменты.
Если на сегмент приходится по одному пользователю, каждому из них предоставляется полная полоса пропускания, которую не нужно ни с кем делить. Поэтому конфликты, столь частые в общих сетях среднего размера, где применяются концентраторы, при такой сегментации исключены.
Технология коммутации сетей
По мере роста популярности сетей увеличивается объем продаж коммутаторов для локальных сетей Token Ring и FDDI. Однако наиболее используемыми остаются коммутаторы для локальных сетей Ethernet. Современные коммутаторы LAN обеспечивают ряд новых перспективных возможностей, среди них:
• Выполнение нескольких передач одновременно
• Высокоскоростной обмен данными
• Выделенная связь между устройствами
• Низкая величина задержки и высокая скорость пересылки кадров
• Дуплексная связь
• Адаптация к характеристикам носителей (в одной и той же сети могут работать одновременно хосты на 10 Мбит/с и на 100 Мбит/с)
• Поддержка существующих сетевых карт и кабелей, совместимых со стандартом 802.3
Благодаря выделенной сегментации, исключающей возникновение конфликтов между сетевыми устройствами, повышается скорость передачи файлов. Одновременно могут осуществляться несколько процессов обмена данными, т.е. одновременно могут пересылаться или коммутироваться несколько пакетов, следовательно, пропускная способность сети увеличивается в соответствующее число раз.
Переход к дуплексной связи повышает пропускную способность сети ровно вдвое, а адаптация к характеристикам носителей позволяет коммутаторам LAN выполнять обмен данными между устройствами, рассчитанными на 10 и 100 Мбит/с, и перераспределять полосу пропускания по мере необходимости. Еще одно преимущество данного метода заключается в том, что переход на коммутаторы LAN не требует замены уже установленных концентраторов, сетевых карт и кабелей.
Дуплексные устройства Ethernet
Применение дуплексных устройств вместо полудуплексных теоретически увеличивает полосу пропускания вдвое. Подключение к дуплексным портам концентраторов позволяет устройствам вести прием и передачу одновременно. Передаваемые и принимаемые сигналы идут по разным проводам, поэтому не должно быть конфликтов и фрагментации.
Fast Ethernet
Fast Ethernet рассчитана на 100 Мбит/с, что в 10 раз выше, чем в lOBaseT Ethernet (10 Мбит/с). Самая приятная особенность Fast Ethernet заключается в том, что она использует те же способы передачи сигналов, что и lOBaseT, следовательно, в одной сети могут одновременно работать устройства обоих типов. Это означает, что можно модернизировать сеть постепенно, участок за участком,- единовременная модернизация всей сети не требуется.
FDDI
FDDI - это один из типов сети с передачей маркера. Обычно ее пропускная способность составляет 100 Мбит/с. Спецификация FDDI отличается хорошей продуманностью и надежностью. До появления Fast Ethernet и Gigabit Ethernet сети FDDI были самыми быстрыми. Такие преимущества FDDI, как хорошая работа при высокой загрузке и отсутствие конфликтов (следствие принципа передачи маркера), по-прежнему заслуживают внимания.
Управление трафиком и доступом
Фирма Cisco разработала собственную трехуровневую иерархическую модель, которой можно руководствоваться при проектировании и создании масштабируемых сетевых комплексов. Использование этой модели упрощает адресацию и управление устройствами, поскольку преобразование сетевых адресов в иерархическую структуру сокращает объем работ по перенастройке сети при ее расширении. Кроме того, если вы точно знаете, где именно в иерархии расположены устройства, выполняющие сходные задачи, проще избежать ошибок и конфликтов при настройке маршрутизаторов на том или ином уровне. Для эффективного управления трафиком и доступом администратор должен быть знаком с иерархической моделью Cisco.
Понимание трехуровневой иерархической модели Cisco позволит вам проектировать и внедрять более протяженные сети, ориентированные на постоянное расширение; видеть достоинства и недостатки готовых сетевых разработок; приобретать именно те устройства, которые в точности соответствуют поставленной задаче, и не тратить на них ни копейки сверх необходимого.
Теоретический курс
Иерархическая модель Cisco (см. рис. 2.1) включает в себя следующие уровни:
• Уровень ядра (Core layer)
• Уровень распространения (Distribution layer)
• Уровень доступа (Access layer)
Рис. 2.1. Трехуровневая иерархическая модель Cisco Уровень ядра
Основной функцией уровня ядра является реализация оптимизированной и надежной транспортной структуры. Эта структура имеет большое значение для всего сетевого комплекса и может включать в себя магистрали LAN и WAN. На уровне ядра находятся службы, которые обеспечивают связь между маршрутами в разных логических группах. Маршрутизаторы уровня ядра предоставляют максимум надежности и доступности. Если в локальной или глобальной сети возникает сбой, маршрутизаторы уровня ядра, как правило, поддерживают соединение.
Уровень распространения
Уровень распространения обеспечивает доступ к различным службам и частям сетевого комплекса. Этот уровень соответствует магистрали университетской сети. Маршрутизаторы уровня распространения управляют доступом к ресурсам уровня ядра и обязаны оптимальным образом использовать полосу пропускания. Кроме того, они должны удовлетворять требованиям качества и класса услуг (Quality Of Service, QOS) различных протоколов, реализуя стратегии управления трафиком, основанные на разделении локальных сред и среды магистрали.
Уровень доступа
Уровень доступа обеспечивает рабочей группе или отдельным пользователям доступ к общим ресурсам локального сегмента. Маршрутизаторы уровня доступа управляют трафиком, ограничивая область действия запросов к службам и широковещательных рассылок средствами доступа. Маршрутизаторы данного уровня должны обеспечивать связь, а также поддерживать целостность сети. Маршрутизатор, к которому поступил запрос, обязан проверить его правомочность, запросив у пользователя идентификационную информацию так, чтобы от него требовался минимум действий.
Настройка стандартных списков доступа IP
Используются два типа списков доступа: стандартные и расширенные. (Расширенные списки доступа рассматриваются ниже.) Возможности стандартных списков доступа довольно ограничены. Они способны выполнять отбор только по исходному адресу входящего или исходящего пакета. Стандартные списки доступа должны иметь номера в диапазоне от 1 до 99. Стандартные списки широко распространены и легко настраиваются. Хорошее знание списков доступа позволит сэкономить массу времени при настройке фильтрации на маршрутизаторе Cisco.
Как стандартные, так и расширенные списки доступа могут быть весьма сложными. Для полного понимания того, что именно делает тот или иной список доступа, необходимо тщательно изучить теорию и как можно больше попрактиковаться в работе с маршрутизаторами.
Теоретический курс
Стандартный список доступа представляет собой последовательность операторов permit и deny, в которых указываются исходные IP-адреса пакетов. Пакет, поступающий в маршрутизатор, проверяется на соответствие спискам доступа, причем процедура проверки зависит от того, является пакет входящим или исходящим для данного интерфейса. Если с интерфейсом сопоставлен список доступа, просматривается каждая строка списка по порядку, пока не будет обнаружено соответствие тому или иному критерию. Если соответствие не найдено, пакет отклоняется. Для того чтобы пакеты, не удовлетворяющие списку доступа., пересылались по назначению, необходимо в самом конце списка поставить оператор permit для пропуска всех неотобранных пакетов; в противном случае такие пакеты будут отбрасываться.
В Cisco IOS в конце каждого списка доступа стоит неявный оператор deny, так что в случае, если список доступа применяется для того, чтобы отклонять пакеты, удовлетворяющие определенным критериям, и пропускать все остальные, в последней строке списка необходимо поставить оператор permit. Если же список доступа используется для того, чтобы принимать пакеты, удовлетворяющие определенным критериям, и отклонять все остальные, явно указывать оператор deny в конце списка не нужно - он уже там есть.
Списки доступа могут сильно перегрузить маршрутизатор. Более того, они замедляют скорость передачи, так как каждый пакет проверяется на соответствие каждой строке списка доступа до тех пор, пока не будет найдена нужная строка или пока список не закончится. Поэтому при составлении списков доступа важно тщательно продумать их содержимое и добиться максимальной эффективности работы. Чем больше пакетов соответствует строке, тем ближе к началу списка должна находиться эта строка. Добавляя в список строки, старайтесь располагать их по мере убывания частоты применения. Учтите, что чаще всего используемая строка может оказаться вовсе не там, где вы ее поставили, в зависимости от того, является ли она оператором permit или deny. Иногда IOS переупорядочивает операторы. И, наконец, чем короче список доступа, тем меньше нагрузка на маршрутизатор и тем меньше задержка.
Последняя часть оператора - маска шаблона. Она должна быть записана в формате IP-адреса, т.е. в виде четырех октетов. Десятичное значение каждого октета преобразуется в поток двоичных нулей и единиц. Нули обозначают биты, значения которых должны в точности совпадать с соответствующими битами адреса, а единицы - биты, значения которых могут быть любыми. Примеры масок шаблонов и соответствующих сетевых адресов приведены в таблице 2.1.
Таблица 2.1. Сетевые адреса и маски шаблонов
Сетевой адресМаска шаблонаМаска шаблона (двоичная) (десятичная)172.16.10.00.0.0.25500000000.00000000.00000000.11111111172.16.0.00.0.15.25500000000.00000000.00001111.11111111172.16.20.40.0.0.300000000.00000000.00000000.00000011
Из всех адресов, сравниваемых с сетевым адресом по маске шаблона, будут отбираться только те, у которых все биты, помеченные в маске шаблона нулями, совпадают с соответствующими битами сетевого адреса.
В первом примере сравнение с сетевым адресом 172.16.10.0 происходит по маске шаблона 0.0.0.255. Это означает, что первые три октета адреса должны быть в точности равны 172, 16 и 10 соответственно, в то время как последний октет может принимать любое значение от 0 до 255.
Второй пример аналогичен первому в том, что выполняется проверка на принадлежность к сети класса В, но в третьем октете должен проверяться только каждый шестнадцатый хост в сети.
В третьем примере не анализируются последние два бита четвертого октета. В качестве упражнения рассмотрим несколько списков доступа.
access-list 1 deny 172.16.40.6 access-list 1 permit 172.16.20.6
Этот список доступа предельно прост и ясен. В первой строке сообщается, что список доступа называется access-list 1. Условие первой строки - отклонять все пакеты, исходный адрес которых совпадает с указанным (в данном случае 172.16.40.6). Вторая строка также относится к списку доступа access-list 1 и предписывает, что следует принимать все пакеты, исходный адрес которых совпадает с 172.16.20 6. Что же случится с пакетом, исходный адрес которого не удовлетворяет ни первому, ни второму условию? Вспомним, что в Cisco IOS последняя строка любого списка доступа (она может быть и невидима) по умолчанию содержит оператор deny any. Если пакеты, не удовлетворяющие списку-, требуется пересылать дальше, необходимо добавить в конец списка доступа оператор permit any; в противном случае эти пакеты будут отбрасываться. В приведенном ниже списке доступа оператор permit any указан явно:
access-list 2 deny 10.0.0.0 0.255.255.255 access-list 2 deny 192.168.0.0 0.0.255.255
access-list 2 permit any
Этот список отклоняет пакеты, поступающие из частных сетей 10.0.0.0 и 192.168.0.0, и пропускает все остальные пакеты. Здесь указана маска шаблона для исходного адреса, означающая, что должен отбрасываться любой пакет, поступивший с любого возможного IP-адреса в адресном пространстве класса А 10.0. 0. 0. Для сетевого адреса 192.168.0.0 также указана маска шаблона, в соответствии с которой будут игнорироваться все пакеты, поступившие с любого возможного IP-адреса данной суперсети класса С. Это делается потому, что записать отдельную строчку для каждого адреса в сети класса А и класса С невозможно. Обратите также внимание, что список доступа заканчивается оператором permit any. Если бы этого оператора не было, список доступа отклонял бы все пакеты.
И, наконец, при создании стандартного списка доступа необходимо тщательно продумать, какие исходные адреса должны блокироваться, а какие - пропускаться. После того как в первом приближении будут выделены все сети, которые должны включаться в список доступа, определите, какие из них можно объединить в одну строку с помощью масок шаблонов, чтобы укоротить список. Чем меньше строк в списке доступа, тем меньше задержка пакетов и тем меньше нагрузка на процессор маршрутизатора. Если требуется передавать пакеты, не соответствующие ни одной строке списка, не забудьте добавить в конец списка доступа строку permit any.
Создание списка доступа
Команда создания списка доступа имеет следующий синтаксис:
access-list номер-списка-доступа [deny | permit] исходный - адрес [маска-шаблона-исходно го-адреса]
Параметр номер-списка-доступа - целое число в диапазоне от 1 до 99. После номера списка должно идти слово permit или deny, указывающее маршрутизатору, что следует делать с пакетами, удовлетворяющими условию. Исходный-адрес - IP-адрес хоста или сети. Этот параметр является частью строки списка доступа и может задаваться либо в виде IP-адреса из четырех октетов, либо в виде слова any, означающего любой IP-адрес. Если требуется обозначить несколько хостов или сетей, можно добавить маску -шаблона -исходного-адреса.
Для связывания списка доступа с интерфейсом применяется команда:
ip access-group номер-списка-доступа [in | out]
Здесь номер-списка-доступа - это номер списка доступа, связываемого с интерфейсом. Если пересылаемые пакеты должны проверяться до передачи в линию, необходимо указать ключевое слово Out. Если же проверке подлежат пакеты, поступающие на маршрутизатор, т.е. проверка осуществляется до приема, укажите ключевое слово in. Ниже приведены пример связывания списка доступа с интерфейсом и фрагмент файла текущей конфигурации, иллюстрирующий прием команд. Router_C#config term
Enter configuration commands, one per line. End with CNTL/Z.
Router_C(config)#access-list 10 deny 172.16.10.0 0.0.0.255
Router_C(config)#access-list 10 deny 172.16.20.0 0.0.0.255
Router_C(config)#access-list 10 permit 172.16.30.0 0.0.0.255
Router_C(config)#int sO
Router_C(config-if)#ip address 172.16.40.6 255.255.255.252
Router_C(config-if)#ip access-group 10 in
Router_C(config-if)#~Z Router_C#
interface SerialO
ip address 172,16.40.6 255.255.255.252
ip access-group 10 in !
access-list10permit172.16.30.00.0.0.255
access-list10deny172.16.20.00.0,0.255
access-list10deny172.16.10.00.0,0.255
Ограничение доступа к виртуальным терминалам Кромe физических портов или интерфейсов, например ЕО или S1, на маршрутизаторе существуют и виртуальные порты, которые называются линиями виртуальных терминалов и нумеруются от vty 0 до vty 4. Важно знать, как осуществляется доступ к портам виртуальных терминалов (портам vty) и как можно ограничить его. Если не принять соответствующих мер, порты vty могут стать источником серьезных неприятностей.
Если вы хотите реализовать эффективную стратегию защиты сети любого типа, изучите теоретические основы работы портов vty, синтаксис их использования и ограничения доступа. Если возможно, попрактикуйтесь на маршрутизаторах Cisco.
Теоретический курс
Фирма Cisco считает эту тему важной, поскольку незащищенные порты vty на маршрутизаторе могут превратиться в дыру, в которую рано или поздно кто-то пролезет. Можно вообще запретить доступ к маршрутизатору по Telnet и настроить для этого расширенный список доступа, но данное решение неуклюже. Что произойдет, если вы забудете указать какой-либо интерфейс или исходный адрес? Более простой и изящный подход заключается в создании стандартного списка доступа и в связывании его непосредственно с портами vty. В стандартном списке доступа достаточно перечислить те хосты, которые могут подключаться к маршрутизатору по Telnet.
Ограничение доступа к виртуальным терминалам - это, по сути, не столько механизм управления трафиком, сколько средство защиты сети. Для обеспечения защиты можно блокировать доступ к портам vtv данного маршрутизатора или доступ к портам vty других маршрутизаторов с данного.
Практический курс
По умолчанию списки доступа действуют только для транзитных пакетов, но не для пакетов, генерируемых самим маршрутизатором. Понятно, что это обстоятельство оставляет лазейку в защите. Пять виртуальных терминалов на маршрутизаторе уязвимы для несанкционированного доступа, но с этими портами также можно связать списки доступа.
Порты vty нумеруются с 0 по 4. Можно одновременно установить конфигурацию и параметры защиты всех пяти портов. Это делается следующим образом:
RouterA#config t
RouterA#access-list 50 permit 172.16.30.0 0,0.0.255
RouterA(config)#line vty 0 4
RouterA(config-line)#access-class 50 in
RouterA(config-line)#~Z
RouterA#
Обратите внимание, что вместо команды access-group применяется команда access-class. Синтаксис команды access-class:
access-class номер-списка-доступа [in | out]
Номер-списка-доступа - число от 1 до 99, означающее стандартный список доступа. Помните, что стандартные списки доступа проверяют только исходные IP-адреса.
Настройка расширенных списков доступа IP
Расширенные списки доступа позволяют выполнять отбор не только по исходным адресам, но и по номерам портов, протоколам сеансового уровня и целевым адресам. Дополнительные возможности фильтрации придают спискам доступа этого типа большую гибкость, но их неразумное использование может вызвать резкое увеличение нагрузки на маршрутизатор. Полный синтаксис расширенных списков доступа запомнить трудно вследствие большого количества вариантов, но мы настоятельно рекомендуем упражняться до тех пор, пока вы не сможете разбираться в структуре синтаксиса без каких-либо затруднений. Это повысит общий уровень эффективности работы с маршрутизаторами Cisco.
Теоретический курс
Основное различие между стандартными и расширенными списками доступа заключается в синтаксисе соответствующих команд. Если с интерфейсом связан список доступа, то поступивший пакет проходит одну и ту же процедуру обработки независимо от типа списка. Единственным различием является то, что расширенные списки доступа позволяют осуществлять отбор по более широкому набору критериев. Расширенные списки доступа сложны и могут привести к перегрузке маршрутизатора и к резкому увеличению задержки, поэтому их оптимизация еще более важна, чем для стандартных списков доступа.
Расширенный список доступа можно связать с любым существующим интерфейсом - командой access-group, причем каждый интерфейс может иметь две группы доступа (access group): одну для входящих пакетов и одну для исходящих.
Важной проблемой является выбор места, в котором следует использовать расширенный список доступа. Например, если он применяется в целях защиты, его необходимо связать с интерфейсом, соединяющим соответствующие машины. Если же список доступа предназначен для того, чтобы определенные виды трафика не передавались по сети, его следует разместить как можно ближе к источнику нежелательного трафика и тем самым устранить проблему в зародыше, а не передавать пакеты по магистрали только затем, чтобы в конце концов их выбросить.
Если расширенный список доступа оказывается слишком длинным, следует проверить, нельзя ли упростить его, расположив ближе к проблемным устройствам. Еще один совет: если один и тот же список доступа связан с выходами большей части интерфейсов маршрутизатора, следует связать его с входом того интерфейса, на который поступает данный трафик. Все эти приемы могут оказать большую помощь при оптимизации списков доступа.
Практический курс
Наибольшее различие между стандартными и расширенными списками доступа заключается в их синтаксической структуре.
Синтаксис настройки расширенных списков доступа:
access-list номер-списка-доступа [deny | permit] [протокол | ключевое-слово-протокола] [исходный-адрес маска-шаблона-исходного-адреса \ any] [целевой-адрес маска-шаблона-целевого-адреса \ any] [опции-протокола] где:
• номер-списка-доступа - целое число в диапазоне от 100 до 199.
• deny | permit - условие, действующее для данной строки списка доступа.
• протокол - протокол сеансового уровня (возможные протоколы: EIGRP, GRE, ICMP, IGMP, IGRP, IP, IPinIP, NOS, OSPF, TCP и UDP).
• ключевое-слово-протокола - возможные значения: ICMP, IGMP, TCP, UDP и host. Эти ключевые слова позволяют применять другие команды для конкретного протокола. Команда host означает, что выделен один адрес хоста.
• исходный-адрес маска-шаблона-исходного-адреса - IP-адрес и маска шаблона. (Ключевое слово any обозначает любой исходный IP-адрес.)
• целевой-адрес маска-шаблона-целевого-адреса - IP-адрес и маска шаблона. (Ключевое слово any обозначает любой целевой IP-адрес.)
• Команда log включает режим протоколирования для списка доступа.
После выбора этих параметров становятся доступными дополнительные опции, не перечисленные выше. Они представляют собой ключевые слова протоколов.
Необходимо особо отметить, что синтаксис строк TCP значительно отличается от синтаксиса обычных расширенных списков доступа и выглядит следующим образом:
access-list номер-списка-доступа [permit |deny] tcp [исходный-адрес маска-шаблона-исходного-адреса | any] [оператор исходный-порт ] исходный-порт][целевой-адрес маска-шаблона-целевого-адреса \ any] [оператор целевой-порт | целевой-порт] [established]
Проверка работы списков доступа
В IOS имеется несколько команд, с помощью которых можно проверить настройку списков доступа и их связь с интерфейсами. Умение проверять списки доступа для определенного протокола (например, IP) и их связь с интерфейсами необходимо при администрировании рабочей сети.
Ошибки в работе со списками доступа могут привести к отключению маршрутизатора Cisco. Хуже того, в сети могут возникнуть небольшие, но досадные неполадки, которые трудно локализовать и устранить.
Теоретический курс
Команды для просмотра текстов списков доступа:
• show access-lists позволяет просмотреть все списки доступа, настроенные на маршрутизаторе.
• show ip access-lists позволяет просмотреть все списки доступа IP на маршрутизаторе.
• show access-list 187 позволяет просмотреть список доступа 187. • show ip access-list 187 показывает только список доступа 187. Команды для проверки соответствия интерфейсов и списков доступа:
• show running-config показывает текущую конфигурацию маршрутизатора.
• show ip interface показывает текущие параметры интерфейсов маршрутизатора.
Практический курс
В этом разделе показаны примеры работы перечисленных выше команд.
Команда show access-lists выводит на экран следующую информацию о списках доступа маршрутизатора:
Router_B#show access-lists
Standard IP access list 1
Deny 172.16.40.6
permit 172.16.20.6 Standard IP access list 2
deny 10.0.0.0, wildcard bits 0.255.255.255
deny 192.168.0.0, wildcard bits 0.0.255.255
permit any Standard IP access list 3
Deny 10.1.3.10
Deny 10.1.2.10
permit 10.1.4.10 Extended IP access list 110
permit tcp host 172.16.50.2 host 172,16.10.2 eq 8080 (47 matches)
permit tcp 172.16.30.0 0.0.0.255 host 172.16.10,2 eq 8080 (11 matches)
permit tcp any any eq www (33 matches) Router_B#show ip access-lists Standard IP access list 1
Deny 172.16.40.6
permit 172.16.20.6 Standard IP access list 2 deny 10,0.0.0, wildcard bits 0.255.255.255
deny 192.168.0.0, wildcard bits 0.0.255.255 permit any Standard IP access list 3
Deny 10.1.3.10
Deny 10.1.2.10
permit 10.1.4.10 Extended IP access list 110
permit tcp host 172.16.50.2 host 172.16.10.2 eq 8080 (47 matches)
permit tcp 172.16.30.0 0.0.0.255 host 172.16.10.2 eq 8080 (11 matches)
permit tcp any any eq www (33 matches) Router_B#show access-list 3 Standard IP access list 3
Deny 10.1.3.10
Deny 10.1.2.10
permit 10.1.4.10
Первая команда предоставляет обзорную информацию обо всех списках доступа маршрутизатора. Тип списка определен как стандартный, указан соответствующий номер. Каждая строка списка доступа выводится отдельно; команда разбивает строку на компоненты. Команда show access-lists выводит также информацию о том, какая сеть соответствует той или иной маске шаблона.
Команда show ip access-lists выводит ту же информацию. Она полезна в том случае, если на маршрутизаторе настроены списки доступа для различных протоколов.
Команда show access-list также используется при наличии нескольких списков доступа. Она позволяет просмотреть только нужный список доступа.
Для просмотра соответствия списков доступа и интерфейсов применяется команда show running-config и/или show ip interface. Команда show running-config служит для просмотра текущей конфигурации маршрутизатора. Изучая листинг, обратите внимание на конфигурацию интерфейса Ethernet 0:
RouterA#show running-config
Building configuration...
Current configuration: I
version 11.3
no service password-encryption !
hostname RouterA !
enable secret 5 $1$YMNO$Pz1r4tEg1E91wcKrNUIOHO
enable password password
!
!
interface EthernetO ip address 172.16.10.1 255.255.255.0 ip access-group 110 out
no mop enabled I
interface SerialO
ip address 172.16.20.1 255.255.255.0 no ip mroute-cache
!
interface Serial1 no ip address shutdown
!
router rip
redistribute connected
network 172.16.0.0 !
ip classless access-list 110 permit tcp host 172.16.50.2 host
172.16.10.2 eq 8080 access-list 110 permit tcp 172.16.30.0 0.0.0.255 host
172.16.10.2 eq 8080
access-list 110 permit tcp any any eq www access-list 110 deny ip any any log !
line con 0 line aux 0 line vty 0 4
password password2
login !
End RouterA#
Команда show ip interface выводит на экран все установленные параметры интерфейса. Информация о списках доступа самая общая. Вывод команды show running-config более понятен.
RouterA#sh ip interface eO
EthernetO is up, line protocol is up Internet address is 172.16.10.1/24 Broadcast address is 255.255.255.255 Address determined by non-volatile memory MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is enabled Multicast reserved groups joined: 224.0.0.9 Outgoing access list is 110 Inbound access list is not set Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is disabled
IP multicast fast switching is enabled
Router Discovery is disabled
IP output packet accounting is disabled
IP access violation accounting is disabled
TCP/IP header compression is disabled
Probe proxy name replies are disabled
Gateway Discovery is disabled
Policy routing is disabled
Network address translation is disabled
Применение интерфейса Null 0
Если требуется всего лишь локализовать трафик, поступающий в сеть, применение списков доступа может оказаться похожим на стрельбу из пушки по воробьям, и самым заметным результатом этого станет ненужный рост нагрузки. Выполнить поставленную задачу можно более оптимальным способом. В Cisco IOS путем указания программного интерфейса Null О можно создавать статические маршруты. Интерфейс Null 0 не существует на маршрутизаторе ни как физический, ни как логический, ни как виртуальный интерфейс; он присутствует только в программном обеспечении IOS. Это важно знать в том случае, когда ощущается нехватка ресурсов центрального процессора и полосы пропускания. Описанная техника часто применяется при возникновении перегрузки маршрутизатора в производственной среде.
По возможности попрактикуйтесь в применении этой техники на маршрутизаторах Cisco. Для успешной сдачи экзамена ACRC необходимо хорошее знание данного вопроса.
Теоретический курс
Интерфейс Null 0 применяется как мусорная корзина: пакеты, направляемые на этот интерфейс, никак не обрабатываются центральным процессором и отбрасываются. Фиктивные интерфейсы часто используются лишь для этой цели; они не занимают ресурсов процессора. Передача пакетов на Null 0 осуществляется путем внесения соответствующей записи в таблицу маршрутизации. В таблицу добавляется статический маршрут следующего типа:
ip route [целевой адрес] [маска] null О
Если в таблице есть такая запись, все пакеты, направляемые по указанному целевому адресу, пересылаются на Null 0 и там уничтожаются. Это эффективный способ предотвращения передачи нежелательного трафика по WAN, так как подобный статический маршрут можно реализовать где угодно. Статические маршруты Null 0 удобно также использовать для объединения маршрутов, подлежащих распространению на другие протоколы маршрутизации. Например, если имеется множество 30-разрядных сетей и нужно объединить их для протокола внутренней маршрутизации, то можно создать один статический маршрут на Null 0 и провести объединение, а затем распространить статическую информацию.
Практический курс
На рис. 2.2 показано, что сеть 10.1.2.0 связана с маршрутизатором С. Воспользовавшись командой null 0, можно запретить передачу пакетов по WAN в сеть 10.1.2.0. Если на маршрутизатор А поступит пакет, предназначенный для сети 10.1. 2.0, он будет передан по статическому маршруту в мусорную корзину Null 0.
Рис. 2.2. Статический маршрут на Null О
Приведем пример конфигурации для блокировки пакетов, предназначенных для передачи в сеть 10.1.2.0:
RouterA#conf t
RouterA(config)#ip route 10.1.2.0 255.255.255.0 null 0
RouterA(config)#~Z
Настройка адресов поддержки IP для управления трафиком рассылок
Для предотвращения широковещательного шторма маршрутизаторы по умолчанию не передают широковещательные сообщения дальше. Такая политика в общем оправданна, но иногда вызывает проблемы. Что делать в тех случаях, когда клиенту нужен доступ к серверу в другой сети? Если клиенту не известен IP-адрес сервера, он посылает широковещательный запрос, но маршрутизатор не пропустит широковещательное сообщение, и сервер не получит запрос. Подобные проблемы встречаются довольно часто, так как протокол IP широко используется. Серверы DHCP, серверы ВоotP и т.п. являются неотъемлемой частью современных сетей. При работе в больших сетевых комплексах важно понимать, зачем нужна рассматриваемая функция, и уметь ее реализовывать.
Полезно выучить номера портов по умолчанию, включенных при использовании адресов поддержки IP и протоколов пересылки.
Теоретический курс
В операционной системе Cisco IOS предусмотрено специальное средство для маршрутизаторов, по умолчанию не транслирующих широковещательные сообщения. Это команда ip helper-address. Адреса поддержки преобразуют широковещательное сообщение в одноадресный пакет (unicast), передаваемый на сервер. Синтаксис команды:
ip helper-address адрес
Команда ip helper-address no умолчанию выполняет пересылку сообщений восьми протоколов и портов (указаны в скобках):
• TFTP (69)
• DNS (53)
• Time (37)
• TACACS (49)
• Клиент ВООТР (68) " Сервер ВООТР (67)
• Служба имен NetBIOS (137)
• Служба датаграмм NetBIOS (138)
Вместе с IP-адресом поддержки можно использовать команду forward-protocol. Она позволяет точно определить типы рассылок, которые команда ip helper-address должна преобразовывать и транслировать. Синтаксис команды forward-protocol:
ip forward-protocol [udp[порт] | nd \ sdns]
Эта команда разрешает/запрещает обработку рассылок с определенными номерами портов UDP и, кроме того, применяется к интерфейсу с адресом поддержки IP. По своему действию команда похожа на список доступа.
Практический курс
Для того чтобы интерфейс LAN маршрутизатора передавал широковещательные сообщения на сервер, расположенный в другой подсети, применяется команда ip helper-address. Приведем пример ее использования:
Рис. 2.3. Настройка адреса поддержки
Router_A#conf t Router_A(config)#int eO
Router_A(config-int)#ip helper-address 172.16.30.10
Router_A(config-int)#~Z Router_A#
Обратите внимание, что для порта Ethernet указан IP-адрес сервера. Этот интерфейс примет широковещательное сообщение, а затем преобразует его в одноадресный пакет с целевым IP-адресом 172.16.30.10.
Если несколько серверов находятся в одной подсети, а клиент - в другой, можно указать широковещательный адрес подсети серверов. Маршрутизатор преобразует широковещательное сообщение в многоадресный пакет, как показано на рис. 2.3.
В приведенном ниже листинге выполняется настройка адреса поддержки для нескольких серверов в одной подсети:
Router_A#conf t
Router_A(config)#int eO
Router_A(config-int)#ip helper-address 172.16.30.255
Router_A(config-int)#~Z
Router_A#
Если серверы расположены в разных подсетях (см. рис. 2.4), необходимо определить для интерфейса несколько строк ip helper-address.
Рис. 2.4. Несколько серверов и несколько подсетей
Процесс настройки будет выглядеть примерно так:
Router_A#conf t
Router_A(config)#int eO
Router_A(config-int)#ip helper-address 172.16.30.255
Router_A(config-int)#ip helper-address 172.16.20.255
Router_A(config-int)#~Z Router_A#
Для того чтобы маршрутизатор транслировал только определенные виды широковещательных сообщений, служит команда forward-protocol. Как упоминалось выше, по умолчанию при использовании команды ip helper-address транслируются широковещательные сообщения для восьми портов. С помощью команды ip forward-protocol можно отключить трансляцию для некоторых из этих портов. Ниже приведен пример совместного применения команд ip forward-protocol и ip helper-address:
Router_A#conf t
Router_A(config)#int eO
Router_A(config-int)#ip helper-address 172.16.30.10
Router_A(config-int)#exit
Router_A(config)#no ip forward-protocol udp 69
Router_A(config)#no ip forward-protocol udp 37
Router_A(config)#no ip forward-protocol udp 49
Router_A(config)#no ip forward-protocol udp 68
Router_A(config)#no ip forward-protocol udp 137
Router_A(config)#no ip forward-protocol udp 138
Router_A(config)#~Z
Router_A#
Обратите внимание, что ip forward-protocol является глобальной командой, а не командой настройки интерфейса. В приведенном примере через интерфейс EthernetO будут проходить широковещательные запросы BootP и DNS на сервер 172.16.30.10. Все остальные широковещательные запросы блокируются командой ip forward-protocol.
Документ
Категория
Рефераты
Просмотров
52
Размер файла
592 Кб
Теги
глава
1/--страниц
Пожаловаться на содержимое документа