|
|
Сетевые информационные технологии. В построенной сети необходимо произвести следующие настройки
8 КОНТРОЛЬ ДОСТУПА ACL
Одной из наиболее часто встречающихся задач по администрированию маршрутизаторов Cisco является настройка списков контроля доступа (ACL). К сожалению, управление списками контроля доступа с помошью традиционного интерфейса командной строки реализовано не вполне удобно. В режиме настройки маршрутизатора Cisco вы можете только добавлять правила в конец списка контроля доступа, не имея возможности редактировать или удалять правила из середины списка. Таким образом, для того, чтобы исправить правило в списке контроля доступа, вам необходимо сначала удалить весь список, а затем заново создать его, внося необходимые исправления по мере добавления правил. Нет нужды доказывать, что редактирование списков контроля доступа таким образом крайне неудобно.
Для того, чтобы избежать необходимости создания списка вручную, можно скопировать файл конфигурации на сервер TFTP, отредактировать его в текстовом редакторе, после чего скопировать файл конфигурации обратно на устройство. Подобный подход экономит время в случае редактирования больших списоков контроля доступа. Однако, он все равно требует определенного объема работы: необходимо развернуть сервер TFTP, вручную выполнить ряд команд для копирования конфигурационныех файлов. К тому же, в случае, если устройство находится за NAT либо фильтрующим файрволом, определенную сложность представляет настройка сервера TFTP[1].
8.1 IOS Config Editor
WinAgents IOS Config Editor, упрощает редактирование списков контроля доступа. Программа содержит встроенный сервер TFTP, поддерживающий работу через файрвол либо NAT. Используя протокол SNMP, программа выполняет копирование файлов конфигурации устройства на внутренний сервер TFTP. Полученные файлы вы редактируете в удобном редакторе с подсветкой синтаксиса, внося необходимые изменения в списки контроля доступа. Как только исправления будут внесены, вы можете скопировать конфигурационные файлы обратно на устройство одним щелчком мыши. При сохранении конфигурации вы можете выбрать способ копирования – копирование либо объединение изменений со стартовым и выполняемым файлами конфигурации устройства.
Рассмотрим процесс редактирования списка контроля доступа подробнее. Предположим, у нас имеется следующий список контроля доступа:
access-list 101 permit ip any host 192.168.1.1
access-list 101 permit ip host 192.168.1.1 any
access-list 101 deny ip any any
Путь требуется добавить в начало списка строку:
access-list 101 permit ip any host 192.168.1.2
Для этого мы добавим наше устройство в дерево устройств IOS Config Editor (смотрите соответствующий раздел документации для получения дополнительной информации). Затем развернем добавленное устройство и получим файл конфигурации, сделав двойной щелчек по одному из узлов конфигурации устройства. Программа подключится к устройству и откроет файл конфигурации устройства в редакторе. Найдем интересующий нас список контроля доступа и вставим перед ним команду удаления (no access-list 101). Это необходимо для первоначальной очистки списка. Затем вставим новое правило в список. Список контроля доступа примет следующий вид:
no access-list 101
access-list 101 permit ip any host 192.168.1.2
access-list 101 permit ip any host 192.168.1.1
access-list 101 permit ip host 192.168.1.1 any
access-list 101 deny ip any any
8.2 Типы списков доступа
1. Стандартный (проверяется исходный адрес пакета, log-input дополнительно сбрасывает в журнал интерфейса, с которого пришел пакет);
2. Расширенный (исходный, конечный адрес, флаги и т.д.);
3. Динамический - Lock-and-Key Security (разрешает временный доступ по результатам авторизации пользователя).
8.3 Настройка контроля доступа с помощью access-листов
Настройка контроля доступа с помощью access-листов на маршрутизаторе inet, (рисунок 1).
Router (config)# access-list 127 deny ip 13.1.1.0 0.0.0.255 2.1.0.0 0.0.255.255
Router (config)# access-list 127 permit ip any any.
Настройка контроля доступа с помощью access-листов на маршрутизаторе internet_r (рисунок 1).
Router (config)# access-list 126 deny ip 13.1.1.0 0.0.0.255 2.1.5.0 0.0.0.255
Router (config)# access-list 126 deny ip 20.4.17.96 0.0.0.15 2.1.5.0 0.0.0.255
Router (config)# access-list 126 permit ip any any
Настройка контроля доступа с помощью access-листов на маршрутизаторе access (рисунок 1).
Router (config)# access-list 128 deny ip 13.1.1.0 0.0.0.255 10.5.0.0 0.0.255.255
Router (config)# access-list 128 deny ip 20.4.17.96 0.0.0.15 10.5.0.0 0.0.255.255
Router (config)# access-list 128 permit ip any any
Результатом данных access-листов получится то, что компьютер manager имеющий ip-адрес 13.1.1.2 не будет иметь доступ к сети 10.5.0.0 и 10.30.0.0 по протоколу ip, а все остальные из других подсетей будут иметь доступ к сети 10.5.0.0 10.30.0.0, так как строка access-листа access-list «номер листа» permit ip any any разрешает доступ всем.
Подключение вышеуказанного access листа к интерфейсу FastEthernet1/0 маршрутизатора inet (рисунок 1).
Router(config-if)# ip access-group 127 in
Подключение вышеуказанного access листа к интерфейсу FastEthernet1/0 маршрутизатора internet_r(рисунок 1).
Router(config-if)# ip access-group 126 in
Подключение вышеуказанного access листа к интерфейсу Serial0/3/0 маршрутизатора access (рисунок 1).
Router(config-if)# ip access-group 128 in
WI-FI - ТЕХНОЛОГИИ
Wireless Fidelity ‒ стандарт на оборудование для широкополосной радиосвязи, предназначенной для организации локальных беспроводных сетей Wireless LAN. Установка таких сетей рекомендуется там, где развёртывание кабельной системы невозможно или экономически нецелесообразно. Разработан консорциумом Wi-Fi Alliance на базе стандартов IEEE 802.11.
Беспроводной интернет на мобильные устройства (КПК, смартфоны и ноутбуки), оснащённые клиентскими Wi-Fi приёмо-передающими устройствами, могут подключаться к локальной сети и получать доступ в интернет через так называемые точки доступа или хотспоты.
Хотспот ‒ участок местности (например, помещение офиса, кафе, кампуса, станция метро), где при помощи портативного устройства (ноутбука или наладонника), работающего по беспроводному протоколу радиодоступа Wi-Fi, можно получить доступ к интернету (реже ‒ к корпоративному интернету). Так, многие кафе делают бесплатные хотспоты для привлечения посетителей и как дополнительный сервис.
«Точка доступа» «беспроводной коммутатор» (Access Point). Наиболее важный элемент беспроводных сетей – «точка доступа» (на английском языке Wireless Access Point или просто Wireless AP). Если требуется не только объединить компьютеры в беспроводную сеть, но и соединить этот сегмент сети с проводным, то самый простой способ ‒ установка так называемой «точки доступа». При использовании точки доступа, вы фактически имеете выделенное сетевое устройство, работа которого не зависит ни от загруженности других ПК, ни от их конфигурации, что является несомненным плюсом.
9.1 Преимущества Wi-Fi
Существует несколько преимуществ технологии Wi-Fi:
позволяет развернуть сеть без прокладки кабеля, может уменьшить стоимость развёртывания и расширения сети. Места, где нельзя проложить кабель, например, вне помещений и в зданиях, имеющих историческую ценность, могут обслуживаться беспроводными сетями.
- Wi-Fi-устройства широко распространены на рынке. А устройства разных производителей могут взаимодействовать на базовом уровне сервисов.
Wi-Fi сети поддерживают роуминг, поэтому клиентская станция может перемещаться в пространстве, переходя от одной точки доступа к другой.
Wi-Fi — это набор глобальных стандартов. В отличие от сотовых телефонов, Wi-Fi оборудование может работать в разных странах по всему миру.
9.2 Недостатки Wi-Fi
Некоторые недостатки технологии Wi-Fi:
довольно высокое по сравнению с другими стандартами потребление энергии, что уменьшает время жизни батарей и повышает температуру устройства.
Wi-Fi имеют ограниченный радиус действия. Типичный домашний Wi-Fi маршрутизатор стандарта 802.11b или 802.11g имеет радиус действия 45 м в помещении и 90 м снаружи. Расстояние зависит также от частоты. Wi-Fi в диапазоне 2.4 ГГц работает дальше, чем Wi-Fi в диапазоне 5 ГГц, и имеет радиус меньше, чем Wi-Fi (и пре-Wi-Fi) на частоте 900 МГц. На самом деле, с позиции безопасности, небольшой радиус действия является преимуществом. Т.е. с учетом того, что большинство точек доступа либо не имеют защиты, либо используют шифрование WEP с известными уязвимостями (
80-90%), для того, чтобы найти сеть, нужно оказаться в зоне ее действия, а чем меньше зона действия - тем сложнее это сделать!
наложение сигналов закрытой или использующей шифрование точки доступа и открытой точки доступа, работающих на одном или соседних каналах может помешать доступу к открытой точке доступа. Эта проблема может возникнуть при большой плотности точек доступа, например, в больших многоквартирных домах, где многие жильцы ставят свои точки доступа Wi-Fi.
неполная совместимость между устройствами разных производителей или неполное соответствие стандарту может привести к ограничению возможностей соединения или уменьшению скорости.
Рисунок 10 – Настройка точки доступа Wi-Fi
ЗАКЛЮЧЕНИЕ
Данный курсовой проек выполнялся в эмуляторе Cisco Packet Tracer v 5.3.3. Работы выполнена согласно задания выданного преподавателем. При выполнении были использованы команды настройки статической и динамической маршрутизации для связи нескольких подсетей, команды настройки VPN – сервера для работы 2-х компьютеров в сети, команды настройки доступа к ресурсам сети, так же в проекте настроены DNS и WEB серверы.
Компьютеры сети 2.1.0.0 имеют доступ ко всем ресурсам (к глобальным и локальным WEB серверам). В подсети 2.1.0.0 – 2.1.3.0 настроена динамическая маршрутизация между сетями 2.1.4.0 и 2.1.14.0 что обеспечивает доступ сети 2.1.15.0 к локальным и глобальным серверам. На маршрутизаторе ineternet настроен NAT, т.е все компьютеры сети 2.1.17.0 проходят через NAT. На маршрутизаторе internet настроен VPN-сервер для подключения компьютера системного администратора который для которого нет ни каких ограничений в плане доступа к серверам и подсетям. Для компьютера менеджера настроены ограничения в плане доступа к глобальным web-серверам (доступ закрыт), для менеджера открыт доступ только к локальному web-серверу. Компьютер менеджера подключается к серверу VPN.
При подключении менеджера к серверу VPN он имеет доступ только к локальным сетевым ресурсам. При подключении компьютера системного администратора к серверу VPN он имеет полный доступ ко всем ресурсам сети, как к локальным, так и к глобальным. Локальный сервер DNS настроен таким образом, если при обращении к серверу в нем нет такого адреса, то пакет будет перенаправлен на глобальный сервер DNS (DNS1 и DNS2).
В сети 192.168.0.0 установлена и настроена точка доступа Wi-Fi, которая по DHCP раздает ip – адреса ноутбукам из этой сети.
Проект выполнен полностью в соответствии с заданием и работает без сбоев.
Список литературы
1 Бонни Дж. Руководство по Cisco IOS/ Бонни Дж. Санкт-Петербург изд. Русская редакция, 2007 год. – 240 с.
2 Брайан Хилл. Полный справочник по CISCO/ Брайан Хилл. Москва, изд. Вильямс, 2006 год. – 150 с.
3. Хабракен Джо. Как работать с маршрутизаторами Cisco/ Хабракен Джо,Санкт-Петербург изд. Русская редакция, 2005 год. – 316 с.
4. Олифер В.Г. Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы/ Олифер В.Г. Олифер Н.А. изд. Питер, 2010 год, − 994 с.
5. Глушаков С.В. Хачиров Т.С. Настраиваем сеть своими руками/ Глушаков С.В. Хачиров Т.С. изд. Фолио АСТ, 2008 год − 96 с.
6. Романец Ю. В. Тимофеев П. А., Шаньгин В. Ф. Защита информации в компьютерных системах и сетях/ Романец Ю. В. Тимофеев П. А., Шаньгин В. Ф. изд. Радио и связь, 2002 год −328 с.
ПРИЛОЖЕНИЕ А
Конфигурация_маршрутизатора_Inet'>Конфигурация маршрутизатора Inet
Router#sh running-config
Building configuration...
Current configuration : 1855 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
aaa new-model
!
aaa authentication login grozin local
!
aaa authorization network project1 local
!
username admin password 0 admin
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
!
crypto isakmp client configuration group group
key key
pool qaz
netmask 255.255.255.0
!
crypto isakmp client configuration group gr
key ke
pool men
netmask 255.255.255.0
!
!
crypto ipsec transform-set tr esp-3des esp-sha-hmac
!
crypto dynamic-map m 10
set transform-set tr
reverse-route
!
crypto map m client authentication list project1
crypto map m isakmp authorization list project1
crypto map m client configuration address respond
crypto map m 10 ipsec-isakmp dynamic m
!
ip ssh version 1
ip name-server 0.0.0.0
!
interface FastEthernet0/0
ip address 2.1.14.2 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 2.1.15.2 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface FastEthernet1/0
ip address 2.1.15.1 255.255.255.0
ip access-group 127 in
ip nat outside
crypto map m
!
interface Vlan1
no ip address
shutdown
!
router ospf 100
log-adjacency-changes
network 2.1.0.0 0.255.255.255 area 0
network 2.0.0.0 0.255.255.255 area 0
!
ip local pool qaz 2.1.14.1 2.1.14.100
ip nat pool work 2.1.15.1 2.1.15.4 netmask 255.255.0.0
ip nat inside source list 1 pool work
ip classless
ip route 0.0.0.0 0.0.0.0 2.1.15.2
!
access-list 127 deny ip 2.1.1.0 0.0.0.255 2.1.5.0 0.0.255.255
access-list 127 permit ip any any
access-list 1 permit 2.1.5.0 0.0.255.255
!
radius-server host 2.1.12.3 auth-port 1645 key cisco
!
line con 0
login
line vty 0 4
login
end
ПРИЛОЖЕНИЕ Б
Конфигурация маршрутизатора Access
Router#show running-config
Building configuration...
Current configuration : 1722 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
ip name-server 0.0.0.0
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address 2.1.0.1 255.255.255.0
!
interface FastEthernet0/0.11
encapsulation dot1Q 11
ip address 2.1.1.1 255.255.255.0
!
interface FastEthernet0/0.12
encapsulation dot1Q 12
ip address 2.1.2.1 255.255.255.0
!
interface FastEthernet0/1
ip address 2.1.3.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/3/0
ip address 2.1.3.1 255.255.255.0
ip access-group 128 in
!
interface FastEthernet1/0
ip address 2.1.4.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet1/1
no ip address
duplex auto
speed auto
shutdown
!
interface Vlan1
no ip address
shutdown
!
router ospf 100
log-adjacency-changes
network 10.0.0.0 0.255.255.255 area 0
network 20.0.0.0 0.255.255.255 area 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 20.4.15.2
ip route 0.0.0.0 0.0.0.0 20.4.18.2 2
!
access-list 128 deny ip 13.1.1.0 0.0.0.255 10.5.0.0 0.0.255.255
access-list 128 deny ip 20.4.17.96 0.0.0.15 10.5.0.0 0.0.255.255
access-list 128 permit ip any any
!
ip dhcp excluded-address 10.5.0.3
!
ip dhcp pool vlan10
network 10.5.0.0 255.255.255.192
default-router 10.5.0.1
dns-server 10.66.12.251
ip dhcp pool vlan11
network 10.5.0.64 255.255.255.192
default-router 10.5.0.65
dns-server 10.66.12.251
ip dhcp pool vlan12
network 10.5.0.128 255.255.255.192
default-router 10.5.0.129
dns-server 10.66.12.251
!
no cdp run
!
line con 0
line vty 0 4
login
ПРИЛОЖЕНИЕ В
Конфигурация маршрутизатора internet
Router#show running-config
Building configuration...
Current configuration : 976 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
ip name-server 0.0.0.0
!
interface FastEthernet0/0
ip address 10.66.66.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet1/0
ip address 13.1.1.1 255.255.255.0
duplex auto
speed auto
!
interface Serial2/0
ip address 20.4.18.2 255.255.255.0
clock rate 9600
!
interface FastEthernet4/0
ip address 20.4.15.2 255.255.255.0
!
interface FastEthernet5/0
ip address 10.176.66.1 255.255.255.0
!
interface FastEthernet6/0
ip address 13.1.2.1 255.255.255.0
duplex auto
speed auto
!
router ospf 100
log-adjacency-changes
network 20.0.0.0 0.255.255.255 area 0
network 10.0.0.0 0.255.255.255 area 0
network 13.0.0.0 0.255.255.255 area 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 20.4.15.1
ip route 0.0.0.0 0.0.0.0 20.4.18.1 2
!
line con 0
line vty 0 4
login
!
End
ПРИЛОЖЕНИЕ Г
Конфигурация маршрутизатора interenet_r
Router#show running-config
Building configuration...
Current configuration : 883 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
ip name-server 0.0.0.0
interface FastEthernet0/0
ip address 10.30.5.1 255.255.255.128
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.30.5.129 255.255.255.128
duplex auto
speed auto
!
interface FastEthernet1/0
ip address 10.176.66.2 255.255.255.0
ip access-group 126 in
!
interface Vlan1
no ip address
shutdown
!
router ospf 100
log-adjacency-changes
network 10.0.0.0 0.255.255.255 area 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.176.66.1
!
!
access-list 126 deny ip 13.1.1.0 0.0.0.255 10.30.5.0 0.0.0.255
access-list 126 deny ip 20.4.17.96 0.0.0.15 10.30.5.0 0.0.0.255
access-list 126 permit ip any any
!
no cdp run
!
line con 0
line vty 0 4
login
!
end
|
|
|
Скачать 0.84 Mb.