Главная страница
Навигация по странице:

  • 8.2 Типы списков доступа

  • 9.1 Преимущества Wi - Fi

  • 9.2 Недостатки Wi - Fi

  • Конфигурация маршрутизатора Inet

  • Конфигурация маршрутизатора Access

  • Конфигурация маршрутизатора internet

  • Конфигурация маршрутизатора interenet_r

  • Сетевые информационные технологии. В построенной сети необходимо произвести следующие настройки


    Скачать 0.84 Mb.
    НазваниеВ построенной сети необходимо произвести следующие настройки
    АнкорСетевые информационные технологии
    Дата09.03.2020
    Размер0.84 Mb.
    Формат файлаdoc
    Имя файлаPZ_seti_Grozin.doc
    ТипДокументы
    #111293
    страница6 из 6
    1   2   3   4   5   6

    8 КОНТРОЛЬ ДОСТУПА ACL


    Одной из наиболее часто встречающихся задач по администрированию маршрутизаторов Cisco является настройка списков контроля доступа (ACL). К сожалению, управление списками контроля доступа с помошью традиционного интерфейса командной строки реализовано не вполне удобно. В режиме настройки маршрутизатора Cisco вы можете только добавлять правила в конец списка контроля доступа, не имея возможности редактировать или удалять правила из середины списка. Таким образом, для того, чтобы исправить правило в списке контроля доступа, вам необходимо сначала удалить весь список, а затем заново создать его, внося необходимые исправления по мере добавления правил. Нет нужды доказывать, что редактирование списков контроля доступа таким образом крайне неудобно.

    Для того, чтобы избежать необходимости создания списка вручную, можно скопировать файл конфигурации на сервер TFTP, отредактировать его в текстовом редакторе, после чего скопировать файл конфигурации обратно на устройство. Подобный подход экономит время в случае редактирования больших списоков контроля доступа. Однако, он все равно требует определенного объема работы: необходимо развернуть сервер TFTP, вручную выполнить ряд команд для копирования конфигурационныех файлов. К тому же, в случае, если устройство находится за NAT либо фильтрующим файрволом, определенную сложность представляет настройка сервера TFTP[1].
      1. 8.1 IOS Config Editor


    WinAgents IOS Config Editor, упрощает редактирование списков контроля доступа. Программа содержит встроенный сервер TFTP, поддерживающий работу через файрвол либо NAT. Используя протокол SNMP, программа выполняет копирование файлов конфигурации устройства на внутренний сервер TFTP. Полученные файлы вы редактируете в удобном редакторе с подсветкой синтаксиса, внося необходимые изменения в списки контроля доступа. Как только исправления будут внесены, вы можете скопировать конфигурационные файлы обратно на устройство одним щелчком мыши. При сохранении конфигурации вы можете выбрать способ копирования – копирование либо объединение изменений со стартовым и выполняемым файлами конфигурации устройства.

    Рассмотрим процесс редактирования списка контроля доступа подробнее. Предположим, у нас имеется следующий список контроля доступа:

    access-list 101 permit ip any host 192.168.1.1

    access-list 101 permit ip host 192.168.1.1 any

    access-list 101 deny ip any any

    Путь требуется добавить в начало списка строку:

    access-list 101 permit ip any host 192.168.1.2

    Для этого мы добавим наше устройство в дерево устройств IOS Config Editor (смотрите соответствующий раздел документации для получения дополнительной информации). Затем развернем добавленное устройство и получим файл конфигурации, сделав двойной щелчек по одному из узлов конфигурации устройства. Программа подключится к устройству и откроет файл конфигурации устройства в редакторе. Найдем интересующий нас список контроля доступа и вставим перед ним команду удаления (no access-list 101). Это необходимо для первоначальной очистки списка. Затем вставим новое правило в список. Список контроля доступа примет следующий вид:

    no access-list 101

    access-list 101 permit ip any host 192.168.1.2

    access-list 101 permit ip any host 192.168.1.1

    access-list 101 permit ip host 192.168.1.1 any

    access-list 101 deny ip any any
      1. 8.2 Типы списков доступа


    1. Стандартный (проверяется исходный адрес пакета, log-input дополнительно сбрасывает в журнал интерфейса, с которого пришел пакет);

    2. Расширенный (исходный, конечный адрес, флаги и т.д.);

    3. Динамический - Lock-and-Key Security (разрешает временный доступ по результатам авторизации пользователя).
      1. 8.3 Настройка контроля доступа с помощью access-листов


    Настройка контроля доступа с помощью access-листов на маршрутизаторе inet, (рисунок 1).

    Router (config)# access-list 127 deny ip 13.1.1.0 0.0.0.255 2.1.0.0 0.0.255.255

    Router (config)# access-list 127 permit ip any any.

    Настройка контроля доступа с помощью access-листов на маршрутизаторе internet_r (рисунок 1).

    Router (config)# access-list 126 deny ip 13.1.1.0 0.0.0.255 2.1.5.0 0.0.0.255

    Router (config)# access-list 126 deny ip 20.4.17.96 0.0.0.15 2.1.5.0 0.0.0.255

    Router (config)# access-list 126 permit ip any any

    Настройка контроля доступа с помощью access-листов на маршрутизаторе access (рисунок 1).

    Router (config)# access-list 128 deny ip 13.1.1.0 0.0.0.255 10.5.0.0 0.0.255.255

    Router (config)# access-list 128 deny ip 20.4.17.96 0.0.0.15 10.5.0.0 0.0.255.255

    Router (config)# access-list 128 permit ip any any

    Результатом данных access-листов получится то, что компьютер manager имеющий ip-адрес 13.1.1.2 не будет иметь доступ к сети 10.5.0.0 и 10.30.0.0 по протоколу ip, а все остальные из других подсетей будут иметь доступ к сети 10.5.0.0 10.30.0.0, так как строка access-листа access-list «номер листа» permit ip any any разрешает доступ всем.

    Подключение вышеуказанного access листа к интерфейсу FastEthernet1/0 маршрутизатора inet (рисунок 1).

    Router(config-if)# ip access-group 127 in

    Подключение вышеуказанного access листа к интерфейсу FastEthernet1/0 маршрутизатора internet_r(рисунок 1).

    Router(config-if)# ip access-group 126 in

    Подключение вышеуказанного access листа к интерфейсу Serial0/3/0 маршрутизатора access (рисунок 1).

    Router(config-if)# ip access-group 128 in

    1. WI-FI - ТЕХНОЛОГИИ


    Wireless Fidelity ‒ стандарт на оборудование для широкополосной радиосвязи, предназначенной для организации локальных беспроводных сетей Wireless LAN. Установка таких сетей рекомендуется там, где развёртывание кабельной системы невозможно или экономически нецелесообразно. Разработан консорциумом Wi-Fi Alliance на базе стандартов IEEE 802.11.

    Беспроводной интернет на мобильные устройства (КПК, смартфоны и ноутбуки), оснащённые клиентскими Wi-Fi приёмо-передающими устройствами, могут подключаться к локальной сети и получать доступ в интернет через так называемые точки доступа или хотспоты.

    Хотспот ‒ участок местности (например, помещение офиса, кафе, кампуса, станция метро), где при помощи портативного устройства (ноутбука или наладонника), работающего по беспроводному протоколу радиодоступа Wi-Fi, можно получить доступ к интернету (реже ‒ к корпоративному интернету). Так, многие кафе делают бесплатные хотспоты для привлечения посетителей и как дополнительный сервис.

    «Точка доступа» «беспроводной коммутатор» (Access Point). Наиболее важный элемент беспроводных сетей – «точка доступа» (на английском языке Wireless Access Point или просто Wireless AP). Если требуется не только объединить компьютеры в беспроводную сеть, но и соединить этот сегмент сети с проводным, то самый простой способ ‒ установка так называемой «точки доступа». При использовании точки доступа, вы фактически имеете выделенное сетевое устройство, работа которого не зависит ни от загруженности других ПК, ни от их конфигурации, что является несомненным плюсом.


      1. 9.1 Преимущества Wi-Fi


    Существует несколько преимуществ технологии Wi-Fi:

    • позволяет развернуть сеть без прокладки кабеля, может уменьшить стоимость развёртывания и расширения сети. Места, где нельзя проложить кабель, например, вне помещений и в зданиях, имеющих историческую ценность, могут обслуживаться беспроводными сетями.

    - Wi-Fi-устройства широко распространены на рынке. А устройства разных производителей могут взаимодействовать на базовом уровне сервисов.

    • Wi-Fi сети поддерживают роуминг, поэтому клиентская станция может перемещаться в пространстве, переходя от одной точки доступа к другой.

    • Wi-Fi — это набор глобальных стандартов. В отличие от сотовых телефонов, Wi-Fi оборудование может работать в разных странах по всему миру.
      1. 9.2 Недостатки Wi-Fi


    Некоторые недостатки технологии Wi-Fi:

    • довольно высокое по сравнению с другими стандартами потребление энергии, что уменьшает время жизни батарей и повышает температуру устройства.

    • Wi-Fi имеют ограниченный радиус действия. Типичный домашний Wi-Fi маршрутизатор стандарта 802.11b или 802.11g имеет радиус действия 45 м в помещении и 90 м снаружи. Расстояние зависит также от частоты. Wi-Fi в диапазоне 2.4 ГГц работает дальше, чем Wi-Fi в диапазоне 5 ГГц, и имеет радиус меньше, чем Wi-Fi (и пре-Wi-Fi) на частоте 900 МГц. На самом деле, с позиции безопасности, небольшой радиус действия является преимуществом. Т.е. с учетом того, что большинство точек доступа либо не имеют защиты, либо используют шифрование WEP с известными уязвимостями ( 80-90%), для того, чтобы найти сеть, нужно оказаться в зоне ее действия, а чем меньше зона действия - тем сложнее это сделать!

    • наложение сигналов закрытой или использующей шифрование точки доступа и открытой точки доступа, работающих на одном или соседних каналах может помешать доступу к открытой точке доступа. Эта проблема может возникнуть при большой плотности точек доступа, например, в больших многоквартирных домах, где многие жильцы ставят свои точки доступа Wi-Fi.

    • неполная совместимость между устройствами разных производителей или неполное соответствие стандарту может привести к ограничению возможностей соединения или уменьшению скорости.



    Рисунок 10 – Настройка точки доступа Wi-Fi
    ЗАКЛЮЧЕНИЕ

    Данный курсовой проек выполнялся в эмуляторе Cisco Packet Tracer v 5.3.3. Работы выполнена согласно задания выданного преподавателем. При выполнении были использованы команды настройки статической и динамической маршрутизации для связи нескольких подсетей, команды настройки VPN – сервера для работы 2-х компьютеров в сети, команды настройки доступа к ресурсам сети, так же в проекте настроены DNS и WEB серверы.

    Компьютеры сети 2.1.0.0 имеют доступ ко всем ресурсам (к глобальным и локальным WEB серверам). В подсети 2.1.0.0 – 2.1.3.0 настроена динамическая маршрутизация между сетями 2.1.4.0 и 2.1.14.0 что обеспечивает доступ сети 2.1.15.0 к локальным и глобальным серверам. На маршрутизаторе ineternet настроен NAT, т.е все компьютеры сети 2.1.17.0 проходят через NAT. На маршрутизаторе internet настроен VPN-сервер для подключения компьютера системного администратора который для которого нет ни каких ограничений в плане доступа к серверам и подсетям. Для компьютера менеджера настроены ограничения в плане доступа к глобальным web-серверам (доступ закрыт), для менеджера открыт доступ только к локальному web-серверу. Компьютер менеджера подключается к серверу VPN.

    При подключении менеджера к серверу VPN он имеет доступ только к локальным сетевым ресурсам. При подключении компьютера системного администратора к серверу VPN он имеет полный доступ ко всем ресурсам сети, как к локальным, так и к глобальным. Локальный сервер DNS настроен таким образом, если при обращении к серверу в нем нет такого адреса, то пакет будет перенаправлен на глобальный сервер DNS (DNS1 и DNS2).

    В сети 192.168.0.0 установлена и настроена точка доступа Wi-Fi, которая по DHCP раздает ip – адреса ноутбукам из этой сети.

    Проект выполнен полностью в соответствии с заданием и работает без сбоев.

    Список литературы

    1 Бонни Дж. Руководство по Cisco IOS/ Бонни Дж. Санкт-Петербург изд. Русская редакция, 2007 год. – 240 с.

    2 Брайан Хилл. Полный справочник по CISCO/ Брайан Хилл. Москва, изд. Вильямс, 2006 год. – 150 с.

    3. Хабракен Джо. Как работать с маршрутизаторами Cisco/ Хабракен Джо,Санкт-Петербург изд. Русская редакция, 2005 год. – 316 с.

    4. Олифер В.Г. Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы/ Олифер В.Г. Олифер Н.А. изд. Питер, 2010 год, − 994 с.

    5. Глушаков С.В. Хачиров Т.С. Настраиваем сеть своими руками/ Глушаков С.В. Хачиров Т.С. изд. Фолио АСТ, 2008 год − 96 с.

    6. Романец Ю. В. Тимофеев П. А., Шаньгин В. Ф. Защита информации в компьютерных системах и сетях/ Романец Ю. В. Тимофеев П. А., Шаньгин В. Ф. изд. Радио и связь, 2002 год −328 с.
    1. ПРИЛОЖЕНИЕ А



    Конфигурация_маршрутизатора_Inet'>Конфигурация маршрутизатора Inet
    Router#sh running-config

    Building configuration...
    Current configuration : 1855 bytes

    !

    version 12.4

    no service timestamps log datetime msec

    no service timestamps debug datetime msec

    no service password-encryption

    !

    hostname Router

    !

    aaa new-model

    !

    aaa authentication login grozin local

    !

    aaa authorization network project1 local

    !

    username admin password 0 admin

    !

    crypto isakmp policy 10

    encr aes 256

    authentication pre-share

    group 2

    !

    crypto isakmp client configuration group group

    key key

    pool qaz

    netmask 255.255.255.0

    !

    crypto isakmp client configuration group gr

    key ke

    pool men

    netmask 255.255.255.0

    !

    !

    crypto ipsec transform-set tr esp-3des esp-sha-hmac

    !

    crypto dynamic-map m 10

    set transform-set tr

    reverse-route

    !

    crypto map m client authentication list project1

    crypto map m isakmp authorization list project1

    crypto map m client configuration address respond

    crypto map m 10 ipsec-isakmp dynamic m

    !

    ip ssh version 1

    ip name-server 0.0.0.0

    !

    interface FastEthernet0/0

    ip address 2.1.14.2 255.255.255.0

    ip nat inside

    duplex auto

    speed auto

    !

    interface FastEthernet0/1

    ip address 2.1.15.2 255.255.255.0

    ip nat inside

    duplex auto

    speed auto

    !

    interface FastEthernet1/0

    ip address 2.1.15.1 255.255.255.0

    ip access-group 127 in

    ip nat outside

    crypto map m

    !

    interface Vlan1

    no ip address

    shutdown

    !

    router ospf 100

    log-adjacency-changes

    network 2.1.0.0 0.255.255.255 area 0

    network 2.0.0.0 0.255.255.255 area 0

    !

    ip local pool qaz 2.1.14.1 2.1.14.100

    ip nat pool work 2.1.15.1 2.1.15.4 netmask 255.255.0.0

    ip nat inside source list 1 pool work

    ip classless

    ip route 0.0.0.0 0.0.0.0 2.1.15.2

    !

    access-list 127 deny ip 2.1.1.0 0.0.0.255 2.1.5.0 0.0.255.255

    access-list 127 permit ip any any

    access-list 1 permit 2.1.5.0 0.0.255.255

    !

    radius-server host 2.1.12.3 auth-port 1645 key cisco

    !

    line con 0

    login

    line vty 0 4

    login

    end
    1. ПРИЛОЖЕНИЕ Б



    Конфигурация маршрутизатора Access
    Router#show running-config

    Building configuration...
    Current configuration : 1722 bytes

    !

    version 12.4

    no service timestamps log datetime msec

    no service timestamps debug datetime msec

    no service password-encryption

    !

    hostname Router

    !

    ip name-server 0.0.0.0

    !

    interface FastEthernet0/0

    no ip address

    duplex auto

    speed auto

    !

    interface FastEthernet0/0.10

    encapsulation dot1Q 10

    ip address 2.1.0.1 255.255.255.0

    !

    interface FastEthernet0/0.11

    encapsulation dot1Q 11

    ip address 2.1.1.1 255.255.255.0

    !

    interface FastEthernet0/0.12

    encapsulation dot1Q 12

    ip address 2.1.2.1 255.255.255.0

    !

    interface FastEthernet0/1

    ip address 2.1.3.1 255.255.255.0

    duplex auto

    speed auto

    !

    interface Serial0/3/0

    ip address 2.1.3.1 255.255.255.0

    ip access-group 128 in

    !

    interface FastEthernet1/0

    ip address 2.1.4.1 255.255.255.0

    duplex auto

    speed auto

    !

    interface FastEthernet1/1

    no ip address

    duplex auto

    speed auto

    shutdown

    !

    interface Vlan1

    no ip address

    shutdown

    !

    router ospf 100

    log-adjacency-changes

    network 10.0.0.0 0.255.255.255 area 0

    network 20.0.0.0 0.255.255.255 area 0

    !

    ip classless

    ip route 0.0.0.0 0.0.0.0 20.4.15.2

    ip route 0.0.0.0 0.0.0.0 20.4.18.2 2

    !

    access-list 128 deny ip 13.1.1.0 0.0.0.255 10.5.0.0 0.0.255.255

    access-list 128 deny ip 20.4.17.96 0.0.0.15 10.5.0.0 0.0.255.255

    access-list 128 permit ip any any

    !

    ip dhcp excluded-address 10.5.0.3

    !

    ip dhcp pool vlan10

    network 10.5.0.0 255.255.255.192

    default-router 10.5.0.1

    dns-server 10.66.12.251

    ip dhcp pool vlan11

    network 10.5.0.64 255.255.255.192

    default-router 10.5.0.65

    dns-server 10.66.12.251

    ip dhcp pool vlan12

    network 10.5.0.128 255.255.255.192

    default-router 10.5.0.129

    dns-server 10.66.12.251

    !

    no cdp run

    !

    line con 0

    line vty 0 4

    login
    1. ПРИЛОЖЕНИЕ В



    Конфигурация маршрутизатора internet
    Router#show running-config

    Building configuration...
    Current configuration : 976 bytes

    !

    version 12.2

    no service timestamps log datetime msec

    no service timestamps debug datetime msec

    no service password-encryption

    !

    hostname Router

    !

    ip name-server 0.0.0.0

    !

    interface FastEthernet0/0

    ip address 10.66.66.1 255.255.255.0

    duplex auto

    speed auto

    !

    interface FastEthernet1/0

    ip address 13.1.1.1 255.255.255.0

    duplex auto

    speed auto

    !

    interface Serial2/0

    ip address 20.4.18.2 255.255.255.0

    clock rate 9600

    !

    interface FastEthernet4/0

    ip address 20.4.15.2 255.255.255.0

    !

    interface FastEthernet5/0

    ip address 10.176.66.1 255.255.255.0

    !

    interface FastEthernet6/0

    ip address 13.1.2.1 255.255.255.0

    duplex auto

    speed auto

    !

    router ospf 100

    log-adjacency-changes

    network 20.0.0.0 0.255.255.255 area 0

    network 10.0.0.0 0.255.255.255 area 0

    network 13.0.0.0 0.255.255.255 area 0

    !

    ip classless

    ip route 0.0.0.0 0.0.0.0 20.4.15.1

    ip route 0.0.0.0 0.0.0.0 20.4.18.1 2

    !

    line con 0

    line vty 0 4

    login

    !

    End

    1. ПРИЛОЖЕНИЕ Г



    Конфигурация маршрутизатора interenet_r
    Router#show running-config

    Building configuration...
    Current configuration : 883 bytes

    !

    version 12.4

    no service timestamps log datetime msec

    no service timestamps debug datetime msec

    no service password-encryption

    !

    hostname Router

    !

    ip name-server 0.0.0.0

    interface FastEthernet0/0

    ip address 10.30.5.1 255.255.255.128

    duplex auto

    speed auto

    !

    interface FastEthernet0/1

    ip address 10.30.5.129 255.255.255.128

    duplex auto

    speed auto

    !

    interface FastEthernet1/0

    ip address 10.176.66.2 255.255.255.0

    ip access-group 126 in

    !

    interface Vlan1

    no ip address

    shutdown

    !

    router ospf 100

    log-adjacency-changes

    network 10.0.0.0 0.255.255.255 area 0

    !

    ip classless

    ip route 0.0.0.0 0.0.0.0 10.176.66.1

    !

    !

    access-list 126 deny ip 13.1.1.0 0.0.0.255 10.30.5.0 0.0.0.255

    access-list 126 deny ip 20.4.17.96 0.0.0.15 10.30.5.0 0.0.0.255

    access-list 126 permit ip any any

    !

    no cdp run

    !

    line con 0

    line vty 0 4

    login

    !

    end


    1   2   3   4   5   6


    написать администратору сайта