Главная » Статьи » Компьютерные сети » Пакетные фильтры (ACL) и их конфигурирование

Пакетные фильтры (ACL) и их конфигурирование

Списки доступа (Access Lists)

Списки доступа (access-lists) используются в целом ряде случаев и являются общим механизмом задания условий, которые роутер проверяет перед выполнением каких-либо действий. Некоторые примеры использования списков доступа:

  • Управление передачей пакетов на интерфейсах
  • Управление доступом к виртуальным терминалам роутера и управлению через SNMP
  • Ограничение информации, передаваемой динамическими протоколами роутинга

Конфигурирование списков доступа

Списки доступа либо нумеруются, либо именуются. Использование нумерованных, либо именованных списков доступа определяется их применением (некоторые протоколы требуют использования только нумерованных списков, некоторые - допускают как именованные, так и нумерованные списки).

Если используются нумерованные списки, то номера их должны лежать в определенных диапазонах, в зависимости от области применения списка.

Задачи и правила построения списков доступа для различных протоколов различны, но, в общем, можно выделить два этапа работы с любыми списками доступа. Сначала, необходимо создать список доступа, затем применить его к соответствующему интерфейсу, линии или логической операции, выполняемой роутером.

Создание списков доступа (краткий обзор)

Списки доступа определяют критерии, на соответствие которым проверяется каждый пакет, обрабатываемый роутером в точке списка доступа.

Типичными критериями являются адреса отправителя и получателя пакета, тип протокола. Однако, для каждого конкретного протокола существует свой собственный набор критериев, которые можно задавать в списках доступа.

Каждый критерий в списке доступа записывается отдельной строкой. Список доступа в целом представляет собой набор строк с критериями, имеющих один и тот же номер (или имя).

Запомните, что дополнение списка новыми критериями производится в конец списка. Запомните также, что нет возможности исключить какой-либо критерий из списка. Есть только возможность стереть весь вписок целиком.

Порядок задания критериев в списке существенен. Проверка пакета на соответствие списку производится последовательным применением критериев из данного списка (в том порядке, в котором они были введены). Если пакет удовлетворяет какому-либо критерию, то дальнейшие проверки его на соответствие следующим критериям в списке - НЕ ПРОИЗВОДЯТСЯ

В конце каждого списка системой добавляется неявное правило. Таким образом, пакет, который не соответствует ни одному из введенных критериев будет отвергнут.

Использование tftp-сервера для создания списков доступа

Поскольку порядок строк в списке доступа очень важен, а также поскольку невозможно изменить этот порядок или исключить какие-либо строки из существующего списка доступа, рекомендуется создавать списки доступа на tftp-сервере и загружать их целиком в роутер, а не пытаться редактировать их на роутере.

Не забывайте, что если список доступа с данным номером (именем) существует, то строки с тем же номером (именем) будут добавляться к существующему списку в конец его. Поэтому, первой строкой в файле, содержащем описание списка доступа для загрузки с tftp-сервера, должна стоять команда отмены данного списка "no access-list ".

Назначение списков доступа на интерфейсы (Обзор)

Для каждого протокола на интерфейс может быть назначен только один список доступа.

Для большинства протоколов можно задать раздельные списки для разных направлений траффика.

Если список доступа назначен на входящий через интерфейс траффик, то при получении пакета, ротуер проверяет критерии, заданные в списке. Если пакет разрешен данным списком, то он передается для дальнейшей обработки. Если пакет запрещен, то он отбрасывается.

Если список доступа назначен на выходящий через интерфейс траффик, то после приянтия решения о передаче пакета через данный интерфейс роутер проверяет критерии, заданные в списке. Если пакет разрешен данным списком, то он передается в интерфейс. Если пакет запрещен, то он отбрасывается.

Не забывайте, что в конце каждого списка стоит неявное правило "deny all", поэтому при назначении списков на интерфейс нужно следить, чтобы явно разрешить все виды необходимого траффика через интерфейс (не только пользовательского, но и служебного, например, обмен информацией по протоколам динамического роутинга).

Источник: ciscolab.ru 

Write a comment

  • Required fields are marked with *.

If you have trouble reading the code, click on the code itself to generate a new random code.
 
 
Рейтинг@Mail.ru Rambler's Top100
http://izabel-salon.ru Электроэпиляция цены Москва;smart baby watch gps q50