Теоретические сведения. По дисциплине «эксплуатация КС»

ЛАБОРАТОРНАЯ РАБОТА РАБОТА №7

НАСТРОЙКА ИМЕНОВАННЫХ СПИСКОВ КОНТРОЛЯ ДОСТУПА

по дисциплине «Эксплуатация КС»

Составил преподаватель _____________Староверова Е.Л.

Рассмотрено на заседании цикловой

Комиссии специальности 220301

Протокол №________

от «___»____________200___г.

И рекомендовано для студентов

Председатель комиссии _______________Ходжаева Н.Д.

СОДЕРЖАНИЕ

1. Цель работы…………………………………………………………………...3

2. Порядок выполнения работы………………………………………………...3

3. Содержание отчета…………………………………………………………...3

4. Контрольные вопросы………………………………………………………..3

Приложение A. Теоретические сведения……………………………………….4

ЦЕЛЬ РАБОТЫ

1.1 Закрепить полученные навыки в создании именованных ACL списков.

ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ

2.1 Построить проект сети в Cisco Packet Tracer с использованием маршрутизатора и настроить именованные списки согласно примеру в теоретических сведениях

! Проект построенной сети, окно командной строки с командами и результатами их выполнения отразить в отчете

СОДЕРЖАНИЕ ОТЧЕТА

2.1. Цель работы.

2.2. Порядок выполнения работы.

2.3. Выводы по работе.

КОНТРОЛЬНЫЕ ВОПРОСЫ

4.1 Что такое стандартные и расширенные списки контроля доступа?

4.2 Что такое именованные ACL? В чем их отличия от нумерованных списков?

4.3 Принцип работы списков контроля доступа

ПРИЛОЖЕНИЕ А

ТЕОРЕТИЧЕСКИЕ СВЕДЕНИЯ

Именованные списки управления доступом Именованные списки ACL IP имеют много сходств с нумерованными списками ACL IP. Они применяются для фильтрации пакетов, а также для многих других целей. Точно так же, подобно стандартным и расширенным нумерованным спискам ACL, которые отличаются возможностями распознавания пакетов, именованные списки ACL могут быть стандартными и расширенными. Первоначально именованные списки ACL имели три существенных отличия от нумерованных списков ACL.

Различия между именованными и нумерованными списками ACL „

· Вместо номеров для идентификации списков ACL используются имена, облегчающие запоминание причин их применения. „

· Для определения действий и параметров распознавания используются команды подсистемы ACL, а не глобальные команды. „

· Лучшие инструменты редактирования списков ACL.

Изучить конфигурацию именованных списков ACL довольно легко, достаточно преобразовать нумерованный список ACL в именованный эквивалент. Такое преобразование простого стандартного списка ACL номер 1 из трех строк приведено на рис. 8.10. Чтобы создать три подкоманды permit для именованного списка ACL, достаточно скопировать части трех команд нумерованного списка ACL, начиная с ключевого слова permit.

Единственная действительно новая часть конфигурации именованных списков

ACL - это глобальная команда конфигурации ip access_list, которая определяет, является ли список ACL стандартным или расширенным, а также определяетимя. Она также переводит пользователя в режим конфигурации ACL, как видно в следующем примере 8.4. В режиме конфигурации ACL, настраиваются команды permit, deny и remark, которые отражают синтаксис команд access_list нумерованных списков ACL. У стандартных именованных списков ACL эти команды соответствуют синтаксису стандартных нумерованных списков ACL, а у расширенных именованных списков ACL - синтаксису команд расширенных нумерованных списков ACL.

Именованные списки ACL, как уже упоминалось, преодолевают недостаток нумерованных списков ACL относительно редактирования или изменения. Именованные списки ACL изначально позволяют довольно просто удалить команду permit или deny, если использовать перед той же командой приставку no. Пример демонстрирует конфигурацию именованного списка ACL, а затем удаление одной строки из него. Обратите особое внимание на приглашения, которые демонстрируют переход в режим конфигурации ACL

Пример:

______________________________________________________________

Conf t

Enter configuration commands, one per line. End with Ctrl-Z.

Router(config)# ip access_list extended barney

Router(config-ext-nacl)# permit tcp host 10.1.1.2 eq www any

Router(config-ext-nacl)# deny udp host 10.1.1.1 10.1.2.0 0.0.0.255

Router(config-ext-nacl)# deny ip 10.1.3.0 0.0.0.255 10.1.2.0 0.0.0.255

Router(config-ext-nacl)# deny ip 10.1.2.0 0.0.0.255 10.2.3.0 0.0.0.255

Router(config-ext-nacl)# permit ip any any

Router(config-ext-nacl)# interface serial1

Router(config-if)# ip access_group barney out

Router(config-if)# ^Z

Router# show running_config

Building configuration...

Current configuration:

.

! строки пропущены для краткости

interface serial 1

ip access-group barney out

!

ip access-list extended barney

permit tcp host 10.1.1.2 eq www any

deny udp host 10.1.1.1 10.1.2.0 0.0.0.255

deny ip 10.1.3.0 0.0.0.255 10.1.2.0 0.0.0.255

deny ip 10.1.2.0 0.0.0.255 10.2.3.0 0.0.0.255

permit ip any any

Router# conf t

Enter configuration commands, one per line. End with Ctrl-Z.

Router(config)# ip access_list extended barney

Router(config-ext-nacl)# no deny ip 10.1.2.0 0.0.0.255 10.2.3.0 0.0.0.255

Router(config-ext-nacl)# ^Z

Router# show access_list

Extended IP access list barney

10 permit tcp host 10.1.1.2 eq www any

20 deny udp host 10.1.1.1 10.1.2.0 0.0.0.255

30 deny ip 10.1.3.0 0.0.0.255 10.1.2.0 0.0.0.255

50 permit ip any any

________________________________________________________________________________

Пример начинается с создания списка управления доступом, обозначенного именем ‘‘barney’’. С помощью команды ip access_list extended barney создается список управления доступом, ему присваивается имя ‘‘barney’’, после чего пользователь переходит в режим настройки конфигурации списка управления доступом. Эта команда содержит также сведения для системы IOS о том, что ‘‘barney’’ представляет собой расширенный список управления доступом. Затем следуют пять операторов с ключевыми словами permit и deny, которые определяют критерии проверки пакетов и указывают, какие действия должны быть выполнены в случае совпадения параметров пакета с правилом списка. Обратите внимание: команда deny, выделенная серым, удаляется далее в этом примере.

Команда show running_config выводит данные о конфигурации, определяемой именованным списком управления доступом, перед тем как удаляется отдельная запись из списка. Затем с помощью команды no deny ip... удаляется одна запись из списка управления доступом. Обратите внимание на то, что для иллюстрации используется еще одна команда, show access_list, в конце примера, которая выводит содержимое списка управления доступом, но на этот раз в выводе обнаруживаются четыре правила permit и deny вместо пяти.