Your SlideShare is downloading. ×
0
2 ciso 2
2 ciso 2
2 ciso 2
2 ciso 2
2 ciso 2
2 ciso 2
2 ciso 2
2 ciso 2
2 ciso 2
2 ciso 2
2 ciso 2
2 ciso 2
2 ciso 2
2 ciso 2
2 ciso 2
2 ciso 2
2 ciso 2
2 ciso 2
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

2 ciso 2

402

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
402
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. CISCO ACL, DHCP, VLAN L iudvikas Kaklauskas 200 7 metai
  • 2. IP ir TCP paketų antraštės IP antraštė TCP antraštė
  • 3. OSI sąveika Taikomasis lygmuo (HTTP) WWW serveris WWW klientas Mar š rutizatorius (Router) gali atlikti užkardos (Firewall) funkcijas, t. y. filtruo ti duomenų paketus pagal: a) protokolą, b) kanalo numerį, c) siuntėjo/gavėjo adresą. IP adresas 1 72 . 16 . 10 . 15 IP adresas 192 . 168 . 11 . 25 Kanalas 80 Kanalas 15000 Segmento Nr. Segmento Nr. Taikomasis lygmuo (HTTP) Tinklo lygmuo Tinklo lygmuo Kanalinis lygmuo Kanalinis lygmuo Fizinis lygmuo Fizinis lygmuo Fizinis lygmuo Fizinis lygmuo Kanalinis lygmuo Kanalinis lygmuo Tinklo lygmuo (IP) Tinklo lygmuo (IP) Transportinis lygmuo (TCP, UDP) Transportinis lygmuo (TCP, UDP)
  • 4. TCP/IP paketo tikrinimas IP TCP Duomenys Ar atitinka sąrašo (ACL) reikalavimus? Taip Persiųsti Ne Atmesti Prievado numeris Protokolas Siuntėjo adresas Gavėjo adresas
  • 5. ALC algoritmas?
  • 6. Protokolai, loginiai kanalai HTTP – 80; HTTPS – 443; DNS – 53; FTP – 21; SMTP – 25; POP3 – 110; SSH – 22; Telnet – 23; SNMP – 161;
  • 7. ALC? Kontrolės sąrašų tipai
    • ACL (Access Control List) – instrukcijų sąrašas, nurodantis maršrutizatoriui ar praleisti paketą (permit) ar ne (deny).
    • Naudojami dviejų rūšių sąrašai:
    • standartinis (1-99):
      • tikrinamas tik siuntėjo adresas;
    • išplėstas (100-199):
      • tikrinami siuntėjo ir gavėjo adresai,
      • protokolai (TCP, UDP),
      • loginių kanalų numeriai;
  • 8. ACL taisyklių taikymas
    • Pagal duomenų srauto kryptį:
    • In (naudoja mažiau mazgo CPU resursų, nes paketai atmetami prieš juos perduodant) :
    • tikrinami įeinantys paketai,
    • filtruojama prieš paketo perdavimą.
      • Out (naudoja daugiau mazgo CPU resursų, nes paketai perduodami, po to tikrinami) :
      • tikrinami išeinantys paketai,
      • paketai yra perduodami, po to tikrinami.
      • Maršrutizatoriaus parinkimas (mažinant tinklo apkrovimą) :
      • standartiniam – parenkamas kuo arčiau gavėjo esantis maršrutizatorius;
      • išplėstam – kuo arčiau siuntėjo esantis maršrutizatorius;
  • 9. ACL sąrašų sudarymo etapai
    • ACL sąrašų rengimas (popieriuje);
    • Maršrutizatoriaus parinkimas ir sąrašų įrašymas;
    • Sąsajos pasirinkimas bei sąrašo priskyrimas, numatant duomenų perdavimo krypties kontrolę:
      • In – įeinantis srautas,
      • Out – išeinantis srautas.
  • 10. Standartinė ACL komanda access-list sąrašo_numeris [permit |deny] šaltinio_ip_adresas kaukė any rašomas vietoj IP adreso ir kaukės reiškia visiems
  • 11. Išplėstinė ACL komanda
    • access-list
      • sąrašo_numeris
      • [permit |deny]
      • protokolas
      • šaltinio_ip_adresas
      • šaltinio_kaukė
      • gavėjo_ip_adresas
      • gavėjo_kaukė
      • eq
      • loginis_kanalas
      • any rašomas vietoj IP adreso ir kaukės reiškia visiems
  • 12. ACL įrašų kūrimas
    • Konfigūravimo meniu kuriamos filtravimo taisyklės (enable);
    • Taisyklės priskiriamos sąsajoms: ip access-group [sąrašo_nr] [in|out];
    • Taisyklių peržiūrai reikia grįžti į pradinį (papratą lygmenį komanda end ), jas parodo komanda:
    • Show access-lists
    • Įrašai taikomi pagal jų išdėstymo tvarką ir, jei tinka, tolesnės taisyklės nėra tikrinamos, todėl rekomenduojama pirmiausia rašyti taisykles dėl atskirų kompiuterių, po to jų grupių;
  • 13. ACL įrašų valymas Valymui renkamos komandos su pradžia no . Pirmiausiai pereiname į konfigūravimo meniu ( enable ) ir renkame komandą: no ip access-list extended sąrašo_numeris Po šios komandos išvalomas visas sąrašas. Taisyklės netiksliai taikomos, jei kompiuteris tiesiogiai prijungtas prie maršrutizatoriaus.
  • 14. Taisyklė tik vienam host’ui Jei taisyklė taikoma tik vienam kompiuteriui ar mazgo IP adresui, tai kaukė rašoma 0.0.0.0. Pavyzdžiui, Standart komanda Access-list 101 permit host 192.168.5.5 Extended komanda Access-list 101 permit ip 192.168.5.5 0.0.0.255 any
  • 15. Taisyklė potinkliui Jei taisyklė taikoma tik potinkliui su kauke 255.255.255.128, tai kaukė rašoma skaičiuojama taip: 255.255.255.255 255.255.255.128 0. 0. 0.127 Pavyzdžiui, 192.168.5.128 255.255.255.128 Extended komanda Access-list 101 permit ip 192.168.5.128 0.0.0.127 any
  • 16. Leisti viską Standart komanda: access-list 3 permit any Extended komanda: access-list 103 permit ip any any
  • 17. Šakotuvo Catalist 2950 derinimas
    • VLAN (virtualus tinklas) sukuriamas konfigūracijos lygmenyje komandomis:
    • interface range faast 0/1 – 5
    • switchport access vlan 5
    • Bus skurtas 5 potinklis realizuojamas per 1-5 prievadus.
  • 18. ėkmės

×