CISCO ACL, DHCP, VLAN L iudvikas  Kaklauskas 200 7  metai
IP ir TCP paketų antraštės IP   antraštė TCP   antraštė
OSI sąveika Taikomasis lygmuo (HTTP) WWW serveris WWW klientas Mar š rutizatorius  (Router) gali atlikti užkardos  (Firewa...
TCP/IP paketo tikrinimas IP TCP Duomenys Ar atitinka sąrašo (ACL) reikalavimus? Taip Persiųsti Ne Atmesti Prievado numeris...
ALC algoritmas?
Protokolai, loginiai kanalai HTTP – 80; HTTPS – 443; DNS – 53; FTP – 21; SMTP – 25;  POP3 – 110; SSH – 22; Telnet – 23; SN...
ALC? Kontrolės sąrašų tipai <ul><li>ACL (Access Control List) –  instrukcijų sąrašas, nurodantis maršrutizatoriui ar prale...
ACL taisyklių taikymas <ul><li>Pagal duomenų srauto kryptį: </li></ul><ul><li>In  (naudoja mažiau mazgo CPU resursų, nes p...
ACL sąrašų sudarymo etapai <ul><li>ACL sąrašų  rengimas (popieriuje); </li></ul><ul><li>Maršrutizatoriaus parinkimas ir są...
Standartinė ACL komanda access-list sąrašo_numeris [permit |deny] šaltinio_ip_adresas kaukė any  rašomas vietoj  IP  adres...
Išplėstinė ACL komanda <ul><li>access-list </li></ul><ul><ul><li>sąrašo_numeris </li></ul></ul><ul><ul><li>[permit |deny] ...
ACL įrašų kūrimas <ul><li>Konfigūravimo meniu kuriamos filtravimo taisyklės (enable); </li></ul><ul><li>Taisyklės priskiri...
ACL įrašų valymas Valymui renkamos komandos su pradžia  no . Pirmiausiai pereiname į konfigūravimo meniu ( enable ) ir ren...
Taisyklė tik vienam host’ui Jei taisyklė taikoma tik vienam kompiuteriui ar mazgo IP adresui, tai kaukė rašoma 0.0.0.0. Pa...
Taisyklė potinkliui Jei taisyklė taikoma tik potinkliui su kauke 255.255.255.128, tai kaukė rašoma skaičiuojama taip: 255....
Leisti viską Standart komanda: access-list 3 permit any Extended komanda: access-list 103 permit ip any any
Šakotuvo Catalist 2950 derinimas <ul><li>VLAN (virtualus tinklas) sukuriamas konfigūracijos lygmenyje komandomis: </li></u...
ėkmės
Upcoming SlideShare
Loading in …5
×

2 ciso 2

705 views

Published on

  • Be the first to comment

  • Be the first to like this

2 ciso 2

  1. 1. CISCO ACL, DHCP, VLAN L iudvikas Kaklauskas 200 7 metai
  2. 2. IP ir TCP paketų antraštės IP antraštė TCP antraštė
  3. 3. OSI sąveika Taikomasis lygmuo (HTTP) WWW serveris WWW klientas Mar š rutizatorius (Router) gali atlikti užkardos (Firewall) funkcijas, t. y. filtruo ti duomenų paketus pagal: a) protokolą, b) kanalo numerį, c) siuntėjo/gavėjo adresą. IP adresas 1 72 . 16 . 10 . 15 IP adresas 192 . 168 . 11 . 25 Kanalas 80 Kanalas 15000 Segmento Nr. Segmento Nr. Taikomasis lygmuo (HTTP) Tinklo lygmuo Tinklo lygmuo Kanalinis lygmuo Kanalinis lygmuo Fizinis lygmuo Fizinis lygmuo Fizinis lygmuo Fizinis lygmuo Kanalinis lygmuo Kanalinis lygmuo Tinklo lygmuo (IP) Tinklo lygmuo (IP) Transportinis lygmuo (TCP, UDP) Transportinis lygmuo (TCP, UDP)
  4. 4. TCP/IP paketo tikrinimas IP TCP Duomenys Ar atitinka sąrašo (ACL) reikalavimus? Taip Persiųsti Ne Atmesti Prievado numeris Protokolas Siuntėjo adresas Gavėjo adresas
  5. 5. ALC algoritmas?
  6. 6. Protokolai, loginiai kanalai HTTP – 80; HTTPS – 443; DNS – 53; FTP – 21; SMTP – 25; POP3 – 110; SSH – 22; Telnet – 23; SNMP – 161;
  7. 7. ALC? Kontrolės sąrašų tipai <ul><li>ACL (Access Control List) – instrukcijų sąrašas, nurodantis maršrutizatoriui ar praleisti paketą (permit) ar ne (deny). </li></ul><ul><li>Naudojami dviejų rūšių sąrašai: </li></ul><ul><li>standartinis (1-99): </li></ul><ul><ul><li>tikrinamas tik siuntėjo adresas; </li></ul></ul><ul><li>išplėstas (100-199): </li></ul><ul><ul><li>tikrinami siuntėjo ir gavėjo adresai, </li></ul></ul><ul><ul><li>protokolai (TCP, UDP), </li></ul></ul><ul><ul><li>loginių kanalų numeriai; </li></ul></ul>
  8. 8. ACL taisyklių taikymas <ul><li>Pagal duomenų srauto kryptį: </li></ul><ul><li>In (naudoja mažiau mazgo CPU resursų, nes paketai atmetami prieš juos perduodant) : </li></ul><ul><li>tikrinami įeinantys paketai, </li></ul><ul><li>filtruojama prieš paketo perdavimą. </li></ul><ul><ul><li>Out (naudoja daugiau mazgo CPU resursų, nes paketai perduodami, po to tikrinami) : </li></ul></ul><ul><ul><li>tikrinami išeinantys paketai, </li></ul></ul><ul><ul><li>paketai yra perduodami, po to tikrinami. </li></ul></ul><ul><ul><li>Maršrutizatoriaus parinkimas (mažinant tinklo apkrovimą) : </li></ul></ul><ul><ul><li>standartiniam – parenkamas kuo arčiau gavėjo esantis maršrutizatorius; </li></ul></ul><ul><ul><li>išplėstam – kuo arčiau siuntėjo esantis maršrutizatorius; </li></ul></ul>
  9. 9. ACL sąrašų sudarymo etapai <ul><li>ACL sąrašų rengimas (popieriuje); </li></ul><ul><li>Maršrutizatoriaus parinkimas ir sąrašų įrašymas; </li></ul><ul><li>Sąsajos pasirinkimas bei sąrašo priskyrimas, numatant duomenų perdavimo krypties kontrolę: </li></ul><ul><ul><li>In – įeinantis srautas, </li></ul></ul><ul><ul><li>Out – išeinantis srautas. </li></ul></ul>
  10. 10. Standartinė ACL komanda access-list sąrašo_numeris [permit |deny] šaltinio_ip_adresas kaukė any rašomas vietoj IP adreso ir kaukės reiškia visiems
  11. 11. Išplėstinė ACL komanda <ul><li>access-list </li></ul><ul><ul><li>sąrašo_numeris </li></ul></ul><ul><ul><li>[permit |deny] </li></ul></ul><ul><ul><li>protokolas </li></ul></ul><ul><ul><li>šaltinio_ip_adresas </li></ul></ul><ul><ul><li>šaltinio_kaukė </li></ul></ul><ul><ul><li>gavėjo_ip_adresas </li></ul></ul><ul><ul><li>gavėjo_kaukė </li></ul></ul><ul><ul><li>eq </li></ul></ul><ul><ul><li>loginis_kanalas </li></ul></ul><ul><ul><li>any rašomas vietoj IP adreso ir kaukės reiškia visiems </li></ul></ul>
  12. 12. ACL įrašų kūrimas <ul><li>Konfigūravimo meniu kuriamos filtravimo taisyklės (enable); </li></ul><ul><li>Taisyklės priskiriamos sąsajoms: ip access-group [sąrašo_nr] [in|out]; </li></ul><ul><li>Taisyklių peržiūrai reikia grįžti į pradinį (papratą lygmenį komanda end ), jas parodo komanda: </li></ul><ul><li>Show access-lists </li></ul><ul><li>Įrašai taikomi pagal jų išdėstymo tvarką ir, jei tinka, tolesnės taisyklės nėra tikrinamos, todėl rekomenduojama pirmiausia rašyti taisykles dėl atskirų kompiuterių, po to jų grupių; </li></ul>
  13. 13. ACL įrašų valymas Valymui renkamos komandos su pradžia no . Pirmiausiai pereiname į konfigūravimo meniu ( enable ) ir renkame komandą: no ip access-list extended sąrašo_numeris Po šios komandos išvalomas visas sąrašas. Taisyklės netiksliai taikomos, jei kompiuteris tiesiogiai prijungtas prie maršrutizatoriaus.
  14. 14. Taisyklė tik vienam host’ui Jei taisyklė taikoma tik vienam kompiuteriui ar mazgo IP adresui, tai kaukė rašoma 0.0.0.0. Pavyzdžiui, Standart komanda Access-list 101 permit host 192.168.5.5 Extended komanda Access-list 101 permit ip 192.168.5.5 0.0.0.255 any
  15. 15. Taisyklė potinkliui Jei taisyklė taikoma tik potinkliui su kauke 255.255.255.128, tai kaukė rašoma skaičiuojama taip: 255.255.255.255 255.255.255.128 0. 0. 0.127 Pavyzdžiui, 192.168.5.128 255.255.255.128 Extended komanda Access-list 101 permit ip 192.168.5.128 0.0.0.127 any
  16. 16. Leisti viską Standart komanda: access-list 3 permit any Extended komanda: access-list 103 permit ip any any
  17. 17. Šakotuvo Catalist 2950 derinimas <ul><li>VLAN (virtualus tinklas) sukuriamas konfigūracijos lygmenyje komandomis: </li></ul><ul><li>interface range faast 0/1 – 5 </li></ul><ul><li>switchport access vlan 5 </li></ul><ul><li>Bus skurtas 5 potinklis realizuojamas per 1-5 prievadus. </li></ul>
  18. 18. ėkmės

×