Slide 1

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 2

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 3

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 4

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 5

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 6

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 7

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 8

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 9

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 10

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 11

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 12

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 13

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 14

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 15

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 16

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 17

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 18

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 19

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 20

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 21

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 22

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 23

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 24

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 25

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 26

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 27

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 28

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 29

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 30

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 31

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 32

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 33

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 34

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 35

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 36

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 37

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 38

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 39

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 40

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 41

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 42

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 43

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 44

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 45

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 46

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 47

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 48

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 49

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 50

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 51

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 52

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 53

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 54

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 55

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 56

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 57

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 58

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 59

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 60

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 61

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 62

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63


Slide 63

CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]

1

ACL за повишаване на
сигурността

Pavlinka Radoyska / Botevgrad /
[email protected]

2

TCP комуникации

Pavlinka Radoyska / Botevgrad /
[email protected]

3

Номера на портове

Pavlinka Radoyska / Botevgrad /
[email protected]

4

Филтриране на пакети




Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2







Source IP address
Destination IP address
ICMP message type

Филтриране на базата на Layer3



TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]

5

Пример за филтриране

Pavlinka Radoyska / Botevgrad /
[email protected]

6

Какво е ACL?








ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]

7

ACL - приложение




ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа

Pavlinka Radoyska / Botevgrad /
[email protected]

8

ACL - задачи








Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]

9

Алгоритъм на входящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

10

Алгоритъм на изходящия контрол

Pavlinka Radoyska / Botevgrad /
[email protected]

11

deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.

Pavlinka Radoyska / Botevgrad /
[email protected]

12

Типове ACL


Стандаретен


Филтрира само по адрес на източника

access-list 10 permit 192.168.30.0 0.0.0.255


Разширен: Филтрира по:




адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80

Pavlinka Radoyska / Botevgrad /
[email protected]

13

Маркиране на ACL


С номера:







(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане

С имена





Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]

14

Стандартните ACL се разполагат близо
до получатля

Pavlinka Radoyska / Botevgrad /
[email protected]

15

Разширените ACL се разполагат близо
до източника

Pavlinka Radoyska / Botevgrad /
[email protected]

16

Конфигуриране на стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

17

Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
 Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар


Pavlinka Radoyska / Botevgrad /
[email protected]

18

Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255

Pavlinka Radoyska / Botevgrad /
[email protected]

19

Премахване на ACL
Синтаксис
Router(config)#no access-list №
 Пример
Router(config)#no access-list 2


! Премахват се всички записи

Pavlinka Radoyska / Botevgrad /
[email protected]

20

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

21

Коментари

Pavlinka Radoyska / Botevgrad /
[email protected]

22

Wildcard Mask





Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)

Pavlinka Radoyska / Botevgrad /
[email protected]

23

Изчисления с Wildcard Mask 1/2

Pavlinka Radoyska / Botevgrad /
[email protected]

24

Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255


По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255


Pavlinka Radoyska / Botevgrad /
[email protected]

25

Ключовите думи host и any
host  wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
 any  wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any


Pavlinka Radoyska / Botevgrad /
[email protected]

26

Преглед на ACL


Router# show access-list [№ | име]

Pavlinka Radoyska / Botevgrad /
[email protected]

27

Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.

Pavlinka Radoyska / Botevgrad /
[email protected]

28

Pavlinka Radoyska / Botevgrad /
[email protected]

29

Pavlinka Radoyska / Botevgrad /
[email protected]

30

Pavlinka Radoyska / Botevgrad /
31
[email protected]

Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}


Pavlinka Radoyska / Botevgrad /
[email protected]

32

Pavlinka Radoyska / Botevgrad /
[email protected]

33

Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]

34

Редактиране на номериран ACL 2/2

Pavlinka Radoyska / Botevgrad /
[email protected]

35

Създаване на именуван стандартен ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

36

Pavlinka Radoyska / Botevgrad /
37
[email protected]

Редактиране на именуван ACL 1/2


Записите в именуваните ACL са
номерирани, което позволява:



изтриване на определен запис
вмъкване на запис в списъка

Pavlinka Radoyska / Botevgrad /
[email protected]

38

Редактиране на именуван ACL 2/2

Pavlinka Radoyska / Botevgrad /
39
[email protected]

Конфигуриране на
разширени ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

40

Синтаксис

Pavlinka Radoyska / Botevgrad /
[email protected]

41

Пример

Pavlinka Radoyska / Botevgrad /
[email protected]

42

Асоцииране на EACL към интерфейс

Pavlinka Radoyska / Botevgrad / 43
[email protected]

Pavlinka Radoyska / Botevgrad /
[email protected]

44

Pavlinka Radoyska / Botevgrad /
[email protected]
45

Съдсаване на именуван EACL

46

Конфигуриране на сложни ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

47

Видове






Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.

Pavlinka Radoyska / Botevgrad /
[email protected]

48

Dynamic ACL


Кога се прилага:




За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.

Pavlinka Radoyska / Botevgrad /
[email protected]

49

Предимства на Dynamic ACL защитеност










Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]

50

Dynamic ACL - примери

Reflexive ACL

Pavlinka Radoyska / Botevgrad /
[email protected]
52

Предимства на Reflexive ACL





Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.

Pavlinka Radoyska / Botevgrad /
[email protected]

53

Pavlinka Radoyska / Botevgrad /
[email protected]

54

Time-based ACL
Предимства
 Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
 Позволява на администратора да
контролира съобщенията за вързване (помалко са)

Pavlinka Radoyska / Botevgrad /
[email protected]

55

Time-based ACL

Pavlinka Radoyska / Botevgrad /
[email protected]

56

Отстраняване на проблеми

Pavlinka Radoyska / Botevgrad /
[email protected]

57

Pavlinka Radoyska / Botevgrad /
[email protected]

58

Pavlinka Radoyska / Botevgrad /
[email protected]

59

Pavlinka Radoyska / Botevgrad /
[email protected]

60

Pavlinka Radoyska / Botevgrad /
[email protected]

61

Pavlinka Radoyska / Botevgrad /
[email protected]

62

Благодаря за вниманието!

Pavlinka Radoyska / Botevgrad /
[email protected]

63