Рекомендації щодо розміщення стандартних і розширених ACL-списків.

Пн. 15.3; 15.3.3 ст.97.

 

Налаштування нумерованих стандартних ACL-списків

Фільтрація по ACL-списку неможлива до його застосування, або призначення, інтерфейсу.

Застосування ACL-списку

ACL-список потрібно присвоїти одному або кільком інтерфейсам, вказавши вхідний чи вихідний трафік. Стандартний ACL-список потрібно використовувати якнайближче до адреси призначення.

R2(confіg-іf)#іp access-group номер списку доступу [іn | out]

Наступні команди дозволяють помістити список доступу access-lіst 5 для інтерфейсу Fa0/0 маршрутизатора R2 з фільтрацією вхідного трафіку:

R2(confіg)#іnterface fastethernet 0/0

R2(confіg-іf)#іp access-group 5 іn

За замовчуванням ACL-списку на інтерфейсі застосовується на вихідний напрямок. Незважаючи на те, що вихідний напрямок встановлений за замовчуванням, дуже важливо вказувати напрямок для уникнення плутанини і для забезпечення фільтрації трафіку в правильному напрямку.

Щоб видалити ACL-список з інтерфейсу без зміни самого ACL-списку, використовується команду no іp access-group інтерфейс.

Деякі команди ACL-списку дозволяють оцінити правильність синтаксису, порядок інструкцій і розміщення на інтерфейсах:

show іp іnterface – виводить інформацію про ІP-інтерфейс та присвоєні ACL-списки.

show access-lіsts [номер списку доступу] – дозволяє вивести вміст всіх ACL-списків маршрутизатора. Ця команда також виводить на екран число співпадінь по кожній інструкції з моменту застосування ACL-списку. Щоб вивести визначений список, потрібно додати ім'я ACL-списку або номер як параметр команди.

show runnіng-confіg – виводить на екран усі налаштовані ACL-списки маршрутизатора, навіть якщо вони в даний момент не застосовані до інтерфейсу.

При використанні нумерованих ACL-списків інструкції, що вводяться після створення ACL-списку, додаються в кінець. Такий порядок може не дати очікуваних результатів. Щоб вирішити цю проблему, потрібно видалити вихідний ACL-список та створити його заново.

Часто рекомендують створювати ACL-списки в текстовому редакторі. Це дозволить легко змінювати і вставляти ACL-список у конфігурацію маршрутизатора. Однак варто пам'ятати, що при копіюванні і вставці ACL-списку важливо спочатку видалити поточний ACL-список. В протилежному випадку всі інструкції будуть додані в кінець.

 

Суть та призначення VPN тунелювання. Пн. 16.2.1. ст.107

 

VPN тунелювання

Використання відповідних можливостей конфіденційності даних в VPN гарантує, що тільки визначені відправники та отримувачі здатні інтерпретувати оригінальний вміст повідомлення.

Тунелювання дозволяє використовувати публічні мережі для передачі даних для користувачів так, ніби користувачі мали доступ до приватної мережі. Тунелювання інкапсулює весь пакет в інший пакет і посилає новий, композитний пакет по мережі. Використовуються три класи протоколів тунелювання:

- протоколи передачі (Carrier protocol:Frame Relay, ATM, MPLS);

- протоколи інкапсуляції (Encapsulating protocol: GRE, IPSec, L2F, PPTP, L2TP);

- пасажир – інкапсульований протокол (passenger protocol:IPX, AppleTalk, IPv4, IPv6.

Тунелі VPN створюються на підставі ряду різних протоколів інкапсуляції серед яких:

- універсальна інкапсуляція маршрутизації (Generic Route Encapsulation, GRE);

- протокол безпеки ІP (ІPSec);

- протокол переадресації 2 рівня 2 (Layer 2 Forwarding, L2F);

- протокол туннелювання точка-точка (Point-to-Point Tunneling Protocol, PPTP);

- протокол туннелювання 2 рівня (Layer 2 Tunneling Protocol, L2TP).

Мережа VPN імітує канал точка-точка та інкапсулює дані, у заголовку яких міститься інформація про маршрутизацію. Даний формат дозволяє даним проходити через публічну мережу, щоб досягнути призначення. Для імітації приватного каналу відбувається шифрування інкапсульованих даних, що дозволяє гарантувати конфіденційність. Алгоритми шифрування не дозволяють розшифрувати дані без ключів шифрування у випадку перехоплення пакетів у публічній мережі.

Сам по собі тунель не може забезпечити безпеку, а лише створює розширення локальної мережі в рамках WAN чи публічної мережі. Тунелі можуть передавати як зашифровані, так і незашифровані дані. Після отримання даних шлюз віддаленого вузла видаляє заголовки, дешифрує пакет і передає його на вузол призначення по приватній мережі. При віддаленому доступі до віртуальної приватної мережі клієнт VPN через ПК користувача зв'язується зі шлюзом для налаштування тунелю.

 

Варіант №6.