Помощничек
Главная | Обратная связь


Археология
Архитектура
Астрономия
Аудит
Биология
Ботаника
Бухгалтерский учёт
Войное дело
Генетика
География
Геология
Дизайн
Искусство
История
Кино
Кулинария
Культура
Литература
Математика
Медицина
Металлургия
Мифология
Музыка
Психология
Религия
Спорт
Строительство
Техника
Транспорт
Туризм
Усадьба
Физика
Фотография
Химия
Экология
Электричество
Электроника
Энергетика

Конфигурация АСL на vty



 

У маршрутизатора, помимо физических портов, или интерфейсов, таких, как Е0 и Е1, есть и виртуальные порты, через которые открывается для настройки маршрутизатора. По умолчанию можно открыть одновременно 5 telnet сессий (виртуальных терминальных линий), с номерами от vty 0 до vty 4.

 

Для обеспечения безопасности можно запретить доступ на маршрутизатор по линиям vty или разрешить доступ по vty, но запретить Telnet доступ с маршрутизатора.

 

Фильтрация протокола Telnet требует применения расширенного IР АСL, так как протокола верхнего уровня. Но можно использовать стандартный IР АСL для фильтрации входящих Telnet сессий от источника.

 

Для того, чтобы установить IР АСLs на линиях vty, надо в подрежиме настройки vty выполнить команду access-class.

 

Router(config)#line vty {vty#|vty-range}

Router(config-line)#access-class access-list number {in|out}

 

Параметры команды line Описание
vty # Переход к конфигурации данной линии vty
vty-range Переход к конфигурации диапазона vty линий

 

Команда access-classприменяет АСL к терминальной линии или диапазону терминальных линий.

 

 

Параметры команды access-class Описание
access-list-number Указывает номер АСL, привязанный к терминальной линии. Это десятичное значение от 1 до 99 или от 1300 до 2699.
in Защищает маршрутизатор от входящих Telnet соединений от источников, указанных в строке запрета АСL.
out Не позволяет vty портам маршрутизатора инициировать Telnet соединения к адресам, определенным в строке запрета стандартного АСL.   Замечание: адрес источника, указанный в стандартном АСL, рассматривается как адрес назначения, если он используется в access-class out.

 

Пример: доступ по vty

Пример:

Администратору необходимо сформировать АСL, который бы разрешал разрешаете любому узлу из сети 172.1.1.0 0.0.0.255 устанавливать telnet сессию с маршрутизатором. Кроме этого, пользователь должен знать соответствующие пароли для доступа пользовательский и привилегированного режим.

 

На каждую линию виртуального канала (0 - 4) устанавливаются одинаковые ограничения, так как неизвестно, какая линия будет задействована для подключения пользователя.

 

R1(config)#access-list 1 permit 172.1.1.0 0.0.0.255

R1(config)#line vty 0 4

R1(config-line)#access-class 12 in

 

 


Правила размещения АСL

АСLs используются для управления трафиком с помощью отфильтровывания и уничтожения нежелательных пакетов. Правильная установка АСL поможет уменьшить объем нежелательного трафика в сети.

 

Основные принципы конфигурации АСL:

 

• Для правильной работы АСL важен порядок строк. АСL лучше создавать в текстовом редакторе на компьютере, а затем копировать АСL в командную строку маршрутизатора. Например, можно использовать Word на компьютере для создания АСL, а затем Telnet или консольное подключение к маршрутизатору с компьютера. Войдите в режим глобальной конфигурации на маршрутизаторе, а затем скопируйте АСL в буфер на компьютере и вставьте его из документа Word в командную строку маршрутизатора.

• АСL обрабатываются сверху вниз, поэтому можно снизить нагрузку на маршрутизатор от анализа АСL, если в начало списка поместить более специфические и чаще встречающиеся условия проверки.

• Только именованные АСLs позволяют удаление (но не вставку в середину) отдельных строк списка. Если возникает необходимость расположить строки АСL в другом порядке, то придется удалить весь список и заново создать его, расположив строки в желаемом порядке.

• Все АСL заканчиваются невидимой строкой, запрещающей весь трафик.

 

Размещение ACL.

 

В стандартных АСLs указываются только адреса источников пакетов. Если стандартный список контроля доступа разместить у источника, то его пакеты могут не достичь не только того, для кого трафик блокируется, но и до всех других узлов. Поэтому стандартный АСL размещается как можно ближе к сети назначения нежелательного трафика.

 

В расширенных АСLs указываются адреса источников и назначения. Расширенные АСL должны помещаться как можно ближе к источнику с целью уменьшения ненужного трафика.

 





©2015 studopedya.ru Все права принадлежат авторам размещенных материалов.