Конфигурация АСL на vty

У маршрутизатора, помимо физических портов, или интерфейсов, таких, как Е0 и Е1, есть и виртуальные порты, через которые открывается для настройки маршрутизатора. По умолчанию можно открыть одновременно 5 telnet сессий (виртуальных терминальных линий), с номерами от vty 0 до vty 4.

Для обеспечения безопасности можно запретить доступ на маршрутизатор по линиям vty или разрешить доступ по vty, но запретить Telnet доступ с маршрутизатора.

Фильтрация протокола Telnet требует применения расширенного IР АСL, так как протокола верхнего уровня. Но можно использовать стандартный IР АСL для фильтрации входящих Telnet сессий от источника.

Для того, чтобы установить IР АСLs на линиях vty, надо в подрежиме настройки vty выполнить команду access-class.

Router(config)#line vty {vty#|vty-range}

Router(config-line)#access-class access-list number {in|out}

Команда access-classприменяет АСL к терминальной линии или диапазону терминальных линий.

Пример: доступ по vty

Пример:

Администратору необходимо сформировать АСL, который бы разрешал разрешаете любому узлу из сети 172.1.1.0 0.0.0.255 устанавливать telnet сессию с маршрутизатором. Кроме этого, пользователь должен знать соответствующие пароли для доступа пользовательский и привилегированного режим.

На каждую линию виртуального канала (0 - 4) устанавливаются одинаковые ограничения, так как неизвестно, какая линия будет задействована для подключения пользователя.

R1(config)#access-list 1 permit 172.1.1.0 0.0.0.255

R1(config)#line vty 0 4

R1(config-line)#access-class 12 in

Правила размещения АСL

АСLs используются для управления трафиком с помощью отфильтровывания и уничтожения нежелательных пакетов. Правильная установка АСL поможет уменьшить объем нежелательного трафика в сети.

Основные принципы конфигурации АСL:

• Для правильной работы АСL важен порядок строк. АСL лучше создавать в текстовом редакторе на компьютере, а затем копировать АСL в командную строку маршрутизатора. Например, можно использовать Word на компьютере для создания АСL, а затем Telnet или консольное подключение к маршрутизатору с компьютера. Войдите в режим глобальной конфигурации на маршрутизаторе, а затем скопируйте АСL в буфер на компьютере и вставьте его из документа Word в командную строку маршрутизатора.

• АСL обрабатываются сверху вниз, поэтому можно снизить нагрузку на маршрутизатор от анализа АСL, если в начало списка поместить более специфические и чаще встречающиеся условия проверки.

• Только именованные АСLs позволяют удаление (но не вставку в середину) отдельных строк списка. Если возникает необходимость расположить строки АСL в другом порядке, то придется удалить весь список и заново создать его, расположив строки в желаемом порядке.

• Все АСL заканчиваются невидимой строкой, запрещающей весь трафик.

Размещение ACL.

В стандартных АСLs указываются только адреса источников пакетов. Если стандартный список контроля доступа разместить у источника, то его пакеты могут не достичь не только того, для кого трафик блокируется, но и до всех других узлов. Поэтому стандартный АСL размещается как можно ближе к сети назначения нежелательного трафика.

В расширенных АСLs указываются адреса источников и назначения. Расширенные АСL должны помещаться как можно ближе к источнику с целью уменьшения ненужного трафика.

Поиск по сайту: