Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
1
Accessing the WAN – Chapter 5
Access Control Lists Accessing the WAN – Chapter 5
2
Objectives How ACLs are used Configure standard ACLs
Configure extended ACLs Complex ACLs Implement, verify and troubleshoot ACLs
3
Říkají routeru, které pakety mají být povoleny a které zakázány.
What are ACLs? ACL jsou seznamy podmínek, kterými se testují pakety, které se pokoušejí projít přes router. Říkají routeru, které pakety mají být povoleny a které zakázány. ACLs are lists of conditions used to test network traffic that tries to travel across a router interface. These lists tell the router what types of packets to accept or deny.
4
How ACLs are Used Steps in a TCP conversation
Při práci s ACL se nám bude hodit představa o tom, jak funguje TCP.
5
Na konci je neviditelné „Zahodit všechno, co prošlo až sem“.
How ACLs Work Zkouší se, zda jednotlivé podmínky (= řádky) seznamu pasují na paket. Po první splněné podmínce se další řádky už nezkoumají a rozhodne se, zda paket propustit nebo zahodit. Na konci je neviditelné „Zahodit všechno, co prošlo až sem“.
6
How ACLs are Used Types and formats of ACLs
Standardní filtrují jen podle zdrojové adresy. To je jejich velká slabina. Rozšířené umějí filtrovat podle mnoha dalších věcí. Jsou mnohem šikovnější.
7
How ACLs are Used Numbering and Naming ACLs Standardní Rozšířené
Pojmenované značení 1 – 99 JMENO
8
How ACLs are Used Where ACLs should be placed in a network
Standardní umístíme až na konec trasy, těsně ke vstupu příjemce. Rozšířené umístíme hned na začátek trasy, těsně k výstupu ze zdroje.
9
How ACLs are Used Creating ACLs
Založte přístupové listy na bezpečnostní politice vaší firmy. Připravte si popis, co mají listy dělat. Na vytvoření, editaci a ukládání listů použijte textový editor. Vyzkoušejte listy na zkušební síti, než je nasadíte naostro.
10
Configure Standard ACLs
How to configure a standard ACL
11
Configure Standard ACLs
How to configure a standard ACL
12
Configure Standard ACLs
Wildcard masks Všechna místa v adrese jsou mi lhostejná. Projde tedy kdokoliv = any. Na všech místech v adrese mi záleží. Projde tedy jen jediný = host.
13
Configure Standard ACLs
How to apply a standard ACL to an interface Vytvořit řádky, které budou patřit do listu číslo 1. Toto je jeden z nich: Určit, na který interface to přijde ... ... a přilepit to na něj.
14
Configure Standard ACLs
How to apply a standard ACL to an interface Povolí, aby z rozhraní S0/0/0 odcházely jen pakety ze sítě
15
Configure Standard ACLs
Editing numbered ACLs Do listu lze jen přidávat, a to jen na konec. Chceme-li něco změnit, musíme list zrušit a napsat ho znovu. Dělat to pomocí primitivního editoru v routeru by bylo na mašli. Proto je lépe využít jiný editor. Uděláme to takto:
16
Configure Standard ACLs
Zobrazit list příkazem „show“. Editing numbered ACLs Zvýraznit řádky, které chceme změnit, vzít je do schránky. Vsadit řádky ze schránky do textového editoru, tam je změnit. Vzít je do schránky. Vymazat původní list příkazem „no access-list“. Ze schránky zkopírovat upravené řádky do routeru.
17
Configure Standard ACLs
Named ACL
18
Configure Standard ACLs
pojmenovaný Editing named ACLs V pojmenovaném listu můžeme řádky očíslovat, ... ... a pak mezi ně vsunout nový řádek.
19
Configure Extended ACLs
How to configure extended ACLs
20
Configure Extended ACLs
How to configure extended ACLs
21
Configure Extended ACLs
How to apply an extended ACL to an interface
22
Configure Extended ACLs
How to create named extended ACLs
23
Complex ACLs Three types of complex ACLs
Uživatelé jsou blokováni, dokud se nepřipojí pomocí Telnetu. Při tom prokáží znalost hesla a jsou povoleni. Příchozí provoz je povolen jen pokud je reakcí na žádost z routeru. Přístup je řízen podle času nebo dne v týdnu.
24
Complex ACLs How and when to use dynamic ACLs
25
Complex ACLs How and when to use reflexive ACLs
Provoz zvenku, reagující na naši žádost – OK, povoleno. Provoz zvenku, který jsme si nevyžádali – zakázáno.
26
Complex ACLs How and when to use time-based ACLs
Můžeme např. zakázat nedůležitý provoz v době špičky.
27
Complex ACLs Troubleshooting ACL problems
Tady jsme nejdřív všechno zakázali, ... ... a tady se snažíme ještě něco povolit, ale to už je pozdě.
28
Complex ACLs Troubleshooting ACL problems
Tady jsme povolili TCP, ale TFTP používá UDP. ip
29
Summary An Access List (ACL) is: Standard ACLs Extended ACLs
A series of permit and deny statements that are used to filter traffic Standard ACLs Identified by numbers and Filter traffic based on source IP address Extended ACLs Identified by number & Filter traffic based on Source IP address Destination IP address Protocol Port number
30
Summary Named ACL ACL’s use Wildcard Masks (WCM)
Used with IOS 11.2 and above Can be used for either standard or extended ACL ACL’s use Wildcard Masks (WCM) The inverse of a subnet mask 0 check the bit 1 ignore the bit
31
Summary Implementing ACLs Verifying & troubleshooting ACLs
1st create the ACL 2nd place the ACL on an interface Standard ACLs are placed nearest the destination Extended ACLs are placed nearest the source Verifying & troubleshooting ACLs Show access-list Show interfaces Show run
32
Summary Complex ACLs Dynamic ACLs Reflexive ACLs Time based ACLs
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.