Технологии управления сетью

ACL (Access control lists) – списки доступа.

Прежде чем начать работать с ACL желательно ознакомится с таким понятием как сетевая маска

Стандартные списки доступа

Следующая команда показывает синтаксис стандартного списка доступа:

access-list access-list-number {permit|deny}
{host|source source-wildcard|any}

Где:

1 access-list-number – номер списка доступа
2 permit|deny – разрешить | запретить
3 host|source source-wildcard|any – адрес источника(получателя) | любой источник

После того, как Вы создадите ACL , Вы можете применить его к интерфейсу. Его можно назначить для входящего или исходящего трафика.

Пример

interface ip access-group number{in|out}

Где:

1 – интерфейс предназначенный для ACL
2 ip access-group number – номер ACL
3 {in|out} – входящий | исходящий трафик

Следующий пример показывает стандартный ACL, который блокирует весь трафик, исключая источник 10.1.1.x. :

interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 1 in
access-list 1 permit 10.1.1.0 0.0.0.255

Расширенные списки доступа – Extended ACLs

Расширенные списки доступа могут применяться для следующих протоколов:

IP

access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} protocol source source-wildcard
destination destination-wildcard [precedence precedence]
[tos tos] [log | log-input] [time-range time-range-name]

ICMP

access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} icmp source source-wildcard
destination destination-wildcard
[icmp-type | [[icmp-type icmp-code] | [icmp-message]]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]

TCP

access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} tcp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [established]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]

UDP

access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} udp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]

Во всех версиях CISCO IOS© расширенные ACL имеют номера от 101 до 199.Начиная с версии Cisco IOS Software Release 12.0.1 расширенные ACL так же могут иметь номера от 2000 и до 2699.

Значение 0.0.0.0/255.255.255.255 может быть заменено на any.

Начиная с Cisco IOS Software Release 11.2 ACL могут так же носить имя.

Пример

interface
ip access-group {number|name} {in|out}

Следующий пример показывает, что трафик с внутренней сети 10.1.1.x c запросами ping «на ружу» будет разрешён только по запросу:

interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group 101 in
access-list 101 deny icmp any 10.1.1.0 0.0.0.255 echo
access-list 101 permit ip any 10.1.1.0 0.0.0.255

Набрав команду:

Router(config)#access-list ?

Вы получите следующий список:

Стандартные списки доступа
Расширенные списки доступа
Расширенные 48-битные списки доступа по MAC адресам
Стандартные список доступа (дополнительные номера)
Cписки доступа основанные на типах протоколов
Расширенные списки доступа (дополнительные номера)
48-битные списки доступа по MAC адресам
dynamic-extended Расширенные ACL зависящие от времени
rate-limit Специфические ACL построенные на оценке лимитов

Комментируемые ACL

Для каждого ACL можно делать комментарии

Пример:

ip access-list {standard|extended} name
remark metka

где metka – описание Вашего списка.

искать(access control lists) основные понятия на сайте

автор: Gozar

Компания Cisco Systems представила новые коммутаторы доступа и улучшенные маршрутизаторы разработанные для выполнения задач связанных с обработкой видео-трафика и обеспечения сетевой безопасности, которые часто требуют отдельных устройств.

Cisco catalyst Коммутаторы серии CISCO Catalyst 3750-X ($5,200) и 3560-X ($3,400) это стекируемые энергоэффективные устройства с расширенной поддержкой функций безопасности, передачи видео и мобильности. Эти коммутаторы поддерживают 24 или 48 10/100/1000Mbps портов, PoE, 4 Gigabit или 2 10G модульных аплинка, и технологию CISCO StackPower для обеспечения питанием стека коммутаторов. Коммутаторы 3750-Х также поддерживают технологию CISCO StackWise Plus, которая позволяет объединить в стек с пропускной способностью 64Gbps до 9 устройств.

Помимо этого коммутаторы поддерживают шифрование данных по стандарту IEEE 802.1ae «MACSec», что в свою очередь обеспечивает защиту LAN от таких атак: man-in-the-middle, masquerading, passive wiretapping, DoS.

Коммутаторы поставляются с тремя вариантами программного обеспечения, в зависимости от необходимых функций.

Еще одна новая серия коммутаторов CISCO Catalyst 2960-S. Коммутаторы поддерживают  24 или 48 10/100/1000Mbps портов, 4 Gigabit или 2 10G SFP+ фиксированных аплинка, стек с пропускной способностью20Gbps. Ориентировочная стоимость коммутаторов 2000$.

Новые серии маршрутизаторов ISR G2 3900E, 887, 887V, 888E и 1921 поддерживают программное обеспечение MediaNet 1.0 для резервирования ресурсов маршрутизатора, QoS, функции детектирования устройства, обработку видео и real-time отчеты посредством 48 портового 10/100/1000Mbps Ethernet модуля.

Также новые маршрутизаторы CISCO поддерживают функции видеонаблюдения на новых модулях Services Ready Engine, WAN подключения на скорости 350Mbps, VDSL2, EoSHDSL, 900MHz HSPA интерфейсы.

искатьНовые коммутаторы CISCO Catalyst для передачи видео расширенной поддержкой функций безопасности на сайте

автор: Gozar

В данной статье рассматривается, как настроить использование двух каналов на маршрутизаторах cisco.

Конфигурация:

Маршрутизатор: Cisco 2611 с 2-мя сетевыми интерфейсами. (c2600-io3-mz.123-19.bin)

EXTINT – 1 гейт (ip адрес 222.22.22.53)

LOCALINT – 2 гейт (ip адрес 192.168.3.253)

В серых прямоугольниках ip адреса маршрутизатора.

Внутренняя локальная сеть – 192.168.3.0 255.255.255.0

Для пользователей этой локальной сети, маршрутизатор (192.168.3.254) является шлюзом

Необходимо:

При отсутствии основного (LOCALINT) канала

переключаться на резервный (EXTINT) канал

Для этого необходимо:

1) Сделать Скрипты VBS и BAT на Windows машине

2) Настроить фтп и rcmd на циске

Конфигурация Cisco

Настраиваем фтп сервер на циске

router#

router#conf t

router(config)#ip ftp username gateback – имя пользователя для ftp

router(config)#ip ftp password gatebackpassword – пароль для пользователя ftp

router(config)#ftp-server enable – включаем фтп сервер

router(config)#ftp-server topdir system: – устанавливаем каталог по умолчанию

Настраиваем rcmd на циске

router#

router#conf t

router(config)#no ip rcmd domain-lookup
router(config)#ip rcmd rsh-enable
router(config)#ip rcmd remote-host admin 192.168.3.4 admin enable
router(config)#ip rcmd source-interface Ethernet0/1 – внутренний интерфейс
router(config)#username admin privilege 15 password вашпароль

Разберём строчку:
router(config)#ip rcmd remote-host admin 192.168.3.4 admin enable

первое слово admin – говорит о том, что с Windows машины осуществляющей выполнение скрипта (script.vbs) действия производятся под логином admin, затем указываем ip адрес компьютера с которого будем выполнять скрипты, далее имя пользователя, которому разрешён доступ и последнее – разрешить

Конфигурация скриптов:

1) На диске C: создаём диреторию scripts

2) В этой директории создаём следующие файлы:

Script.vbs

ftp.txt

ftp1.txt

ftp.bat

ftp1.bat

running-config

running-config1

Описание скриптов:

script.vbs – пингует основной гейт, если он не доступен запускает ftp1.bat, если гейт доступен запускает ftp.bat, после чего скрипт запускается повторно (через 50 секунд). Данный скрипт Вы можете поставить в «назначенные задания» при старте определенного сервера, либо запускать его вручную с компьютеров на которых установлен Windows XP, 2003 итд.

ftp.bat и ftp1.bat – читает из соответствующих файлов команды фтп и перезаписывает конфиг при помощи rsh

ftp.txt и ftp1.txt – сами команды фтп, которые заливают running-config на циску, изменяя при этом ip route 0.0.0.0 0.0.0.0

running-config и running-config1 – конфиги с маршрутами по умолчанию (больше ничего в них добавлять не нужно)

Рекомендую настроить access-list на внешнем интерфейсе, чтобы доступ к фтп был только у необходимых адресов

Аналогичным методом Вы можете заливать конфиги на циску.

Так же можете воспользоваться технологией Optimized Edge Routing

Требования к IOS и оборудованию: Cisco IOS Software for border router and master controller:

–Release 12.3(8)T or later
Cisco Systems router hardware support:

–Cisco 1700 Series Modular Service Access Router

–Cisco 1800 Series Router

–Cisco 2600 Multiservice Platform

–Cisco 2800 Series Router

–Cisco 3640 and 3660 Series Routers

–Cisco 3700 Series Multiservice Access Router

–Cisco 3800 Series Router

–Cisco 7200 Series Router

–Cisco 7300 Series Router (NPE, not NSE

–Cisco 7500 Series Router

искатьДва провайдера (резервный канал) на Cisco на сайте

автор: Gozar