Настройка маршрутизатора Cisco - продолжение
Опубликовано чт, 10/20/2011 - 15:15 пользователем alex1812
Немного дополню первую часть, т.к. у нас все-таки маршрутизатор, то рассмотрим еще некоторые возможности. Начнем пожалуй со списков доступа.
Итак, что такое список доступа? Образно выражаясь, это набор правил по которым маршрутизатор отбирает маршрут или пакет.
Стандартные списки доступа.
Общий вид правила:
access-list номер действие источник
где -
номер - число идентифицирующее список (1-99 стандартные списки доступа для IP, 100-199 расширенные списки доступа для протокола IP)
действие - permit или deny (разрешить, запретить), в комментариях не нуждается.
источник - адрес источника пакетов
Пример:
access-list 5 deny 10.10.10.0 0.0.0.255
access-list 5 deny 10.10.20.0 0.0.0.255
access-list permit any
Пример запрещает доступ для сетей 10.10.10.0 и 10.10.20.0 и разрешает для всех остальных.
Будьте внимательней, при составлении правил маршрутизатор обрабатывает правила последовательно и если поставить строку access-list permit any первый, то остальные два отрабатывать не будут.
Применение списка доступа к интерфейсу -
interface FastEthernet0/1
ip access-group out
То бишь мы запрещаем исходящий трафик на интерфейсе FastEthernet0/1 для вышеперечисленных сетей.
Списки доступа также можно применять для доступа по ssh (см. первую часть)-
transport input ssh
access-class 10 in
access-list 10 permit host 10.10.10.45
или для доступа к web-серверу маршрутизатора -
ip http server
ip http access-class 25
ip http authentication aaa
ip http port 8080
Расширенные списки доступа:
access-list номер действие протокол источник исх_порт приемник цел_порт дополнительные_аргументы
где -
номер - аналогично обычному списку доступа только в диапазоне от 100 до 199
протокол -ip,tcp, udp или icmp, к которому применяется правило
источник - адрес источника
исх_порт - Исходящий порт для TCP и UDP
приемник - адрес приемника
цел_порт - порт назначения пакетов для UDP и TCP
дополнительные_аргументы - необязательные аргументы, такие как established (все параметры можно найти в документации, здесь на них мы останавливаться не будем.)
Коментарии в списках доступа (remark)-
access-list 110 remark Блокировать директору все, достал!
acces-list 110 deny ip 10.10.10.5 0.0.0.255 any
Настройка времени в списках доступа (time-range - глобальная команда) -
Рабочее время в будние дни:
time-range block-http
periodic weekdays 8:00 to 17:00
Пример использования:
ip access-list extended list1
deny tcp any any eq www time-range block-http
permit any any
Здесь первое правило блокирует HTTP-трафик в рабочее время и разрешает прочий трафик.
Пример списка доступа -
! Блокировать подделку наших IP-адресов (spoofing)
access-list 110 deny ip 10.10.10.0 0.0.0.255 any
! Разрешить возвращение обратно в сеть любых исходящих ТСР-соединений
access-list 110 permit tcp any any established
! Разрешить передачу электронной почты (порт SMTP 25) на наш SMTP-сервер
access-list 110 permit tcp any host 10.10.10.5 eq smtp
! Разрешить веб-трафик (порт 80) только на наш веб-сервер
access-list 110 permit tcp any host 10.10.10.6 eq www
! Разрешить DNS-трафик на наш DNS-сервер; разрешить TCP и UDP
access-list 110 permit tcp any host 10.10.10.8 eq domain
access-list 110 permit udp any host 10.10.10.8 eq domain
! Разрешить внутренним узлам обращаться
! к внешнему DNS-серверу (192.168.1.100)
access-list ПО permit upd host 192.168.1.100 eq domain any gt 1023
! Разрешить FTP-трафик на наш FTP-сервер
access-list 110 permit tcp any host 10.10.10.6 eq ftp
access-list 110 permit tcp any host 10.10.1.25 eq ftp-data
! Разрешить передачу новостей внутреннему NNTP-клиенту
! только с легитимных NNTP-серверов
access-list 110 permit tcp host 198.168.1.98 host 10.10.10.200 eq nntp
access-list 110 permit tcp host 192.168.1.99 host 10.10.10.200 eq nntp
! Разрешить telnet-соединения (порт 23) только с одним узлом!
access-list 110 permit tcp any host 10.10.10.237 eq telnet
! Некоторые вещи необходимо запретить: Xwindows, NFS
access-list 110 deny tcp any any range 6000 6003
access-list 110 deny tcp any any range 2000 2003
access-list 110 deny tcp any any eq 2049
access-list 110 deny udp any any eq 2049
! Так как мы применяем непассивное FTP-соединение на наших FTP-клиентах,
! следующая строка необходима, чтобы разрешить возвращение этих FTP-сеансов
! обратно в сеть. Если у вас есть FTP-сервер. для него следует создать
! отдельный пункт,
access-list 110 permit tcp any eq ftp-data any gt 1024
! Разрешить ICMP-трафик в нашу сеть
! Внимание! ICMP - это больше, чем просто эхо-запрос. Если вы решите
! запретить его. то следует явно запретить определенные типы ICMP-команд
! (echo, echo-reply и т. п.).
! Механизмы выбора маршрутов для MTU и подавления источника работают
! благодаря протоколу ICMP и очень важны для некоторых соединений.
! Сначала запрещаем перенаправление широковещательных ICMP-рассылок
access-list 110 deny icmp any any redirect
! Затем разрешаем все остальное
access-list 110 permit icmp any any
! Разрешить NTP-сообщения времени на все внутренние машины
access-list 110 permit udp any any eq ntp
! Неявное запрещение
! Оно задано по умолчанию, но мы включаем его сюда, чтобы команда
! show access-list выводила число пакетов, заблокированных
! из-за неявного запрещения.
access-list 110 deny ip any any
Примените этот список к нашему интерфейсу:
interface FastEthernet 0/1
ip access-group 110 in
Настройка snmp
По умолчанию доступ по протоколу SNMP отключен. Чтобы включить его,
необходимо выполнить -
snmp-server community имя режим список_доступа
Ниже перечислены параметры команды:
имя - Строка сообщества (community string),
режим - доступны два режима: R0 — доступ (непривилегированный) только для
чтения и RW — доступ (привилегированный) для чтения и записи.
список_доступа - Имя или номер стандартного списка управления доступом.
snmp-server community not-public R0 1
! Включение привилегированного доступа и применение списка доступа 2
snmp-server community highly-secure RW 2
snmp-server location Servernaya
snmp-server contact admin@my-domain.ru
snmp-server host 10.10.10.2 highly-secure traps
! Списки доступа
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 2 permit 10.10.10.35
Настройка DHCP
! Исключаемые адреса
ip dhcp excluded-address 10.10.10.245 10.10.10.254
ip dhcp excluded-address 10.10.10.1 10.10.10.10
ip dhcp ping packets 4
! Описываем область
ip dhcp pool MY_POOL
import all
network 10.10.10.0 255.255.255.0
domain-name dbschenker.ru
default-router 10.10.10.1
dns-server 10.10.10.2
lease 3
Настройка маршрутизации и NAT
Задаем шлюз по умолчанию (вместо default-gateway) описанном в первой части и статические маршруты-
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 125.12.232.15
ip route 192.168.1.0 255.255.255.0 125.12.232.15
Включаем скоростную передачу от Cisco для IPv4
ip cef
и отключаем для IPv6
no ipv6 cef
Настраиваем NAT
! на Интернет интерфейсе
interface FastEthernet0/0
ip nat outside
! на локальном интерфейсе
interface Vlan1
ip nat inside
! создаем список IP имеющих доступ к NAT
ip access-list extended NAT
permit ip host 10.10.10.10 any
! включаем NAT на внешнем интерфейсе
ip nat inside source list NAT interface FastEthernet0/0 overload
Надеюсь описанное в этих статьях будет полезным, а не будет, так мне пригодиться, ведь я с Cisco недавно стал работать, а самообучение ведь наше все!
Если Вы видите какие-либо неточности, прошу отписывать в комменатх, не стесняйтесь.
Интересное на сайте:
Голосов пока нет
Комментарии
Спасибо!
Отличная статья. Мне очень пригодилась!