Введение в управление трафиком и доступом

Вопросы, рассматриваемые в этой главе, важны для понимания того, как именно возможности маршрутизаторов Cisco применяются в реа­льном мире. На экзамене ACRC вы должны продемонстрировать хороший уровень знания данного материала.

Знание синтаксиса, правил и применения стандартных списков доступа, расширенных списков доступа и адресов поддержки IP позволяет сэконо­мить драгоценное время при настройке маршрутизатора - вам не при­дется копаться в справочниках, что, как правило, оставляет у заказчика крайне неприятное мнение о вашем профессионализме. Но более важно то, что, освоив предлагаемый материал, вы сможете быстро и грамотно настроить маршрутизатор. Если списки доступа правильно сконфигури­рованы с самого начала, это, без сомнения, сократит время отладки.

Многие вопросы экзамена требуют, чтобы вы написали ответ, а не вы­брали верный вариант из нескольких предлагаемых. Обратите внимание на то, что ответ будет считаться неверным, если вы допустите описку.

Причины перегруженности сети

По мере подключения к сети все новых и новых пользователей ее про­изводительность начинает падать, так как на определенном этапе пользова­телям уже не хватает имеющейся полосы пропускания. Происходит то же самое, что и на автостраде в час пик, когда число машин превышает пропу­скную способность дороги. В современных условиях, когда к сети подклю­чаются мощные рабочие станции, по ее линиям передаются аудио - и видеофайлы, а приложения настольных компьютеров активно взаимодей­ствуют с сетью, для нужд крупной фирмы явно недостаточно ресурсов лока­льной сети Ethernet с полосой пропускания 10 Мбит/с.

Знание причин перегруженности сети необходимо для отладки, разработки и администрирования сетей. Перегруженность сети может превра­титься в серьезную проблему по многим причинам. Большинство фирм сильно зависит от работы своей сети, существуют также фирмы (например. провайдерские), которые представляют собой сеть. Для них перегруженность сети - болезнь, которая при отсутствии лечения быстро приведет к летальному исходу. Если же долгое время не обращать внимания на симптомы этой болезни, то лечение - отладка, ремонтные работы и обновление сети - может вылиться в астрономическую сумму. Прямых вопросов экзамена, посвященных этой теме, немного, но она ле-жит в основе других тем — например, сегментирования LAN.

Сетевой комплекс - это коммуникационная структура, служащая для объединения локальных и глобальных сетей. Основное назначение сетевого комплекса заключается в том, чтобы быстро и эффективно передавать информацию в любое место в пределах корпорации по первому требованию и с соблюдением целостности данных. Современные пользователи все больше и больше зависят от возможностей своей сети. Стоит серверу рабочей группы или концентратору выйти из строя, и в офисе воцаряется хаос. Следовательно, для сетевых компаний важно, насколько эффективно и регулярно администратор управляет такими действиями в сети:

• Передача графики и изображений

• Передача файлов объемом в несколько гигабайтов

• Клиент - серверные вычисления

• Высокая интенсивность сетевого трафика

Для удовлетворения этим требованиям компьютерный отдел фирмы должен обеспечить:

• Увеличение полосы пропускания

• Предоставление полосы пропускания по требованию

• Малую задержку

• Возможность передачи данных, аудио - и видеоинформации по одному и тому же каналу

Кроме того, современные сети должны быть гибкими, готовыми к появлению приложений завтрашнего дня. В самом ближайшем будущем компьютерные сети будут использоваться для передачи таких видов информации, как:

• Графика высокого разрешения

• Высококачественное видео

• Оцифрованный звук

Другими словами, для того чтобы сетевой комплекс соответствовал свое­му назначению, он должен эффективно связывать между собой большое количество различных сетей, обслуживающих разные организации. Сое­динение не должно зависеть от типа используемого физического носите­ля. Компании, расширяющие свои сетевые комплексы, обязаны успешно преодолевать физические и географические ограничения по примеру всемирной сети Интернет.

Методы устранения перегруженности сети

Как правило, при перегрузке сети пользователи начинают требовать увеличения полосы пропускания. Но дело в том, что простое увеличение полосы не всегда дает нужный результат. Одним из способов решения проблемы перегруженности и повышения производительности локальной сети является разбиение одного сегмента Ethernet на несколько сегментов. При этом доступная ширина полосы пропускания достигает максимума.

Сегментация сети - один из наиболее важных и эффективных инстру­ментов проектирования, отладки, модернизации и оптимизации сетей Et­hernet. Большинство консультантов и опытных администраторов, услышав о тех или иных признаках перегруженности сети, сразу же на­чинают искать ошибки в сегментации. Этот вопрос следовало бы отнес­ти к программе "Basic Networking 101", поскольку он является ключевым в проектировании и отладке сетей.

В этом разделе подробно рассматриваются дуплексные режимы, сегмен­тация, Ethernet/Fast Ethernet, FDDI/Token Ring и маршрутизация/перемыкания.

К методам борьбы с перегруженностью сети относятся:

• Физическая сегментация

• Технология коммутации сетей

• Применение дуплексных устройств Ethernet

• Использование Fast Ethernet

• Применение FDDI

Физическая сегментация позволяет разбить коллизионные и широковещательные домены на более мелкие части. Три основных метода борьбы с перегруженностью сетей основаны на использовании для сегментации маршрутизаторов, мостов и коммутаторов LAN.

Используя мосты, можно разбить сеть на мелкие, легко управляемые компоненты. Это позволит снизить уровень загруженности сети. Однако следует учитывать, что неправильно размещенный мост может принести больше вреда, чем пользы.

Мосты относятся к подуровню MAC канального уровня модели OSI. Они создают отдельные физические и логические сегменты сети для уменьше­ния общего объема передачи данных. При разбиении логической сети на мелкие компоненты повышаются ее надежность, доступность, управляе­мость и способность к расширению.

Мосты анализируют адреса MAC или аппаратные адреса всех кадров и затем пересылают кадры в соответствующие физические сегменты (толь­ко если это действительно нужно). Мосты динамически формируют таб­лицу пересылки путем сопоставления адресов MAC и сегментов, в которых находятся эти адреса.

Мост может пересылать любые пакеты во все другие сегменты, к которым он подключен. По умолчанию исходные адреса широковещательных паке­тов не анализируются мостом, т. е. фильтрация не выполняется, при этом возможен так называемый широковещательный шторм, когда поток широ­ковещательных пакетов превращается в потоп. Та же проблема может воз­никнуть и при использовании коммутаторов, так как с теоретической точки зрения порты коммутаторов являются портами мостов. Коммутатор фирмы Cisco на самом деле представляет собой мост с несколькими пор­тами, работающий под управлением Cisco IOS и выполняющий те же фун­кции, что и мост.

Важно помнить, что мосты создают маленькие коллизионные домены, в то время как вся сеть по-прежнему остается одним большим широкове­щательным доменом.

Маршрутизаторы относятся к сетевому уровню модели OSI и применяют­ся для перенаправления пакетов в целевые сети. Маршрутизаторы, как и мосты, выбирают маршруты на основе таблиц. Однако маршрутизаторы хранят в таблицах информацию о том, как можно добраться до удален­ных сетей, но не до отдельных хостов, и на ее основе выбирают маршру­ты следования пакетов в сетевом комплексе. При выборе маршрутов маршрутизаторы оперируют IP-адресами, а не аппаратными адресами.

Маршрутизаторы хранят и обновляют отдельные таблицы маршрутиза­ции для всех протоколов, используемых в сети, так что маршрутизатор Cisco может хранить отдельную таблицу маршрутизации для AppleTalk, отдельную таблицу для IPX и еще одну для IP.

Применение маршрутизаторов дает следующие преимущества:

Управляемость Возможность работы с несколькими протоколами маршрутизации предоставляет проектировщику большую гибкость при разработке сети.

Расширенный объем функций Маршрутизаторы Cisco могут выпол­нять такие функции, как адресация выхода потока, контроль ошибок и загруженности, фрагментация, повторная сборка пакетов и управле­ние временем существования пакета.

Несколько активных маршрутов С помощью соответствующих про­токолов, DSAP, SSAP и метрик путей маршрутизаторы могут выбирать маршруты на основе большого объема информации и интерпретиро­вать протоколы следующего уровня. Это позволяет маршрутизаторам поддерживать несколько активных маршрутов к одной сети.

Сегментация с помощью коммутаторов LAN

Применение коммутаторов — один из наиболее эффективных методов сегментации LAN. Коммутаторы повышают производительность локаль­ной сети благодаря использованию коммутации кадров, значительно уве­личивающей скорость обмена данными.

Как и мосты, коммутаторы перенаправляют пакеты в выходные порты на основе адресов MAC. При сквозной коммутации LAN пересылка паке­та начинается еще до окончания его приема, в результате величина за­держки сводится к минимуму. При коммутации с промежуточным хранением коммутатор принимает весь кадр, записывает его во встроен­ные буферы, выполняет контроль CRC и затем пересылает кадр через целевой порт.

Различают три метода коммутации:

Коммутация с конфигурацией портов (port-configuration switching)

Позволяет сопоставлять порты физическим сегментам сети под про­граммным управлением. Простейшая форма коммутации.

Коммутация кадров (frame switching) Применяется для оптимиза­ции полосы пропускания в сети. Допускает параллельную передачу нескольких пакетов. Этот метод коммутации реализован во всех ком­мутаторах Catalyst.

Коммутация ячеек (cell switching) Аналогична коммутации кадров. В ATM используются малые ячейки фиксированной длины, которые коммутируются при передаче по сети. Этот метод коммутации реали­зован во всех коммутаторах Cisco Lightstream.

Коммутаторы LAN предоставляют большую плотность портов с меньшей стоимостью по сравнению со стандартными мостами. Поскольку коммутаторы LAN позволяют работать с сегментами, состоящими из небольшого числа пользователей, увеличивается средняя ширина полосы пропускания, приходящаяся на каждого пользователя. Тенденция к сокращению числа пользователей на сегмент получила название микросегментации; при таком подходе можно создавать выделенные сегменты.

Если на сегмент приходится по одному пользователю, каждому из них предоставляется полная полоса пропускания, которую не нужно ни с кем делить. Поэтому конфликты, столь частые в общих сетях среднего размера, где применяются концентраторы, при такой сегментации исключены.

Технология коммутации сетей

По мере роста популярности сетей увеличивается объем продаж комму­таторов для локальных сетей Token Ring и FDDI. Однако наиболее испо­льзуемыми остаются коммутаторы для локальных сетей Ethernet. Современные коммутаторы LAN обеспечивают ряд новых перспектив­ных возможностей, среди них:

• Выполнение нескольких передач одновременно

• Высокоскоростной обмен данными

• Выделенная связь между устройствами

• Низкая величина задержки и высокая скорость пересылки кадров

• Дуплексная связь

• Адаптация к характеристикам носителей (в одной и той же сети мо­гут работать одновременно хосты на 10 Мбит/с и на 100 Мбит/с)

• Поддержка существующих сетевых карт и кабелей, совместимых со стандартом 802.3

Благодаря выделенной сегментации, исключающей возникновение конф­ликтов между сетевыми устройствами, повышается скорость передачи файлов. Одновременно могут осуществляться несколько процессов обме­на данными, т. е. одновременно могут пересылаться или коммутироваться несколько пакетов, следовательно, пропускная способность сети увеличи­вается в соответствующее число раз.

Переход к дуплексной связи повышает пропускную способность сети ров­но вдвое, а адаптация к характеристикам носителей позволяет коммута­торам LAN выполнять обмен данными между устройствами, рассчитанными на 10 и 100 Мбит/с, и перераспределять полосу пропус­кания по мере необходимости. Еще одно преимущество данного метода заключается в том, что переход на коммутаторы LAN не требует замены уже установленных концентраторов, сетевых карт и кабелей.

Дуплексные устройства Ethernet

Применение дуплексных устройств вместо полудуплексных теоретически увеличивает полосу пропускания вдвое. Подключение к дуплексным пор­там концентраторов позволяет устройствам вести прием и передачу од­новременно. Передаваемые и принимаемые сигналы идут по разным проводам, поэтому не должно быть конфликтов и фрагментации.

Fast Ethernet

Fast Ethernet рассчитана на 100 Мбит/с, что в 10 раз выше, чем в lOBaseT Ethernet (10 Мбит/с). Самая приятная особенность Fast Ethernet заключа­ется в том, что она использует те же способы передачи сигналов, что и lOBaseT, следовательно, в одной сети могут одновременно работать устройства обоих типов. Это означает, что можно модернизировать сеть постепенно, участок за участком,— единовременная модернизация всей сети не требуется.

FDDI

FDDI — это один из типов сети с передачей маркера. Обычно ее про­пускная способность составляет 100 Мбит/с. Спецификация FDDI от­личается хорошей продуманностью и надежностью. До появления Fast Ethernet и Gigabit Ethernet сети FDDI были самыми быстрыми. Такие преимущества FDDI, как хорошая работа при высокой загрузке и от­сутствие конфликтов (следствие принципа передачи маркера), по-прежнему заслуживают внимания.

Управление трафиком и доступом

Фирма Cisco разработала собственную трехуровневую иерархическую модель, которой можно руководствоваться при проектировании и созда­нии масштабируемых сетевых комплексов. Использование этой модели упрощает адресацию и управление устройствами, поскольку преобразова­ние сетевых адресов в иерархическую структуру сокращает объем работ по перенастройке сети при ее расширении. Кроме того, если вы точно знаете, где именно в иерархии расположены устройства, выполняющие сходные задачи, проще избежать ошибок и конфликтов при настройке маршрутиза­торов на том или ином уровне. Для эффективного управления трафиком и доступом администратор должен быть знаком с иерархической моделью Cisco.

Понимание трехуровневой иерархической модели Cisco позволит вам проектировать и внедрять более протяженные сети, ориентированные на постоянное расширение; видеть достоинства и недостатки готовых се­тевых разработок; приобретать именно те устройства, которые в точно­сти соответствуют поставленной задаче, и не тратить на них ни копейки сверх необходимого.

Теоретический курс

Иерархическая модель Cisco (см. рис. 2.1) включает в себя следующие уровни:

• Уровень ядра (Core layer)

• Уровень распространения (Distribution layer)

• Уровень доступа (Access layer)

Рис. 2.1. Трехуровневая иерархическая модель Cisco

Уровень ядра

Основной функцией уровня ядра является реализация оптимизированной и надежной транспортной структуры. Эта структура имеет большое значе­ние для всего сетевого комплекса и может включать в себя магистрали LAN и WAN. На уровне ядра находятся службы, которые обеспечивают связь между маршрутами в разных логических группах. Маршрутизаторы уровня ядра предоставляют максимум надежности и доступности. Если в локаль­ной или глобальной сети возникает сбой, маршрутизаторы уровня ядра, как правило, поддерживают соединение.

Уровень распространения

Уровень распространения обеспечивает доступ к различным службам и частям сетевого комплекса. Этот уровень соответствует магистрали университетской сети. Маршрутизаторы уровня распространения управляют доступом к ресур­сам уровня ядра и обязаны оптимальным образом использовать полосу пропу­скания. Кроме того, они должны удовлетворять требованиям качества и класса услуг (Quality Of Service, QOS) различных протоколов, реализуя страте­гии управления трафиком, основанные на разделении локальных сред и сре­ды магистрали.

Уровень доступа

Уровень доступа обеспечивает рабочей группе или отдельным пользова­телям доступ к общим ресурсам локального сегмента. Маршрутизаторы уровня доступа управляют трафиком, ограничивая область действия за­просов к службам и широковещательных рассылок средствами доступа. Маршрутизаторы данного уровня должны обеспечивать связь, а также поддерживать целостность сети. Маршрутизатор, к которому поступил запрос, обязан проверить его правомочность, запросив у пользователя идентификационную информацию так, чтобы от него требовался мини­мум действий.

Настройка стандартных списков доступа IP

Используются два типа списков доступа: стандартные и расширенные. (Расширенные списки доступа рассматриваются ниже.) Возможности стандартных списков доступа довольно ограничены. Они способны выполнять отбор только по исходному адресу входящего или исходящего пакета. Стан­дартные списки доступа должны иметь номера в диапазоне от 1 до 99. Стандартные списки широко распространены и легко настраиваются. Хорошее знание списков доступа позволит сэкономить массу времени при настройке фильтрации на маршрутизаторе Cisco.

Как стандартные, так и расширенные списки доступа могут быть весьма сложными. Для полного понимания того, что именно делает тот или иной список доступа, необходимо тщательно изучить теорию и как мож­но больше попрактиковаться в работе с маршрутизаторами.

Теоретический курс

Стандартный список доступа представляет собой последовательность операторов permit и deny, в которых указываются исходные IP-адреса паке­тов. Пакет, поступающий в маршрутизатор, проверяется на соответствие спискам доступа, причем процедура проверки зависит от того, является пакет входящим или исходящим для данного интерфейса. Если с интер­фейсом сопоставлен список доступа, просматривается каждая строка спи­ска по порядку, пока не будет обнаружено соответствие тому или иному критерию. Если соответствие не найдено, пакет отклоняется. Для того чтобы пакеты, не удовлетворяющие списку доступа., пересылались по на­значению, необходимо в самом конце списка поставить оператор permit для пропуска всех неотобранных пакетов; в противном случае такие паке­ты будут отбрасываться.

В Cisco IOS в конце каждого списка доступа стоит неявный оператор deny, так что в случае, если список доступа применяется для того, чтобы отклонять пакеты, удовлетворяющие определенным критериям, и пропу­скать все остальные, в последней строке списка необходимо поставить оператор permit. Если же список доступа используется для того, чтобы принимать пакеты, удовлетворяющие определенным критериям, и откло­нять все остальные, явно указывать оператор deny в конце списка не нужно — он уже там есть.

Списки доступа могут сильно перегрузить маршрутизатор. Более того, они замедляют скорость передачи, так как каждый пакет проверяется на соответствие каждой строке списка доступа до тех пор, пока не будет найдена нужная строка или пока список не закончится. Поэтому при со­ставлении списков доступа важно тщательно продумать их содержимое и добиться максимальной эффективности работы. Чем больше пакетов со­ответствует строке, тем ближе к началу списка должна находиться эта строка. Добавляя в список строки, старайтесь располагать их по мере убывания частоты применения. Учтите, что чаще всего используемая строка может оказаться вовсе не там, где вы ее поставили, в зависимости от того, является ли она оператором permit или deny. Иногда IOS переупорядочивает операторы. И, наконец, чем короче список доступа, тем меньше нагрузка на маршрутизатор и тем меньше задержка.

Последняя часть оператора — маска шаблона. Она должна быть записана в формате IP-адреса, т. е. в виде четырех октетов. Десятичное значение каждого октета преобразуется в поток двоичных нулей и единиц. Нули обозначают биты, значения которых должны в точности совпадать с со­ответствующими битами адреса, а единицы — биты, значения которых могут быть любыми. Примеры масок шаблонов и соответствующих сете­вых адресов приведены в таблице 2.1.

Таблица 2.1. Сетевые адреса и маски шаблонов

Из всех адресов, сравниваемых с сетевым адресом по маске шаблона, бу­дут отбираться только те, у которых все биты, помеченные в маске шаб­лона нулями, совпадают с соответствующими битами сетевого адреса.

В первом примере сравнение с сетевым адресом 172.16.10.0 происходит по маске шаблона 0.0.0.255. Это означает, что первые три октета адреса должны быть в точности равны 172, 16 и 10 соответственно, в то время как последний октет может принимать любое значение от 0 до 255.

Второй пример аналогичен первому в том, что выполняется проверка на принадлежность к сети класса В, но в третьем октете должен проверять­ся только каждый шестнадцатый хост в сети.

В третьем примере не анализируются последние два бита четвертого октета. В качестве упражнения рассмотрим несколько списков доступа.

access-list 1 deny 172.16.40.6 access-list 1 permit 172.16.20.6

Этот список доступа предельно прост и ясен. В первой строке сообщает­ся, что список доступа называется access-list 1. Условие первой стро­ки — отклонять все пакеты, исходный адрес которых совпадает с указанным (в данном случае 172.16.40.6). Вторая строка также относится к списку доступа access-list 1 и предписывает, что следует принимать все пакеты, исходный адрес которых совпадает с 172.16Что же случится с пакетом, исходный адрес которого не удовлетворяет ни пер­вому, ни второму условию? Вспомним, что в Cisco IOS последняя строка любого списка доступа (она может быть и невидима) по умолчанию со­держит оператор deny any. Если пакеты, не удовлетворяющие списку-, тре­буется пересылать дальше, необходимо добавить в конец списка доступа оператор permit any; в противном случае эти пакеты будут отбрасываться. В приведенном ниже списке доступа оператор permit any указан явно:

access-list 2 deny 10.0.5

access-list 2 deny 192.168.

access-list 2 permit any

Этот список отклоняет пакеты, поступающие из частных сетей 10.0.0.0 и 192.168.0.0, и пропускает все остальные пакеты. Здесь указана маска шаб­лона для исходного адреса, означающая, что должен отбрасываться любой пакет, поступивший с любого возможного IP-адреса в адресном простран­стве класса А 10Для сетевого адреса 192.168.0.0 также указана мас­ка шаблона, в соответствии с которой будут игнорироваться все пакеты, поступившие с любого возможного IP-адреса данной суперсети класса С. Это делается потому, что записать отдельную строчку для каждого адреса в сети класса А и класса С невозможно. Обратите также внимание, что список доступа заканчивается оператором permit any. Если бы этого опе­ратора не было, список доступа отклонял бы все пакеты.

И, наконец, при создании стандартного списка доступа необходимо тщательно продумать, какие исходные адреса должны блокироваться, а ка­кие — пропускаться. После того как в первом приближении будут выделены все сети, которые должны включаться в список доступа, опре­делите, какие из них можно объединить в одну строку с помощью масок шаблонов, чтобы укоротить список. Чем меньше строк в списке доступа, тем меньше задержка пакетов и тем меньше нагрузка на процессор марш­рутизатора. Если требуется передавать пакеты, не соответствующие ни одной строке списка, не забудьте добавить в конец списка доступа строку permit any.

Создание списка доступа

Команда создания списка доступа имеет следующий синтаксис:

access-list номер-списка-доступа [deny | permit] исходный - адрес [маска-шаблона-исходно го-адреса]

Параметр номер-списка-доступа — целое число в диапазоне от 1 до 99. По­сле номера списка должно идти слово permit или deny, указывающее мар­шрутизатору, что следует делать с пакетами, удовлетворяющими условию. Исходный-адрес — IP-адрес хоста или сети. Этот параметр является частью строки списка доступа и может задаваться либо в виде IP-адреса из четы­рех октетов, либо в виде слова any, означающего любой IP-адрес. Если требуется обозначить несколько хостов или сетей, можно добавить мас­ку -шаблона - исходного-адреса.

Для связывания списка доступа с интерфейсом применяется команда:

ip access-group номер-списка-доступа [in | out]

Здесь номер-списка-доступа — это номер списка доступа, связываемого с интерфейсом. Если пересылаемые пакеты должны проверяться до пере­дачи в линию, необходимо указать ключевое слово Out. Если же провер­ке подлежат пакеты, поступающие на маршрутизатор, т. е. проверка осуществляется до приема, укажите ключевое слово in. Ниже приведены пример связывания списка доступа с интерфейсом и фрагмент файла те­кущей конфигурации, иллюстрирующий прием команд.

Router_C#config term

Enter configuration commands, one per line. End with CNTL/Z.

Router_C(config)#access-list 10 deny 172.16.1

Router_C(config)#access-list 10 deny 172.16.2

Router_C(config)#access-list 10 permit 172.16.3

Router_C(config)#int sO

Router_C(config-if)#ip address 172.16.4252

Router_C(config-if)#ip access-group 10 in

Router_C(config-if)#~Z Router_C#

interface SerialO

ip address 172,16.4252

ip access-group 10 in

!

access-list 10 permit 172.16.3

access-list 10 deny 172.16.2,0.255

access-list 10 deny 172.16.1,0.255

Ограничение доступа к виртуальным терминалам

Кромe физических портов или интерфейсов, например ЕО или S1, на маршрутизаторе существуют и виртуальные порты, которые называются линиями виртуальных терминалов и нумеруются от vty 0 до vty 4. Важно знать, как осуществляется доступ к портам виртуальных терминалов (пор­там vty) и как можно ограничить его. Если не принять соответствующих мер, порты vty могут стать источником серьезных неприятностей.

Если вы хотите реализовать эффективную стратегию защиты сети любо­го типа, изучите теоретические основы работы портов vty, синтаксис их использования и ограничения доступа. Если возможно, попрактикуйтесь на маршрутизаторах Cisco.

Теоретический курс

Фирма Cisco считает эту тему важной, поскольку незащищенные порты vty на маршрутизаторе могут превратиться в дыру, в которую рано или поздно кто-то пролезет. Можно вообще запретить доступ к маршрутиза­тору по Telnet и настроить для этого расширенный список доступа, но данное решение неуклюже. Что произойдет, если вы забудете указать ка­кой-либо интерфейс или исходный адрес? Более простой и изящный подход заключается в создании стандартного списка доступа и в связыва­нии его непосредственно с портами vty. В стандартном списке доступа достаточно перечислить те хосты, которые могут подключаться к марш­рутизатору по Telnet.

Ограничение доступа к виртуальным терминалам - это, по сути, не столько механизм управления трафиком, сколько средство защиты сети. Для обеспечения защиты можно блокировать доступ к портам vtv данного маршрутизатора или доступ к портам vty других маршрутизаторов с данного.

Практический курс

По умолчанию списки доступа действуют только для транзитных паке­тов, но не для пакетов, генерируемых самим маршрутизатором. Понятно, что это обстоятельство оставляет лазейку в защите. Пять виртуальных терминалов на маршрутизаторе уязвимы для несанкционированного до­ступа, но с этими портами также можно связать списки доступа.

Порты vty нумеруются с 0 по 4. Можно одновременно установить конфигурацию и параметры защиты всех пяти портов. Это делается следующим образом:

RouterA#config t

RouterA#access-list 50 permit 172.16.30.0 0,0.0.255

RouterA(config)#line vty 0 4

RouterA(config-line)#access-class 50 in

RouterA(config-line)#~Z

RouterA#

Обратите внимание, что вместо команды access-group применяется команда access-class. Синтаксис команды access-class:

access-class номер-списка-доступа [in | out]

Номер-списка-доступа — число от 1 до 99, означающее стандартный список доступа. Помните, что стандартные списки доступа проверяют только ис­ходные IP-адреса.

Настройка расширенных списков доступа IP

Расширенные списки доступа позволяют выполнять отбор не только по исходным адресам, но и по номерам портов, протоколам сеансового уровня и целевым адресам. Дополнительные возможности фильтрации придают спискам доступа этого типа большую гибкость, но их неразумное использование может вызвать резкое увеличение нагрузки на маршрутиза­тор. Полный синтаксис расширенных списков доступа запомнить трудно вследствие большого количества вариантов, но мы настоятельно рекомен­дуем упражняться до тех пор, пока вы не сможете разбираться в структуре синтаксиса без каких-либо затруднений. Это повысит общий уровень эф­фективности работы с маршрутизаторами Cisco.

Теоретический курс

Основное различие между стандартными и расширенными списками доступа заключается в синтаксисе соответствующих команд. Если с интер­фейсом связан список доступа, то поступивший пакет проходит одну и ту же процедуру обработки независимо от типа списка. Единственным раз­личием является то, что расширенные списки доступа позволяют осуще­ствлять отбор по более широкому набору критериев. Расширенные списки доступа сложны и могут привести к перегрузке маршрутизатора и к резкому увеличению задержки, поэтому их оптимизация еще более важ­на, чем для стандартных списков доступа.

Расширенный список доступа можно связать с любым существующим ин­терфейсом — командой access-group, причем каждый интерфейс может иметь две группы доступа (access group): одну для входящих пакетов и одну для исходящих.

Важной проблемой является выбор места, в котором следует использо­вать расширенный список доступа. Например, если он применяется в це­лях защиты, его необходимо связать с интерфейсом, соединяющим соответствующие машины. Если же список доступа предназначен для того, чтобы определенные виды трафика не передавались по сети, его следует разместить как можно ближе к источнику нежелательного трафи­ка и тем самым устранить проблему в зародыше, а не передавать пакеты по магистрали только затем, чтобы в конце концов их выбросить.

Если расширенный список доступа оказывается слишком длинным, следу­ет проверить, нельзя ли упростить его, расположив ближе к проблемным устройствам. Еще один совет: если один и тот же список доступа связан с выходами большей части интерфейсов маршрутизатора, следует связать его с входом того интерфейса, на который поступает данный трафик. Все эти приемы могут оказать большую помощь при оптимизации спис­ков доступа.

Наибольшее различие между стандартными и расширенными списками доступа заключается в их синтаксической структуре.

Синтаксис настройки расширенных списков доступа:

access-list номер-списка-доступа [deny | permit] [протокол | ключевое-слово-протокола] [исходный-адрес маска-шаблона-исходного-адреса \ any] [целевой-адрес маска-шаблона-целевого-адреса \ any] [опции-протокола] где:

• номер-списка-доступа — целое число в диапазоне от 100 до 199.

• deny | permit — условие, действующее для данной строки списка доступа.

• протокол — протокол сеансового уровня (возможные протоколы: EIGRP, GRE, ICMP, IGMP, IGRP, IP, IPinIP, NOS, OSPF, TCP и UDP).

• ключевое-слово-протокола — возможные значения: ICMP, IGMP, TCP, UDP и host. Эти ключевые слова позволяют применять другие команды для конкретного протокола. Команда host означает, что выделен один адрес хоста.

• исходный-адрес маска-шаблона-исходного-адреса — IP-адрес и маска шаблона. (Ключевое слово any обозначает любой исходный IP-ад­рес.)

• целевой-адрес маска-шаблона-целевого-адреса — IP-адрес и маска шаб­лона. (Ключевое слово any обозначает любой целевой IP-адрес.)

• Команда log включает режим протоколирования для списка доступа.

После выбора этих параметров становятся доступными дополнительные опции, не перечисленные выше. Они представляют собой ключевые сло­ва протоколов.

Необходимо особо отметить, что синтаксис строк TCP значительно от­личается от синтаксиса обычных расширенных списков доступа и выгля­дит следующим образом:

access-list номер-списка-доступа [permit |deny] tcp

[исходный-адрес маска-шаблона-исходного-адреса | any]

[оператор исходный-порт ] исходный-порт][целевой-адрес

маска-шаблона-целевого-адреса \ any]

[оператор целевой-порт | целевой-порт] [established]

Проверка работы списков доступа

В IOS имеется несколько команд, с помощью которых можно прове­рить настройку списков доступа и их связь с интерфейсами. Умение прове­рять списки доступа для определенного протокола (например, IP) и их связь с интерфейсами необходимо при администрировании рабочей сети.

Ошибки в работе со списками доступа могут привести к отключению маршрутизатора Cisco. Хуже того, в сети могут возникнуть небольшие, но досадные неполадки, которые трудно локализовать и устранить.

Команды для просмотра текстов списков доступа:

• show access-lists позволяет просмотреть все списки доступа, на­строенные на маршрутизаторе.

• show ip access-lists позволяет просмотреть все списки доступа IP на маршрутизаторе.

• show access-list 187 позволяет просмотреть список доступа 187. • show ip access-list 187 показывает только список доступа 187. Команды для проверки соответствия интерфейсов и списков доступа:

• show running-config показывает текущую конфигурацию маршрути­затора.

• show ip interface показывает текущие параметры интерфейсов маршрутизатора.

В этом разделе показаны примеры работы перечисленных выше команд.

Команда show access-lists выводит на экран следующую информацию о списках доступа маршрутизатора:

Router_B#show access-lists

Standard IP access list 1

Deny 172.16.40.6

permit 172.16.20.6

Standard IP access list 2

deny 10.0.0.0, wildcard bits 0.255.255.255

deny 192.168.0.0, wildcard bits 0.0.255.255

permit any

Standard IP access list 3

Deny 10.1.3.10

Deny 10.1.2.10

permit 10.1.4.10

Extended IP access list 110

permit tcp host 172.16.50.2 host 172,16.10.2 eq 8matches)

permit tcp 172.16.3host 172.16.10,2 eq 8matches)

permit tcp any any eq www (33 matches)

Router_B#show ip access-lists

Standard IP access list 1

Deny 172.16.40.6

permit 172.16.20.6

Standard IP access list 2

deny 10,0.0.0, wildcard bits 0.255.255.255

deny 192.168.0.0, wildcard bits 0.0.255.255 permit any

Standard IP access list 3

Deny 10.1.3.10

Deny 10.1.2.10

permit 10.1.4.10 Extended IP access list 110

permit tcp host 172.16.50.2 host 172.16.10.2 eq 8matches)

permit tcp 172.16.3host 172.16.10.2 eq 8matches)

permit tcp any any eq www (33 matches)

Router_B#show access-list 3

Standard IP access list 3

Deny 10.1.3.10

Deny 10.1.2.10

permit 10.1.4.10

Первая команда предоставляет обзорную информацию обо всех списках доступа маршрутизатора. Тип списка определен как стандартный, указан соответствующий номер. Каждая строка списка доступа выводится отде­льно; команда разбивает строку на компоненты. Команда show ac­cess-lists выводит также информацию о том, какая сеть соответствует той или иной маске шаблона.

Команда show ip access-lists выводит ту же информацию. Она полезна в том случае, если на маршрутизаторе настроены списки доступа для раз­личных протоколов.

Команда show access-list также используется при наличии нескольких списков доступа. Она позволяет просмотреть только нужный список доступа.

Для просмотра соответствия списков доступа и интерфейсов применя­ется команда show running-config и/или show ip interface. Команда show running-config служит для просмотра текущей конфигурации марш­рутизатора. Изучая листинг, обратите внимание на конфигурацию ин­терфейса Ethernet 0:

RouterA#show running-config

Building configuration...

Current configuration: I

version 11.3

no service password-encryption!

hostname RouterA!

enable secret 5 $1$YMNO$Pz1r4tEg1E91wcKrNUIOHO

enable password password

!

!

interface EthernetO ip address 172.16.10 ip access-group 110 out

no mop enabled I

interface SerialO

ip address 172.16.20 no ip mroute-cache

!

interface Serial1 no ip address shutdown

!

router rip

redistribute connected

network 172.16.0.0 !

ip classless access-list 110 permit tcp host 172.16.50.2 host

172.16.10.2 eq 8080 access-list 110 permit tcp 172.16.3host

172.16.10.2 eq 8080

access-list 110 permit tcp any any eq www access-list 110 deny ip any any log!

line con 0 line aux 0 line vty 0 4

password password2

login!

End RouterA#

Команда show ip interface выводит на экран все установленные парамет­ры интерфейса. Информация о списках доступа самая общая. Вывод команды show running-config более понятен.

RouterA#sh ip interface eO

EthernetO is up, line protocol is up

Internet address is 172.16.10.1/24

Broadcast address is 255.255.255.255

Address determined by non-volatile memory MTU is 1500 bytes

Helper address is not set

Directed broadcast forwarding is enabled

Multicast reserved groups joined: 224.0.0.9

Outgoing access list is 110

Inbound access list is not set

Proxy ARP is enabled

Security level is default Split horizon is enabled

ICMP redirects are always sent

ICMP unreachables are always sent

ICMP mask replies are never sent

IP fast switching is enabled

IP fast switching on the same interface is disabled

IP multicast fast switching is enabled

Router Discovery is disabled

IP output packet accounting is disabled

IP access violation accounting is disabled

TCP/IP header compression is disabled

Probe proxy name replies are disabled

Gateway Discovery is disabled

Policy routing is disabled

Network address translation is disabled

Применение интерфейса Null 0

Если требуется всего лишь локализовать трафик, поступающий в сеть, применение списков доступа может оказаться похожим на стрельбу из пуш­ки по воробьям, и самым заметным результатом этого станет ненужный рост нагрузки. Выполнить поставленную задачу можно более оптимальным способом. В Cisco IOS путем указания программного интерфейса Null О можно создавать статические маршруты. Интерфейс Null 0 не существует на маршрутизаторе ни как физический, ни как логический, ни как виртуа­льный интерфейс; он присутствует только в программном обеспечении IOS. Это важно знать в том случае, когда ощущается нехватка ресурсов цен­трального процессора и полосы пропускания. Описанная техника часто применяется при возникновении перегрузки маршрутизатора в производ­ственной среде.

По возможности попрактикуйтесь в применении этой техники на маршрутизаторах Cisco. Для успешной сдачи экзамена ACRC необходимо хорошее знание данного вопроса.

Интерфейс Null 0 применяется как мусорная корзина: пакеты, направляе­мые на этот интерфейс, никак не обрабатываются центральным процессо­ром и отбрасываются. Фиктивные интерфейсы часто используются лишь для этой цели; они не занимают ресурсов процессора. Передача пакетов на Null 0 осуществляется путем внесения соответствующей записи в таблицу маршрутизации. В таблицу добавляется статический маршрут следующего типа:

ip route [целевой адрес] [маска] null О

Если в таблице есть такая запись, все пакеты, направляемые по указанному целевому адресу, пересылаются на Null 0 и там уничтожаются. Это эффек­тивный способ предотвращения передачи нежелательного трафика по WAN, так как подобный статический маршрут можно реализовать где угод­но. Статические маршруты Null 0 удобно также использовать для объедине­ния маршрутов, подлежащих распространению на другие протоколы маршрутизации. Например, если имеется множество 30-разрядных сетей и нужно объединить их для протокола внутренней маршрутизации, то можно создать один статический маршрут на Null 0 и провести объединение, а за­тем распространить статическую информацию.

Практический курс

На рис. 2.2 показано, что сеть 10.1.2.0 связана с маршрутизатором С. Вос­пользовавшись командой null 0, можно запретить передачу пакетов по WAN в сеть 10.1.2.0. Если на маршрутизатор А поступит пакет, предназна­ченный для сети 10, он будет передан по статическому маршруту в му­сорную корзину Null 0.

Рис. 2.2. Статический маршрут на Null О

Приведем пример конфигурации для блокировки пакетов, предназначен­ных для передачи в сеть 10.1.2.0:

RouterA#conf t

RouterA(config)#ip route 10.1.0 null 0

RouterA(config)#~Z

Настройка адресов поддержки IP для управления трафиком рассылок

Для предотвращения широковещательного шторма маршрутизаторы по умолчанию не передают широковещательные сообщения дальше. Такая политика в общем оправданна, но иногда вызывает проблемы. Что делать в тех случаях, когда клиенту нужен доступ к серверу в другой сети? Если кли­енту не известен IP-адрес сервера, он посылает широковещательный за­прос, но маршрутизатор не пропустит широковещательное сообщение, и сервер не получит запрос. Подобные проблемы встречаются довольно час­то, так как протокол IP широко используется. Серверы DHCP, серверы ВоotP и т. п. являются неотъемлемой частью современных сетей. При работе в больших сетевых комплексах важно понимать, зачем нужна рассматрива­емая функция, и уметь ее реализовывать.

Полезно выучить номера портов по умолчанию, включенных при исполь­зовании адресов поддержки IP и протоколов пересылки.

В операционной системе Cisco IOS предусмотрено специальное средство для маршрутизаторов, по умолчанию не транслирующих широковещатель­ные сообщения. Это команда ip helper-address. Адреса поддержки преобра­зуют широковещательное сообщение в одноадресный пакет (unicast), передаваемый на сервер. Синтаксис команды:

ip helper-address адрес

Команда ip helper-address no умолчанию выполняет пересылку сообще­ний восьми протоколов и портов (указаны в скобках):

• TFTP (69)

• DNS (53)

• Time (37)

• TACACS (49)

• Клиент ВООТР (68) « Сервер ВООТР (67)

• Служба имен NetBIOS (137)

• Служба датаграмм NetBIOS (138)

Вместе с IP-адресом поддержки можно использовать команду forward-proto­col. Она позволяет точно определить типы рассылок, которые команда ip helper-address должна преобразовывать и транслировать. Синтаксис команды forward-protocol:

ip forward-protocol [udp[порт] | nd \ sdns]

Эта команда разрешает/запрещает обработку рассылок с определенными номерами портов UDP и, кроме того, применяется к интерфейсу с адресом поддержки IP. По своему действию команда похожа на список доступа.

Практический курс

Для того чтобы интерфейс LAN маршрутизатора передавал широковещательные сообщения на сервер, расположенный в другой подсети, применяет­ся команда ip helper-address. Приведем пример ее использования:

Рис. 2.3. Настройка адреса поддержки

Router_A#conf t Router_A(config)#int eO

Router_A(config-int)#ip helper-address 172.16.30.10

Router_A(config-int)#~Z Router_A#

Обратите внимание, что для порта Ethernet указан IP-адрес сервера. Этот интерфейс примет широковещательное сообщение, а затем преобразует его в одноадресный пакет с целевым IP-адресом 172.16.30.10.

Если несколько серверов находятся в одной подсети, а клиент — в другой, можно указать широковещательный адрес подсети серверов. Маршрутиза­тор преобразует широковещательное сообщение в многоадресный пакет, как показано на рис. 2.3.

В приведенном ниже листинге выполняется настройка адреса поддержки для нескольких серверов в одной подсети:

Router_A#conf t

Router_A(config)#int eO

Router_A(config-int)#ip helper-address 172.16.30.255

Router_A(config-int)#~Z

Router_A#

Если серверы расположены в разных подсетях (см. рис. 2.4), необходимо определить для интерфейса несколько строк ip helper-address.

Рис. 2.4. Несколько серверов и несколько подсетей

Процесс настройки будет выглядеть примерно так:

Router_A#conf t

Router_A(config)#int eO

Router_A(config-int)#ip helper-address 172.16.30.255

Router_A(config-int)#ip helper-address 172.16.20.255

Router_A(config-int)#~Z

Router_A#

Для того чтобы маршрутизатор транслировал только определенные виды широковещательных сообщений, служит команда forward-protocol. Как упоминалось выше, по умолчанию при использовании команды ip helper-address транслируются широковещательные сообщения для восьми портов. С помощью команды ip forward-protocol можно отключить транс­ляцию для некоторых из этих портов. Ниже приведен пример совместного применения команд ip forward-protocol и ip helper-address:

Router_A#conf t

Router_A(config)#int eO

Router_A(config-int)#ip helper-address 172.16.30.10

Router_A(config-int)#exit

Router_A(config)#no ip forward-protocol udp 69

Router_A(config)#no ip forward-protocol udp 37

Router_A(config)#no ip forward-protocol udp 49

Router_A(config)#no ip forward-protocol udp 68

Router_A(config)#no ip forward-protocol udp 137

Router_A(config)#no ip forward-protocol udp 138

Router_A(config)#~Z

Router_A#

Обратите внимание, что ip forward-protocol является глобальной коман­дой, а не командой настройки интерфейса. В приведенном примере через интерфейс EthernetO будут проходить широковещательные запросы BootP и DNS на сервер 172.16.30.10. Все остальные широковещательные запросы блокируются командой ip forward-protocol.