Меню

Acl cisco 2960 настройка

Простейшая настройка коммутатора Cisco 2960

Read the article BASIC CONFIGURATION OF CISCO 2960 SWITCH in English

Требуется организовать следующие сети (Vlan):

— отдел продаж (192.168.10.0 255.255.255.0)
— бухгалтерия (192.168.20.0 255.255.255.0)
— администраторы (192.168.100.0 255.255.255.0)
— сеть для управления сетевым оборудованием (192.168.1.0 255.255.255.0)

Видео версия этой статьи на английском языке.

Для справки:
Устройства 2го уровня способны передавать данные только внутри одной сети и осуществляют передачу на основе информации о MAC адресах (например внутри сети 192.168.0.0 /24).

Устройства 3го уровня (например коммутатор Cisco 3560) способны маршрутизировать данные на основе информации об ip адресах и передавать их между различными сетями (например между сетью 192.168.1.0 /24 и сетью 192.168.2.0 /24).

Шаг 0. Очистка конфигурации

(Выполняется только с новым или тестовым оборудованием, так как ведет к полному удалению существующей конфигурации)

После извлечения коммутатора из коробки, подключаемся к нему с помощью консольного кабеля и очищаем текущую конфигурацию, зайдя в привилегированный режим и выполнив команду write erase. (Подробнее о режимах конфигурирования оборудования Cisco можно прочитать в этой статье)

Switch> enable
Switch# write erase
/подтверждение очистки конфигурации/
Switch# reload
/подтверждение/
После выполнения коммутатор должен перезагрузиться в течение 3ех минут, а при старте вывести запрос о начале настройки. Следует отказаться.
Would you like to enter the basic configuration dialog (yes/no): no

Шаг 1. Имя коммутатора

Присвоим коммутатору имя SW-DELTACONFIG-1. (SW – сокращение названия SWitch) Для этого зайдем в режим конфигурирования и введем следующие команды:

Switch #conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch (config)# hostname SW-DELTACONFIG-1
SW-DELTACONFIG-1 (config)#
Название устройства изменилось со «Switch» на «SW-DELTACONFIG-1».

Шаг 2. Интерфейс для удаленного управления

Настраиваем интерфейс для управления коммутатором. По умолчанию это Vlan 1. Для этого присваиваем ip адрес интерфейсу и включаем его командой no shutdown.

SW-DELTACONFIG-1(config)#
interface vlan 1
ip address 192.168.1.11 255.255.255.0
no shutdown
В дальнейшем коммутатор будет доступен именно под адресом 192.168.1.11

Шаг 3. Авторизация пользователей

Настраиваем авторизацию для доступа к устройству. Для этого задаем пароль доступа к привилегированному режиму (знак # рядом с названием устройства), а также создаем учетную запись пользователя и пароль для удаленного подключения.

Задаем пароль для доступа к привилегированному режиму #
SW-DELTACONFIG-1(config)#
enable secret XXXX

Создаем учетную запись для удаленного управления и пароль для нее
username admin secret YYYYY

Включение авторизации, с использованием локальной базы данных пользователей и паролей
SW-DELTACONFIG-1(config)#
line vty 0 4
login local

Для проверки доступности enable режима (#) после ввода этих команд выходим из всех режимов конфигурирования (командой exit или буквой Q в каждом из режимов или сочетанием клавиш Ctrl+Z), оказываемся в первоначальном режиме (обозначается знаком >) и пробуем вновь зайти в привилегированный режим (обозначается знаком #). На запрос пароля вводим тот, который только что задали.

Если ничего не напутали, то видим примерно следующее:
SW-DELTACONFIG-1>enable
Password: XXXXX
SW-DELTACONFIG-1#

После того, как убедитесь, что устройство доступно по протоколу Telnet рекомендую настроить защищенный доступ по протоколу SSH. Подробные инструкции приведены в этой статье.

Шаг 4. Создание Vlan

Создаем Vlan для каждого из отделов и присваиваем им порядковые номера и названия.
SW-DELTACONFIG-1(config)#
vlan 10
name NET_SALES
vlan 20
name NET_ACCOUNT
vlan 100
name NET_ADMIN

Читайте также:  Настройка модема тенда 301

Сеть Vlan 1 всегда присутствует на коммутаторе по умолчанию. Она будет использоваться для удаленного управления.

Убеждаемся, что все созданные нами сети присутствуют в списке.

Шаг 5. Привязка портов

Соотносим порты доступа коммутатора (access port) нужным сетям. На коммутаторе из примера 24 порта FastEthernet и 2 порта Gigabit Ethernet. Для подключения пользователей будут использоваться только Fast Ethernet.

Распределим их следующим образом:

На каждом интерфейсе для удобства дальнейшего администрирования добавим примечания командой description. Это обычное текстовое поле, которое никак не влияет на другие настройки.
SW-DELTACONFIG-1(config)#
interface range fa 0/1 – 6
switchport access vlan 100
description NET_ADMIN
interface range fa 0/7 – 18
switchport access vlan 10
description NET_SALES
interface range fa 0/19 – 24
switchport access vlan 20
description NET_ACCOUNT

Введенными командами мы разделили один физический коммутатор на 4 логических (Vlan 1, Vlan 10, Vlan 20 и Vlan 100).

Важно!
Взаимодействие без использования маршрутизатора будет осуществляться только(!) между портами, принадлежащими одному и тому же Vlan.
Рабочие станции, подключенные в порты, принадлежащие разным Vlan, не смогут взаимодействовать друг с другом даже если будет настроена адресация из одной сети.

Для взаимодействия всех 4ех сетей необходим маршрутизатор, подключенный к коммутатору с помощью trunk порта. Инструкцию по настройке вы найдете здесь. Отличие trunk интерфейса в том, что при передаче по нему трафика каждый пакет помечается номером Vlan, которому принадлежит. Это позволяет устройствам правильно перенаправлять пакеты. На самом коммутаторе порт настраивается следующим образом:
SW-DELTACONFIG-1(config)#
interface GigabitEthernet 0/1
switchport mode trunk
switchport trunk encapsulation dot1q

Если система не принимает последнюю строчку, то это значит, что режим dot1q – единственно возможный, и он настроен по умолчанию.

После выполнения всех описанных действий для проверки подключите две рабочие станции в порты, принадлежащие одному Vlan, например с номером 100, установите на них ip адреса 192.168.100.1 и 192.168.100.2, после чего запустите ping с одной из них на другую. Успешный ответ означает, что все работает как нужно.
Для справки:
Существуют модели коммутаторов 3го уровня модели OSI (Например Cisco 3560), которые объединяют в себе функции коммутатора 2го уровня (access или уровня доступа) и маршрутизатора (устройства 3го уровня). Устройства 3го уровня используются для передачи данных между различными сетями и руководствуются информацией об ip адресах.

Решение аналогичной задачи организации нескольких Vlan на таком коммутаторе рассмотрено в этой статье)

Важно!

Не забудьте сохранить конфигурацию на всех устройствах командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
FW-DELTACONFIG-1# write
Building configuration.
[OK]

Источник

ACL: списки контроля доступа в Cisco IOS

Сегодня я расскажу вам о том, как отфильтровать трафик в сети с помощью списков контроля доступа. Рассмотрим как они работают соответственно, что собой представляют, для чего предназначены. Позже я покажу как они настраиваются в Cisco IOS и выложу архив с лабораторными работами для закрепления ваших знаний.

Введение

ACL (Access Control List) — это набор текстовых выражений, которые что-то разрешают, либо что-то запрещают. Обычно ACL разрешает или запрещает IP-пакеты, но помимо всего прочего он может заглядывать внутрь IP-пакета, просматривать тип пакета, TCP и UDP порты. Также ACL существует для различных сетевых протоколов (IP, IPX, AppleTalk и так далее). В основном применение списков доступа рассматривают с точки зрения пакетной фильтрации, то есть пакетная фильтрация необходима в тех ситуациях, когда у вас стоит оборудование на границе Интернет и вашей частной сети и нужно отфильтровать ненужный трафик.
Вы размещаете ACL на входящем направлении и блокируете избыточные виды трафика.

Читайте также:  Openbox prismcube ruby настройка спутника

Теория

Сам же ACL представляет собой набор текстовых выражений, в которых написано permit (разрешить) либо deny (запретить), и обработка ведется строго в том порядке в котором заданы выражения. Соответственно когда пакет попадает на интерфейс он проверяется на первое условие, если первое условие совпадает с пакетом, дальнейшая его обработка прекращается. Пакет либо перейдет дальше, либо уничтожится.
Ещё раз, если пакет совпал с условием, дальше он не обрабатывается. Если первое условие не совпало, идет обработка второго условия, если оно совпало, обработка прекращается, если нет, идет обработка третьего условия и так дальше пока не проверятся все условия, если никакое из условий не совпадает, пакет просто уничтожается. Помните, в каждом конце списка стоит неявный deny any (запретить весь трафик). Будьте очень внимательны с этими правилами, которые я выделил, потому что очень часто происходят ошибки при конфигурации.

Виды ACL
Динамический (Dynamic ACL)

Позволяет сделать следующее, например у вас есть маршрутизатор, который подключен к какому-то серверу и нам нужно закрыть доступ к нему из внешнего мира, но в тоже время есть несколько человек, которые могут подключаться к серверу.
Мы настраиваем динамический список доступа, прикрепляем его на входящем направлении, а дальше людям, которым нужно подключиться, подключаться через Telnet к данному устройству, в результате динамический ACL открывает проход к серверу, и уже человек может зайти скажем через HTTP попасть на сервер. По умолчанию через 10 минут этот проход закрывается и пользователь вынужден ещё раз выполнить Telnet чтобы подключиться к устройству.

Рефлексивный (Reflexive ACL)

Здесь ситуация немножко отличается, когда узел в локальной сети отправляет TCP запрос в Интернет, у нас должен быть открытый проход, чтобы пришел TCP ответ для установки соединения. Если прохода не будет — мы не сможем установить соединение, и вот этим проходом могут воспользоваться злоумышленники, например проникнуть в сеть. Рефлексивные ACL работают таким образом, блокируется полностью доступ (deny any) но формируется ещё один специальный ACL, который может читать параметры пользовательских сессий, которые сгенерированны из локальной сети и для них открывать проход в deny any, в результате получается что из Интернета не смогут установить соединение. А на сессии сгенерированны из локальной сети будут приходить ответы.

Ограничение по времени (Time-based ACL)

Обычный ACL, но с ограничением по времени, вы можете ввести специальное расписание, которое активирует ту или иную запись списка доступа. И сделать такой фокус, например пишем список доступа, в котором запрещаем HTTP-доступ в течении рабочего дня и вешаем его на интерфейс маршрутизатора, то есть, сотрудники предприятия пришли на работу, им закрывается HTTP-доступ, рабочий день закончился, HTTP-доступ открывается,
пожалуйста, если хотите — сидите в Интернете.

Читайте также:  Настройка подбора товаров 1с управление торговлей

Настройка

Стандартный список доступа
Расширенный список доступа
Прикрепляем к интерфейсу
Именованные списки доступа
Ограничение доступа к маршрутизатору

R(config)#line vty 0 4 — переходим в режим настройки виртуальных линий.
R(config-line)#password
R(config-line)#login
R(config-line)#access-class 21 in — настраиваем логин и пароль, а также закрепляем список доступа с разрешенными IP-адресами.

Динамические списки доступа

R3(config)#username Student password cisco — создаем пользователей для подключения через Telnet.
R3(config)#access-list 101 permit tcp any host 10.2.2.2 eq telnet
R3(config)#access-list 101 dynamic testlist timeout 15 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 — разрешаем подключаться к серверу по Telnet всем узлам.
R3(config)#interface serial 0/0/1
R3(config-if)#ip access-group 101 in — закрепляем 101 ACL за интерфейсом в входящем направлении.
R3(config)#line vty 0 4
R3(config-line)#login local
R3(config-line)#autocommand access-enable host timeout 5 — как только пользователь аутентифицируеться, сеть 192.168.30.0 будет доступна, через 5 минут бездействия сеанс закроется.

Рефлексивные списки доступа


R2(config)#ip access-list extended OUTBOUNDFILTERS
R2(config-ext-nacl)#permit tcp 192.168.0.0 0.0.255.255 any reflect TCPTRAFFIC
R2(config-ext-nacl)#permit icmp 192.168.0.0 0.0.255.255 any reflect ICMPTRAFFIC — заставляем маршрутизатор отслеживать трафик, который инициировался изнутри.
R2(config)#ip access-list extended INBOUNDFILTERS
R2(config-ext-nacl)#evaluate TCPTRAFFIC
R2(config-ext-nacl)#evaluate ICMPTRAFFIC — создаем входящую политику, которая требует, чтобы маршрутизатор проверял входящий трафик, чтобы видеть инициировался ли изнутри и связываем TCPTRAFFIC к INBOUNDFILTERS.
R2(config)#interface serial 0/1/0
R2(config-if)#ip access-group INBOUNDFILTERS in
R2(config-if)#ip access-group OUTBOUNDFILTERS out — применяем входящий и исходящий ACL на интерфейс.

Ограничение по времени

R1(config)#time-range EVERYOTHERDAY
R1(config-time-range)#periodic Monday Wednesday Friday 8:00 to 17:00 — создаем список времени, в котором добавляем дни недели и время.
R1(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq telnet time-range EVERYOTHERDAY — применяем time-range к ACL.
R1(config)#interface s0/0/0
R1(config-if)#ip access-group 101 out — закрепляем ACL за интерфейсом.

Поиск проблем

R#show access-lists — смотрим информацию о списке доступа.
R#show access-lists — смотрим все списки доступа на маршрутизаторе.

Пример

Router#show access-lists
Extended IP access list nick
permit ip host 172.168.1.1 host 10.0.0.5
deny ip any any (16 match(es))
Standard IP access list nick5
permit 172.16.0.0 0.0.255.255

Мы видим что у нас есть два ACL (стандартный и расширенный) под названиями nick и nick5. Первый список разрешает хосту 172.16.1.1 обращаться по IP (это значит что разрешены все протоколы работающие поверх IP) к хосту 10.0.0.5. Весь остальной трафик запрещен показывает команда deny ip any any. Рядом с этим условием в нашем примере пишет (16 match(es)). Это показывает что 16 пакетов попали под это условие.
Второй ACL разрешает проходить трафик от любого источника в сети 172.16.0.0/16.

Практика

Я собрал лабораторные работы для Packet Tracer с 5 главы курса CCNA 4 по теме ACL. Если у вас есть желание закрепить знания на практике, пожалуйста — ссылка, зеркало — FTP. Размер — 865.14 KB.

Источник