SIECI KOMPUTEROWE I
Listy sterowania dostępem
Translacja adresów
Prowadzący
prof dr hab inż Andrzej Pach
prof. dr hab. inż. Andrzej Pach
mgr inż. Jacek Rząsa
Plan wykładu
ACL
NAT
PAT
SIECI KOMPUTEROWE I 2
ACL
Access Control List listy sterowania
y
dostępem
SIECI KOMPUTEROWE I 3
Zastosowanie ACL
Zastosowanie ACL
" Filtrowanie przychodzących pakietów
" Filtrowanie wychodzących pakietów
il i h d hki ó
" Modyfikacja uaktualnień rutingu
Modyfikacja uaktualnień rutingu
" Sterowanie dostępem do urządzenia
Zastosowanie ACL
Zastosowanie ACL
" Dial on Demand Routing (DDR)
" Modyfikacja ilości informacji wyświetlanych po
Modyfikacja ilości informacji wyświetlanych po
wpisaniu instrukcji debug
" Identyfikowania lub klasyfikowania ruchu do
kolejkowania ustawień priorytetów itd
kolejkowania, ustawień priorytetów, itd.
Rodzaje ACL
Rodzaje ACL
" Numerowane
" Nienumerowane
Nienumerowane
" Standardowe
" Rozszerzone
ACL numerowane
ACL numerowane
Protokół Zakres
IP (standard) 1 99, 1300 1999
Extended IP 100 199, 2000 2699
Adresy MAC 700 799
Adresy MAC 700 799
SIECI KOMPUTEROWE I 7
ACL nienumerowane
ACL nienumerowane
Nazwy zamiast numerów
Nazwy zamiast numerów
" Znaki alfanumeryczne
" Np. wielkimi literami
Np wielkimi literami
" Brak spacji i zaczyna się od litery
SIECI KOMPUTEROWE I 8
Standardowa lista ACL
Standardowa lista ACL
Element listy zawiera adres zródłowy
SIECI KOMPUTEROWE I 9
Rozszerzona lista ACL
Rozszerzona lista ACL
Element listy zawiera:
" Protokół
" Adres zródłowy
" Adres docelowy
Adres docelowy
" Port lub zakres portów
" Inne elementy
" Inne elementy
SIECI KOMPUTEROWE I 10
Zasada działania
Zasada działania
" Jeśli jednostka danych spełnia warunek listy
reszta elementów listy jest ignorowana
" Jeśli jednostka danych nie spełnia warunku listy
sprawdzana jest kolejna linia listy
sprawdzana jest kolejna linia listy
SIECI KOMPUTEROWE I 11
Działanie
Działanie
SIECI KOMPUTEROWE I 12
Zasada działania
Zasada działania
" Jeśli pakiet spełnia warunek listy to jest
Jeśli pakiet spełnia warunek listy to jest
blokowany albo przesyłany dalej
" Jeśli pakiet jest blokowany przez ACL
pakiet jest kasowany i wysyłany jest pakiet
pakiet jest kasowany i wysyłany jest pakiet
ICMP Host Unreachable
SIECI KOMPUTEROWE I 13
Zasada działania
Zasada działania
" Jeśli pakiet nie spełnia żadnego warunku
Jeśli pakiet nie spełnia żadnego warunku
w liście pakiet jest kasowany
domyślnie na końcu deny all
domyślnie na końcu deny all
" Lista ACL powinna zawiera co najmniej 1
warunek z permit
warunek z permit
SIECI KOMPUTEROWE I 14
Zasada działania
Zasada działania
Dozwolone jest użycie tylko jednej listy
ACL w interfejsie, w jednym kierunku dla
jednego protokołu
SIECI KOMPUTEROWE I 15
Zasada działania
Zasada działania
" ACL w kierunku in pa sp a d a y p d
Cu u pakiet sprawdzany przed
przeszukiwaniem tablicy rutingu
" ACL w kierunku out pakiet sprawdzany po
przeszukaniu tablicy rutingu
SIECI KOMPUTEROWE I 16
Zasada działania
Zasada działania
" Nie jest stosowana maska, lecz znaki
j s s oso a a as a, a
wieloznaczności (ang. wildcards)
255 255 255 255
255.255.255.255
maska 255.255.255.252
znaki wieloznaczności = 0.0.0.3
" Nie muszą być ciągłe!
SIECI KOMPUTEROWE I 17
Zasada działania
Zasada działania
Wartość znaku wieloznaczności 0
Wartość znaku wieloznaczności = 0
sprawdz ten bit
Wartość znaku wieloznaczności = 1
nie sprawdzaj tego bitu
nie sprawdzaj tego bitu
SIECI KOMPUTEROWE I 18
Zasada działania
Zasada działania.
Znaki wieloznaczności
Znaki wieloznaczności
0.0.0.0 255.255.255.255 any
0.0.0.0 255.255.255.255 = any
192.168.1.2 0.0.0.0 host
192.168.1.2 0.0.0.0 = host
192.168.1.2
SIECI KOMPUTEROWE I 19
Standardowa ACL
Standardowa ACL
Filtrowanie oparte o adres zródłowy
Filtrowanie oparte o adres zródłowy
Router(config)# access-list 1 permit 192.168.10.0 0.0.0.255
SIECI KOMPUTEROWE I 20
Rozszerzona ACL
Rozszerzona ACL
Filtrowanie oparte m in o adres zródłowy i docelowy
Filtrowanie oparte m. in. o adres zródłowy i docelowy
Router(config)# access-list 101 permit tcp 192.168.10.0
0.0.0.255 any eq 80
SIECI KOMPUTEROWE I 21
Numery portów
Numery portów
Telnet TCP 23
FTP TCP 21
www TCP 80
SNMP UDP 161
DNS TCP/UDP 53
SMTP TCP 25
SMTP TCP 25
TFTP UDP 69
RIP UDP 520
RIP UDP 520
BGP TCP/UDP 179
SSH TCP/UDP 22
HTTPS TCP/UDP 443
SIECI KOMPUTEROWE I 22
Standardowa/Rozszerzona ACL
Standardowa/Rozszerzona ACL
Ro te (config)# interface FastEthernet 0/0
Router(config)# interface FastEthernet 0/0
Router(config-if)# ip access-group 101 in
Router(config)# line vty 0 4
Router(config)# line vty 0 4
Router(config-line)# access-class 1 in
SIECI KOMPUTEROWE I 23
Nienumerowana ACL (Named ACL)
Nienumerowana ACL (Named ACL)
Router(config)# ip access list [standard | extended]
Router(config)# ip access-list [standard | extended]
nazwa
Np. Router(config)# ip access-list standard
Komputery
Router(config-std-nacl)# [permit | deny] IP.IP.IP.IP
WWWW
W.W.W.W
Np Router(config-std-nacl)# permit host
Np. Router(config std nacl)# permit host
192.168.12.14
SIECI KOMPUTEROWE I 24
Zalecane usytuowanie ACL
Zalecane usytuowanie ACL
Standardowe blisko celu
Rozszerzone blisko zródła
Rozszerzone blisko zródła
SIECI KOMPUTEROWE I 25
Przykład
Przykład
SIECI KOMPUTEROWE I 26
ACL
Router # show access-lists
Router # show access-lists numer
SIECI KOMPUTEROWE I 27
NAT
Network Address Translation
SIECI KOMPUTEROWE I 28
NAT
NAT
Adresów IPv4 publicznych jest stosunkowo
niewiele
Jedna z prób rozwiązania tego problemu
NAT
NAT pozwala zamieniać adresy np.
prywatne na publiczne i publiczne na
prywatne
SIECI KOMPUTEROWE I 29
NAT terminologia
NAT - terminologia
SIECI KOMPUTEROWE I 30
NAT terminologia
NAT - terminologia
Statyczne przypisanie adresów przypisanie
(1:1) adresów: wewnętrzny-zewnętrzny
dokonywane przez administratora
Dynamiczne przypisanie adresów zestaw
adresów publicznych, przypisanie adresów
dokonywane przez urządzenie sieciowe
SIECI KOMPUTEROWE I 31
NAT
NAT
Zalety:
" Pozwala na ograniczenie liczby
gy
niezbędnych adresów publicznych
" Ułatwia dołączenie do sieci publicznej
ą pj
" Ułatwia organizację używanego schematu
adresacji
j
" Zwiększa bezpieczeństwo
SIECI KOMPUTEROWE I 32
NAT
NAT
Wady:
" Niższa wydajność
y j
" Utrudnia użycie niektórych aplikacji
" Utrudnia wykrywanie błędów konfiguracji
Utrudnia wykrywanie błędów konfiguracji
SIECI KOMPUTEROWE I 33
NAT statyczny
NAT statyczny
Router(config)# ip nat inside source static
local-ip global-ip
Router(config-if)# ip nat inside
( g ) p
Router(config-if)# ip nat outside
Router(config if)# ip nat outside
SIECI KOMPUTEROWE I 34
NAT statyczny
NAT statyczny
SIECI KOMPUTEROWE I 35
NAT statyczny
NAT statyczny
Router(config)# ip nat inside source static
local-ip global-ip
Router(config)# ip nat inside source static
192.168.40.200 149.156.1.42
Fa0/1: Router(config-if)# ip nat inside
Fa0/0: Router(config-if)# ip nat outside
Fa0/0: Router(config if)# ip nat outside
SIECI KOMPUTEROWE I 36
NAT dynamiczny
NAT dynamiczny
SIECI KOMPUTEROWE I 37
NAT dynamiczny
NAT dynamiczny
Router(config)# ip nat pool nazwa start-ip
end-ip {netmask netmask | prefix-length
prefix-length }
Router(config)# access-list numer permit
source
Router(config)# ip nat inside source list
numer pool nazwa
l
SIECI KOMPUTEROWE I 38
NAT dynamiczny
NAT dynamiczny
Router(config)# ip nat pool MyPCs
149.156.1.65 149.156.1.95
Router(config)# access-list 1 p
(g) permit
192.168.40.0 0.0.0.31
Router(config)# ip nat inside source list 1
pool MyPCs
SIECI KOMPUTEROWE I 39
NAT dynamiczny
NAT dynamiczny
Router(config-if)# ip nat inside
Router(config-if)# ip nat outside
SIECI KOMPUTEROWE I 40
PAT
PAT
Przeładowana wersja NAT Port Address
Translation (PAT)
PAT j ę y yy
jeden adres zewnętrzny używany
przez wiele adresów wewnętrznych
SIECI KOMPUTEROWE I 41
PAT
PAT
yródłowy yródłowy Docelowy Docelowy
y y y y
adres IP port adres IP port
192.168.40.1 15 678 172.145.12.2 80
yródłowy yródłowy Docelowy Docelowy
adres IP port adres IP port
149.156.1.42 15 678 172.145.12.2 80
SIECI KOMPUTEROWE I 42
PAT #1
PAT #1
Router(config)# access-list numer permit
source-address [source-wildcard]
Router(config)# ip nat inside source list
(g) p
numer interface interface overload
Router(config-if)# ip nat inside
Router(config-if)# ip nat outside
Router(config-if)# ip nat outside
SIECI KOMPUTEROWE I 43
PAT #1
PAT #1
SIECI KOMPUTEROWE I 44
PAT #1
PAT #1
Router(config)# access-list 1 p
(g) permit
192.168.40.0 0.0.0.31
Router(config)# ip nat inside source list 1
interface Fa 0/0 overload
/
Router(config-if)# ip nat inside
Fa 0/0: Router(config-if)# ip nat outside
SIECI KOMPUTEROWE I 45
PAT #2
PAT #2
Router(config)# access-list numer permit
source-address [source-wildcard]
Router(config)# ip nat p p
(g) p pool nazwa start-ip
end-ip {netmask netmask | prefix-length
prefix-length }
Router(config)# ip nat inside source list
Router(config)# ip nat inside source list
numer pool nazwa overload
SIECI KOMPUTEROWE I 46
PAT #2
PAT #2
Router(config-if)# ip nat inside
Router(config-if)# ip nat outside
SIECI KOMPUTEROWE I 47
NAT & PAT
NAT & PAT
Router# show ip nat translations
Router# show ip nat statistics
p
Router# clear ip nat translations
Router# clear ip nat translations *
SIECI KOMPUTEROWE I 48
Dziękuję za uwagę.
SIECI KOMPUTEROWE I 49
Wyszukiwarka
Podobne podstrony:
Sieci komputerowe Wyklad ACL NAT v2Sieci komputerowe wyklady dr Furtak4 Sieci komputerowe 04 11 05 2013 [tryb zgodności]Sieci komputerowe cw 1Sieci komputeroweABC sieci komputerowych,sieci komputerowe,Zestaw protokołów TCP IP (2)głowacki,lokalne sieci komputerowe, pytania i odp egzaminDiagnostyka Sieci Komputeroweprojekt sieci komputerowej101 zabezpieczeń przed atakami w sieci komputerowejSieci komputerowe I Wykład 5więcej podobnych podstron