Содержание:
Цель работы: 2
Рабочие задания: 2
Выполнение заданий: 3
Контрольные вопросы: 12
Ответы: 12
Список литературы: 12
Цель работы:
научиться настраивать фильтрацию пакетов на маршрутизаторе с использованием списков доступа.
Рабочие задания:
1. Разработать план создания списка доступа для вашей топологии сети. Далее действовать согласно вашему плану.
2. Создать стандартный список доступа, фильтрующий входящие пакеты через определенный интерфейс маршрутизатора.
3. Создать стандартный список доступа, фильтрующий выходящие пакеты через определенный интерфейс маршрутизатора.
4. Создать расширенные списки доступа, выбрав порт определенного маршрутизатора где образно будут находиться ваши сервера.
5. Просмотр информации о списках доступа.
6. Проверить созданные списки доступа на работоспособность
Введение:
В данной лабораторной работе я буду рассматривать маршрутизаторы cisco. А именно работу со списками(Acsess control list ACL). Также займусь настройкой стандартных списков доступа, рассмотрю расширенные списки, опишу критерии фильтрации по адресу, протоколу и порту.
Программное обеспечение:
MacBook Air середина 2011 OS X Yosemite 10.10.5 (MS Word)
HP Pavilion dv6, Windows 7 x64 Professional(Cisco Packet Tracer)
Выполнение заданий:
3.1-3.9 Для начала работы открываем Сisco Packet tracer и добавляем 1 маршрутизатор как показано на рисунке №1
Рисунок №1(Первичный маршрутизатор)
Для корректной настройки ACL создадим малую сеть из 3 компьютеров. Схема построения сети показана на рисунке №2
Рисунок №2(Малая сеть)
Для маршрутизатора по умолчанию выставлена сеть с 24 маской и ip 192.168.1.1. После этого пропишем ip адреса на 3 станциях как показано на рисунке №3
Рисунок №3
После конфигурации оборудования займемся ACL. А именно создадим сценарий прохождения пакетов только этой подсети, и естественно самого хоста. Работа в терминале показана на рисунке №4
Рисунок №4
Далее по ходу лабораторной работы у нас появляется 2 сервера на которых тоже надо настроить ACL. Схема добавления серверов показана на рисунке №5. Настройка маски и адреса аналогична стационарным машинам.
Рисунок №5
Далее откроем всем хостам подсети доступ к интернету, с помощью создания нового расширенного списка, а также откроем всех хостам доступ к proxy серверу. Настройка в консольном режиме показана на рисунке №6
Рисунок №6(equal- опред. Порт www-80. Negative- люб порт)
Далее проверим настроенные списки с помощью консольной команды, как показано на рисунке №7
Рисунок №7
Далее сбросим счетчик «попаданий» для одного из списков. К примеру, для 10 ACL списка. Для этого нужно ввести в консоли (не в режиме конфигурации) clear access-list 10 к примеру. После этого смотрим количество попаданий аналогично как показано на рисунке № 7. Далее проверим корректность настройки с помощью команды ping. Пропингуем хост. Результат показан на рисунке №8. Так как telnet аналогичная команда, показывать пример работы этой команды я не буду.
Рисунок №8
Контр. Вопросы 1 2 5
Контрольные вопросы:
1 Протокол IP. Формат заголовка дейтаграммы. Длина и назначение полей.
2 Адресная схема протокола IP. Классы адресов. Достоинство и недостатки разбиения адресного пространства на классы.
3 Способы адресации: единичная (unicast), широковещательная (broadcast) и групповая (multicast).
4 Когда необходимо маска подсети?
5 Адресация в IPv6. Индивидуальные, групповые и коллективные адреса.
6 Заголовок IPv6. Переходные структуры IPv4 и IPv6.
7 Дополнительные заголовки в IPv6.
8 Назначение интерфейсов маршрутизатора.
Ответы:
1. IP протокол-это основной протокол 3 уровня OSI(сетевой). Задача состоит в определении способа адресации. Является ненадежным протоколом. Контроль над целостностью дейтограмм и конечный путь не осуществляется. IP-дейтаграмма(блок информации) посылаемый по протоколу через определенный интерфейс. Заголовок состоит из 32-разрядных слов и имеет неопределенную длину из за блока Options. Вкратце дейтаграмма состоит из:
Ver (4 бита) - версия протокола IP, в настоящий момент используется версия 4, новые разработки имеют номера версий 6-8.
IHL (Internet Header Length) (4 бита) - длина заголовка в 32-битных словах; диапазон допустимых значений от 5 (минимальная длина заголовка, поле “Options” отсутствует) до 15 (т.е. может быть максимум 40 байт опций).
TOS (Type Of Service) (8 бит) - значение поля определяет приоритет дейтаграммы и желаемый тип маршрутизации. Структура байта TOS:
Три бита (“Precedence”) определяют приоритет дейтаграммы:
111 - управление сетью
110 - межсетевое управление
101 - CRITIC-ECP
100 - более чем мгновенно
011 - мгновенно
010 - немедленно
001 - срочно
000 - обычно
Биты D,T,R,C определяют желаемый тип маршрутизации:
D (Delay) - выбор маршрута с минимальной задержкой,
T (Throughput) - выбор маршрута с максимальной пропускной способностью,
R (Reliability) - выбор маршрута с максимальной надежностью,
C (Cost) - выбор маршрута с минимальной стоимостью.
В дейтаграмме может быть установлен только один из битов D,T,R,C. Старший бит байта не используется.
Total Length (16 бит) - длина всей дейтаграммы в октетах(8бит-1байт), включая заголовок и данные, максимальное значение 65535, минимальное - 21 (заголовок без опций и один октет в поле данных).
ID (Identification) (16 бит), Flags (3 бита), Fragment Offset (13 бит) используются для фрагментации и сборки дейтаграмм и будут подробнее рассмотрены ниже в п. 2.4.1.
TTL (Time To Live) (8 бит) - “время жизни” дейтаграммы. Устанавливается отправителем, измеряется в секундах. Каждый маршрутизатор, через который проходит дейтаграмма, переписывает значение TTL, предварительно вычтя из него время, потраченное на обработку дейтаграммы. Так как в настоящее время скорость обработки данных на маршрутизаторах велика, на одну дейтаграмму тратится обычно меньше секунды, поэтому фактически каждый маршрутизатор вычитает из TTL единицу. При достижении значения TTL=0 дейтаграмма уничтожается, при этом отправителю может быть послано соответствующее ICMP-сообщение. Контроль TTL предотвращает зацикливание дейтаграммы в сети.
Protocol (8 бит) - определяет программу (вышестоящий протокол стека), которой должны быть переданы данные дейтаграммы для дальнейшей обработки.
Header Checksum (16 бит) - контрольная сумма заголовка, пересчитывается всеми маршрутизаторами по пути следования. (16 бит, дополняющие биты в сумме всех 16-битовых слов заголовка)
Source Address (32 бита) - IP-адрес отправителя.
Destination Address (32 бита) - IP-адрес получателя.
Options - опции, поле переменной длины. Опций может быть одна, несколько или ни одной. Опции определяют дополнительные услуги модуля IP по обработке дейтаграммы, в заголовок которой они включены. При помощи опций можно задавать маршрутизацию датаграммы от источника (строгое и нестрогое следовани маршруту), требование записи маршрута и временные штампы (используется утилитой traceroute).
Padding - выравнивание заголовка по границе 32-битного слова, если список опций занимает нецелое число 32-битных слов. Поле “Padding” заполняется нулями.дейтаграммы и желаемый тип маршрутизации.
2.Классическа адресная схема протокола IP разделена на 5 классов: A, B, C, D, E. Эта схема и имеет название классовая. В двоичном формате любой ip адрес представляет 32 битную строку. Такой метод позволила при маршрутизации не передавать вместе с пакетом информацию о длине сетевой части IP. Достоинство- разумное распределение, для контроля больших сетей. Недостатки- нехватка адресов пространства. Внедрение IPng(IPv6) 3 911 873 538 269 506 102 IP адресов на квадратный метр поверхности Земли.
3. единичная (unicast):
широковещательная (broadcast):
и
групповая (multicast):
4. Она нужна лишь для того чтобы был определенный интервал адресов. Ибо каждый раз все 4 миллиарда адресов не вариант опрашивать. К примеру 24 маска 512 адресов, 26 -1024.
5. Существуют различные типы адресов IPv6: одноадресные (Unicast), групповые (Anycast) и многоадресные (Multicast).
Адреса типа Unicast хорошо всем известны. Пакет, посланный на такой адрес, достигает в точности интерфейса, который этому адресу соответствует.
Адреса типа Anycast синтаксически неотличимы от адресов Unicast, но они адресуют группу интерфейсов. Пакет, направленный такому адресу, попадёт в ближайший (согласно метрике маршрутизатора) интерфейс. Адреса Anycast могут использоваться только маршрутизаторами.
Адреса типа Multicast идентифицируют группу интерфейсов. Пакет, посланный на такой адрес, достигнет всех интерфейсов, привязанных к группе многоадресного вещания.
Широковещательные адреса IPv4 (обычно xxx.xxx.xxx.255) выражаются адресами многоадресного вещания IPv6.
Адреса разделяются двоеточиями (напр. fe80:0:0:0:200:f8ff: fe21:67cf). Большое количество нулевых групп может быть пропущено с помощью двойного двоеточия (fe80::200:f8ff: fe21:67cf). Такой пропуск должен быть единственным в адресе.
6.Заголовок IPv6 из 128 разрядных слов, имеет схожую структуру с IPv4. Аналогично перечисленному протоколу имеет разбиение на поля в которых передается версия протокола, свойства пакета. Реализована передача информации в «джамбопакетах» Большинство сервисов работать умеют как с 4 так и с 6 версией протокола. Новые китайские смарфтоны на android работают только по протоколу 6 версии. Писать долго, могу по просьбе преподавателя рассказать все полностью
7. Дополнительные заголовки служат для более корректного восприятия информации на другой стороне, с возможностью исключить нецелостность пакетов что сводит к тому что NAT технология скоро отживет свое.
8.В реальном железе (не Packet Tracer) каждый интерфейс нужно огласить и наделить его параметрами, маршрутизатор сам поймет, что это за интерфейс и чего от него требуют, так как под у Cisco под любой интерфейс, который может быть в данных маршрутизаторах есть протоколы то он начнет автоматически с этим интерфейсом взаимодействовать.
Заключение:
В данной лабораторной работе познакомился с программным обеспечением cisco packet tracer. Собрал сеть и настроил маршрутизаторы. Познакомился с консольными командами. Поставил 24 маску. Хотел 26 но это не актуально для 5 маршрутизаторов, несмотря на то что она в основном и используется. Настроил DHCP учитывая возможность подключения к маршрутизаторам дополнительного оборудования.
Список литературы:
1. WikiTaxi-IP протокол
2. WikiTaxi-Настройка маршрутизатора в Packet Tracer
3. WikiTaxi-CLI команды Cisco
4. WikiTaxi-Инкапсуляция
WikiTaxi- offline Википедия. Приложение для операционных систем WinNT.Рабочая версия Wineskin debian source-WikiTaxi v. 1.0.2 by H_Lulz
Дата добавления: 2015-10-21; просмотров: 45 | Нарушение авторских прав
| <== предыдущая лекция | | | следующая лекция ==> |
| Федеральное Государственное Бюджетное Образовательное Учреждение | | | 5. Методические рекомендации 1 страница |