Post navigation

Настройку ssh доступа на оборудование cisco

Заходим в привилегированный режим.

router>enable

Настраиваем параметры необходимые для генерации ключа используемого ssh.

Устанавливаем точную текущую дату и время.

router#clock set 15:00:00 15 May 2018

Входим в режим конфигурирования.

cisco#configure terminal

Задаем домен, если у вас нет домена можно указать любой домен например cisco.com.

cisco(config)#ip domain name mydomain.ru

Задаем имя роутера.

cisco(config)#hostname mycisco

Задаем версию протокола ssh. Рекомендуется версия 2.

mycisco(config)# ip ssh version 2

Задаем количество попыток подключения по ssh.

mycisco(config)# ip ssh authentication-retries 2

Задаем хранение пароли в зашифрованном виде.

mycisco(config)#service password-encryption

Включаем протокол aaa.

mycisco(config)#aaa new-model

Создаем пользователя admin с паролем qwerty и максимальными уровнем привелегий 15.

mycisco(config)#username admin privilege 15 secret qwerty

Задаем пароль qwerty для привилегированного режима.

mycisco(config)#enable secret qwerty

Генерируем rsa ключ для ssh длиной желательно не менее 1024.

mycisco(config)#crypto key generate rsa
The name for the keys will be:
Choose the size of the key modulus in the range of 360 to 4096 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.
How many bits in the modulus :1024

Разрешаем доступ по ssh только из определенной сети (192.168.1.0/24).

mycisco(config)#access-list 23 permit 192.168.1.0 0.0.0.255

Входим в режим конфигурирования терминальный линий.

mycisco(config)#line vty 0 4

Разрешаем доступ только по ssh.

mycisco(config-line)# transport input ssh

По умолчанию журнальные сообщения могут выводиться в независимости от того набирает пользователь какие либо команды или нет, прерывая исполнение текущих команд. Включая logging synchronous маршрутизатор начинает дожидаться завершения текущей команды и вывода ее отчета.

mycisco(config-line)# logging synchronous

Позволяем входить сразу в привилигированный режим.

mycisco(config-line)# privilege level 15

Включаем автоматическое закрытие ssh сессии через 30 минут.

mycisco(config-line)# exec-timeout 30 0

Привязываем группу доступа, созданную на шаге 10, к терминальной линии.

mycisco(config-line)# access-class 23 in

Выходим из режима конфигурирования.

mycisco(config-line)# end

Сохраняемся.

mycisco# copy running-config startup-config

Вот и все, включение ssh на оборудование Cisco закончено.

Настройка модели

1)Настройки маршрутизатора провайдера Router0 (жирным выделено то, что необходимо ввести с клавиатуры:

Router>en
Router#
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router (config)#int fa0/0
Router (config-if)#ip address 210.210.0.1 255.255.255.252
Router (config-if)#no shutdown

Router (config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

Router (config-if)#end
Router#
%SYS-5-CONFIG_I: Configured from console by console

Router#wr mem
Building configuration…

2)Настройки домашнего wi-fi маршрутизатора Wireless Router0

выполняется  с помощью веб интерфейса.

Настройка внешнего интерфейса во вкладке Setup показана на рисунке.

Настройка локальной сети (Network Setup)

Выбираем по умолчанию ip-адрес 192.168.0.1, маска 24-битная 255.255.255.0, разрешён DHCP-сервер, начало раздачи с адреса 192.168.0.100 и всё. После чего незабываем сохранить настройки, нажать на кнопку внизу формы Save Settings.

Настройки во вкладке Wireless, т.е. wi-fi. Выбираем основные настройки вайфая: режим (mode), мы выбираем смешанный (mixed); идентификатор сети (SSID) — netskills; ширина канала (Radio Band) — auto; частоту — 1-2.412HGz; видимость сети (SSID Broadcast) — видимая (enable). Сохраняем настройки.

Переходим ко вкладке Wireless Security. Выбираем режим шифрования WPA2 Personal, алгоритм шифрования AES, ключевое слово для выбранного режима шифрования не менее 8 символов. Сохраняем.

3)Настройка wi-fi адаптера на ноутбуке. Вкладка Desktop->PC Wireless->Connect. Смотрим доступные нам сети. Нажимаем кнопку Connect для подключения к сети netskills.

Если настройки произведены верно, то появиться пунктирная линия между wi-fi маршрутизатором и ноутбуком как на рисунке.

Введём на ноутбуке в командной строке команду ipconfig, чтобы проверить правильность настроек. Из рисунка видно, что DHCP- сервер присвоил правильный ip 192.168.0.100 Пропингуем шлюз (wi-fi маршрутизатор) и пропингуем адрес интернет провайдера. На рисунке видно, что в обоих случаях пинг идёт.

При этом NAT мы не использовали, так как практически на всех wi-fi маршрутизаторах NAT используется по умолчанию.

Если у вас возникли трудности с выполнением задания, вы всегда сможете найти толкового исполнителя здесь: work-zilla.com

Кол-во просмотров:

« Создание информационной инфраструктуры в cisco packet tracerПрикладной уровень »

Маршрутизация от источника.

Протокол IP поддерживает функцию маршрутизации от источника, которая позволяет отправителю IP-датаграммы управлять маршрутом, по которому эта датаграмма будет отправлена конечному адресату, и, как правило, маршрутом, по которому будет отправлен ответ. В реальных сетях эти параметры редко используются для «законных» целей. Некоторые более старые реализации IP некорректно обрабатывают пакеты с маршрутизацией от источника. Таким образом, можно отправить им датаграммы с параметрами маршрутизации от источника для того, чтобы вызвать сбой на машинах, на которых выполняются старые протоколы IP.

Маршрутизатор Cisco, на котором настроена команда no ip source-route, никогда не будет пересылать IP-пакет, который содержит параметр маршрутизации по источнику. Эту команду необходимо использовать. Исключение составляют случаи, когда для сети требуется маршрутизация от источника.

Advanced Application Inspection and Control

Решения Cisco давно вышли из определения, данного в любом компьютерном словаре термину «маршрутизатор». Например, когда говорят о контроле доступа к защищаемым ресурсам (внешним или внутренним), то обычно первое, что приходит в голову – списки контроля доступа (Access Control List, ACL), существующие в любом маршрутизаторе. Однако, как только заговаривают о контроле прикладного трафика (например, блокировании Instant Messaging или P2P), то все начинают смотреть в сторону отдельных устройств. А ведь в маршрутизаторах Cisco есть и такие функции защиты. И это не только описанный выше Flexible Packet Matching или известный не первый год механизм Network-Based Application Recognition (NBAR). Для контроля того же прикладного трафика можно использовать команду ip inspect.

фрагмент конфигурации для дополнительной проверки популярных протоколов на соответствие политике безопасности

ip inspect name my-ios-fw http

ip inspect name my-ios-fw https

ip inspect name my-ios-fw esmtp

ip inspect name my-ios-fw pop3

ip inspect name my-ios-fw imap3

ip inspect name my-ios-fw dns

ip inspect name my-ios-fw ftp

ip inspect name my-ios-fw ntp

ip inspect name my-ios-fw icmp

Для не столь популярных протоколов ситуация сильно не меняется – надо добавить всего одну команду:

ip port-map user-vnc port tcp 5900

ip inspect name my-ios-fw user-vnc

После этого можно применить данные правила к нужному интерфейсу маршрутизатора:

interface fastethernet 0/1

ip inspect my-ios-fw in

А для инспекции разрешенного трафика, внутри которого может скрываться трафик запрещенный (именно так часто инкапсулируется Instant Messaging или P2P), достаточно использовать команды:

appfw policy-name abuse-control

application http

port-misuse default action reset alarm

ip inspect name my-ios-fw appfw abuse-control

Описание и технические характеристики основных моделей сетевого оборудования Cisco

Сетевые маршрутизаторы Cisco поддерживают расширенную аналитику, оптимизацию приложений, автоматизированное выделение ресурсов и интегрированную защиту для предоставления законченного, проверенного решения.

Маршрутизаторы с интегрированными сервисами Cisco серии 1900, 2900 и 3900 предоставляют встроенные функции безопасности и VPN, позволяющие организациям выявлять, предотвращать и адаптироваться к угрозам сетевой безопасности в удаленных филиалах.

Основные элементы безопасности включают:

• Безопасное подключение. Эти функции обеспечивают высоконадежное и масштабируемое сетевое подключение, включающее несколько типов трафика. Все маршрутизаторы поддерживают IP-безопасность (IPsec) VPN, групповую зашифрованную транспортную VPN, динамическую многоточечную VPN (DMVPN), усовершенствованную простую VPN и VPN с безопасными сокетами (SSL).
• Интегрированный контроль угроз – эти функции предотвращают сетевые атаки и угрозы и реагируют на них с помощью сетевых служб. Многие устройства поддерживают межсетевой экран Cisco IOS, систему предотвращения вторжений Cisco IOS (IPS), фильтрацию содержимого, NetFlow и гибкое сопоставление пакетов (FPM).
• Доверие и идентификация. Эти функции позволяют сети интеллектуально защищать конечные точки, используя такие технологии, как аутентификация, авторизация и учет (AAA) и инфраструктура открытых ключей (PKI).
• Защита сети Cisco. Эти функции защищают сетевую инфраструктуру от атак и уязвимостей.

Программное обеспечение Cisco IOS содержит AutoInstall Mode для упрощения настройки сетевого устройства на базе Cisco IOS. Автоматическая установка позволяет загружать файлы конфигурации устройств из удаленного местоположения и может использоваться для одновременной настройки нескольких устройств. Настройка происходит через интерактивный режим интерфейса командной строки ПО Cisco IOS (CLI), который ведет вас через базовую конфигурацию, но ограничивает настройкой одного устройства за раз.

Защита уровня управления

Механизм Control Plane Policing (CoPP) позволяет защитить маршрутизатор от обработки вредоносного трафика и не дать ему попасть в защищаемую сеть. Однако все равно остается проблема защиты самого устройства от несанкционированного доступа. Эту задачу решает механизм Management Plane Policing (MPP), который позволяет описать один или несколько интерфейсов маршрутизатора как управляющие, что, в свою очередь, блокирует любые попытки управления с «неуправляющих» интерфейсов. Иными словами, ты ограничиваешь доступ по протоколам FTP, HTTP, HTTPS, SSH, Telnet, SNMP и TFTP. Это, конечно, можно было бы реализовать и с помощью списков контроля доступа (ACL), но в этом случае снижается производительность и масштабируемость маршрутизатора, вынужденного тратить ресурсы на обработку ACL. Настройка данного механизма осуществляется достаточно просто:

Router(config)# control-plane host

Router(config-cp-host)# management-interface FastEthernet 0/0 allow ssh snmp

Первая команда включает режим конфигурации, а вторая — задает его настройки. После параметра allow можешь указать протоколы, которые разрешаются на данном интерфейсе (в приведенном примере только SSH и SNMP).

Проверить наличие и настройки управляющих интерфейсов можно командой Router# show management-interface.

Настройка интерфейса Serial

Заходим на интерфейс
router (config)# interface serial 0/0/0
Устанавливаем IP на интерфейс
router (config)# ip add 192.168.1.1 255.255.255.0
Устанавливаем скорость порта
router (config)# clock rate 56000
Поднимаем интерфейс
router (config)# no shutdown

Команда encapsulation определяет тип протокола канального уровня и формат передаваемых данных для конкретного интерфейса. Например:

Router# configure
Router(config)# interface serial0/1/1
Router(config-if)# encapsulation ?
  frame-relay Frame Relay networks
  hdlc Serial HDLC synchronous
  ppp Point-to-Point protocol
Router (config-if)# encapsulation ppp

Аппаратные и физические соединения

Также возможно, что причиной сбоя является ваше аппаратное или физическое соединение. Любой из них может быть проблематичным, от отказа материнской платы до обрыва кабеля или сбоя питания. Тем не менее, этот документ не будет описывать способы устранения таких проблем, за исключением нескольких простых исправлений ниже.

Проверьте, включен ли ваш маршрутизатор. Также необходимо убедиться, что кабели не повреждены и не ослаблены. Также убедитесь, что кабели подключены к правильным портам. В дополнение к этому простому совету, вам нужно проверить дополнительные ресурсы.

Из-под контроля

Если точка сбоя не находится на линии, проблема может быть в устройстве. Затем вы можете позвонить администратору устройства, сообщить им о вашей проблеме и попросить о помощи.

IOS Software Image Verification

Регулярно на различных форумах всплывает тема встраивания «чужого» кода в Cisco IOS, и какая это огромная угроза всему Интернет. Но с самого начала целостность кода, загружаемого на маршрутизатор, можно проверять – достаточно сравнить контрольную сумму MD5 имиджа IOS, установленного на устройство, с суммой, показанной на сайте cisco.com. Однако не многие пользователи делали это, ссылаясь на сложность и длительность процедуры. Чтобы облегчить такую «непростую» задачу, у пользователей в версии 12.0(26)S появилась команда verify, которую можно и удобно использовать в трех случаях:

1. Глобальная и автоматическая проверка целостности имиджа (после любой попытки копирования или перезагрузки).

Router(config)# file verify auto

2. Проверка целостности имиджа после копирования из какого-либо источника.

Router(config)# copy /verify tftp://10.1.1.1/jdoe/c7200-js-mz disk0:

3. Проверка целостности имиджа после перезагрузки устройства.

Router# reload /verify

Отключение порта shutdown

Команды выключения/включения интерфейса применяется, если необходимо изменить административное состояние интерфейса. Оборудование Cisco не передает данные на интерфейс, если он заблокирован на административном уровне. Выключение порта осуществляется путем входа на нужный интерфейс и ввода команды shutdown. Например:

Router# configure
Router(config)# interface FastEthernet0/1
Router(config-if)# shutdown

Проверяем полученный результат с помощью уже известной команды show interfaces:

Router# show interfaces FastEthernet 0/0
FastEthernet0/1 is administratively down, line protocol is down (disabled)
  Hardware is Lance, address is 0030.a399.3902 (bia 0030.a399.3902)
  MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
  reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
...

Включение интерфейса осуществляется командой no shutdown

Router# configure
Router (config)# interface FastEthernet0/1
Router (config-if)# no shutdown

Добавление описания/комментария с помощью команды description
К каждому из доступных интерфейсов доступно поле длиной не более 255 символов.

Router (config)# interface fastEthernet 0/0
Router (config-if)# description uplink_to_3750

Проверяем результат

Router# show interfaces fastEthernet 0/0
FastEthernet0/0 is up, line protocol is up (connected)
  Hardware is Lance, address is 0030.a399.3901 (bia 0030.a399.3901)
  Description: uplink_to_3750
  MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
  reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
...

Глобальная конфигурация

Для настройки любой функции маршрутизатора необходимо войти в режим настройки. Это первый ребенок отцовства. В родительском режиме вы вводите команду config.

Как показано выше, приглашение изменится, чтобы указать, в каком режиме вы находитесь в данный момент. В режиме конфигурации вы можете установить параметры для общесистемного использования, называемые глобальными конфигурациями. Например, дайте вашему маршрутизатору имя, чтобы вы могли легко его идентифицировать. Вы можете сделать это в режиме конфигурации с помощью команды hostname.

Как показано выше, когда вы устанавливаете имя хоста с помощью команды hostname, приглашение немедленно изменится, заменив Router на ExampleName. (Примечание: назовите свои маршрутизаторы согласно организованной схеме имен.)

Еще одна полезная команда из режима настройки – указать DNS-сервер, который будет использоваться для маршрутизатора:

Здесь вы также можете установить пароль для привилегированного режима.

До тех пор, пока вы не нажмете Ctrl-Z (или не введете команду exit до перехода в родительский режим), ваша команда не будет затронута. Вы можете перейти в режим настройки, выполнить несколько разных команд, а затем нажать Ctrl-Z, чтобы активировать их. Каждый раз, когда вы нажимаете Ctrl-Z, вы возвращаетесь в родительский режим и получаете запрос:

Здесь вы используете команду show для проверки результатов команд, введенных вами в режиме конфигурации. Чтобы проверить результаты команды ip name-server, введите команду show host.

«Тип носителя» – это устройство, интерфейс которого является портом, таким как Ethernet, Token Ring, FDDI, последовательный порт и т. Д. Номер слота подходит только для маршрутизаторов, которые предоставляют номер слота, чтобы вы могли установить модули. Модули включают в себя несколько портов для данного устройства. Серия 7200 является примером. Эти модули с возможностью горячей замены. Вы можете удалить модуль из его слота и заменить его другим модулем, не отключая службу, предоставляемую другими модулями, установленными в маршрутизаторе. Эти слоты нумеруются на маршрутизаторе.

Номер порта основан на эталонном порте с другими портами в модуле. Нумерация проводится слева направо, и все начинается с 0, а не с одной цифры.

Например, Cisco 7206 – это маршрутизатор серии 7200 с 6 слотами. Для обозначения интерфейса как третьего порта модуля Ethernet, установленного в шестом слоте, это будет интерфейс 6/2. Поэтому для отображения конфигурации интерфейса вам необходимо использовать команду:

Если у вашего роутера нет слотов, например 1600, имя интерфейса включает в себя только:

Например:

Вот пример настройки последовательного порта с IP-адресом:

Затем проверьте конфигурацию:

Примечание о команде no shutdown. Интерфейс может быть настроен правильно и физически подключен, но все еще возникают проблемы. В этом состоянии это не будет работать. Команда, вызывающая эту ошибку, завершает работу.

В Cisco IOS способ отменить или удалить результаты для любой команды состоит в том, чтобы поместить это перед этим. Например, если вы хотите отменить назначение IP-адреса, назначенного последовательному интерфейсу 1/1:

Настройка большинства интерфейсов для подключений к локальной сети может включать в себя только назначение адреса сетевого уровня и обеспечение того, чтобы интерфейс не отключался. Часто нет необходимости указывать инкапсуляцию канального уровня. Обратите внимание, что часто необходимо указывать инкапсуляцию совместимого канального уровня, такого как Frame Relay и ATM. Последовательные интерфейсы по умолчанию должны использовать HDLC. Однако углубленное обсуждение протоколов передачи данных выходит за рамки этого документа. Вам нужно будет найти команду инкапсуляции IOS для получения более подробной информации 

Настройка маршрутизатор cisco 1841

Начнем настраивать маршрутизатор cisco 1841, для того чтобы он маршрутизировал трафик между vlan и был в качестве интернет шлюза. По умолчанию все порты на маршрутизаторе находятся в выключенном состоянии, включим порт куда воткнут патчкорд от коммутатора cisco 2960, у меня это fa 0/0.

enable conf t int fa 0/0 no shutdown

exit

У вас появится нечто подобное, сообщая вам что порт стал быть активным.

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

Порт стал зеленым

Следующим шагом нужно создать сабъинтерфейсы по количеству vlan. У роутеров просто нет vlan и их роль выполняют сабъинтерфейсы, где определенному vlan соответствует subinerface.

Создаем subinterface для vlan 2

int fa 0/0.2

указываем что он относится и случает пакеты vlan 2

encapsulation dot1Q 2

настраиваем ip адрес

ip address 192.168.1.251 255.255.255.0

включаем порт

no shutdown exit

и сохраняем настройки командой

do wr mem

Настроим подобный образом subinterface для vlan 3,4

int fa 0/0.3 encapsulation dot1Q 3 ip address 192.168.2.251 255.255.255.0 no shutdown exit int fa 0/0.4 encapsulation dot1Q 4 ip address 192.168.3.251 255.255.255.0 no shutdown exit

ip routing do wr mem

Пробуем пропинговать с компьютера PC0 компьютер PC3 и PC2. Как видим на скриншоте все ок.

ping 192.168.1.251

ping 192.168.2.1

ping 192.168.3.1

Вот так вот просто организовать локальную сеть в очень небольшом филиале и где быстро производится настройка маршрутизатора cisco. настройку NAT мы произведем в другой статье.

Установите надежный пароль Wi-Fi сети

Да, такие пароли не совсем удобно вводить при подключении устройств. Но так ли часто вы подключаете новые устройства? Думаю, что нет.

Настройки безопасности беспроводной сети – это не только пароль. Нужно в настройках выбрать современный и надежный тип безопасности и шифрования беспроводной сети. Если у вас нет желания смотреть отдельную статью на эту тему, то скажу, что лучше ставить WPA2 — Personal с шифрованием AES.

Сюда еще хочу добавить, что желательно менять имя беспроводной сети (SSID). Придумайте какое-то оригинальное имя. Так вы не потеряете свою сеть среди других соседних сетей.

CPU и Memory Thresholding Notification

Очень часто признаком атаки «отказ в обслуживании» или другой вредоносной активности является перегрузка центрального процессора или нехватка памяти, вызванные наличием какого-нибудь процесса, «забирающего» все ресурсы «под себя». Механизм контроля аналогичных действий есть в маршрутизаторах Cisco: в CPU и Memory Threshholding Notification.

В первом случае можешь сигнализировать, когда загрузка процессора превышает максимально заданную или падает ниже минимально заданной границы. Делается это следующим образом:

Router(config)# snmp-server enable traps cpu threshold

Router(config)# snmp-server host 192.168.0.0 traps public cpu

Router(config)# process cpu threshold type total rising 80 interval 5 falling 20 interval 5

Первая команда разрешает посылать уведомления о нарушении, связанном с загрузкой процессора. Вторая описывает адрес, на который посылается SNMP Trap. Третья команда устанавливает пороговые значения: верхняя граница – 80% и нижняя граница – 20% (5 – это интервал запроса значения загрузки CPU).

Задание уведомления о критическом превышении доступной памяти выполняется аналогичным образом. При этом ты видишь генерацию сигнала тревоги, когда в маршрутизаторе остается меньше 20 Кб свободной процессорной памяти или памяти ввода/вывода.

Router(config)# memory free low-watermark processor 20000

или

Router(config)# memory free low-watermark io 20000

С сигнализацией о нехватке памяти связан механизм выделения определенного объема памяти под критичные задачи (например, под регистрацию событий). Это позволяет быть уверенным, что важная операция все равно будет произведена даже при условии нехватки памяти. При этом резервируемая память не должна превышать 25% от всего объема доступной памяти.

Router(config)# memory reserve critical 1000

Unnecessary services and interfaces

Сервисы	Описание	Значения по умолчанию	Способ  отключения
Интерфейсы роутера	Осуществляют прием и передачу пакетов	Выключены у роутера	(config-if)#shutdown
BOOTP сервер	Роутер выступает в качестве bootp сервера для сетевых устройств	Включен	(config)#no ip bootp server
CDP	Рассылает инфу соседям	Включен глобально и на интерфейсах	(config)#no cdp run(config-if)#no cdp enable
Configuration auto-loading	Автоматически копирует конфигу с сервера при загрузке	Выключен	(config)#no service config
FTP сервер	FTP сервер	Выключен	(config)#no ftp-server enable
TFTP сервер	TFTP сервер	Выключен	(config)#no tftp-server file-sys:image name
NTP сервис	Возволяет как принимать время с другого сервера так и отсылать время другим NTP клиентам	Выключен	(config)#no ntp server ip address
Packet assemble/disassemble (PAD) сервис	Обеспечивает доступ для X.25 PAD команд в X.25 сети	Включен	(config)#no service pad
TCP и UDP minor service	Небольшой сервер в роутере используемый для диагностики.	До 11.3 включен, после выключен	(config)#no service tcp-small-servers(config)#no service udp-small-servers
Maintance Operation Protocol (MOP)	Сервис поддержки Digital Equipment Corporation (DEC) в роутере.	Включен на большинстве Ethernet интерфейсах	(config-if)#no mop enable

Фильтрация с ключевым словом distribute-list и расширенным списком контроля доступа

Применение стандартного списка контроля доступа для фильтрации суперсетей сталкивается с определенными сложностями. Предположим, что маршрутизатор 200 объявляет следующие сети:

с 10.10.1.0/24 по 10.10.31.0/24;

10.10.0.0/19 (объединение вышеуказанных сетей).

Маршрутизатор 100 заинтересован только в получении сведений об объединенной сети, 10.10.0.0/19. Информация, относящаяся к отдельным сетям, должна отфильтровываться.

Стандартный список контроля доступа вида access-list 1 permit 10.10.0.0 0.0.31.255 не подойдет, поскольку он разрешает больше сетей, чем нужно. Стандартный список контроля доступа контролирует адрес сети, но не сетевую маску. Этот стандартный список контроля доступа разрешает как объединенную сеть /19, так и отдельные сети /24.

Чтобы разрешать только суперсеть 10.10.0.0/19, используйте расширенный список контроля доступа вида access-list 101 permit ip 10.10.0.0 0.0.0.0 255.255.224.0 0.0.0.0. Формат команды access-list для расширенного списка контроля доступа описан в разделе access-list (расширенный список контроля доступа IP).

В нашем примере источник – 10.10.0.0. Для него настраивается точно соответствующий шаблон 0.0.0.0. Для точного соответствия с маской источника задаются маска 255.255.224.0 и шаблон маски 0.0.0.0. В случае неполного соответствия любому из этих значений (источнику или маске) список контроля доступа выдаст запрет.

Таким образом, расширенная команда access-list позволяет точно описать соответствие номеру сети источника 10.10.0.0 с маской 255.255.224.0 (и, как следствие, с 10.10.0.0/19). Другие, более узкие сети /24 будут фильтроваться.

Примечание. При настройке шаблонов помните, что означает полное совпадение двоичных разрядов, а 1 означает, что данный разряд безразличен.

Конфигурация маршрутизатора 100:

Маршрутизатор 100

Выходные данные команды show ip bgp с маршрутизатора 100 подтверждают, что список контроля доступа функционирует требуемым образом.

Как показано в этом разделе, расширенные списки контроля доступа более практичны в ситуациях, когда в пределах одной крупной сети нужно разрешить одни сети и запретить другие. Эти примеры в более полной мере иллюстрируют пользу расширенных списков контроля доступа в некоторых ситуациях:

access-list 101 permit ip 192.168.0.0 0.0.0.0 255.255.252.0 0.0.0.0

Этот список контроля доступа разрешает только суперсеть 192.168.0.0/22.

access-list 102 permit ip 192.168.10.0 0.0.0.255 255.255.255.0 0.0.0.255

Этот список контроля доступа разрешает все подсети 192.168.10.0/24. Иначе говоря, разрешаются подсети 192.168.10.0/24, 192.168.10.0/25, 192.168.10.128/25, и т.д.: любая из подсетей 192.168.10.x с маской в диапазоне от 24 до 32.

access-list 103 permit ip 0.0.0.0 255.255.255.255 255.255.255.0 0.0.0.255

Этот список контроля доступа разрешает любой префикс сети с маской от 24 до 32.

Пример конфигурации

1. Router>enable
2. Router#config
3. Router(config)#hostname N115-7206
4. N115-7206(config)#interface serial 1/1
5. N115-7206(config-if)ip address 192.168.155.2 255.255.255.0
6. N115-7206(config-if)no shutdown
7. N115-7206(config-if)ctrl-z
8. N115-7206#show interface serial 1/1
9. N115-7206#config
10. N115-7206(config)#interface ethernet 2/3
11. N115-7206(config-if)#ip address 192.168.150.90 255.255.255.0
12. N115-7206(config-if)#no shutdown
13. N115-7206(config-if)#ctrl-z
14. N115-7206#show interface ethernet 2/3
15. N115-7206#config
16. N115-7206(config)#router rip
17. N115-7206(config-router)#network 192.168.155.0
18. N115-7206(config-router)#network 192.168.150.0
19. N115-7206(config-router)#ctrl-z
20. N115-7206#show ip protocols
21. N115-7206#ping 192.168.150.1
22. N115-7206#config
23. N115-7206(config)#ip name-server 172.16.0.10
24. N115-7206(config)#ctrl-z
25. N115-7206#ping archie.au
26. N115-7206#config
27. N115-7206(config)#enable secret password
28. N115-7206(config)#ctrl-z
29. N115-7206#copy running-config startup-config
30. N115-7206#exit