Списки доступа (Access list)

Списки доступа (acess list) используются для управления входящими и исходящими данными. В данном уроке мы рассмотрим 2 типа списков доступа (acees list) (стандартные и расширенные).
Настраиваются списки доступа на маршрутизаторах Cisco в два этапа. Сначала создается сам список доступа (access list), то есть задаются правила, определяющие действия маршрутизатора с определенными пакетами. Затем список доступа связывается с необходимым интерфейсом. Таким образом разные списки доступа могут быть связаны с разными интерфейсами.

Каждый список доступа (access list) идентифицируется номером. Стандартным спискам доступа назначается номер из диапазона от 1 до 99, расширенному - от 100 до 199. Стандартные списки доступа прекрасно подходят для небольших сред, они позволяют запрещать или разрешать весь трафик с определенного адреса. Расширенные списки доступа позволяют настраивать правила более гибко.

Настройка списка доступа:
1) Стандартный список доступа (standart access list). Используя команду
"access-list <номер (1-99)> <действие (deny|permit)> <адрес источника>"
в режиме конфигурирования создается список доступа. Затем, используя команду
"ip access-group <номер списка доступа> in|out"
в режиме конфигурирования интерфейса список доступа связывается с интерфейсом. Правило in или out определяет к каким пакетам будет применяться это правило (к входящим или исходящим).
Пример настройки:
Router#conf term
Router(config)#access-list 10 permit 192.168.1.1 (создаем список доступа)
Router(config)#interface fa0/0
Router(config-if)#ip access-group 10 in (связываем с интерфейсом)

2) Расширенный список доступа (extended access list). Используя команду
"access-list <номер (100-199)> <действие (permit|deny)> <протокол> <адрес источника> <адрес получателя> <порт>"
создаем расширенный список доступа (extended access list). Далее с помощью команды
"ip access-group <номер списка доступа> in|out"
связываем список доступа (access list) с интерфейсом.
Пример настройки:
Router#conf term

Router(config)#access-list 110 deny icmp 192.168.1.0 0.0.0.255 host 192.168.10.1 (создаем список доступа)

Router(config)#interface fa0/0

Router(config-if)#ip access-group 110 in (связываем с интерфейсом)

InterVLAN routing

В данном уроке мы рассмотрим как настраивается InterVLAN routing (маршрутизация между VLAN) на маршрутизаторах cisco.

Если вы настраиваете VLAN на коммутаторе третьего уровня, то для маршрутизации между VLAN необходимо просто ввести команду ip routing на коммутаторе.

Видео урок (скачать):

Настройка VLAN

VLAN (Virtual Local Area Network) — группа устройств, имеющих возможность взаимодействовать между собой напрямую на канальном уровне, хотя физически при этом они могут быть подключены к разным сетевым коммутаторам. И наоборот, устройства, находящиеся в разных VLAN'ах, невидимы друг для друга на канальном уровне, даже если они подключены к одному коммутатору, и связь между этими устройствами возможна только на сетевом и более высоких уровнях.

В современных сетях VLAN — главный механизм для создания логической топологии сети, не зависящей от её физической топологии. VLAN'ы используются для сокращения широковещательного трафика в сети. Имеют большое значение с точки зрения безопасности, в частности как средство борьбы с ARP-spoofing'ом.

Как правило, одному VLAN соответствует одна подсеть. Устройства, находящиеся в разных VLAN, будут находиться в разных подсетях. Но в то же время VLAN не привязан к местоположению устройств и поэтому устройства, находящиеся на расстоянии друг от друга, все равно могут быть в одном VLAN независимо от местоположения.
Каждый VLAN — это отдельный широковещательный домен. Например, коммутатор — это устройство 2 уровня модели OSI. Все порты на коммутаторе, где нет VLANов, находятся в одном широковещательном домене. Создание VLAN на коммутаторе означает разбиение коммутатора на несколько широковещательных доменов. Если один и тот же VLAN есть на разных коммутаторах, то порты разных коммутаторов будут образовывать один широковещательный домен.
Когда сеть разбита на VLAN, упрощается задача применения политик и правил безопасности. С VLAN политики можно применять к целым подсетям, а не к отдельному устройству. Кроме того, переход из одного VLAN в другой предполагает прохождение через устройство 3 уровня, на котором, как правило, применяются политики разрешающие или запрещающие доступ из VLAN в VLAN.

Компьютер при отправке трафика в сеть даже не догадывается, в каком VLAN'е он размещён. Об этом думает коммутатор. Коммутатор знает, что компьютер, который подключен к определённому порту, находится в соответствующем VLAN'e. Трафик, приходящий на порт определённого VLAN'а, ничем особенным не отличается от трафика другого VLAN'а. Другими словами, никакой информации о принадлежности трафика определённому VLAN'у в нём нет.
Однако, если через порт может прийти трафик разных VLAN'ов, коммутатор должен его как-то различать. Для этого каждый кадр (frame) трафика должен быть помечен каким-то особым образом. Пометка должна говорить о том, какому VLAN'у трафик принадлежит.
Наиболее распространённый сейчас способ ставить такую пометку описан в открытом стандарте IEEE 802.1Q.

Порты коммутатора, поддерживающие VLAN'ы, (с некоторыми допущениями) можно разделить на два множества:
-Тегированные порты (или транковые порты, trunk-порты в терминологии Cisco).
-Нетегированные порты (или порты доступа, access-порты в терминологии Cisco);
Тегированные порты нужны для того, чтобы через один порт была возможность передать несколько VLAN'ов и, соответственно, получать трафик нескольких VLAN'ов на один порт. Информация о принадлежности трафика VLAN'у, как было сказано выше, указывается в специальном теге. Без тега коммутатор не сможет различить трафик различных VLAN'ов.
Если порт нетегированный в каком-то VLAN'е, то трафик этого VLAN передается без тега.

Порядок конфигурирования vlan:
1)access-port:
switch1(config)# interface fa0/1 - входим в конфигурирование необходимого порта
switch1(config-if)# switchport mode access - задаем режим access
switch1(config-if)# switchport access vlan 2 - назначаем какому vlan соответствует данный порт

2)trunk-port:
switch1(config)# interface fa0/2 - входим в конфигурирование необходимого порта
switch1(config-if)# switchport mode trunk - задаем режим работы trunk
switch1(config-if)# switchport trunk allowed vlan all - указываем какие vlan будет пропускать данный порт

Видео урок(скачать):

Настройка NAT

В середине 90-х годов протокол NAT стал популярен из-за проблемы нехватки IPv4 адресов. Большинство систем, которые используют NAT имеют несколько сетевых устройств в сети с частными IP адресами и для выхода в интернет используют публичные IP адреса.

В обычной конфигурации, сетевым устройствам локальной сети радаются IP адреса из пула выделенных частных IP адресов:

1) 192.168.х.х

2) 172.16.х.х - 172.31.х.х

3) 10.х.х.х

Частные IP адреса не маршрутизируются в интернете, поэтому маршрутизатору, который выходит в интернет напрямую, на интерфейс во внутренней сети назначается так же частный IP адрес, а на внешний сетевой интерфейс назначается один или несколько публичных IP адресов. Затем, при помощи протокола NAT происходить преобразование частных IP адресов во внешние.

Существуют несколько разновидностей протокола NAT:

1) Статический NAT - частный IP адрес преобразуется во внешний IP адрес один к одному. Часто применятся, когда сетевое устройство должно быть доступно из интернета или снаружи сетки.

2) PAT (Port address translation) - отображает несколько внутренний адресов в один внешний адрес, использую порты. Например, у вас есть три внутренних адреса 172.1.1.1, 172.1.1.2, 172.1.1.3, и один внешний адрес 192.1.1.1. При использование PAT адреса будут преобазованны следующим образом:

172.1.1.1 - 192.1.1.1:6001

172.1.1.2 - 192.1.1.1:6002

172.1.1.3 - 192.1.1.1:6003

Основные функции NAT:

1) Позволяет сэкономить IP-адреса.

2) Позволяет предотвратить или ограничить обращение снаружи ко внутренним хостам, оставляя возможность обращения изнутри наружу.

3) Позволяет скрыть определённые внутренние сервисы внутренних хостов/серверов.

Пример настройки NAT:
//Настройка IP адреса для Ethernet 0 и использование в качестве внутреннего NAT интерфейса//
interface ethernet 0
ip address 10.10.10.1 255.255.255.0
ip nat inside

//Настройка IP адреса для Ethernet 1 и использование в качестве внутреннего NAT интерфейса//
interface ethernet 1
ip address 10.10.20.1 255.255.255.0
ip nat inside

//Настройка IP адреса для serial 0 и использование в качестве внешнего NAT интерфейса//
interface serial 0
ip address 172.16.10.64 255.255.255.0
ip nat outside

//Конфигурирование именованного пула NAT с рядом адресов 172.16.10.1 - 172.16.10.63//
ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24

//Указание какие пакеты могут "проходить" через внутренний интерфейс разрешение следующим acl - access-list 7 транслирование исходного адреса "наружу" NAT pool "no-overload"//
ip nat inside source list 7 pool no-overload

//Access-list 7 разрешает пакеты от следующих сетей 10.10.10.0/24 и 10.10.20.0/24 //
access-list 7 permit 10.10.10.0 0.0.0.255
access-list 7 permit 10.10.20.0 0.0.0.255

Пример настройки PAT:

//Настройка IP адреса для Ethernet 0 и использование в качестве внутреннего NAT интерфейса//

interface ethernet 0

ip address 10.10.10.1 255.255.255.0

ip nat inside

//Настройка IP адреса для Ethernet 1 и использование в качестве внутреннего NAT интерфейса//

interface ethernet 1

ip address 10.10.20.1 255.255.255.0

ip nat inside

//Настройка IP адреса для serial 0 и использование в качестве внешнего NAT интерфейса//

interface serial 0

ip address 172.16.10.64 255.255.255.0

ip nat outside

//Конфигурирование именованного пула с адресом 172.16.10.1//

ip nat pool patpool 172.16.10.1 172.16.10.1 prefix 24

//Указание какие пакеты могут "проходить" через внутренний интерфейс разрешение следующим acl - access-list 7 транслирование исходного адреса "наружу" NAT pool "patpool"//

ip nat inside source list 7 pool patpool overload

//Access-list 7 разрешает пакеты от следующих сетей 10.10.10.0/24 и 10.10.20.0/24 //

access-list 7 permit 10.10.10.0 0.0.0.255

access-list 7 permit 10.10.20.0 0.0.0.255

Видео урок (скачать) 

Сертификация CISCO

Было бы упущением не упомянуть тему сертификации CISCO. Поэтому я решил коротко написать какие сертификации существуют у  CISCO.

Экзамены принимаются центром тестирования Pearson VUE.

Существует 4 уровня сертификации:

1)Entry.

2)Associate.

3)Professional.

4)Expert.

Сертификация уровня Assosiate

Cisco Certified Network Associate (CCNA)

Кандидат на статус CCNA должен сдать два экзамена (ICND1 640—822 и ICND2 640—816), или один тест CCNA 640—802.

Сертификат действителен в течение трёх лет. Для сохранения сертификата CCNA по истечении 3х лет обладатель сертификата CCNA должен выполнить одно из 3х условий:

1)пересдать CCNA или ICND

2)сдать экзамен на один из профессиональных сертификатов (Professional Level) (в том числе CCNP)

3)сдать письменный экзамен CCIE.

В рамках сетевой академии Cisco, учебные курсы CCNA и CCNP проводятся в более чем 150 странах мира в рамках традиционных учебных заведений.Студенты Сетевой Академии Cisco могут получить ваучер, дающий право сдачи экзамена со скидкой в 80 %. Стоимость экзамена 250$ за CCNA или по 125$ за ICND1 и ICND2.

Cisco Certified Design Associate (CCDA)

Обладатели статуса CCDA способны разрабатывать дизайн коммутируемой или маршрутизируемой сети, состоящей из LAN'ов, WAN'ов и различных сервисов. Cертификат CCNA не обязателен для получения статуса CCDA (экзамен 640—863 DESGN), но Cisco рекомендует обладать знаниями в рамках курса CCNA. Также рекомендованы знания BCMSN и BSCI.

Cisco IOS Network Security (CCNA Security)

CCNA Security Certification соответствует потребностям IT специалистов, ответственных за сетевую безопасность. Данная сертификация проверяет навыки, включающие установку, устранение ошибок и мониторинг системных устройств для поддержки целостности, конфиденциальности и доступности данных и устройств и вырабатывает компетентность в технологиях, используемых Cisco в структурах безопасности.

Cisco IOS Unified Communications (CCNA Voice)

Сертификация проверяет навыки в технологиях VoIP, таких как IP PBX, IP телефония, handset, контроль вызовов и решения в области голосовой почты. Кандидаты также посвящены в архитектуру Cisco Unified Communications и дизайн, объединяющий мобильность, presence и TelePresence приложения.

Cisco Unified Wireless Networking Essentials (CCNA Wireless)

CCNA Wireless (Сертифицированный специалист Cisco по беспроводным сетям) проверяет навыки, необходимые для специалистов, осуществляющих поддержку беспроводных сетей, в том числе системных администраторов — associate, Специалистов по поддержке беспроводных сетей и управляющих проектами WLAN.

Сертификация уровня Professional

Cisco Certified Network Professional (CCNP)

Сертификация CCNP подтверждает профессионализм обладателя и способность работать с сетью средних размеров (100—500 хостов) с использованием таких технологий, как QoS, Broadband, VPNs, а также поддерживать ее безопасность. Для получения сертификата CCNP соискатель должен обладать сертификатом CCNA и сдать 3-4 экзамена (количество по выбору). 4 теста:

-642-901 BSCI: Построение масштабируемых интегрированных сетей Cisco Internetworks (BSCI)

-642-812 BCMSN: Построение многоуровневых коммутируемых сетей Cisco (BCMSN)

-642-825 ISCW: Implementing Secure Converged Wide Area Networks (ISCW)

-642-845 ONT: Optimizing Converged Cisco Networks (ONT)[6] QoS и VoIP.

3 теста:

-642-892 Composite — Тесты BSCI и BCMSN могут быть сданы в виде одного единого экзамена 642-892 Composite объединяющего в себе программы экзаменаций BSCI и BCMSN.

-642-825 ISCW: Implementing Secure Converged Wide Area Networks (ISCW)

-642-845 ONT: Optimizing Converged Cisco Networks (ONT)[6] QoS и VoIP.

Cisco Certified Design Professional (CCDP)

Сертификация CCDP — профессиональная сертификация в области дизайна компьютерных сетей Cisco Systems. Для получения сертификата нужен сертификат CCDA. Для сертификаций CCNP and CCDP два экзамена (642—901 BSCI и 642—812 BCMSN) одинаковы, так что обладатель статуса CCNP может получить сертификат CCDP путем сдачи всего одного экзамена 642—873 ARCH.

Экзамены:

-642-901 BSCI: Building Scalable Cisco Internetworks (BSCI)

-642-812 BCMSN: Building Cisco Multilayer Switched Networks (BCMSN)[

-642-873 ARCH: Designing Cisco Network Service Architectures (ARCH)

или

-642-892 Composite: Объединенный экзамен BSCI и BCMSN

-642-873 ARCH: Designing Cisco Network Service Architectures (ARCH)

Cisco Certified Internetwork Professional (CCIP)

CCIP — это профессиональная сертификация в области end-to-end протоколов, используемых в сетях большого масштаба.

Для получения этого сертификата должны быть сданы тесты:

-642-901 BSCI: Building Scalable Cisco Internetworks либо 642-892 Composite

-642-642 QOS: Implementing Cisco Quality of Service

-642-661 BGP: Configuring BGP on Cisco Routers

-642-611 MPLS: Implementing Cisco MPLS

или

-642-901 BSCI: Building Scalable Cisco Internetworks либо 642-892 Composite

-642-642 QOS — Implementing Cisco Quality of Service

-642-691 BGP+MPLS — Configuring BGP on Cisco Routers и Implementing Cisco MPLS

Cisco Certified Security Professional (CCSP)

CCSP — продвинутая сертификация в области сетевой безопасности. Претенденты на сертификат должны продемонстрировать глубокие знания по безопасности различных продуктов корпорации Cisco. Для получения статуса CCSP требуется актуальный статус CCNA или выше (например, CCNP или CCIP).

Сертификация уровня Expert

Cisco Certified Internetwork Expert — высший уровень сертификата. Существует 5 программ для CCIE (Routing and Switching, Service Provider, Security, Wireless, Storage, Voice). Обладатель данного сертификата как правильно имеет очень высокооплачиваемую работу. Порядка 20000 человек в мире имеют статус CCIE.

Топология сертификации CISCO: