Списки управления доступом

ACL-список — это ряд команд IOS, определяющих, пересылает ли маршрутизатор пакеты или сбрасывает их, исходя из информации в заголовке пакета.

В зависимости от конфигурации ACL-списки выполняют следующие задачи:

· Ограничение сетевого трафика для повышения производительности сети. Например, если корпоративная политика запрещает видеотрафик в сети, необходимо настроить и применить ACL-списки, блокирующие данный тип трафика. Подобные меры значительно снижают нагрузку на сеть и повышают ее производительность.

· Вторая задача ACL-списков — управление потоком трафика. При помощи списков контроля доступа (ACL) можно ограничить доставку маршрутных обновлений, чтобы гарантировать достоверность источников таких обновлений.

· Списки контроля доступа обеспечивают базовый уровень безопасности в отношении доступа к сети. ACL-списки могут открыть доступ к части сети одному узлу и закрыть его для других узлов. Например, доступ к сети отдела кадров может быть ограничен и разрешен только авторизованным пользователям.

· ACL-списки осуществляют фильтрацию трафика на основе типа трафика. Например, ACL-список может разрешать трафик электронной почты, но при этом блокировать весь трафик протокола Telnet.

· Списки контроля доступа осуществляют сортировку узлов в целях разрешения или запрета доступа к сетевым службам. С помощью ACL-списков можно разрешать или запрещать доступ к определенным типам файлов, например FTP или HTTP.

· При помощи ACL-списков можно классифицировать трафик для включения обработки данных в соответствии с приоритетом.

Фильтрация пакетов

Список контроля доступа ACL — это последовательный список разрешающих или запрещающих операторов, называемых записями контроля доступа (ACE). Записи контроля доступа также часто называют правилами ACL-списка. При прохождении сетевого трафика через интерфейс, где действует список контроля доступа (ACL), маршрутизатор последовательно сопоставляет информацию из пакета с каждой записью в списке контроля доступа на предмет соответствия. Этот процесс называется фильтрацией пакетов.

Фильтрация пакетов обеспечивает контроль доступа к сети на основе анализа входящих и исходящих пакетов с последующей переадресацией или отбрасыванием этих пакетов согласно заданным критериям. Как показано на рисунке, фильтрация пакетов может происходить на транспортном и сетевом уровнях 3 и 4.

Входящие и исходящие ACL -списки

 

Протокол DHCPv4

DHCPv4 присваивает IPv4-адреса и другие сетевые параметры динамически. Поскольку стационарные ПК обычно составляют основную часть сетевых узлов, протокол DHCPv4 является крайне полезным инструментом, позволяющим сетевым администраторам значительно экономить время.

Выделенный DHCPv4-сервер масштабируется и относительно легок в управлении. Однако в небольшом филиале или домашнем офисе (SOHO) маршрутизатор Cisco можно настроить для обеспечения DHCPv4-служб без необходимости в выделенном сервере. ПО Cisco IOS поддерживает дополнительный полнофункциональный сервер DHCPv4.

Сервер DHCPv4 динамически назначает или выдает в аренду IPv4-адрес из пула адресов на ограниченный период времени по выбору сервера или до тех пор, пока у клиента есть необходимость в адресе.

Клиенты арендуют данные у сервера на период, определенный администратором. Администраторы настраивают серверы DHCPv4 таким образом, чтобы срок аренды истекал в разное время. Срок аренды обычно составляет от 24 часов до недели или более. По истечении срока аренды клиент должен запросить другой адрес, хотя в большинстве случаев клиенту повторно назначается тот же адрес.

Операция DHCPv4

 DHCPv4 работает по модели «клиент-сервер». Когда клиент подключается к серверу DHCPv4, сервер присваивает или сдает ему в аренду IPv4-адрес. Клиент с арендованным IP-адресом подключается к сети до истечения срока аренды. Периодически клиент должен связываться с DHCP-сервером для продления срока аренды. Благодаря подобному механизму «переехавшие» или отключившиеся клиенты не занимают адреса, в которых они больше не нуждаются. По истечении срока аренды сервер DHCP возвращает адрес в пул, из которого адрес может быть повторно получен при необходимости.

Первоначальная аренда

При начальной загрузке клиента (или ином способе подключения к сети) начинается 4-шаговый процесс получения адреса в аренду. Как показано, клиент начинает процесс с сообщения DHCPDISCOVER широковещательной рассылки со своего MAC-адреса с целью обнаружения доступных DHCPv4-серверов.

⇐ Предыдущая15161718192021222324Следующая ⇒

Поделиться: