Читайте также:
|
Возможность фильтрации по протоколу и номеру порта позволяет сетевым администраторам создавать весьма специфические расширенные ACL-списки. Применение определяется путем настройки номера порта или имени известного порта.
На рис.1 показаны некоторые примеры того, как администратор определяет номера портов TCP или UDP, помещая его в конец оператора расширенного списка контроля доступа. Можно применить логические действия, такие как «равно» (eq), «не равно» (neq), «более чем» (gt) и «менее чем» (lt).
На рис. 2 показано, как отобразить список номеров портов и ключевых слов, которые можно использовать при создании ACL-списка, используя команду:
R1(config)# access-list 101 permit tcp any any eq?
88 вопрос ______ Безопасность сети Wi-Fi всегда вызывала особое беспокойство, поскольку границы сети расширились. Сигналы беспроводной связи могут передаваться через твердые препятствия — потолки, полы, стены, за пределы дома или офиса. Без строгих мер безопасности установка сети WLAN — сродни повсеместному размещению Ethernet-портов, даже на улице.
Чтобы предотвратить угрозы со стороны злоумышленников, пытающихся проникнуть в беспроводную сеть, и защитить данные, использовались две функции обеспечения безопасности.
· Сокрытие идентификатора SSID. Точки доступа и некоторые беспроводные маршрутизаторы позволяют отключить кадр сигнала идентификатора SSID. Беспроводные клиенты должны вручную определить имя SSID, чтобы подключиться к сети.
· Фильтрация MAC-адресов. Администратор может вручную разрешить или запретить клиентам беспроводной доступ в зависимости от MAC-адреса их физического оборудования.
Хотя эти две функции отсеивают большинство пользователей, на самом деле ни сокрытие идентификатора SSID, ни фильтрация MAC-адресов не помешают умелому взломщику. Имена SSID легко обнаружить даже в том случае, если точки доступа не выполняют их широковещательную рассылку, а MAC-адреса можно подделать. Оптимальным способом защиты беспроводной сети является использование систем аутентификации и шифрования (см. рис. 1).
В исходном стандарте 802.11 представлено два типа аутентификации:
· Аутентификация открытой системы. Все беспроводные клиенты могут легко выполнить подключение, и такая система может использоваться только в тех случаях, когда безопасность не имеет особого значения (например, в местах, где предоставляется бесплатный доступ к Интернету — кафе, отели и удалённые расположения).
· Аутентификация согласованного ключа. Для аутентификации и шифрования данных, передаваемых между беспроводным клиентом и точкой доступа, предоставляет такие механизмы, как WEP, WPA или WPA2. Однако для подключения пароль необходимо предварительно согласовать между сторонами.
На схеме на рис. 2 представлены краткие сведения о различных типах аутентификации.
103 вопрос_______ При выборе или обновлении маршрутизатора на базе Cisco IOS важно выбрать правильный образ IOS с соответствующим набором функций и его версию. Файлы образов Cisco IOS именуются в соответствии со специальной схемой нумерации. Имя файла образа Cisco IOS состоит из нескольких частей, каждая из которых имеет определённое значение. Важно понимать этот стандарт присвоения имён при обновлении или выборе Cisco IOS.
Как показано на рис. 1, команда show flash показывает файлы, хранящиеся во флеш-памяти, включая образ системы.
Пример имени образа IOS 12.4 показан на рис. 2.
· Имя образа (c2800nm) определяет платформу, на которой работает образ. В данном примере платформой является маршрутизатор Cisco 2800 с сетевым модулем.
· advipservicesk9 определяет набор функций. В данном примере advipservicesk9 относится к технологическому пакету Advanced IP Services, который включает в себя как расширенные функции обеспечения безопасности, так и комплектации оператора связи с IPv6.
· mz указывает место запуска образа и сжат ли его файл. В данном примере mz означает, что файл запускается из ОЗУ и он сжат.
· 124-6.T формат имени файла для образа 12.4(6)Т. Это номер ветки, номер сборки и идентификатор ветки.
· bin — расширение файла. Данное расширение обозначает двоичный исполняемый файл.
На рис. 3 показано, из чего состоит название файла образа IOS 15 на устройстве ISR G2:
· Имя образа (c1900) определяет платформу, на которой работает образ. В данном примере платформой является маршрутизатор Cisco 1900.
· universalk9 определяет обозначение образа. Universalk9 и universalk9_npe — это обозначения для маршрутизатора ISR G2. Universalk9_npe не содержит надежное шифрование и предназначен для стран с ограничениями на шифрование. Функции контролируются лицензированием. Их можно разделить на четыре технологических пакета, среди которых: IP Base, Security, UC и Data.
· mz указывает место запуска образа и сжат ли его файл. В данном примере mz означает, что файл запускается из ОЗУ и он сжат.
· SPA обозначает, что файл имеет цифровую подпись Cisco.
· 152-4.М3 определяет формат имени файла для образа 15.2(4)М3. Это выпуск IOS, который включает в себя номера основного выпуска, дополнительного выпуска, выпуска исправлений сборки. M означает, что это выпуск с расширенной поддержкой.
· bin — расширение файла. Данное расширение обозначает двоичный исполняемый файл.
mz — это наиболее распространённое обозначение для формата участка памяти и сжатия. Первая буква, где маршрутизатор будет хранить образ во время работы. Возможные места:
· f — флеш-память
· m — ОЗУ
· r — ПЗУ
· l — переместимый
Образ может быть сжат либо в формате z (zip), либо x (mzip). Cisco использует сжатие в формате zip для уменьшения места, которое образы, исполняемые в оперативной памяти, занимают при хранении. Сжатые файлы являются самораспаковывающимися, так что после загрузки сжатого файла в ОЗУ сразу же начинается распаковка.
Примечание. Стандарты именования Cisco IOS, значения полей, содержимое образов и другие сведения могут быть изменены.
Требования к объёму памяти
На большинстве маршрутизаторов Cisco, в том числе маршрутизаторов с интегрированными службами, IOS хранится в компактной флеш-памяти в виде сжатого образа и загружается в динамическое ОЗУ во время загрузки. Образы выпуска Cisco IOS 15.0, доступные для маршрутизаторов Cisco 1900 и 2900, требуют 256 MБ флеш-памяти и 512 МБ ОЗУ. Маршрутизатор с интеграцией сервисов 3900 требует 256 МБ флеш-памяти и 1 ГБ ОЗУ. Сюда не входят дополнительные инструменты управления, например Cisco Configuration Professional (Cisco CP). Подробнее смотрите в инструкции по эксплуатации маршрутизатора.
118 вопрос _________ NAT для IPv6 используется в совсем другом контексте, нежели NAT для IPv4, как показано на рисунке. Разнообразные варианты NAT для IPv6 используются с целью предоставления прозрачного доступа между сетями, в которых используется только протокол IPv6, и сетями, в которых используется только протокол IPv4. NAT для IPv6 не применяется для преобразования частных IPv6-адресов в глобальные IPv6-адреса.
В идеале, IPv6 должен по возможности использоваться в чистом виде. То есть когда устройства IPv6 взаимодействуют друг с другом по сетям IPv6. Организация IETF разработала несколько методов перехода для различных сценариев перехода от IPv4 к IPv6, включая использование двойного стека, туннелирование и трансляция адресов.
Двойной стек применяется, когда устройства запускают набор протоколов и для IPv4, и для IPv6. Туннелирование для IPv6 — это процесс инкапсуляции пакетов IPv6 в пакеты IPv4. Данный метод позволяет передавать пакет IPv6 по сети, в которой используется только протокол IPv4.
NAT для IPv6 следует использовать не как долгосрочную стратегию, а лишь как временный механизм, помогающий перейти с IPv4 на IPv6. Со временем появилось несколько типов NAT для IPv6, включая NAT-PT (Network Address Translation-Protocol Translation, преобразование — преобразование протоколов). Организация IETF признала технологию NAT-PT устаревшей и порекомендовала использовать ее замену — NAT64. NAT64 не рассматривается в рамках настоящего учебного курса.
Дата добавления: 2015-09-10; просмотров: 83 | Поможем написать вашу работу | Нарушение авторских прав |