1. Configurarea inițială a routerului
Routerele Cisco rulează un sistem de operare IOS de înaltă performanță și bazat pe zero, amplasat în memorie nevolatilă (flash). Un model tipic al seriei 2500 are un port Ethernet conecteaza la hub-in sau comutatorul pe LAN prin AUI- transceiver> UTP și două porturi seriale pentru conectarea la canalele globale (Serial 0, Serial 1). Numele de interfață pot fi introduse ca Ethernet0 sau e 0. Dacă un catalizator modular macaz este indicat primul tip de interfață, apoi slotul și apoi portul.
De exemplu, cea de-a treia carte Ethernet și portul 2 de pe placă sunt indicate ca "e 3/2". În plus, există un port de consola pentru configurarea ruterului (inclus în portul serial al calculatorului) și un port AUX suplimentar pentru conectarea modemului. Configurarea routerului se poate face atât prin portul consolei, prin portul AUX, cât și printr-o sesiune telnet.
Traseul dinamic este un subiect destul de complex și va fi evidențiat pe void.ru într-un articol separat. Acum ajungem la o înțelegere a principiului de împărțire a subrețelelor în rețea, ceea ce este necesar pentru a organiza liste de acces prin subrețele conform departamentelor companiei.
Un alt exemplu. Există o mască a rețelei 255.255.224.0 și trebuie reprezentată în formă binară. Reamintind că există 255 de unități în sistemul binar, scriem 8 unități. 11111111 11111111. 00000000 Numărul 224 este descompus de model în următorii factori.
Prin urmare, prima subrețea, putem aloca secretariatului departamentului în care fiecare gazdă trebuie să aibă o mască de subrețea de 255.255.255.240. Când lucrați cu un router, trebuie să luați în considerare faptul că utilizarea unei subrețele nulă, cu masca 255.255.255.128 în RFC, nu este recomandată. dar puteți rezolva această problemă introducând comanda ip fără clasă în configurația routerului global.
3. Crearea listelor de acces (ACL)
Dacă aveți nevoie pentru a partaja accesul la departamente ale companiei, atunci puteți aplica masca de subrețea pentru a opera trafic pe rețeaua locală: scrie acces la contabilitate serverul 200.200.200.50 ar trebui să aibă doar departamentul de contabilitate (200.200.200.48 255.255.255.240) și conducerea companiei (200.200.200.224 255.255. 255.240). lista de acces 110 IP Permi 200.200.200.48 0.0.0.240 200.200.200.224 0.0.0.240 Dacă doriți să limitați traficul pe server înseamnă că aveți nevoie pentru a permite tot traficul IP de la rețeaua locală (folosind o listă de acces standard). lista de acces 10 permis 200.200.200.0 0.0.0.255 200.200.200.0 0.0.0.255 După ce ați terminat cu acces și o listă completă de acces-list Femeie Trebuie să le facă legarea la interfețele, în acest caz, Ethernet 0. Router # configure terminal Router (config) #int e0. Permitem accesul la serverul proxy Router (config) # access-group 120 in. Remediem trajicul de ieșire de la serverul proxy și din grupul de acces Router (config) # access 110. Permite tot traficul Router (config) # acces-grup local 10 in Router (config) #exit Router # wr sig După cum puteți vedea, vom specifica reguli de filtrare rula pe interfața E0 pentru toate pachetele primite.
4. Protecția accesului la router
Pentru aceasta, aveți nevoie de orice gazdă UNIX cu pachetul MRTG instalat pe acesta și creați un fișier de configurare utilizând programul cfgmaker. cfgmaker COMMUNITY_NAME @ name_your_router, în cazul în care SNMP COMMUNITY_NAME (Tolo în modul de citire), setați pe comanda router. Routet (config) # SNMP- server de comunitate COMMUNITY_NAME RO ca o gazdă UNIX, specificați procesarea fișier de configurare script arpacaș. Workdir: / usr / local / www / docs Interval: 5 Refresh: 60 WriteExpires: Da Context [router.victim.com.1]: # CFCFCF Opțiuni [router.victim.com.1]: biți, growright țintă [router. victim.com.1]: 1: [email protected] MaxBytes [router.victim.com.1]: 1250000 Titlu [router.victim.com.1]: router.victim.com. Ethernet0 PageTop [router.victim.com.1]: