Сборная стяжка из ацл


ТН-КРОВЛЯ Универсал | Система плоской крыши ТехноНИКОЛЬ

Описание системы: 

Особенностью данной системы является комплекс материалов, монтаж которых возможен при низких температурах, а также при попадании небольшого количества влаги в кровельный пирог в процессе монтажа.

В качестве пароизоляции по бетонному основанию применяется наплавляемый материал Биполь ЭПП. Материал надежно защищает кровельный пирог от насыщения паром, при этом устойчив к возможным механическим повреждениям в условиях монтажа.

Для устройства разуклонки (в т. ч. в ендовах) применяются клиновидные плиты из экструзионного пенополистирола ТЕХНОНИКОЛЬ CARBON PROF SLOPE. В качестве основания под кровлю применяется сборная стяжка из двух огрунтованных со всех сторон праймером хризотилцементных прессованных плоских листов толщиной 10 мм. Применение клиновидной теплоизоляции и сборной стяжки позволяет облегчить вес кровельной конструкции, сэкономить время на укладку всей системы, а также создать на кровле уклон и основание под кровлю без применения «мокрых» процессов и позволяет производить монтаж системы в любое время года.

В системе используется двухслойный «дышащий» битумно-полимерный кровельный ковер, который позволяет избежать образования вздутий на ее поверхности, за счет применения в качестве нижнего слоя специального материала Унифлекс ВЕНТ ЭПВ. Верхний слой из битумно-полимерного материала Техноэласт ПЛАМЯ СТОП наплавляется на нижний слой кровли.

Согласно заключению ФГБУ ВНИИПО МЧС России кровельная конструкция имеет класс пожарной опасности К0 (45) и в зависимости от параметров железобетонной плиты предел огнестойкости REI 30 - REI 90, что позволяет применять систему в качестве покрытий в зданиях и сооружениях любой степени огнестойкости и с любым классом конструктивной пожарной опасности.

Область применения

Систему ТН-КРОВЛЯ Универсал эффективно применяют при монтаже крыши в любое время года на объектах промышленного, гражданского, жилого и общественного назначения с несущими конструкциями из железобетона. Может применяться при капитальном ремонте крыши с заменой всех слоев изоляции.

Применение материала Техноэласт ПЛАМЯ СТОП с повышенными противопожарными характеристиками – РП1, В2 позволяет получить группу пожарной опасности кровли КП0 согласно таблице 5.2. СП 17.13330.2017 и применяться на крышах зданий большой площади без устройства противопожарных рассечек.

Гарантия на систему:

Гарантийный срок на водонепроницаемость системы ТН-КРОВЛЯ Универсал составляет 15 лет.

Гарантия на водонепроницаемость систем выдаётся при использовании всех слоев системы, указанных в техлисте, и в случае выполнения всех рекомендаций специалистов Службы Качества на этапе монтажа системы.

Производство работ:

Согласно «Руководству по проектированию и устройству кровель из битумно-полимерных материалов компании ТехноНИКОЛЬ», Москва, 2020 г. и СТО 72746455-4.1.1-2020 «Изоляционные системы ТехноНИКОЛЬ. Крыши с водоизоляционным ковром из рулонных битумно-полимерных и полимерных материалов. Материалы для проектирования и правила монтажа».

ТН-КРОВЛЯ Универсал

Давайте мы вам позвоним

Как вас зовут?

Поле обязательно для заполнения

Номер телефона

Поле обязательно для заполнения

Удобное время

Сейчас

Жду звонка

Время работы нашей компании пн.-пт.: 9:00 - 18:00; сб.,вс.: выходной. Если вы оставили заявку в другое время, она будет обработана в начале следующего рабочего дня.

Ваша заявка отправлена.
Мы свяжемся с вами в ближайшее время.

ТН-КРОВЛЯ Универсал КМС | Система плоской крыши ТехноНИКОЛЬ

Описание системы: 

Особенностью данной системы является возможность ее монтажа даже при температуре до минус 15 °С, а также при попадании небольшого количества влаги в кровельный пирог в процессе монтажа.

В качестве пароизоляции по бетонному основанию применяется наплавляемый материал Биполь ЭПП. Материал надежно защищает кровельный пирог от насыщения паром, при этом устойчив к возможным механическим повреждениям в условиях монтажа.

В качестве теплоизоляционного слоя используется экструзионный пенополистирол ТЕХНОНИКОЛЬ CARBON ECO, отличающийся низким водопоглощением и высокой прочностью на сжатие.

Для устройства разуклонки (в т.ч. в ендовах) применяются клиновидные плиты из экструзионного пенополистирола ТЕХНОНИКОЛЬ CARBON PROF SLOPE, использование которых способно облегчить вес кровельной конструкции, сэкономить время на укладку всей системы, а также создать на кровле уклон без применения «мокрых» процессов, что очень важно в условиях низких температур. Применение в системе сборной стяжки из двух листов АЦЛ позволяет производить монтаж системы практически в любое время года.

В системе используется двухслойный «дышащий» битумно-полимерный кровельный ковер, который позволяет избежать образования вздутий на ее поверхности за счет применения в качестве нижнего слоя специального материала Унифлекс ВЕНТ ЭПВ.

Согласно заключению ФГБУ ВНИИПО МЧС России кровельная конструкция имеет класс пожарной опасности К0 (45) и в зависимости от параметров железобетонной плиты предел огнестойкости REI 30 - REI 90, что позволяет применять систему в качестве покрытий в зданиях и сооружениях любой степени огнестойкости и с любым классом конструктивной пожарной опасности.

Область применения:

Систему ТН-КРОВЛЯ Универсал КМС эффективно применяют при монтаже крыши в любое время года на объектах жилого и общественного назначения с несущими конструкциями из железобетона.

Производство работ:

Согласно СТО 72746455-4.7.2-2016 «Строительные системы ТЕХНОНИКОЛЬ для коттеджного и малоэтажного строительства».

Как правильно выполнить стяжку на кровле

В основном, наплавляемая плоская кровля требует устройства цементно-песчаных стяжек перед укладкой рулонной гидроизоляции.

Если всё сделать правильно, такая кровля простоит без ремонта десятки лет, а когда наступит это самое время, можно запросто перекрыть крышу сверху, одним слоем добротного материала, такого как например Филизол Супер ТКП-5.5 либо Рубитэкс ТКП-6.0 и еще на десятки лет забыть о ремонте.

Но вернемся к стяжке

 

 

Для обустройства кровельной цементно-песчаной стяжки нам понадобятся:

полиэтиленовая пленка;

сварная сетка ВР;

маяки и доски;

раствор или сухая смесь;

правило и бетономешалка;

лопаты и мастерки;

керамзит и цемент в мешках:

лопастная затирочная машина;

 

готовое основание под заливку (разуклонка выполнена утеплителем)

 

Как выполнять устройство кровельной цементно-песчаной стяжки

После монтажа кровельной теплоизоляции постелите полиэтиленовую пленку внахлест.

Затем, разбейте кровлю, натянув шнурку в уклоны к воронкам водостока, захватками не более чем на 500м2 на одну воронку.

Потом, поднимите на крышу керамзит и по выставленной шнурке создавайте из него (разуклонку). Чтобы керамзит не ссыпался пролейте его приготовленным в бетономешалке цементным молочком.

После формирования уклонов заармируйте крышу арматурной сеткой ВР, карты которой уложите внахлест и свяжите проволкой. И ставьте, маяки для чего можно использовать профильные трубы, либо доски.

Если здание имеет вертикальные деформационные швы в этих местах обязательно установите доски для рассечки стяжки. По завершению подготовки приступайте к заливке стяжки раствором.

Раствор в больших объемах подавайте бетононасосом или бадьей для бетона (колокольчиком), а если размеры стяжки небольшие – можете справится обычной бетономешалкой и сухой смесью в мешках.

Стяжку заливайте полосками, через одну, растаскивая свежий раствор правилом. По завершении заливки, в моменте твердения раствора, пройдите поверхность лопастной затирочной машиной для придания её ровности. Укладку рулонной кровли можно будет производить только после полного высыхания стяжки.

 

Важно: Не выполняйте глянцевание и железнение кровельной цементно-песчаной стяжки – она должна хорошо впитывать битумный праймер!

 

Если по каким-то причинам для Вас устройство стяжки на кровле представляет сложность – обратитесь к специалистам и у Вас будет всё хорошо.

 

 

 

Материал подготовлен аналитическим отделом ГК Гранд-Стейл


Дата: 19.12.2018 1580

Написать сообщение

ТН-КРОВЛЯ Универсал КМС

Давайте мы вам позвоним

Как вас зовут?

Поле обязательно для заполнения

Номер телефона

Поле обязательно для заполнения

Удобное время

Сейчас

Жду звонка

Время работы нашей компании пн.-пт.: 9:00 - 18:00; сб.,вс.: выходной. Если вы оставили заявку в другое время, она будет обработана в начале следующего рабочего дня.

Ваша заявка отправлена.
Мы свяжемся с вами в ближайшее время.

Шиферная кровля из асбестоцементных листов

Конструкция плоской кровли из плоских прессованных асбест хризотиловых листов

Является альтернативой типовой конструкции кровли с уклонообразующей стяжкой по бетонному основанию и верхней выравнивающей стяжкой по утеплителю. Данный тип конструкции предлагает замену верхней стяжки из цементно-песчаного раствора на сборный вариант, без применения мокрого процесса по утеплителю. Для герметизации швов между листами сборной стяжки, места примыкания фасонных элементов из кровельной оцинкованной стали заполняют однокомпонентными полиуретановыми или тиоколовыми герметиками. В качестве покрытия применяются рулонные, мастичные материалы, полимерные мембраны. Предпочтительно применять при уклонах до 3 %. К основанию из цементно-песчаной стяжки, а также между собой теплоизоляционные минераловатные плиты точечно приклеивают горячим битумом строительных марок. В местах стыка асбестовые листы прижимают планками - фасонными элементами, которые крепят к железобетонному основанию стальными шурупами по бетону. В средней части листа крепление выполняют стальными шурупами по бетону в комплекте с металлической прижимной пластиной. Количество крепежных элементов на 1 м2 поверхности асбестового листа определяют расчетом, исходя из конкретных условий строительства и т.д. Расстояние между осями крепежных элементов: при креплении по краю листов - не менее 120 мм, в середине стыка листов - не более 610 мм.

Поз. Наименование
1 Кровельный ковер
2 Сборная стяжка из плоского прессованного хризотилцементного листа
3 Воздушная прослойка
4,5 Утеплитель (два слоя)
6 Пароизоляция
7 Уклонообразующая стяжка
8 Железобетонная плита перекрытия
9 Крепежный элемент
10 Герметик (рабберфлекс, соудасил 240 ФС, сазиласт 10
11 Полоса из асбестового листа прессованного толщиной 10 мм
12 Полоса из рулонного материала с посыпкой шириной 150 мм
13 Фасонный элемент ФЭ 3 (ФЭ 3.1, ФЭ 3.2) -прижимная планка
Прайс-лист на асбестовый шифер

Конструкция плоской кровли из листа асбоцементного плоского

Конструкция представляет собой прослойку из слоя листа плоского окрашенного в качестве выравнивающей основы под устройство покрытия по профилированному листу с утеплителем группы горючести НГ. Применяется в малоуклонных рулонных кровлях с основанием из профилированного листа для предотвращения проседания нижнего слоя утеплителя. К профилированному листу плиты утеплителя закрепляют при помощи «телескопического» крепежа, состоящего из пластикового прижимного диска, либо металлической пластины и стального самосверлящего шурупа с защищающим от коррозии покрытием. Крепление - в верхнюю часть полуволны профлиста. Количество крепежных элементов определяется расчетом, исходя из конкретных условий строительства, но не менее 2 штук на плиту или часть плиты утеплителя. Материал для пароизоляции определяется с учетом климатических условий и температурно-влажностного режима.

Поз. Наименование
1. Крепежный элемент (шуруп)
2. Рулонный материал
3,4 Утеплитель (два слоя)
5 Пароизоляция
6 Сборная стяжка из листа асбестоцементнгго лпп прессованного
7 Профилированный стальной лист
Сколько стоит плоский шифер

Конструкция плоской кровли из асбоцементных листов плоских прессованных (устройство кровли из асбестоцементных листов)

Конструкция кровли с уклонообразующим слоем из керамзитового гравия (объемным весом до 600 кг/ м³ ГОСТ 9757-90) по утеплителю и сборной стяжки из асбоцементного листа плоского - альтернатива типовой конструкции кровли с уклонообразующей стяжкой по бетонному основанию и верхней выравнивающей стяжкой по утеплителю. В качестве покрытия применяются рулонные, мастичные материалы, полимерные мембраны. Предпочтительно применять при уклонах до 3 %. В местах стыка асбоцементные листы прижимают планками - фасонными элементами, которые крепят к железобетонному основанию стальными шурупами по бетону. В средней части листа крепление выполняют стальными шурупами по бетону в комплекте с металлической прижимной пластиной. Количество крепежных элементов на 1 м² поверхности плоского асбоцементного листа определяют расчетом, исходя из конкретных условий строительства и т.д. Расстояние между осями крепежных элементов: при креплении по краю листов - не менее 120 мм, в середине стыка листов - не более 610 мм.

Поз. Наименование
1 Асбоцементный лист
2 Сборная стяжка из плоского прессованного листа асбоцементного лп п
3 Воздушная прослойка
4 Уклонообразующая засыпка из керамзито­вого гравия
5,6 Утеплитель (два слоя)
7 Пароизоляция
8 Выравнивающая стяжка из цементно-песчаного раствора марки не менее Ml00
9 Железобетонная плита перекрытия
10 Крепежный элемент
Купить асбестовый лист

Возврат к списку

списков управления доступом и IP-фрагментов

В этом техническом документе объясняются различные виды записей списка управления доступом (ACL) и то, что происходит, когда разные типы пакетов встречаются с этими различными записями. ACL используются для блокировки пересылки IP-пакетов маршрутизатором.

RFC 1858 рассматривает вопросы безопасности для фильтрации IP-фрагментов и выделяет две атаки на хосты, которые включают IP-фрагменты TCP-пакетов, атаку крошечного фрагмента и атаку перекрывающегося фрагмента.Блокирование этих атак желательно, потому что они могут скомпрометировать хост или заблокировать все его внутренние ресурсы.

RFC 1858 также описывает два метода защиты от этих атак: прямой и косвенный. В прямом методе отбрасываются исходные фрагменты, длина которых меньше минимальной. Косвенный метод включает отбрасывание второго фрагмента набора фрагментов, если он начинается с 8 байтов исходной IP-дейтаграммы. Пожалуйста, см. RFC 1858 для более подробной информации.

Традиционно фильтры пакетов, такие как списки ACL, применяются к нефрагментам и начальному фрагменту IP-пакета, поскольку они содержат информацию уровня 3 и 4, с которой списки управления доступом могут сопоставить для принятия решения о разрешении или отказе.Ненначальные фрагменты традиционно разрешаются через ACL, поскольку они могут быть заблокированы на основе информации уровня 3 в пакетах; однако, поскольку эти пакеты не содержат информацию уровня 4, они не соответствуют информации уровня 4 в записи ACL, если она существует. Разрешение передачи не начальных фрагментов IP-дейтаграммы допустимо, поскольку хост, получающий фрагменты, не может повторно собрать исходную IP-дейтаграмму без начального фрагмента.

Брандмауэры

также могут использоваться для блокировки пакетов путем ведения таблицы фрагментов пакетов, проиндексированных по IP-адресу источника и получателя, протоколу и IP-идентификатору.И межсетевой экран Cisco PIX, и межсетевой экран Cisco IOS ® могут фильтровать все фрагменты определенного потока, поддерживая эту таблицу информации, но делать это на маршрутизаторе для основных функций ACL слишком дорого. Основная задача брандмауэра - блокировать пакеты, а его вторичная роль - маршрутизировать пакеты; Основная задача маршрутизатора - маршрутизировать пакеты, а второстепенная роль - их блокировать.

Два изменения были внесены в программное обеспечение Cisco IOS Release 12.1 (2) и 12.0 (11) для решения некоторых проблем безопасности, связанных с фрагментами TCP. Косвенный метод, описанный в RFC 1858, был реализован как часть стандартной проверки корректности входных пакетов TCP / IP. Также были внесены изменения в функциональность ACL в отношении не начальных фрагментов.

Существует шесть различных типов строк ACL, каждая из которых имеет последствия, соответствует ли пакет или нет. В следующем списке FO = 0 указывает на не фрагмент или начальный фрагмент в потоке TCP, FO> 0 указывает, что пакет не является начальным фрагментом, L3 означает уровень 3, а L4 означает уровень 4.

Примечание: Если в строке ACL есть информация и уровня 3, и уровня 4 и присутствует ключевое слово fragments , действие ACL является консервативным как для разрешающих, так и для запрещающих действий. Действия консервативны, потому что вы не хотите случайно отклонить фрагментированную часть потока, потому что фрагменты не содержат достаточной информации для соответствия всем атрибутам фильтра. В случае отказа вместо запрета не начального фрагмента обрабатывается следующая запись ACL.В случае разрешения предполагается, что информация уровня 4 в пакете, если таковая имеется, совпадает с информацией уровня 4 в строке ACL.

Разрешить строку ACL только с информацией L3
  1. Если информация L3 пакета совпадает с информацией L3 в строке ACL, это разрешено.

  2. Если информация L3 пакета не совпадает с информацией L3 в строке ACL, обрабатывается следующая запись ACL.

Запретить линию ACL только с информацией о L3
  1. Если информация L3 пакета совпадает с информацией L3 в строке ACL, это отклоняется.

  2. Если информация L3 пакета не совпадает с информацией L3 в строке ACL, обрабатывается следующая запись ACL.

Разрешить строку ACL только с информацией L3, и ключевое слово фрагментов присутствует

Если информация L3 пакета совпадает с информацией L3 в строке ACL, проверяется смещение фрагмента пакета.

  1. Если FO пакета> 0, пакет разрешен.

  2. Если FO пакета = 0, обрабатывается следующая запись ACL.

Запретить строку ACL только с информацией L3, и ключевое слово фрагментов присутствует

Если информация L3 пакета совпадает с информацией L3 в строке ACL, проверяется смещение фрагмента пакета.

  1. Если FO пакета> 0, пакет отклоняется.

  2. Если FO пакета = 0, обрабатывается следующая строка ACL.

Разрешить строку ACL с информацией L3 и L4
  1. Если информация о L3 и L4 пакета совпадает со строкой ACL и FO = 0, пакет разрешен.

  2. Если информация L3 пакета совпадает со строкой ACL и FO> 0, пакет разрешен.

Запретить линию ACL с информацией L3 и L4
  1. Если информация о L3 и L4 пакета совпадает с записью ACL и FO = 0, пакет отклоняется.

  2. Если информация L3 пакета совпадает со строкой ACL и FO> 0, обрабатывается следующая запись ACL.

Следующая блок-схема иллюстрирует правила ACL, когда нефрагменты, начальные фрагменты и не начальные фрагменты проверяются по ACL.

Примечание: Сами по себе не начальные фрагменты содержат информацию только уровня 3, но никогда не содержат информацию уровня 4, хотя ACL может содержать информацию как уровня 3, так и уровня 4.

Пример 1

Следующие пять возможных сценариев включают различные типы пакетов, встречающих ACL 100. Пожалуйста, обратитесь к таблице и блок-схеме, чтобы понять, что происходит в каждой ситуации. IP-адрес веб-сервера - 171.16.23.1.

  список доступа 100 разрешает TCP любой хост 171.16,23,1 экв 80 список доступа 100 запретить ip любой любой  
Пакет является начальным фрагментом или нефрагментом, предназначенным для сервера на порту 80:

Первая строка ACL содержит информацию как уровня 3, так и уровня 4, которая совпадает с информацией уровня 3 и уровня 4 в пакете, поэтому пакет разрешен.

Пакет является начальным фрагментом или нефрагментом, предназначенным для сервера на порту 21:
  1. Первая строка ACL содержит информацию как уровня 3, так и уровня 4, но информация уровня 4 в ACL не соответствует пакету, поэтому обрабатывается следующая строка ACL.

  2. Вторая строка ACL отклоняет все пакеты, поэтому пакет отклоняется.

Пакет не является начальным фрагментом для сервера в потоке порта 80:

Первая строка ACL содержит информацию уровня 3 и уровня 4, информация уровня 3 в ACL соответствует пакету, и действие ACL должно разрешить, поэтому пакет разрешен.

Пакет не является начальным фрагментом для сервера в потоке порта 21:

Первая строка ACL содержит информацию как уровня 3, так и уровня 4.Информация уровня 3 в ACL соответствует пакету, в пакете нет информации уровня 4, и действие ACL должно разрешить, поэтому пакет разрешен.

Пакет является начальным фрагментом, нефрагментом или начальным фрагментом для другого хоста в подсети сервера:
  1. Первая строка ACL содержит информацию уровня 3, которая не совпадает с информацией уровня 3 в пакете (адрес назначения), поэтому обрабатывается следующая строка ACL.

  2. Вторая строка ACL отклоняет все пакеты, поэтому пакет отклоняется.

Пример 2

Следующие пять возможных сценариев включают разные типы пакетов, встречающих ACL 101. Снова, пожалуйста, обратитесь к таблице и блок-схеме, чтобы понять, что происходит в каждой ситуации. IP-адрес веб-сервера - 171.16.23.1.

  список доступа 101 запретить IP любой хост 171.16.23.1 фрагменты список доступа 101 разрешает TCP любой хост 171.16,23,1 экв 80 список доступа 101 запретить ip любой  
Пакет является начальным фрагментом или нефрагментом, предназначенным для сервера на порту 80:
  1. Первая строка ACL содержит информацию уровня 3, которая соответствует информации уровня 3 в пакете. Действие ACL - запретить, но поскольку присутствует ключевое слово fragments , обрабатывается следующая запись ACL.

  2. Вторая строка ACL содержит информацию Уровня 3 и Уровня 4, которая соответствует пакету, поэтому пакет разрешен.

Пакет является начальным фрагментом или нефрагментом, предназначенным для сервера на порту 21:
  1. Первая строка ACL содержит информацию уровня 3, которая соответствует пакету, но запись ACL также содержит ключевое слово fragments , которое не соответствует пакету, потому что FO = 0, поэтому обрабатывается следующая запись ACL .

  2. Вторая строка ACL содержит информацию уровня 3 и уровня 4. В этом случае информация уровня 4 не совпадает, поэтому обрабатывается следующая запись ACL.

  3. Третья строка ACL отклоняет все пакеты, поэтому пакет отклоняется

Пакет не является начальным фрагментом для сервера в потоке порта 80:

Первая строка ACL содержит информацию уровня 3, которая соответствует информации уровня 3 в пакете. Помните, что даже если это часть потока порта 80, в не начальном фрагменте нет информации уровня 4. Пакет отклонен, поскольку информация уровня 3 совпадает.

Пакет не является начальным фрагментом для сервера в потоке порта 21:

Первая строка ACL содержит информацию только уровня 3 и соответствует пакету, поэтому пакет отклоняется.

Пакет является начальным фрагментом, нефрагментом или начальным фрагментом для другого хоста в подсети сервера:
  1. Первая строка ACL содержит только информацию уровня 3 и не соответствует пакету, поэтому обрабатывается следующая строка ACL.

  2. Вторая строка ACL содержит информацию уровня 3 и уровня 4. Информация уровня 4 и уровня 3 в пакете не совпадает с информацией ACL, поэтому обрабатывается следующая строка ACL.

  3. Третья строка ACL отклоняет этот пакет

Сценарий 1

Маршрутизатор B подключается к веб-серверу, и сетевой администратор не хочет, чтобы какие-либо фрагменты достигали сервера. Этот сценарий показывает, что произойдет, если сетевой администратор реализует ACL 100 вместо ACL 101.ACL применяется для входящего трафика на интерфейсе Serial0 (s0) маршрутизатора и должен позволять только нефрагментированным пакетам достигать веб-сервера. Просматривая блок-схему правил ACL и разделы «Как пакеты могут соответствовать списку ACL», вы будете следовать сценарию.

Последствия использования фрагментов Ключевое слово

Следующий ACL 100:

  список доступа 100 разрешить tcp любой хост 171.16.23.1 экв 80 список доступа 100 запретить ip любой любой  

Первая строка ACL 100 разрешает только HTTP к серверу, но также разрешает не начальные фрагменты к любому TCP-порту на сервере.Он разрешает эти пакеты, потому что не начальные фрагменты не содержат информацию уровня 4, и логика ACL предполагает, что если информация уровня 3 совпадает, то информация уровня 4 также будет совпадать, если она была доступна. Вторая строка неявна и запрещает весь другой трафик.

Важно отметить, что, начиная с версий программного обеспечения Cisco IOS 12.1 (2) и 12.0 (11), новый код ACL отбрасывает фрагменты, которые не соответствуют какой-либо другой строке в ACL. Более ранние выпуски допускают прохождение не исходных фрагментов, если они не соответствуют какой-либо другой строке ACL.

Следующий ACL 101:

  список доступа 101 запретить IP любой хост 171.16.23.1 фрагменты список доступа 101 разрешить tcp любой хост 171.16.23.1 экв 80 список доступа 101 запретить ip любой  

ACL 101 не позволяет передавать на сервер не начальные фрагменты из-за первой строки. Не начальный фрагмент для сервера отклоняется, когда он встречает первую строку ACL, потому что информация уровня 3 в пакете совпадает с информацией уровня 3 в строке ACL.

Начальные или нефрагменты для порта 80 на сервере также соответствуют первой строке ACL для информации уровня 3, но поскольку присутствует ключевое слово fragments, обрабатывается следующая запись ACL (вторая строка). Вторая строка ACL разрешает начальные или нефрагменты, потому что они соответствуют строке ACL для информации уровня 3 и уровня 4.

Не начальные фрагменты, предназначенные для TCP-портов других хостов в сети 171.16.23.0, блокируются этим ACL. Информация уровня 3 в этих пакетах не соответствует информации уровня 3 в первой строке ACL, поэтому обрабатывается следующая строка ACL.Информация уровня 3 в этих пакетах также не соответствует информации уровня 3 во второй строке ACL, поэтому обрабатывается третья строка ACL. Третья строка является неявной и запрещает весь трафик.

Сетевой администратор в этом сценарии решает внедрить ACL 101, потому что он разрешает только нефрагментированные HTTP-потоки на сервер.

Сценарий 2

У клиента есть подключение к Интернету на двух разных сайтах, а также между этими двумя сайтами существует бэкдорное соединение.Политика сетевого администратора заключается в том, чтобы разрешить группе A на сайте 1 доступ к HTTP-серверу на сайте 2. Маршрутизаторы на обоих сайтах используют частные адреса (RFC 1918) и преобразование сетевых адресов (NAT) для преобразования пакетов, маршрутизируемых через Интернет. .

Сетевой администратор на сайте 1 выполняет маршрутизацию на основе политик частных адресов, назначенных группе A, так что они используют бэкдор через Serial0 (s0) маршрутизатора A при доступе к HTTP-серверу на сайте 2. Маршрутизатор на сайте 2 имеет статический маршрут. к 172.16.10.0, так что обратный трафик в группу A также направляется через бэкдор. Весь остальной трафик обрабатывается NAT и маршрутизируется через Интернет. Сетевой администратор в этом сценарии должен решить, какое приложение или поток будет работать, если пакеты фрагментированы. Невозможно заставить оба потока HTTP и протокол передачи файлов (FTP) работать одновременно, потому что один или другой не работают.

См. Блок-схему правил ACL и разделы «Как пакеты могут соответствовать списку ACL» по мере выполнения сценария.

Пояснение к параметрам сетевого администратора

В следующем примере карта маршрутов с именем FOO на маршрутизаторе A отправляет пакеты, соответствующие ACL 100, маршрутизатору B через s0. Все пакеты, которые не совпадают, обрабатываются NAT и выбирают маршрут по умолчанию через Интернет.

Примечание: Если пакет выпадает из нижней части ACL или отклоняется им, то он не маршрутизируется по политике.

Ниже представлена ​​частичная конфигурация маршрутизатора A, показывающая, что карта маршрутов политики под названием FOO применяется к интерфейсу e0, через который трафик из группы A входит в маршрутизатор:

  имя хоста Router_A int e0 ip policy route-map FOO маршрут-карта FOO разрешение 10 сопоставить IP-адрес 100 установить ip next-hop 10.1.1.2 список доступа 100 разрешение tcp 172.16.10.0 0.0.0.255 хост 192.168.10.1 экв 80 список доступа 100 запретить ip любой любой  

ACL 100 разрешает маршрутизацию на основе политики как для начальных, так и для нефрагментированных и не начальных фрагментов HTTP-потоков к серверу. Начальные и нефрагменты HTTP-потоков к серверу разрешены ACL и политикой маршрутизации, потому что они совпадают с информацией уровня 3 и уровня 4 в первой строке ACL. Не начальные фрагменты разрешены ACL и политикой маршрутизации, потому что информация уровня 3 в пакете также совпадает с первой строкой ACL; логика ACL предполагает, что информация уровня 4 в пакете также соответствовала бы, если бы она была доступна.

Примечание. ACL 100 прерывает другие типы фрагментированных потоков TCP между Группой A и сервером, потому что начальные и не начальные фрагменты попадают на сервер по разным путям; начальные фрагменты обрабатываются NAT и маршрутизируются через Интернет, но не начальные фрагменты того же потока маршрутизируются политикой.

Фрагментированный поток FTP помогает проиллюстрировать проблему в этом сценарии. Начальные фрагменты потока FTP соответствуют информации уровня 3, но не информации уровня 4 первой строки ACL, и впоследствии они отклоняются второй строкой.Эти пакеты обрабатываются NAT и маршрутизируются через Интернет.

Ненначальные фрагменты потока FTP соответствуют информации уровня 3 в первой строке ACL, и логика ACL предполагает положительное совпадение информации уровня 4. Эти пакеты маршрутизируются политикой, и хост, повторно собирающий эти пакеты, не распознает начальные фрагменты как часть того же потока, что и не начальные фрагменты, маршрутизируемые политикой, потому что NAT изменил адрес источника начальных фрагментов.

ACL 100 в приведенной ниже конфигурации устраняет проблему с FTP.Первая строка ACL 100 запрещает серверу как начальные, так и не начальные фрагменты FTP из группы A.

  имя хоста Router_A int e0 ip policy route-map FOO маршрут-карта FOO разрешение 10 сопоставить IP-адрес 100 установить ip next-hop 10.1.1.2 список доступа 100 запретить tcp 172.16.10.0 0.0.0.255 хост 192.168.10.1 фрагменты список доступа 100 разрешение tcp 172.16.10.0 0.0.0.255 хост 192.168.10.1 экв 80 список доступа 100 запретить ip любой любой  

Исходные фрагменты совпадают с информацией уровня 3 в первой строке ACL, но наличие ключевого слова fragments вызывает обработку следующей строки ACL.Начальный фрагмент не соответствует второй строке ACL для информации уровня 4, поэтому обрабатывается следующая неявная строка ACL, которая отклоняет пакет. Не начальные фрагменты соответствуют информации уровня 3 в первой строке ACL, поэтому они отклоняются. И начальные, и не начальные фрагменты обрабатываются NAT и маршрутизируются через Интернет, поэтому у сервера нет проблем с повторной сборкой.

Исправление потоков FTP прерывает фрагментированные потоки HTTP, поскольку начальные фрагменты HTTP теперь маршрутизируются политикой, а не начальные фрагменты обрабатываются NAT и маршрутизируются через Интернет.

Когда начальный фрагмент HTTP-потока из группы A на сервер встречает первую строку ACL, он совпадает с информацией уровня 3 в ACL, но из-за ключевого слова fragments следующая строка ACL обработанный. Вторая строка ACL разрешает и направляет пакет на сервер.

Когда нестандартные HTTP-фрагменты, адресованные из группы A серверу, встречаются с первой строкой ACL, информация уровня 3 в пакете совпадает со строкой ACL, и пакет отклоняется.Эти пакеты обрабатываются NAT и проходят через Интернет, чтобы попасть на сервер.

Первый ACL в этом сценарии разрешает фрагментированные потоки HTTP и прерывает фрагментированные потоки FTP. Второй ACL разрешает фрагментированные потоки FTP и прерывает фрагментированные потоки HTTP. Потоки TCP прерываются в каждом случае, потому что исходные и не начальные фрагменты идут к серверу разными путями. Повторная сборка невозможна, потому что NAT изменил адрес источника не начальных фрагментов.

Невозможно создать ACL, который разрешает оба вида фрагментированных потоков на сервер, поэтому администратор сети должен выбрать, с каким потоком он хочет работать.

.

Страница не найдена

Документы

Моя библиотека

раз
    • Моя библиотека
    ""

    ×

    ×

    Настройки файлов cookie .

    Защита ядра: списки контроля доступа для защиты инфраструктуры

    В этом документе представлены рекомендации и рекомендуемые методы развертывания списков управления доступом (ACL) для защиты инфраструктуры. Инфраструктурные ACL используются для минимизации риска и эффективности прямой атаки на инфраструктуру, явно разрешая только авторизованный трафик к оборудованию инфраструктуры, одновременно разрешая весь другой транзитный трафик.

    Фон

    В целях защиты маршрутизаторов от различных рисков - как случайных, так и злонамеренных - списки управления доступом для защиты инфраструктуры должны быть развернуты в точках входа в сеть.Эти списки ACL IPv4 и IPv6 запрещают доступ из внешних источников ко всем адресам инфраструктуры, таким как интерфейсы маршрутизаторов. В то же время списки ACL позволяют непрерывному потоку обычного транзитного трафика и обеспечивают базовую фильтрацию RFC 1918, RFC 3330 и защиту от спуфинга.

    Данные, полученные маршрутизатором, можно разделить на две большие категории:

    При нормальной работе подавляющее большинство трафика просто проходит через маршрутизатор по пути к его конечному пункту назначения.

    Однако процессор маршрутизации (RP) должен обрабатывать определенные типы данных напрямую, в первую очередь протоколы маршрутизации, удаленный доступ к маршрутизатору (например, Secure Shell [SSH]) и трафик управления сетью, такой как Simple Network Management Protocol (SNMP).Кроме того, такие протоколы, как протокол управляющих сообщений Интернета (ICMP) и параметры IP, могут потребовать прямой обработки RP. Чаще всего прямой доступ к инфраструктуре маршрутизатора требуется только из внутренних источников. Несколько примечательных исключений включают пиринг по протоколу внешнего пограничного шлюза (BGP), протоколы, которые завершаются на фактическом маршрутизаторе (например, общая инкапсуляция маршрутизации [GRE] или IPv6 через туннели IPv4), и потенциально ограниченные пакеты ICMP для тестирования подключения, такие как эхо-запрос. или сообщения о недостижимости ICMP и истечении срока жизни (TTL) для traceroute.

    Примечание: Помните, что ICMP часто используется для простых атак типа «отказ в обслуживании» (DoS) и должен разрешаться только из внешних источников при необходимости.

    У всех RP есть диапазон производительности, в котором они работают. Избыточный трафик, предназначенный для RP, может перегрузить маршрутизатор. Это приводит к высокой загрузке ЦП и, в конечном итоге, к отбрасыванию пакетов и протоколов маршрутизации, что вызывает отказ в обслуживании. За счет фильтрации доступа к маршрутизаторам инфраструктуры из внешних источников можно снизить многие внешние риски, связанные с прямой атакой на маршрутизатор.Атаки из внешних источников больше не могут получить доступ к инфраструктурному оборудованию. Атака сбрасывается на входящие интерфейсы в автономную систему (AS).

    Методы фильтрации, описанные в этом документе, предназначены для фильтрации данных, предназначенных для оборудования сетевой инфраструктуры. Не путайте фильтрацию инфраструктуры с общей фильтрацией. Единственная цель ACL для защиты инфраструктуры - ограничить на детальном уровне, какие протоколы и источники могут получить доступ к критически важному оборудованию инфраструктуры.

    Оборудование сетевой инфраструктуры включает следующие области:

    • Все адреса управления маршрутизаторами и коммутаторами, включая интерфейсы обратной связи

    • Все внутренние адреса каналов: каналы между маршрутизаторами (точка-точка и множественный доступ)

    • Внутренние серверы или службы, к которым нельзя обращаться из внешних источников

    В этом документе весь трафик, не предназначенный для инфраструктуры, часто называется транзитным трафиком.

    Методы

    Защита инфраструктуры может быть достигнута с помощью различных методов:

    • ACL приема (rACL)

      Платформы Cisco 12000 и 7500 поддерживают rACL, которые фильтруют весь трафик, предназначенный для RP, и не влияют на транзитный трафик. Авторизованный трафик должен быть явно разрешен, а rACL должен быть развернут на каждом маршрутизаторе. Обратитесь к GSR: получение списков контроля доступа для получения дополнительной информации.

    • Пошаговые списки контроля доступа маршрутизатора

      Маршрутизаторы также могут быть защищены путем определения списков контроля доступа, которые разрешают только авторизованный трафик на интерфейсы маршрутизатора, запрещая все остальные, кроме транзитного трафика, который должен быть разрешен явно.Этот ACL логически похож на rACL, но влияет на транзитный трафик и, следовательно, может отрицательно сказаться на производительности на скорости пересылки маршрутизатора.

    • Пограничная фильтрация через инфраструктурные ACL

      ACL могут быть применены к краю сети. В случае поставщика услуг (SP) это край AS. Этот ACL явно фильтрует трафик, предназначенный для адресного пространства инфраструктуры. Развертывание списков ACL пограничной инфраструктуры требует, чтобы вы четко определили пространство своей инфраструктуры и требуемые / авторизованные протоколы, которые обращаются к этому пространству.ACL применяется при входе в вашу сеть для всех внешних подключений, таких как пиринговые подключения, подключения клиентов и т. Д.

      Этот документ посвящен разработке и развертыванию списков контроля доступа для защиты пограничной инфраструктуры.

    Эти списки доступа IPv4 и IPv6 предоставляют простые, но реалистичные примеры типичных записей, необходимых в защитном ACL. Эти базовые списки ACL необходимо настроить с учетом деталей конфигурации для конкретного сайта.В средах с двойным IPv4 и IPv6 развернуты оба списка доступа.

    Пример IPv4

      ! --- Здесь показаны записи антиспуфинга.   ! --- Запретить источники адресов специального использования. ! --- Обратитесь к RFC 3330 за дополнительными адресами для специального использования.  список доступа 110 запретить IP-хост 0.0.0.0 любой список доступа 110 запретить ip 127.0.0.0 0.255.255.255 любой список доступа 110 запретить ip 192.0.2.0 0.0.0.255 любой список доступа 110 запретить IP 224.0.0.0 31.255.255.255 любая  ! --- Отфильтровать пространство RFC 1918.  список доступа 110 запретить ip 10.0.0.0 0.255.255.255 любой список доступа 110 запретить ip 172.16.0.0 0.15.255.255 любой список доступа 110 запретить ip 192.168.0.0 0.0.255.255 любой  ! --- Запретите вашему пространству как источнику входить в вашу AS. ! --- Развертывать только на границе AS.  список доступа 110 запретить IP YOUR_CIDR_BLOCK любой  ! --- Разрешить BGP.  список доступа 110 разрешить хост tcp bgp_peer host router_ip eq bgp список доступа 110 разрешить хост tcp bgp_peer eq bgp host router_ip  ! --- Запретить доступ к адресам внутренней инфраструктуры. список доступа 110 запретить IP любой ВНУТРЕННИЙ_ИНФРАСТРУКТУРНЫЙ_АДРЕС  ! --- Разрешить транзитный трафик.  список доступа 110 разрешить ip любой любой 

    Пример IPv6

    Список доступа IPv6 должен применяться как расширенный именованный список доступа.

      ! --- Настроить список доступа.  ipv6 список доступа iacl  ! --- Запретите вашему пространству как источнику входить в вашу AS. ! --- Развертывать только на границе AS.  запретить ipv6 YOUR_CIDR_BLOCK_IPV6 любой  ! --- Разрешить многопротокольный BGP. разрешить хост tcp bgp_peer_ipv6 host router_ipv6 eq bgp разрешить хост tcp bgp_peer_ipv6 eq хост bgp router_ipv6  ! --- Запретить доступ к адресам внутренней инфраструктуры.  запретить ipv6 любой ВНУТРЕННИЙ_INFRASTRUCTURE_ADDRESSES_IPV6  ! --- Разрешить транзитный трафик.  разрешить ipv6 любой любой 

    Примечание: Ключевое слово log может использоваться для предоставления дополнительных сведений об источнике и назначении для данного протокола. Хотя это ключевое слово обеспечивает ценную информацию о попаданиях ACL, чрезмерное количество попаданий в запись ACL, которая использует ключевое слово log , увеличивает загрузку ЦП.Влияние на производительность, связанное с ведением журнала, зависит от платформы. Кроме того, использование ключевого слова log отключает переключение Cisco Express Forwarding (CEF) для пакетов, которые соответствуют оператору списка доступа. Вместо этого эти пакеты быстро переключаются.

    В целом ACL инфраструктуры состоит из четырех разделов:

    • Специальный адрес и записи для защиты от спуфинга, которые запрещают нелегитимным источникам и пакетам с исходными адресами, принадлежащими вашей AS, входить в AS из внешнего источника

      Примечание: RFC 3330 определяет адреса специального использования IPv4, которые могут потребовать фильтрация.RFC 1918 определяет зарезервированное адресное пространство IPv4, которое не является допустимым адресом источника в Интернете. RFC 3513 определяет архитектуру адресации IPv6. RFC 2827 содержит рекомендации по фильтрации входящего трафика.

    • Явно разрешенный трафик из внешних источников, предназначенный для адресов инфраструктуры

    • Запретить операторов для всего остального внешнего трафика на адреса инфраструктуры

    • разрешить операторов для всего остального трафика для обычного магистрального трафика на маршруте к пунктам назначения, не относящимся к инфраструктуре

    Последняя строка в ACL инфраструктуры явно разрешает транзитный трафик: разрешить ip любой любой для IPv4 и разрешить ipv6 любой любой для IPv6.Эта запись гарантирует, что все IP-протоколы разрешены через ядро ​​и что клиенты могут продолжать запускать приложения без проблем.

    Первым шагом при разработке ACL для защиты инфраструктуры является понимание необходимых протоколов. Хотя каждый сайт имеет определенные требования, обычно используются определенные протоколы, которые необходимо понимать. Например, внешний BGP для внешних одноранговых узлов должен быть явно разрешен. Любые другие протоколы, требующие прямого доступа к маршрутизатору инфраструктуры, также должны быть явно разрешены.Например, если вы завершаете туннель GRE на маршрутизаторе базовой инфраструктуры, протокол 47 (GRE) также должен быть явно разрешен. Точно так же, если вы завершаете туннель IPv6 поверх IPv4 на маршрутизаторе базовой инфраструктуры, протокол 41 (IPv6 поверх IPv4) также должен быть явно разрешен.

    ACL классификации может использоваться для определения требуемых протоколов. Классификационный ACL состоит из разрешающих операторов для различных протоколов, которые могут быть предназначены для маршрутизатора инфраструктуры.Полный список см. В приложении о поддерживаемых IP-протоколах в программном обеспечении Cisco IOS®. Использование команды show access-list command для отображения счетчика совпадений записей управления доступом (ACE) идентифицирует требуемые протоколы. Подозрительные или неожиданные результаты должны быть исследованы и поняты, прежде чем вы создадите утверждения allow для неожиданных протоколов.

    Например, этот список управления доступом IPv4 помогает определить, нужно ли разрешить GRE, IPsec (ESP) и туннелирование IPv6 (протокол IP 41).

     список доступа 101 разрешает GRE для любой инфраструктуры_ips список доступа 101 разрешает ESP любую инфраструктуру_ips список доступа 101 разрешить 41 любую инфраструктуру_ips список доступа 101 разрешить ip любой протокол Infrastructure_ips  ! --- Ключевое слово  log  предоставляет дополнительные! --- сведения о других протоколах, которые не разрешены явно.  список доступа 101 разрешить ip любой любой интерфейс  ip-группа доступа 101 в 

    Этот список управления доступом IPv6 может использоваться для определения необходимости разрешения GRE и IPsec (ESP).

     список доступа ipv6 define_protocols разрешить GRE для любой инфраструктуры_ips_ipv6 разрешить ESP любую инфраструктуру_ips_ipv6 разрешить ipv6 любой журнал Infrastructure_ips_ipv6  ! --- Ключевое слово log предоставляет более подробную! --- информацию о других протоколах, которые не разрешены явно.  разрешить ipv6 любой любой интерфейс  ipv6 traffic-filter define_protocols в 

    Помимо требуемых протоколов, необходимо определить адресное пространство инфраструктуры, поскольку это пространство, которое защищает ACL.Адресное пространство инфраструктуры включает в себя любые адреса, которые используются для внутренней сети и к которым редко обращаются внешние источники, такие как интерфейсы маршрутизаторов, адресация двухточечных каналов и критически важные службы инфраструктуры. Поскольку эти адреса используются для конечной части ACL инфраструктуры, резюмирование критически важно. По возможности эти адреса должны быть сгруппированы в блоки бесклассовой междоменной маршрутизации (CIDR).

    С использованием идентифицированных протоколов и адресов можно построить инфраструктурный ACL для разрешения протоколов и защиты адресов.Помимо прямой защиты, ACL также обеспечивает первую линию защиты от определенных типов недействительного трафика в Интернете.

    • RFC 1918 пространство должно быть отказано.

    • Пакеты с адресом источника, попадающие в адресное пространство специального назначения, как определено в RFC 3330, должны быть отклонены.

    • Необходимо использовать фильтры защиты от спуфинга. (Ваше адресное пространство никогда не должно быть источником пакетов извне вашей AS.)

    Этот недавно созданный ACL должен применяться для входящих подключений ко всем входящим интерфейсам. Дополнительные сведения см. В разделах с инструкциями по развертыванию и примерами развертывания.

    Списки ACL

    содержат ключевое слово fragments , которое обеспечивает специализированное поведение при обработке фрагментированных пакетов. Без этого ключевого слова fragments на неинициальные фрагменты, которые соответствуют операторам уровня 3 (независимо от информации уровня 4) в ACL, действует оператор разрешения или запрета сопоставленной записи.Однако, добавив ключевое слово fragments , вы можете заставить списки управления доступом либо запрещать, либо разрешать неинициальные фрагменты с большей степенью детализации. Это поведение одинаково для списков доступа IPv4 и IPv6, за исключением того, что в то время как списки контроля доступа IPv4 позволяют использовать ключевое слово фрагментов в операторах уровня 3 и уровня 4, списки контроля доступа IPv6 допускают использование ключевого слова фрагментов только на уровне 3. заявления.

    Фильтрация фрагментов добавляет дополнительный уровень защиты от атаки типа «отказ в обслуживании» (DoS), которая использует не начальные фрагменты (то есть FO> 0).Использование оператора deny для не начальных фрагментов в начале ACL запрещает доступ к маршрутизатору всем не начальным фрагментам. В редких случаях допустимый сеанс может потребовать фрагментации и, следовательно, быть отфильтрован, если в ACL существует оператор deny fragment .

    Например, рассмотрим этот частичный IPv4ACL:

      список доступа 110 запретить TCP любые фрагменты IP-инфраструктуры список доступа 110 запретить UDP любые фрагменты IP-инфраструктуры список доступа 110 запретить icmp любые фрагменты IP-адреса инфраструктуры  <остальная часть ACL> 

    Добавление этих записей в начало ACL запрещает любой неинициальный доступ фрагментам к основным маршрутизаторам, в то время как нефрагментированные пакеты или начальные фрагменты переходят в следующие строки ACL, на которые не влияют операторы deny fragment .Предыдущая команда ACL также упрощает классификацию атаки, поскольку каждый протокол - протокол универсальных дейтаграмм (UDP), TCP и ICMP - увеличивает отдельные счетчики в ACL.

    Это сопоставимый пример для IPv6:

      ipv6 список доступа iacl запретить ipv6 любые фрагменты IP-инфраструктуры  

    Добавление этой записи в начало списка управления доступом IPv6 запрещает любой не начальный доступ фрагментов к основным маршрутизаторам.Как отмечалось ранее, списки доступа IPv6 позволяют использовать ключевое слово fragments только в операторах уровня 3.

    Поскольку многие атаки основаны на переполнении маршрутизаторов ядра фрагментированными пакетами, фильтрация входящих фрагментов в базовую инфраструктуру обеспечивает дополнительную меру защиты и помогает гарантировать, что атака не сможет внедрить фрагменты путем простого сопоставления правил уровня 3 в ACL инфраструктуры.

    См. Списки управления доступом и IP-фрагменты для подробного обсуждения опций.

    При развертывании списков контроля доступа для защиты инфраструктуры следует учитывать две основные области риска:

    • Убедитесь, что имеются соответствующие инструкции allow / deny . Для того чтобы ACL был эффективным, все необходимые протоколы должны быть разрешены, а правильное адресное пространство должно быть защищено инструкциями deny .

    • Производительность ACL варьируется от платформы к платформе. Перед развертыванием ACL проверьте характеристики производительности вашего оборудования.

    Как всегда, перед развертыванием рекомендуется протестировать этот проект в лабораторных условиях.

    Поддерживаемые IP-протоколы в программном обеспечении Cisco IOS

    Эти IP-протоколы поддерживаются программным обеспечением Cisco IOS:

    • 1 - ICMP

    • 2 - IGMP

    • 3 - GGP

    • 4 - IP в IP-инкапсуляции

    • 6 - TCP

    • 8 -

    • египетских фунтов
    • 9 - ИГРП

    • 17 - UDP

    • 20 - HMP

    • 27 - RDP

    • 41 - IPv6 в туннелировании IPv4

    • 46 - Ответить

    • 47 - GRE

    • 50 - ESP

    • 51 - AH

    • 53 - SWIPE

    • 54 - НАРП

    • 55 - IP-мобильность

    • 63 - любая локальная сеть

    • 77 - Вс. ND

    • 80 - ISO IP

    • 88 - EIGRP

    • 89 - OSPF

    • 90 - Sprite RPC

    • 91 - LARP

    • 94 - Совместимость с KA9Q / NOS IP по IP

    • 103 - ПИМ

    • 108 - IP-компрессия

    • 112 - VRRP

    • 113 - PGM

    • 115 - L2TP

    • 120 - УТИ

    • 132 - SCTP

    Руководство по развертыванию

    Cisco рекомендует консервативные методы развертывания.Для успешного развертывания инфраструктурных списков контроля доступа необходимо хорошо понимать требуемые протоколы, а также четко идентифицировать и определять адресное пространство. В этих рекомендациях описан очень консервативный метод развертывания защитных списков контроля доступа с использованием итеративного подхода.

    1. Определите протоколы, используемые в сети, с помощью классификационного ACL.

      Разверните ACL, разрешающий все известные протоколы доступа к устройствам инфраструктуры. Этот список управления доступом для обнаружения имеет адрес источника или и пункт назначения, который охватывает пространство IP инфраструктуры.Ведение журнала можно использовать для разработки списка адресов источников, которые соответствуют утверждениям разрешений протокола . Последняя строка, разрешающая ip любой любой (IPv4) или ipv6 любой любой (IPv6), необходима для разрешения потока трафика.

      Цель состоит в том, чтобы определить, какие протоколы использует конкретная сеть. Ведение журнала используется для анализа, чтобы определить, что еще может взаимодействовать с маршрутизатором.

      Примечание: Хотя ключевое слово log дает ценную информацию о попаданиях ACL, чрезмерное количество попаданий в запись ACL, в которой используется это ключевое слово, может привести к огромному количеству записей журнала и, возможно, к высокой загрузке ЦП маршрутизатора.Кроме того, использование ключевого слова log отключает переключение Cisco Express Forwarding (CEF) для пакетов, которые соответствуют оператору списка доступа. Вместо этого эти пакеты быстро переключаются. Используйте ключевое слово log в течение коротких периодов времени и только тогда, когда это необходимо для помощи в классификации трафика.

    2. Просмотрите идентифицированные пакеты и начните фильтровать доступ к процессору маршрутизации RP.

      После того, как пакеты, отфильтрованные с помощью ACL на шаге 1, были идентифицированы и проверены, разверните ACL с разрешением для любого источника на адреса инфраструктуры для разрешенных протоколов.Как и на шаге 1, ключевое слово log может предоставить дополнительную информацию о пакетах, соответствующих разрешению записей . Использование deny any в конце может помочь идентифицировать любые неожиданные пакеты, предназначенные для маршрутизаторов. Последняя строка этого ACL должна быть разрешить ip любой любой (IPv4) или разрешить ipv6 любой любой (IPv6) оператор, чтобы разрешить поток транзитного трафика. Этот ACL обеспечивает базовую защиту и позволяет сетевым инженерам гарантировать, что весь требуемый трафик разрешен.

    3. Ограничить адреса источника.

      После того, как вы получите четкое представление о протоколах, которые должны быть разрешены, можно выполнить дальнейшую фильтрацию, чтобы разрешить только авторизованные источники для этих протоколов. Например, вы можете явно разрешить внешних соседей BGP или определенные адреса одноранговых узлов GRE.

      Этот шаг снижает риск без нарушения работы служб и позволяет применять детальный контроль к источникам, имеющим доступ к оборудованию вашей инфраструктуры.

    4. Ограничить адреса назначения в ACL. (, опционально, )

      Некоторые интернет-провайдеры (ISP) могут разрешить только определенным протоколам использовать определенные адреса назначения на маршрутизаторе. Этот заключительный этап предназначен для ограничения диапазона адресов назначения, которые могут принимать трафик для протокола.

    Примеры развертывания

    Пример IPv4

    В этом примере IPv4 показан ACL инфраструктуры, защищающий маршрутизатор на основе этой адресации:

    • Адресный блок ISP - 169.223.0.0 / 16.

    • Инфраструктурный блок провайдера - 169.223.252.0/22.

    • Петля для маршрутизатора - 169.223.253.1/32.

    • Маршрутизатор является одноранговым маршрутизатором и одноранговым узлом с 169.254.254.1 (по адресу 169.223.252.1).

    Отображаемый список контроля доступа для защиты инфраструктуры разработан на основе предыдущей информации. ACL разрешает внешний пиринг BGP к внешнему одноранговому узлу, предоставляет фильтры защиты от спуфинга и защищает инфраструктуру от любого внешнего доступа.

    ! нет списка доступа 110 ! ! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!  ! ---  Phase 1 - Anti-spoofing Denies ! --- Эти ACE запрещают фрагменты, пространство RFC 1918,! --- недопустимые адреса источника и подделки! --- внутреннего пространства (пространства как внешнего источника) .  !  ! --- Запретить фрагменты блоку инфраструктуры.  список доступа 110 запретить TCP любые фрагменты 169.223.252.0 0.0.3.255 список доступа 110 запретить UDP 169.223.252.0 0.0.3.255 фрагментов список доступа 110 запретить icmp любые фрагменты 169.223.252.0 0.0.3.255  ! --- Запретить источники адресов специального использования. ! --- См. RFC 3330 для дополнительных специальных адресов.  список доступа 110 запретить IP-хост 0.0.0.0 любой список доступа 110 запретить ip 127.0.0.0 0.255.255.255 любой список доступа 110 запретить ip 192.0.2.0 0.0.0.255 любой список доступа 110 запретить ip 224.0.0.0 31.255.255.255 любой  ! --- Отфильтровать пространство RFC 1918.  список доступа 110 запретить ip 10.0.0.0 0.255.255.255 любой список доступа 110 запретить IP 172.16.0.0 0.15.255.255 любое список доступа 110 запретить ip 192.168.0.0 0.0.255.255 любой  ! --- Запретить наше внутреннее пространство как внешний источник. ! --- Развертывается только на границе AS  список доступа 110 запретить ip 169.223.0.0 0.0.255.255 любой !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!  ! --- Этап 2 - Явное разрешение ! --- Разрешить только приложения / протоколы, адрес назначения которых! --- является частью IP-блока инфраструктуры. ! --- Источник трафика должен быть известен и авторизован. !  ! ---  Примечание : Этот шаблон должен быть настроен на! --- определенную среду адреса источника сети. Переменные в! --- шаблоне необходимо изменить.   ! --- Разрешить внешний BGP.  список доступа 110 разрешить tcp host 169.254.254.1 host 169.223.252.1 eq bgp список доступа 110 разрешить хост tcp 169.254.254.1 eq хост bgp 169.223.252.1 ! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!  ! ---  Этап 3 - Явный отказ в защите инфраструктуры   список доступа 110 запретить IP любой 169.223.252.0 0.0.3.255 ! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!  ! ---  Этап 4 - Явное разрешение на транзитный трафик   список доступа 110 разрешить ip любой любой 

    Пример IPv6

    В этом примере IPv6 показан ACL инфраструктуры, защищающий маршрутизатор на основе этой адресации:

    • Общий блок префиксов, выделенный ISP, составляет 2001: 0DB8 :: / 32.

    • Блок префикса IPv6, используемый провайдером для адресов сетевой инфраструктуры, - 2001: 0DB8: C18 :: / 48.

    • Существует пиринговый маршрутизатор BGP с исходным IPv6-адресом 2001: 0DB8: C18: 2: 1 :: 1, который взаимодействует с целевым IPv6-адресом 2001: 0DB8: C19: 2: 1 :: F.

    Отображаемый список контроля доступа для защиты инфраструктуры разработан на основе предыдущей информации. ACL разрешает внешний многопротокольный пиринг BGP с внешним одноранговым узлом, предоставляет фильтры защиты от спуфинга и защищает инфраструктуру от любого внешнего доступа.

     нет списка доступа ipv6 iacl ipv6 список доступа iacl !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!  ! --- Этап 1 - Анти-спуфинг и запрет фрагментации! --- Эти ACE запрещают фрагменты и подделки! --- внутреннего пространства в качестве внешнего источника.! --- Запретить фрагменты блоку инфраструктуры.  запретить ipv6 любой 2001: 0DB8: C18 :: / 48 фрагментов  ! --- Запретить наше внутреннее пространство как внешний источник. ! --- Развертывается только на границе AS.  запретить ipv6 2001: 0DB8 :: / 32 любой !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!  ! --- Этап 2 - Явное разрешение! --- Разрешить только приложения / протоколы,! --- адрес назначения которых является частью IP-блока инфраструктуры. ! --- Источник трафика должен быть известен и авторизован.  ! --- Примечание. Этот шаблон должен быть настроен на! --- определенную среду адресов источника в сети. Переменные в! --- шаблоне необходимо изменить.   ! --- Разрешить многопротокольный BGP.  разрешить хост tcp 2001: 0DB8: C19: 2: 1 :: F хост 2001: 0DB8: C18: 2: 1 :: 1 eq bgp разрешить хост tcp 2001: 0DB8: C19: 2: 1 :: F eq bgp host 2001: 0DB8: C18: 2: 1 :: 1 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!  ! --- Этап 3 - Явный отказ в защите инфраструктуры  запретить ipv6 любой 2001: 0DB8: C18 :: / 48 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!  ! --- Этап 4 - Явное разрешение на транзитный трафик  разрешить ipv6 любой любой 
    .

    Справочник по командам сервисов глобальных приложений Cisco (версия программного обеспечения 4.2.1) - Стандартные команды режима настройки ACL [ПО Cisco Wide Area Application Services (WAAS)]


    Стандартные команды режима конфигурации ACL


    Чтобы создать и изменить стандартные списки доступа на устройстве WAAS для управления доступом к интерфейсам или приложениям, используйте команду глобальной конфигурации ip access-list standard . Чтобы отключить стандартный список доступа, используйте форму no этой команды.

    стандарт списка доступа ip { acl-name | acl-num }

    нет стандартного списка доступа IP { acl-name | acl-num }

    Описание синтаксиса

    стандарт

    Включает стандартный режим конфигурации ACL. Интерфейс командной строки входит в стандартный режим конфигурации ACL, в котором все последующие команды применяются к текущему стандартному списку доступа.Появится приглашение (config-std-nacl):

     WAE (config-std-nacl) # 

    acl-имя

    Список доступа, к которому применяются все команды, введенные из режима конфигурации ACL, с использованием буквенно-цифровой строки длиной до 30 символов, начинающейся с буквы.

    acl-номер

    Список доступа, к которому применяются все команды, введенные из режима конфигурации списка доступа, с использованием числового идентификатора.Для стандартных списков доступа допустимый диапазон - от 1 до 99.


    По умолчанию

    Список доступа отбрасывает все пакеты, если вы не сконфигурируете хотя бы одну запись разрешения .

    Командные режимы

    глобальная конфигурация

    Режимы устройства

    приложение-ускоритель

    центральный менеджер

    Руководство по использованию

    В режиме конфигурации ACL вы можете использовать команды редактирования ( список , удаление и перемещение ) для отображения записей текущего состояния, для удаления определенной записи или для изменения порядка, в котором записи будут оценен.Чтобы вернуться в режим глобальной конфигурации, введите команду exit в приглашении режима конфигурации ACL.

    Для создания записи используйте ключевое слово deny или allow и укажите тип пакетов, которые устройство WAAS должно отбрасывать или принимать для дальнейшей обработки. По умолчанию список доступа запрещает все, потому что список завершается неявной записью deny any . Следовательно, вы должны включить по крайней мере одну запись разрешения , чтобы создать действительный список доступа.


    Примечание списки управления доступом IP, определенные на маршрутизаторе, имеют приоритет над списками управления доступом IP, определенными на WAE. Списки управления доступом IP, определенные в WAE, имеют приоритет над политиками определения приложений WAAS, которые определены в WAE.


    После создания списка доступа вы можете включить его в группу доступа с помощью команды access-group , которая определяет, как будет применяться список доступа. Вы также можете применить список доступа к определенному приложению с помощью соответствующей команды.Ссылка на несуществующий список доступа эквивалентна разрешению для любого оператора условия .

    Чтобы создать стандартный список доступа, введите команду глобальной конфигурации ip access-list standard . Определите новый или существующий список доступа с именем до 30 символов, начинающимся с буквы, или определите новый или существующий список доступа, начинающийся с цифры. Если вы используете номер для идентификации стандартного списка доступа, он должен находиться в диапазоне от 1 до 99.


    Примечание Вы должны использовать стандартный список доступа для обеспечения доступа к серверу SNMP или шлюзу / серверу TFTP. Однако вы можете использовать либо стандартный список доступа, либо расширенный список доступа для предоставления доступа к приложению WCCP.


    Обычно вы используете стандартный список доступа, чтобы разрешить соединения с хоста с определенным IP-адресом или с хостов в определенной сети. Чтобы разрешить соединения с определенного хоста, используйте параметр allow host source-ip и замените source-ip IP-адресом определенного хоста.

    Чтобы разрешить соединения из определенной сети, используйте параметр allow host source-ip wildcard . Замените source-ip идентификатором сети или IP-адресом любого хоста в сети, который вы хотите указать. Замените подстановочный знак десятичным обозначением с точками для маски, противоположной маске подсети, где 0 указывает позицию, которая должна быть сопоставлена, а 1 указывает позицию, которая не имеет значения. Например, подстановочный знак 0.0.0.255 игнорирует последние восемь бит исходного IP-адреса. Следовательно, запись allow 192.168.1.0 0.0.0.255 разрешает доступ с любого хоста в сети 192.168.1.0.

    После того, как вы определите стандартный список доступа, интерфейс командной строки перейдет в режим конфигурации стандартного ACL, и все последующие команды применяются к указанному списку доступа.

     WAE (config) # стандартный список доступа ip teststdacl 
     WAE (config-std-nacl) # выйти 

    Примеры

    В следующем примере показано, как создать стандартный список доступа на устройстве WAAS, который разрешает любые пакеты с IP-адреса источника 192.168.1.0 для дальнейшей обработки:

     WAE (config) # стандартный список доступа ip teststdacl 
     WAE (config-std-nacl) #  разрешить 192.168.1.0 любой  
     WAE (config-std-nacl) #  выход  
     

    В следующем примере показано, как активировать список доступа для интерфейса:

     WAE (config) #  интерфейс gigabitethernet 1/0  
     WAE (config-if) #  ip access-group  teststdacl  in  
     WAE (config-if) #  выход  
     

    В следующем примере показано, как эта конфигурация появляется при вводе команды show running-configuration :

    ... 
    ! 
     интерфейс GigabitEthernet 1/0 
     IP-адрес 10.1.1.50 255.255.0.0 
     ip access-group teststdacl в 
     выход 
    . . . 
     ip список доступа стандартный teststdacl 
     разрешение 192.168.1.0 любое 
     выход 
    . . . 

    Связанные команды

    очистить arp-кеш

    показать список доступа IP

    (конфигурация) список доступа IP

    (config-if) ip-группа доступа

    (config-std-nacl) запретить

    (config-std-nacl) удалить

    (config-std-nacl) список

    (config-std-nacl) переместить

    (config-std-nacl) разрешение

    (config-std-nacl) удалить

    Чтобы удалить строку из стандартного списка контроля доступа IP, используйте команду конфигурации стандартного списка контроля доступа delete .

    удалить номер строки

    Описание синтаксиса

    номер строки

    Запись с определенным номером строки в списке доступа.


    По умолчанию

    Нет поведения или значений по умолчанию.

    Командные режимы

    стандартный режим конфигурации ACL

    Режимы устройства

    приложение-ускоритель

    центральный менеджер

    Примеры

    В следующем примере показано, как удалить строку 10 из стандартного IP ACL teststdacl:

     WAE (config) # стандартный список доступа ip teststdacl 
     WAE (config-std-nacl) #  удалить   10  
     

    Связанные команды

    (config-std-nacl) запретить

    (config-std-nacl) удалить

    (config-std-nacl) список

    (config-std-nacl) переместить

    (config-std-nacl) разрешение

    (config-std-nacl) запретить

    Чтобы добавить строку в стандартный список доступа, в которой указывается тип пакетов, которые должно отбрасываться устройством WAAS, используйте стандартную команду конфигурации ACL deny .Чтобы отменить стандартный IP ACL, используйте форму no этой команды.

    [insert line-num ] deny { source-ip [ wildcard ] | хост исходный IP-адрес | любой}

    no deny { source-ip [ wildcard ] | хост исходный IP-адрес | любая }

    Описание синтаксиса

    вставка номер строки

    (Необязательно) Вставляет условия после указанного номера строки в список доступа.

    отказать

    Вызывает отбрасывание пакетов, соответствующих указанным условиям.

    исходный IP

    Исходный IP-адрес. Номер сети или хоста, с которого отправляется пакет, заданный как 32-битное количество в десятичном формате, разделенном точками (например, 0.0.0.0).

    подстановочный знак

    (Необязательно) Части предыдущего IP-адреса для сопоставления, выраженные с использованием 4-значного десятичного представления с разделительными точками.Соответствующие биты обозначаются цифровым значением 0; игнорируемые биты идентифицируются 1.

    Note Для стандартных IP ACL параметр wildcard команды ip access-list всегда является необязательным. Если для стандартного IP ACL указано ключевое слово host , то параметр подстановочный знак не разрешен.

    хост IP-адрес источника

    Соответствует следующему IP-адресу.

    любой

    Соответствует любому IP-адресу.


    По умолчанию

    Список доступа отбрасывает все пакеты, если вы не сконфигурируете хотя бы одну запись разрешения .

    Командные режимы

    стандартный режим конфигурации ACL

    Режимы устройства

    приложение-ускоритель

    центральный менеджер

    Руководство по использованию

    Для создания записи используйте ключевое слово deny или allow и укажите тип пакетов, которые устройство WAAS должно отбрасывать или принимать для дальнейшей обработки.По умолчанию список доступа запрещает все, потому что список завершается неявной записью deny any . Следовательно, вы должны включить по крайней мере одну запись разрешения , чтобы создать действительный список доступа.

    Обычно вы используете стандартный список доступа, чтобы разрешить соединения с хоста с определенным IP-адресом или с хостов в определенной сети. Чтобы разрешить соединения с определенного хоста, используйте параметр allow host source-ip и замените source-ip IP-адресом определенного хоста.

    Чтобы разрешить соединения из определенной сети, используйте параметр allow host source-ip wildcard . Замените source-ip идентификатором сети или IP-адресом любого хоста в сети, который вы хотите указать. Замените подстановочный знак десятичным обозначением с точками для маски, противоположной маске подсети, где 0 указывает позицию, которая должна быть сопоставлена, а 1 указывает позицию, которая не имеет значения. Например, подстановочный знак 0.0.0.255 игнорирует последние восемь бит исходного IP-адреса. Следовательно, запись allow 192.168.1.0 0.0.0.255 разрешает доступ с любого хоста в сети 192.168.1.0.

    Примеры

    В следующем примере показано, как создать стандартный список доступа, который запрещает обработку любых пакетов с IP-адреса источника 192.168.1.0:

     WAE (config) # стандартный список доступа ip teststdacl 
     WAE (config-std-nacl) #  запретить 192.168.1.0 любая  
     WAE (config-std-nacl) #  выход  
     

    В следующем примере показано, как активировать стандартный список доступа для интерфейса:

     WAE (config) #  интерфейс gigabitethernet 1/0  
     WAE (config-if) #  ip access-group teststdacl в  
     WAE (config-if) #  выход  
     

    В следующем примере показано, как эта конфигурация появляется при вводе команды show running-configuration :

    ... 
    ! 
     интерфейс GigabitEthernet 1/0 
     IP-адрес 10.1.1.50 255.255.0.0 
     ip access-group teststdacl в 
     выход 
    . . . 
    Стандартный пример списка доступа
     ip 
     запретить 192.168.1.0 любой 
     выход 
    . . . 

    Связанные команды

    (config-std-nacl) удалить

    (config-std-nacl) список

    (config-std-nacl) переместить

    (config-std-nacl) разрешение

    (config-std-nacl) выход

    Чтобы выйти из стандартного режима конфигурации ACL и вернуться в режим глобальной конфигурации, используйте команду exit .

    выход

    Описание синтаксиса

    У этой команды нет аргументов или ключевых слов.

    По умолчанию

    Нет поведения или значений по умолчанию.

    Командные режимы

    Все режимы

    Режимы устройства

    приложение-ускоритель

    центральный менеджер

    Примеры

    В следующем примере показано, как выйти из стандартного режима конфигурации ACL и вернуться в режим глобальной конфигурации:

     WAE (config-std-nacl) #  выход  
     WAE (конфигурация) # 
     

    (config-std-nacl) список

    Чтобы отобразить список указанных записей в стандартном IP ACL, используйте команду настройки стандартного ACL list .

    Список

    [ номер начальной строки [ номер конечной строки ]]

    Описание синтаксиса

    начальный номер строки

    (Необязательно) Номер строки, с которой начинается список.

    номер конечной строки

    (Необязательно) Номер последней строки в списке.


    По умолчанию

    Нет поведения или значений по умолчанию.

    Командные режимы

    стандартный режим конфигурации ACL

    Режимы устройства

    приложение-ускоритель

    центральный менеджер

    Примеры

    В следующем примере показано, как отобразить список указанных записей в стандартном IP ACL:

     WAE (config) # стандартный список доступа ip teststdacl 
     WAE (config-std-nacl) #  список 25 50  
     

    Связанные команды

    (config-std-nacl) удалить

    (config-std-nacl) переместить

    (config-std-nacl) переместить

    Чтобы переместить строку в новую позицию в стандартном IP ACL, используйте команду move standard ACL конфигурации.

    переместить old-line-num new-line-num

    Описание синтаксиса

    старый номер строки

    Номер строки записи, которую нужно переместить.

    номер новой строки

    Новая позиция записи. Существующая запись перемещается в следующую позицию в списке доступа.


    Командные режимы

    стандартный режим конфигурации ACL

    Режимы устройства

    приложение-ускоритель

    центральный менеджер

    Примеры

    В следующем примере показано, как переместить строку в новую позицию в стандартном IP ACL:

     WAE (config) # стандартный список доступа ip teststdacl 
     WAE (config-std-nacl) #  перемещение 25 30  
     

    Связанные команды

    (config-std-nacl) удалить

    (config-std-nacl) список

    (config-std-nacl) разрешение

    Чтобы добавить строку в стандартный список доступа, в котором указывается тип пакетов, которые устройство WAAS должно принимать для дальнейшей обработки, используйте стандартную команду конфигурации ACL allow .Чтобы отменить стандартный IP ACL, используйте форму no этой команды.

    [вставить номер строки ] разрешение { IP-адрес источника [ подстановочный знак ] | хост исходный IP-адрес | любой}

    без разрешения { source-ip [ wildcard ] | хост исходный IP-адрес | любая }

    Описание синтаксиса

    вставка номер строки

    (Необязательно) Вставляет условия после указанного номера строки в список доступа.

    исходный IP

    Исходный IP-адрес. Номер сети или хоста, с которого отправляется пакет, заданный как 32-битное количество в десятичном формате, разделенном точками (например, 0.0.0.0).

    подстановочный знак

    (Необязательно) Части предыдущего IP-адреса для сопоставления, выраженные с использованием 4-значного десятичного представления с разделительными точками.Соответствующие биты обозначаются цифровым значением 0; игнорируемые биты идентифицируются 1.

    Note Для стандартных IP ACL параметр wildcard команды ip access-list всегда является необязательным. Если для стандартного IP ACL указано ключевое слово host , то параметр подстановочный знак не разрешен.

    хост IP-адрес источника

    Соответствует следующему IP-адресу.

    любой

    Соответствует любому IP-адресу.


    По умолчанию

    Список доступа отбрасывает все пакеты, если вы не сконфигурируете хотя бы одну запись разрешения .

    Командные режимы

    стандартный режим конфигурации ACL

    Режимы устройства

    приложение-ускоритель

    центральный менеджер

    Руководство по использованию

    Для создания записи используйте ключевое слово deny или allow и укажите тип пакетов, которые устройство WAAS должно отбрасывать или принимать для дальнейшей обработки.По умолчанию список доступа запрещает все, потому что список завершается неявной записью deny any . Следовательно, вы должны включить по крайней мере одну запись разрешения , чтобы создать действительный список доступа.

    Обычно вы используете стандартный список доступа, чтобы разрешить соединения с хоста с определенным IP-адресом или с хостов в определенной сети. Чтобы разрешить соединения с определенного хоста, используйте параметр allow host source-ip и замените source-ip IP-адресом определенного хоста.

    Чтобы разрешить соединения из определенной сети, используйте параметр allow host source-ip wildcard . Замените source-ip идентификатором сети или IP-адресом любого хоста в сети, который вы хотите указать. Замените подстановочный знак десятичным обозначением с точками для маски, противоположной маске подсети, где 0 указывает позицию, которая должна быть сопоставлена, а 1 указывает позицию, которая не имеет значения. Например, подстановочный знак 0.0.0.255 игнорирует последние восемь бит исходного IP-адреса. Следовательно, запись allow 192.168.1.0 0.0.0.255 разрешает доступ с любого хоста в сети 192.168.1.0.

    Примеры

    В следующем примере показано, как создать стандартный список доступа, который разрешает любые пакеты с IP-адреса источника 192.168.1.0 для дальнейшей обработки:

     WAE (config) # стандартный список доступа ip teststdacl 
     WAE (config-std-nacl) #  разрешение 192.168.1.0 любая  
     WAE (config-std-nacl) #  выход  
     

    В следующем примере показано, как активировать стандартный список доступа для интерфейса:

     WAE (config) #  интерфейс gigabitethernet 1/0  
     WAE (config-if) #  ip access-group teststdacl в  
     WAE (config-if) #  выход  
     

    В следующем примере показано, как эта конфигурация появляется при вводе команды show running-configuration :

    ... 
    ! 
     интерфейс GigabitEthernet 1/0 
     IP-адрес 10.1.1.50 255.255.0.0 
     ip access-group teststdacl в 
     выход 
    . . . 
    Стандартный пример списка доступа
     ip 
     разрешение 192.168.1.0 любое 
     выход 
    . . . 

    Связанные команды

    (config-std-nacl) удалить

    (config-std-nacl) запретить

    (config-std-nacl) список

    (config-std-nacl) переместить

    .

    Справочник по командам сервисов глобальных приложений Cisco (версия программного обеспечения 4.1.1) - Стандартные команды режима настройки ACL [ПО Cisco Wide Area Application Services (WAAS)]


    Стандартные команды режима конфигурации ACL


    Чтобы создать и изменить стандартные списки доступа на устройстве WAAS для управления доступом к интерфейсам или приложениям, используйте команду глобальной конфигурации ip access-list standard . Чтобы отключить стандартный список доступа, используйте форму no этой команды.

    стандарт списка доступа ip { acl-name | acl-num }

    нет стандартного списка доступа IP { acl-name | acl-num }

    Описание синтаксиса

    стандарт

    Включает стандартный режим конфигурации ACL. Интерфейс командной строки входит в стандартный режим конфигурации ACL, в котором все последующие команды применяются к текущему стандартному списку доступа.Появится приглашение (config-std-nacl):

     WAE (config-std-nacl) # 

    acl-имя

    Список доступа, к которому применяются все команды, введенные из режима конфигурации ACL, с использованием буквенно-цифровой строки длиной до 30 символов, начинающейся с буквы.

    acl-номер

    Список доступа, к которому применяются все команды, введенные из режима конфигурации списка доступа, с использованием числового идентификатора.Для стандартных списков доступа допустимый диапазон - от 1 до 99.


    По умолчанию

    Список доступа отбрасывает все пакеты, если вы не сконфигурируете хотя бы одну запись разрешения .

    Командные режимы

    глобальная конфигурация

    Режимы устройства

    приложение-ускоритель

    центральный менеджер

    Руководство по использованию

    В режиме конфигурации ACL вы можете использовать команды редактирования ( список , удаление и перемещение ) для отображения записей текущего состояния, для удаления определенной записи или для изменения порядка, в котором записи будут оценен.Чтобы вернуться в режим глобальной конфигурации, введите команду exit в приглашении режима конфигурации ACL.

    Для создания записи используйте ключевое слово deny или allow и укажите тип пакетов, которые устройство WAAS должно отбрасывать или принимать для дальнейшей обработки. По умолчанию список доступа запрещает все, потому что список завершается неявной записью deny any . Следовательно, вы должны включить по крайней мере одну запись разрешения , чтобы создать действительный список доступа.


    Примечание списки управления доступом IP, определенные на маршрутизаторе, имеют приоритет над списками управления доступом IP, определенными на WAE. Списки управления доступом IP, определенные в WAE, имеют приоритет над политиками определения приложений WAAS, которые определены в WAE.


    После создания списка доступа вы можете включить его в группу доступа с помощью команды access-group , которая определяет, как будет применяться список доступа. Вы также можете применить список доступа к определенному приложению с помощью соответствующей команды.Ссылка на несуществующий список доступа эквивалентна разрешению для любого оператора условия .

    Чтобы создать стандартный список доступа, введите команду глобальной конфигурации ip access-list standard . Определите новый или существующий список доступа с именем до 30 символов, начинающимся с буквы, или определите новый или существующий список доступа, начинающийся с цифры. Если вы используете номер для идентификации стандартного списка доступа, он должен находиться в диапазоне от 1 до 99.


    Примечание Вы должны использовать стандартный список доступа для обеспечения доступа к серверу SNMP или шлюзу / серверу TFTP. Однако вы можете использовать либо стандартный список доступа, либо расширенный список доступа для предоставления доступа к приложению WCCP.


    Обычно вы используете стандартный список доступа, чтобы разрешить соединения с хоста с определенным IP-адресом или с хостов в определенной сети. Чтобы разрешить соединения с определенного хоста, используйте параметр allow host source-ip и замените source-ip IP-адресом определенного хоста.

    Чтобы разрешить соединения из определенной сети, используйте параметр allow host source-ip wildcard . Замените source-ip идентификатором сети или IP-адресом любого хоста в сети, который вы хотите указать. Замените подстановочный знак десятичным обозначением с точками для маски, противоположной маске подсети, где 0 указывает позицию, которая должна быть сопоставлена, а 1 указывает позицию, которая не имеет значения. Например, подстановочный знак 0.0.0.255 игнорирует последние восемь бит исходного IP-адреса. Следовательно, запись allow 192.168.1.0 0.0.0.255 разрешает доступ с любого хоста в сети 192.168.1.0.

    После того, как вы определите стандартный список доступа, интерфейс командной строки перейдет в режим конфигурации стандартного ACL, и все последующие команды применяются к указанному списку доступа.

     WAE (config) # стандартный список доступа ip teststdacl 
     WAE (config-std-nacl) # выйти 

    Примеры

    В следующем примере показано, как создать стандартный список доступа на устройстве WAAS, который разрешает любые пакеты с IP-адреса источника 192.168.1.0 для дальнейшей обработки:

     WAE (config) # стандартный список доступа ip teststdacl 
     WAE (config-std-nacl) #  разрешить 192.168.1.0 любой  
     WAE (config-std-nacl) #  выход  
     

    В следующем примере показано, как активировать список доступа для интерфейса:

     WAE (config) #  интерфейс gigabitethernet 1/0  
     WAE (config-if) #  ip access-group  teststdacl  in  
     WAE (config-if) #  выход  
     

    В следующем примере показано, как эта конфигурация появляется при вводе команды show running-configuration :

    ... 
    ! 
     интерфейс GigabitEthernet 1/0 
     IP-адрес 10.1.1.50 255.255.0.0 
     ip access-group teststdacl в 
     выход 
    . . . 
     ip список доступа стандартный teststdacl 
     разрешение 192.168.1.0 любое 
     выход 
    . . . 

    Связанные команды

    очистить arp-кеш

    показать список доступа IP

    (конфигурация) список доступа IP

    (config-if) ip-группа доступа

    (config-std-nacl) запретить

    (config-std-nacl) удалить

    (config-std-nacl) список

    (config-std-nacl) переместить

    (config-std-nacl) разрешение

    (config-std-nacl) удалить

    Чтобы удалить строку из стандартного списка контроля доступа IP, используйте команду конфигурации стандартного списка контроля доступа delete .

    удалить номер строки

    Описание синтаксиса

    номер строки

    Запись с определенным номером строки в списке доступа.


    По умолчанию

    Нет поведения или значений по умолчанию.

    Командные режимы

    стандартный режим конфигурации ACL

    Режимы устройства

    приложение-ускоритель

    центральный менеджер

    Примеры

    В следующем примере показано, как удалить строку 10 из стандартного IP ACL teststdacl:

     WAE (config) # стандартный список доступа ip teststdacl 
     WAE (config-std-nacl) #  удалить   10  
     

    Связанные команды

    (config-std-nacl) запретить

    (config-std-nacl) удалить

    (config-std-nacl) список

    (config-std-nacl) переместить

    (config-std-nacl) разрешение

    (config-std-nacl) запретить

    Чтобы добавить строку в стандартный список доступа, в которой указывается тип пакетов, которые должно отбрасываться устройством WAAS, используйте стандартную команду конфигурации ACL deny .Чтобы отменить стандартный IP ACL, используйте форму no этой команды.

    [insert line-num ] deny { source-ip [ wildcard ] | хост исходный IP-адрес | любой}

    no deny { source-ip [ wildcard ] | хост исходный IP-адрес | любая }

    Описание синтаксиса

    вставка номер строки

    (Необязательно) Вставляет условия после указанного номера строки в список доступа.

    отказать

    Вызывает отбрасывание пакетов, соответствующих указанным условиям.

    исходный IP

    Исходный IP-адрес. Номер сети или хоста, с которого отправляется пакет, заданный как 32-битное количество в десятичном формате, разделенном точками (например, 0.0.0.0).

    подстановочный знак

    (Необязательно) Части предыдущего IP-адреса для сопоставления, выраженные с использованием 4-значного десятичного представления с разделительными точками.Соответствующие биты обозначаются цифровым значением 0; игнорируемые биты идентифицируются 1.

    Note Для стандартных IP ACL параметр wildcard команды ip access-list всегда является необязательным. Если для стандартного IP ACL указано ключевое слово host , то параметр подстановочный знак не разрешен.

    хост IP-адрес источника

    Соответствует следующему IP-адресу.

    любой

    Соответствует любому IP-адресу.


    По умолчанию

    Список доступа отбрасывает все пакеты, если вы не сконфигурируете хотя бы одну запись разрешения .

    Командные режимы

    стандартный режим конфигурации ACL

    Режимы устройства

    приложение-ускоритель

    центральный менеджер

    Руководство по использованию

    Для создания записи используйте ключевое слово deny или allow и укажите тип пакетов, которые устройство WAAS должно отбрасывать или принимать для дальнейшей обработки.По умолчанию список доступа запрещает все, потому что список завершается неявной записью deny any . Следовательно, вы должны включить по крайней мере одну запись разрешения , чтобы создать действительный список доступа.

    Обычно вы используете стандартный список доступа, чтобы разрешить соединения с хоста с определенным IP-адресом или с хостов в определенной сети. Чтобы разрешить соединения с определенного хоста, используйте параметр allow host source-ip и замените source-ip IP-адресом определенного хоста.

    Чтобы разрешить соединения из определенной сети, используйте параметр allow host source-ip wildcard . Замените source-ip идентификатором сети или IP-адресом любого хоста в сети, который вы хотите указать. Замените подстановочный знак десятичным обозначением с точками для маски, противоположной маске подсети, где 0 указывает позицию, которая должна быть сопоставлена, а 1 указывает позицию, которая не имеет значения. Например, подстановочный знак 0.0.0.255 игнорирует последние восемь бит исходного IP-адреса. Следовательно, запись allow 192.168.1.0 0.0.0.255 разрешает доступ с любого хоста в сети 192.168.1.0.

    Примеры

    В следующем примере показано, как создать стандартный список доступа, который запрещает обработку любых пакетов с IP-адреса источника 192.168.1.0:

     WAE (config) # стандартный список доступа ip teststdacl 
     WAE (config-std-nacl) #  запретить 192.168.1.0 любая  
     WAE (config-std-nacl) #  выход  
     

    В следующем примере показано, как активировать стандартный список доступа для интерфейса:

     WAE (config) #  интерфейс gigabitethernet 1/0  
     WAE (config-if) #  ip access-group teststdacl в  
     WAE (config-if) #  выход  
     

    В следующем примере показано, как эта конфигурация появляется при вводе команды show running-configuration :

    ... 
    ! 
     интерфейс GigabitEthernet 1/0 
     IP-адрес 10.1.1.50 255.255.0.0 
     ip access-group teststdacl в 
     выход 
    . . . 
    Стандартный пример списка доступа
     ip 
     запретить 192.168.1.0 любой 
     выход 
    . . . 

    Связанные команды

    (config-std-nacl) удалить

    (config-std-nacl) список

    (config-std-nacl) переместить

    (config-std-nacl) разрешение

    (config-std-nacl) выход

    Чтобы выйти из стандартного режима конфигурации ACL и вернуться в режим глобальной конфигурации, используйте команду exit .

    выход

    Описание синтаксиса

    У этой команды нет аргументов или ключевых слов.

    По умолчанию

    Нет поведения или значений по умолчанию.

    Командные режимы

    Все режимы

    Режимы устройства

    приложение-ускоритель

    центральный менеджер

    Примеры

    В следующем примере показано, как выйти из стандартного режима конфигурации ACL и вернуться в режим глобальной конфигурации:

     WAE (config-std-nacl) #  выход  
     WAE (конфигурация) # 
     

    (config-std-nacl) список

    Чтобы отобразить список указанных записей в стандартном IP ACL, используйте команду настройки стандартного ACL list .

    Список

    [ номер начальной строки [ номер конечной строки ]]

    Описание синтаксиса

    начальный номер строки

    (Необязательно) Номер строки, с которой начинается список.

    номер конечной строки

    (Необязательно) Номер последней строки в списке.


    По умолчанию

    Нет поведения или значений по умолчанию.

    Командные режимы

    стандартный режим конфигурации ACL

    Режимы устройства

    приложение-ускоритель

    центральный менеджер

    Примеры

    В следующем примере показано, как отобразить список указанных записей в стандартном IP ACL:

     WAE (config) # стандартный список доступа ip teststdacl 
     WAE (config-std-nacl) #  список 25 50  
     

    Связанные команды

    (config-std-nacl) удалить

    (config-std-nacl) переместить

    (config-std-nacl) переместить

    Чтобы переместить строку в новую позицию в стандартном IP ACL, используйте команду move standard ACL конфигурации.

    переместить old-line-num new-line-num

    Описание синтаксиса

    старый номер строки

    Номер строки записи, которую нужно переместить.

    номер новой строки

    Новая позиция записи. Существующая запись перемещается в следующую позицию в списке доступа.


    Командные режимы

    стандартный режим конфигурации ACL

    Режимы устройства

    приложение-ускоритель

    центральный менеджер

    Примеры

    В следующем примере показано, как переместить строку в новую позицию в стандартном IP ACL:

     WAE (config) # стандартный список доступа ip teststdacl 
     WAE (config-std-nacl) #  перемещение 25 30  
     

    Связанные команды

    (config-std-nacl) удалить

    (config-std-nacl) список

    (config-std-nacl) разрешение

    Чтобы добавить строку в стандартный список доступа, в котором указывается тип пакетов, которые устройство WAAS должно принимать для дальнейшей обработки, используйте стандартную команду конфигурации ACL allow .Чтобы отменить стандартный IP ACL, используйте форму no этой команды.

    [вставить номер строки ] разрешение { IP-адрес источника [ подстановочный знак ] | хост исходный IP-адрес | любой}

    без разрешения { source-ip [ wildcard ] | хост исходный IP-адрес | любая }

    Описание синтаксиса

    вставка номер строки

    (Необязательно) Вставляет условия после указанного номера строки в список доступа.

    исходный IP

    Исходный IP-адрес. Номер сети или хоста, с которого отправляется пакет, заданный как 32-битное количество в десятичном формате, разделенном точками (например, 0.0.0.0).

    подстановочный знак

    (Необязательно) Части предыдущего IP-адреса для сопоставления, выраженные с использованием 4-значного десятичного представления с разделительными точками.Соответствующие биты обозначаются цифровым значением 0; игнорируемые биты идентифицируются 1.

    Note Для стандартных IP ACL параметр wildcard команды ip access-list всегда является необязательным. Если для стандартного IP ACL указано ключевое слово host , то параметр подстановочный знак не разрешен.

    хост IP-адрес источника

    Соответствует следующему IP-адресу.

    любой

    Соответствует любому IP-адресу.


    По умолчанию

    Список доступа отбрасывает все пакеты, если вы не сконфигурируете хотя бы одну запись разрешения .

    Командные режимы

    стандартный режим конфигурации ACL

    Режимы устройства

    приложение-ускоритель

    центральный менеджер

    Руководство по использованию

    Для создания записи используйте ключевое слово deny или allow и укажите тип пакетов, которые устройство WAAS должно отбрасывать или принимать для дальнейшей обработки.По умолчанию список доступа запрещает все, потому что список завершается неявной записью deny any . Следовательно, вы должны включить по крайней мере одну запись разрешения , чтобы создать действительный список доступа.

    Обычно вы используете стандартный список доступа, чтобы разрешить соединения с хоста с определенным IP-адресом или с хостов в определенной сети. Чтобы разрешить соединения с определенного хоста, используйте параметр allow host source-ip и замените source-ip IP-адресом определенного хоста.

    Чтобы разрешить соединения из определенной сети, используйте параметр allow host source-ip wildcard . Замените source-ip идентификатором сети или IP-адресом любого хоста в сети, который вы хотите указать. Замените подстановочный знак десятичным обозначением с точками для маски, противоположной маске подсети, где 0 указывает позицию, которая должна быть сопоставлена, а 1 указывает позицию, которая не имеет значения. Например, подстановочный знак 0.0.0.255 игнорирует последние восемь бит исходного IP-адреса. Следовательно, запись allow 192.168.1.0 0.0.0.255 разрешает доступ с любого хоста в сети 192.168.1.0.

    Примеры

    В следующем примере показано, как создать стандартный список доступа, который разрешает любые пакеты с IP-адреса источника 192.168.1.0 для дальнейшей обработки:

     WAE (config) # стандартный список доступа ip teststdacl 
     WAE (config-std-nacl) #  разрешение 192.168.1.0 любая  
     WAE (config-std-nacl) #  выход  
     

    В следующем примере показано, как активировать стандартный список доступа для интерфейса:

     WAE (config) #  интерфейс gigabitethernet 1/0  
     WAE (config-if) #  ip access-group teststdacl в  
     WAE (config-if) #  выход  
     

    В следующем примере показано, как эта конфигурация появляется при вводе команды show running-configuration :

    ... 
    ! 
     интерфейс GigabitEthernet 1/0 
     IP-адрес 10.1.1.50 255.255.0.0 
     ip access-group teststdacl в 
     выход 
    . . . 
    Стандартный пример списка доступа
     ip 
     разрешение 192.168.1.0 любое 
     выход 
    . . . 

    Связанные команды

    (config-std-nacl) удалить

    (config-std-nacl) запретить

    (config-std-nacl) список

    (config-std-nacl) переместить

    .

    Справочник по командам сервисов глобальных приложений Cisco (версии программного обеспечения 4.0.1 и 4.0.3) - Команды режима расширенной конфигурации ACL [ПО Cisco Wide Area Application Services (WAAS)]


    Команды режима расширенной конфигурации ACL


    Для создания и изменения расширенных списков доступа на устройстве WAAS для управления доступом к интерфейсам или приложениям используйте команду расширенной глобальной конфигурации ip access-list. Чтобы отключить расширенный список доступа, используйте форму команды no .

    IP-список доступа расширен {acl-name | acl- число }

    Описание синтаксиса

    расширенный

    Включает расширенный режим конфигурации ACL. Интерфейс командной строки входит в режим конфигурации расширенного ACL, в котором все последующие команды применяются к текущему расширенному списку доступа. Появится приглашение (config-ext-nacl):

     WAE (config-ext-nacl) # 

    acl-имя

    Список доступа, к которому применяются все команды, введенные из режима конфигурации ACL, с использованием буквенно-цифровой строки длиной до 30 символов, начинающейся с буквы.

    acl-номер

    Список доступа, к которому применяются все команды, введенные из режима конфигурации списка доступа, с использованием числового идентификатора. Для расширенных списков доступа допустимый диапазон - от 100 до 199.


    По умолчанию

    Список доступа отбрасывает все пакеты, если вы не настроите хотя бы одну разрешающую запись.

    Командные режимы

    Глобальная конфигурация

    Режимы устройства

    приложение-ускоритель

    центральный менеджер

    Руководство по использованию

    Используйте списки доступа для управления доступом к определенным приложениям или интерфейсам на устройстве WAAS.Список управления доступом состоит из одной или нескольких записей условий, определяющих тип пакетов, которые устройство WAAS отбрасывает или принимает для дальнейшей обработки. Устройство WAAS применяет каждую запись в том порядке, в котором она встречается в списке доступа, который по умолчанию является порядком, в котором вы настроили запись.

    В следующем списке приведены примеры использования списков ACL в средах, где используются устройства WAAS:

    • Устройство WAAS находится на территории клиента и управляется поставщиком услуг, и поставщик услуг хочет защитить устройство только для своего управления.

    • Устройство WAAS развернуто в любом месте предприятия. Как и в случае с маршрутизаторами и коммутаторами, администратор хочет ограничить доступ через Telnet, SSH и WAAS GUI к исходным подсетям ИТ.

    • Брандмауэр прокси-сервера прикладного уровня с усиленным внешним интерфейсом не имеет открытых портов. ( Hardened означает, что интерфейс тщательно ограничивает, какие порты доступны для доступа, в первую очередь из соображений безопасности. При использовании внешнего интерфейса возможны многие типы атак на безопасность.) Внешний адрес WAE является глобальным в Интернете, а его внутренний адрес является частным. Внутренний интерфейс имеет ACL для ограничения доступа Telnet, SSH и WAAS GUI к устройству.

    • Устройство WAAS, использующее WCCP, располагается между межсетевым экраном и Интернет-маршрутизатором или подсетью за пределами Интернет-маршрутизатора. И устройство WAAS, и маршрутизатор должны иметь списки ACL.


    Примечание. ACL, определенные на маршрутизаторе, имеют приоритет над ACL, которые определены на WAE.Списки ACL, определенные в WAE, имеют приоритет над политиками определения приложений WAAS, которые определены в WAE.


    В режиме конфигурации ACL вы можете использовать команды редактирования ( список , удаление и перемещение ) для отображения записей текущего состояния, для удаления определенной записи или для изменения порядка, в котором записи будут оценен. Чтобы вернуться в режим глобальной конфигурации, введите exit в приглашении режима конфигурации ACL.

    Для создания записи используйте ключевое слово deny или allow и укажите тип пакетов, которые устройство WAAS должно отбрасывать или принимать для дальнейшей обработки. По умолчанию список доступа запрещает все, потому что список завершается неявным запретом любой записи. Следовательно, вы должны включить хотя бы одну запись о разрешении, чтобы создать действительный список доступа.

    После создания списка доступа вы можете включить список доступа в группу доступа с помощью команды access-group, которая определяет способ применения списка доступа.Вы также можете применить список доступа к определенному приложению с помощью соответствующей команды. Ссылка на несуществующий список доступа эквивалентна разрешению любого условия.

    Чтобы создать расширенный список доступа, введите команду глобальной конфигурации ip access-list extended. Определите новый или существующий список доступа с именем длиной до 30 символов, начинающимся с буквы или числа. Если вы используете номер для идентификации расширенного списка доступа, он должен быть от 100 до 199

    .

    Примечание Вы должны использовать стандартный список доступа для обеспечения доступа к серверу SNMP или шлюзу / серверу TFTP.Однако вы можете использовать либо стандартный список доступа, либо расширенный список доступа для предоставления доступа к приложению WCCP.


    Чтобы разрешить соединения от определенного хоста, используйте опцию allow host-source-ip и замените source-ip на IP-адрес определенного хоста.

    Чтобы разрешить подключения из определенной сети, используйте параметр подстановочного знака «allow host-ip-адрес». Замените source-ip на идентификатор сети или IP-адрес любого хоста в сети, который вы хотите указать.Замените подстановочный знак десятичным обозначением с точками для маски, противоположной маске подсети, где 0 указывает позицию, которая должна быть сопоставлена, а 1 указывает позицию, которая не имеет значения. Например, подстановочный знак 0.0.0.255 заставляет игнорировать последние восемь бит в исходном IP-адресе. Следовательно, запись разрешения 192.168.1.0 0.0.0.255 разрешает доступ с любого хоста в сети 192.168.1.0.

    После того, как вы определите расширенный список доступа, интерфейс командной строки перейдет в режим конфигурации расширенного ACL, и все последующие команды применяются к указанному списку доступа.

     WAE (config) # расширенный список доступа ip testextacl 
     WAE (config-ext-nacl) # 
     

    Примеры

    Следующие команды создают список доступа на устройстве WAAS. Вы создаете этот список доступа, чтобы позволить устройству WAAS принимать весь перенаправляемый на него веб-трафик, но ограничивает административный доступ хоста с помощью SSH:

     WAE (config) #  расширенный список доступа ip  testextacl 
     WAE (config-ext-nacl) #  allow tcp any any eq www  
     WAE (config-ext-nacl) #  разрешить хост tcp 10.1.1.5 любой eq ssh  
     WAE (config-ext-nacl) #  выход  
     

    Следующие команды активируют список доступа для интерфейса:

     WAE (config) #  интерфейс gigabitethernet 1/0  
     WAE (config-if) #  ip access-group  testextacl  in  
     WAE (config-if) #  выход  
     

    В следующем примере показано, как эта конфигурация появляется при вводе команды show running-configuration :

    ... 
    ! 
     интерфейс GigabitEthernet 1/0 
     IP-адрес 10.1.1.50 255.255.0.0 
     ip access-group testextacl в 
     выход 
    . . . 
     IP-список доступа расширенный testextacl 
     allow tcp any any eq www 
     allow tcp host 10.1.1.5 any eq ssh 
     выход 
    . . . 

    Связанные команды

    прозрачный

    показать список доступа ip

    (config-if) ip-группа доступа

    (config-ext-nacl) запретить

    (config-ext-nacl) удалить

    (config-ext-nacl) список

    (config-ext-nacl) переместить

    (config-ext-nacl) разрешение

    (config-ext-nacl) удалить

    Чтобы удалить строку из расширенного ACL, используйте команду delete .

    удалить номер строки

    Описание синтаксиса

    удалить

    Удаляет указанную запись.

    номер строки

    Определяет запись с определенным номером строки в списке доступа.


    Командные режимы

    Расширенный режим настройки ACL

    Режимы устройства

    приложение-ускоритель

    центральный менеджер

    Примеры

    В следующем примере удаляется строка 10 из расширенного списка ACL testextacl.

     WAE (config) # расширенный список доступа ip testextacl 
     WAE (config-ext-nacl) #  удалить   10  

    Связанные команды

    (config-ext-nacl) список

    (config-ext-nacl) переместить

    (config-ext-nacl) запретить

    Чтобы добавить строку в расширенный список доступа, в которой указывается тип пакетов, которые должно отбрасываться устройством WAAS, используйте команду deny .Чтобы добавить условие в расширенный ACL, обратите внимание, что параметры зависят от выбранного протокола.

    Для IP используйте следующий синтаксис, чтобы добавить условие:

    [вставить номер строки ] deny {gre | icmp | tcp | udp | ip | proto-num} {source- ip [ wildcard ] | источник хоста - ip | любой } {dest -ip [ wildcard ] | хост dest- ip | любой }

    deny {gre | icmp | tcp | udp | ip | proto-num} {source- ip [ wildcard ] | источник хоста - ip | любой } {dest -ip [ wildcard ] | хост dest- ip | любой }

    Для TCP используйте следующий синтаксис, чтобы добавить условие:

    [вставить номер строки ] deny tcp {source- ip [ wildcard ] | источник хоста - ip | любой } [ оператор порт [ порт ]] {dest- ip [ wildcard ] | хост dest- ip | любой } [ оператор порт [ порт ]] [установлено]

    нет deny tcp {source- ip [ wildcard ] | источник хоста - ip | любой } [ оператор порт [порт]] {dest- ip [ wildcard ] | хост dest- ip | любой } [ оператор порт [ порт ]] [установлено]

    Для UDP используйте следующий синтаксис, чтобы добавить условие:

    [вставить номер строки ] deny udp {source- ip [ wildcard ] | источник хоста - ip | любой } [ оператор порт [ порт ]] {dest- ip [ wildcard ] | хост dest- ip | любой } [ оператор порт [ порт ]]

    no deny udp {source- ip [ wildcard ] | источник хоста - ip | любой } [ оператор порт [ порт ]] {dest- ip [ wildcard ] | хост dest- ip | любой } [ оператор порт [ порт ]]

    Для ICMP используйте следующий синтаксис, чтобы добавить условие:

    [вставить номер строки ] deny icmp {source- ip [ wildcard ] | источник хоста - ip | любой } {dest- ip [ wildcard ] | хост dest- ip | любой } [ icmp-type [ code ] | icmp-msg ]

    no deny icmp {source- ip [ wildcard ] | источник хоста - ip | любой } {dest- ip [ wildcard ] | хост dest- ip | любой } [ icmp-type [ code ] | icmp-msg ]

    Описание синтаксиса

    вставка

    (Необязательно) Вставляет условия после указанного номера строки в список доступа.

    номер строки

    Определяет запись с определенным номером строки в списке доступа.

    отказать

    Вызывает отбрасывание пакетов, соответствующих указанным условиям.

    источник- ip

    Исходный IP-адрес.Номер сети или хоста, с которого отправляется пакет, заданный как 32-битное количество в десятичном формате, разделенном точками (например, 0.0.0.0).

    подстановочный знак

    (Необязательно) Части предыдущего IP-адреса для сопоставления, выраженные с использованием 4-значного десятичного представления с разделительными точками. Соответствующие биты обозначаются цифровым значением 0; игнорируемые биты идентифицируются 1.

    Note Для стандартных списков контроля доступа IP параметр подстановочного знака команды ip access-list всегда является необязательным.Если ключевое слово хоста указано для стандартного IP ACL, то параметр подстановочного знака не разрешен.

    хост

    Соответствует следующему IP-адресу.

    любой

    Соответствует любому IP-адресу.

    gre

    Сопоставляет пакеты с использованием протокола Generic Routing Encapsulation.

    ip

    Соответствует всем IP-пакетам.

    перво число

    (Необязательно) Номер IP-протокола.

    tcp

    Соответствует пакетам, использующим протокол TCP.

    udp

    Соответствует пакетам, использующим протокол UDP.

    оператор

    (Необязательно) Оператор для использования с указанными портами, где lt = меньше чем, gt = больше чем, eq = равно, neq = не равно и range = включающий диапазон.

    порт

    (Необязательно) Порт, используя номер (0-65535) или ключевое слово; Требуется 2 номера порта с диапазоном. См. Раздел «Рекомендации по использованию» для получения списка ключевых слов UDP и TCP.

    dest- ip

    IP-адрес назначения. Номер сети или хоста, на который отправляется пакет, заданный как 32-битное количество в десятичном формате, разделенном точками (например, 0.0.0.0).

    установлено

    (Необязательно) Сопоставляет пакеты TCP с установленными битами подтверждения или сброса.

    icmp

    Соответствует пакетам ICMP.

    Тип icmp

    (Необязательно) Соответствует типу сообщения ICMP (0–255).

    код

    (необязательно) Используется с icmp-type для дальнейшего сопоставления по типу кода ICMP (0-255).

    icmp-msg

    (Необязательно) Соответствует комбинации типа сообщения ICMP и типов кода, как выражено ключевыми словами, показанными в разделе «Рекомендации по использованию».


    По умолчанию

    Список доступа отбрасывает все пакеты, если вы не настроите хотя бы одну разрешающую запись.

    Командные режимы

    Расширенный режим настройки ACL

    Режимы устройства

    приложение-ускоритель

    центральный менеджер

    Руководство по использованию

    Для создания записи используйте ключевое слово deny или allow и укажите тип пакетов, которые устройство WAAS должно отбрасывать или принимать для дальнейшей обработки.По умолчанию список доступа запрещает все, потому что список завершается неявным запретом любой записи. Следовательно, вы должны включить хотя бы одну запись о разрешении, чтобы создать действительный список доступа.

    Чтобы разрешить соединения от определенного хоста, используйте опцию allow host-source-ip и замените source-ip на IP-адрес определенного хоста.

    Чтобы разрешить подключения из определенной сети, используйте параметр подстановочного знака «allow host-ip-адрес». Замените source-ip на идентификатор сети или IP-адрес любого хоста в сети, который вы хотите указать.Замените подстановочный знак десятичным обозначением с точками для маски, противоположной маске подсети, где 0 указывает позицию, которая должна быть сопоставлена, а 1 указывает позицию, которая не имеет значения. Например, подстановочный знак 0.0.0.255 заставляет игнорировать последние восемь бит в исходном IP-адресе. Следовательно, запись разрешения 192.168.1.0 0.0.0.255 разрешает доступ с любого хоста в сети 192.168.1.0.

    Для расширенных списков контроля доступа IP параметр подстановочного знака является обязательным, если ключевое слово хоста не указано.

    Используйте расширенный список доступа для управления соединениями на основе IP-адреса назначения или на основе типа протокола. Вы можете объединить эти условия с информацией об исходном IP-адресе, чтобы создать более ограничительное условие.

    В следующей таблице перечислены ключевые слова UDP, которые можно использовать с расширенными списками доступа.

    Ключевое слово UDP в интерфейсе командной строки Описание Номер порта UDP

    загрузочный ПК

    Клиент протокола начальной загрузки (BOOTP)

    68

    сапоги

    Сервер Bootstrap Protocol (BOOTP)

    67

    домен

    Система доменных имен (DNS)

    53

    мм

    Microsoft Media Server

    1755

    netbios-dgm

    Служба дейтаграмм NetBIOS

    138

    нетбиос-нс

    Служба имен NetBIOS

    137

    netbios-ss

    Служба сеансов NetBIOS

    139

    нфс

    Служба сетевой файловой системы

    2049

    нтп

    Протокол сетевого времени

    123

    snmp

    Простой протокол управления сетью

    161

    snmptrap

    ловушки SNMP

    162

    такса

    Терминальный контроллер доступа Система контроля доступа

    49

    тфтп

    Простой протокол передачи файлов

    69

    wccp

    Протокол связи веб-кэша

    2048


    В следующей таблице перечислены ключевые слова TCP, которые можно использовать с расширенными списками доступа.

    Ключевое слово TCP CLI Описание Номер порта TCP

    домен

    Система доменных имен

    53

    исполнительный

    Exec (RCP)

    512

    футов

    Протокол передачи файлов

    21

    ftp-data

    FTP-соединения для передачи данных (используются нечасто)

    20

    https

    Безопасный HTTP

    443

    мм

    Microsoft Media Server

    1755

    нфс

    Служба сетевой файловой системы

    2049

    SSH

    Логин Secure Shell

    22

    такса

    Терминальный контроллер доступа Система контроля доступа

    49

    телнет

    Telnet

    23

    www

    Интернет (HTTP)

    80


    В следующей таблице перечислены ключевые слова, которые можно использовать для сопоставления определенных типов и кодов сообщений ICMP.

    запрещено в административном порядке

    альтернативный адрес

    ошибка преобразования

    dod-host -hibited

    dod-net-запрещено

    эхо

    эхо-ответ

    проблема общих параметров

    , изолированный от хоста

    хост-приоритет-недоступен

    перенаправление хоста

    перенаправление хоста на хост

    узловые сети недоступны

    хост-неизвестен

    хост недоступен

    информация-ответ

    запрос информации

    маска-ответ

    по запросу маски

    мобильный перенаправление

    сетевое перенаправление

    net-tos-redirect

    нетто-до-недостижимо

    сеть-недоступна

    сеть-неизвестно

    без возможности установки

    опция - отсутствует

    слишком большой пакет

    параметр-проблема

    порт недоступен

    приоритет недоступен

    протокол недоступен

    таймаут повторной сборки

    перенаправление

    роутер-реклама

    Маршрутизатор-запрос

    источник-гашение

    исходный маршрут-сбой

    с превышением срока

    отметка времени-ответ

    запрос отметки времени

    traceroute

    ttl-превышено

    недоступен


    Примеры

    Следующие команды создают список доступа на устройстве WAAS.Вы создаете этот список доступа, чтобы позволить устройству WAAS принимать весь перенаправляемый на него веб-трафик, но ограничивает административный доступ хоста с помощью SSH:

     WAE (config) #  расширенный список доступа ip  testextacl 
     WAE (config-ext-nacl) #  allow tcp any any eq www  
     WAE (config-ext-nacl) #  deny tcp host 10.1.1.5 any eq ssh  
     WAE (config-ext-nacl) #  выход  
     

    Следующие команды активируют список доступа для интерфейса:

     WAE (config) #  интерфейс gigabitethernet 1/0  
     WAE (config-if) #  ip access-group extended  testextacl  in  
     WAE (config-if) #  выход  
     

    В следующем примере показано, как эта конфигурация появляется при вводе команды show running-configuration :

    ... 
    ! 
     интерфейс GigabitEthernet 1/0 
     IP-адрес 10.1.1.50 255.255.0.0 
     ip access-group расширенный testextacl в 
     выход 
    . . . 
     IP-список доступа расширенный testextacl 
     allow tcp any any eq www 
     allow tcp host 10.1.1.5 any eq ssh 
     выход 
    . . . 
     

    Связанные команды

    (config-ext-nacl) удалить

    (config-ext-nacl) список

    (config-ext-nacl) переместить

    (config-ext-nacl) разрешение

    (config-ext-nacl) выход

    Чтобы выйти из режима расширенной конфигурации ACL и вернуться в режим глобальной конфигурации, используйте команду exit .

    выход

    Описание синтаксиса

    У этой команды нет аргументов или ключевых слов.

    По умолчанию

    Нет поведения или значений по умолчанию

    Командные режимы

    Все режимы

    Режимы устройства

    приложение-ускоритель

    центральный менеджер

    Примеры

    В следующем примере завершается режим расширенной конфигурации ACL и происходит возврат в режим глобальной конфигурации:

     WAE (config-ext-nacl) #  выход  
     WAE (конфигурация) # 

    (config-ext-nacl) список

    Чтобы отобразить список указанных записей в расширенном ACL, используйте команду list .

    Список

    [ номер начальной строки [ номер конечной строки ]]

    Описание синтаксиса

    список

    Перечисляет указанные записи (или все записи, если они не указаны).

    начальный номер строки

    Номер строки, с которой начинается список.

    конечный номер строки

    (Необязательно) Номер последней строки в списке.


    Командные режимы

    Расширенный режим настройки ACL

    Режимы устройства

    приложение-ускоритель

    центральный менеджер

    Примеры

    В следующем примере отображается список указанных записей в расширенном ACL.

     WAE (config) # расширенный список доступа ip testextacl 
     WAE (config-ext-nacl) #  список 25 50  

    Связанные команды

    (config-ext-nacl) удалить

    (config-ext-nacl) переместить

    (config-ext-nacl) переместить

    Чтобы переместить строку в новую позицию в расширенном ACL, используйте команду move .

    переместить старый номер строки новый номер строки

    Описание синтаксиса

    переместить

    Перемещает указанную запись в списке доступа на новую позицию в списке.

    старый номер строки

    Номер строки записи, которую нужно переместить.

    номер новой строки

    Новая позиция записи.Существующая запись перемещается в следующую позицию в списке доступа.


    Командные режимы

    Расширенный режим настройки ACL

    Режимы устройства

    приложение-ускоритель

    центральный менеджер

    Примеры

    В следующем примере строка перемещается в новую позицию в расширенном ACL.

     WAE (config) # расширенный список доступа ip testextacl 
     WAE (config-ext-nacl) #  переместить 25 30  

    Связанные команды

    (config-ext-nacl) удалить

    (config-ext-nacl) список

    (config-ext-nacl) разрешение

    Чтобы добавить строку в расширенный список доступа, в которой указывается тип пакетов, которые устройство WAAS должно принимать для дальнейшей обработки, используйте команду allow .Чтобы добавить условие в расширенный ACL, обратите внимание, что параметры зависят от выбранного протокола.

    Для IP используйте следующий синтаксис, чтобы добавить условие:

    [вставить номер строки ] разрешение {gre | icmp | tcp | udp | ip | proto-num} {source- ip [ wildcard ] | источник хоста - ip | любой } {dest -ip [ wildcard ] | хост dest- ip | любой }

    разрешение {gre | icmp | tcp | udp | ip | proto-num} {source- ip [ wildcard ] | источник хоста - ip | любой } {dest -ip [ wildcard ] | хост dest- ip | любой }

    Для TCP используйте следующий синтаксис, чтобы добавить условие:

    [вставить номер строки ] разрешить tcp {source- ip [ wildcard ] | источник хоста - ip | любой } [ оператор порт [ порт ]] {dest- ip [ wildcard ] | хост dest- ip | любой } [ оператор порт [ порт ]] [установлено]

    без разрешения tcp {source- ip [ wildcard ] | источник хоста - ip | любой } [ оператор порт [порт]] {dest- ip [ wildcard ] | хост dest- ip | любой

    .

    Смотрите также