ПО Cisco IOS обеспечивает сетевым администраторам возможность определения списков доступа, также известных как ACL (Access Control List). Списки доступа разрешают или запрещают обмен информацией между различными элементами сети на основе сетевых адресов отправителя и получателя, порта или протокола. Списки доступа физически предотвращают прохождение пакетов между некоторыми сетями, Устанавливая препятствия между определенными клиентами и серверами.
Списки доступа в ПО Cisco IOS для пакетов IPX могут назначаться в обоих направлениях для каждого интерфейса. Выходные списки доступа предотвращают выход трафика Netware за пределы определенного сегмента сети или запрещают его передачу другим сетям.
Входные списки доступа обеспечивают дополнительную гибкость при создании защищенных сетей IPX. Они могут использоваться для определения информации пользователя на краях сетей и построения более сложных систем firewall. Входные списки доступа также снижают загрузку на процессор за счет запрещения прохождения определенных пакетов до их обработки маршрутизатором и обеспечивают фильтрацию трафика при использовании туннельных сетей на основе инкапсуляции GRE (Generic Routing Encapsulation). Более подробно о сетях такого типа см. раздел “Туннели IPX".
Фильтры RIP, SAP и NetBIOS
Кроме управления трафиком IPX при помощи списков доступа, программное обеспечение Cisco IOS обеспечивает фильтрацию пакетов RIP, SAP и NetBIOS. Фильтрация возможна также в обоих направлениях на каждом из интерфейсов.
Фильтрация пакетов RIP обеспечивает несколько преимуществ:
· Фильтрация некоторых маршрутов обеспечивает изоляцию некоторых сетей по выбору администратора
· Фильтрация обеспечивает “видимость” определенных участков сети только из указанных областей сетевой системы
· Фильтрация позволяет создать логически параллельные сетевые связи без необходимости физической изоляции сетевых соединений и участков
Фильтрация также может применяться для увеличения производительности сети за счет предотвращения попадания в соединения с ограниченной полосой пропускания неавторизованного трафика.
Трафик SAP может быть разделен по типам рекламируемых сервисов, номеру сети и по другим полям пакета SAP. ПО Cisco IOS также может фильтровать трафик NetBIOS, который инкапсулируется в пакеты IPX. Сетевой трафик может быть отфильтрован либо по именам узлов NetBIOS, либо по любой двоичной маске, накладываемой на каждый пакет NetBIOS. Сетевые администраторы могут использовать гибкие механизмы фильтрации для уменьшения размеров таблиц SAP, а также для ограничения доступа к ресурсам серверов Netware для пользователей из неавторизованных областей сети.
Протоколирование нарушений списков доступа
Программное обеспечение Cisco IOS позволяет использовать стандартные механизмы протоколирования нарушений списков доступа IPX. Нарушение протоколируется при получении первого пакета с параметрами, совпадающими с записями в списке доступа. Обновление записей производится через временные интервалы, соответствующие примерно 5 минутам.
Эта способность программного обеспечения позволяет сохранять информацию об адресах получателя и отправителя, типах протоколов (пакетов) и произведенных действиях (доступ запрещен/разрешен). Использование системы протоколирования нарушений списков доступа позволяет сетевому администратору установить в сети единую систему учета и контроля за соблюдением прав доступа с возможностью раннего оповещения о неавторизованном доступе к ресурсам сети.
Дата: 2019-07-30, просмотров: 222.