Рефераты. Защита маршрутизатора средствами CISCO IOS

Защита маршрутизатора средствами CISCO IOS

Реферат

Тема: защита маршрутизатора средствами CISCO IOS

Содержание.


Введение 3


Программное обеспечение маршрутизаторов Cisco 4


Основные интерфейсы 6


Консольные интерфейсы 7


Решения Cisco Systems для обеспечения сетевой безопасности
8


Пользовательский и привилегированный уровни доступа
10


Парольная защита 12


Ограничение доступа к маршрутизатору
15


Заключение 16


Список использованных источников 17

Введение.

Компания Cisco Systems является абсолютным лидером на рынке маршрутизаторов
(занимает около 70% рынка; на втором месте Juniper c 21%). Cisco предлагает модели от простейших маршрутизаторов для малого офиса (серия 800) до мультигигабитных устройств, размещаемых в ядре Интернета (серия 12000).


Кроме маршрутизаторов Cisco известна коммутаторами ЛВС марки Catalyst, межсетевыми экранами марки PIX, продуктами для IP-телефонии, продуктами марки Aironet для организации беспроводных сетей и др. С учетом всей номенклатуры выпускаемой продукции Cisco Systems является лидером мирового рынка оборудования связи (14%; на втором месте Siemens с 11,7%).


Все модели, кроме серии 800, обладают той или иной степенью модульности, то есть, позволяют устанавливать сменные интерфейсные модули и специализированные вычислительные модули (для шифрования или обработки голоса). Соответственно, цена устройства сильно зависит от комплектации.
Широко распространены также устройства серий 2500 и 4000, но в настоящее время они сняты с производства (за исключением моделей 2509 и 2511). На смену 2500 пришли маршрутизаторы серий 1700 и 2600, а на смену 4000 - 3600.

Программное обеспечение маршрутизаторов Cisco.

Все маршрутизаторы Cisco работают под управлением операционной системы
Cisco IOS. Для каждой модели маршрутизатора предлагаются несколько разновидностей IOS.


Образы IOS различаются по версии. Cisco использует достаточно сложную систему идентификации версий, ознакомиться с которой можно по этой ссылке.


Для студентов достаточно будет следующего понимания: номер версии Cisco IOS состоит из трех частей:


Номер основного релиза (major release; в настоящее время обычно встречаются основные релизы 11.3, 12.0, 12.1, 12.2).


Номер обновления (maintenance release), начиная с 1. Обновления выпускаются каждые 8 недель, в них включаются исправления ошибок. Набор функциональных возможностей релиза не изменяется.


Номер выпуска (software rebuild), обозначается буквой, начиная с а. Выпуски предназначены для экстренного исправления ошибок, которое не может ждать до следующего обновления.


Таким образом, IOS 12.2(6с) - это основной релиз 12.2, обновление 6, выпуск c.


Каждая версия характеризуется степенью зрелости, как правило это LD
(Limited Deployment) или GD (General Deployment). LD подразумевает меньший объем тестирования и опыта эксплуатации по сравнению с GD.


Кроме основного ряда IOS существует экспериментальный ряд, так называемый T- train (или, официально, Technology Releases). Именно в T-train включаются новые возможности и проходят "обкатку" до того, как будут введены в основной ряд. Нумерация версий ряда Т строится аналогично основному ряду
(только выпуски нумеруются цифрами):


IOS 12.1(6)T2 - этот T-train базируется на основном релизе 12.1. Это второй выпуск шестого обновления указанного T-train.


Со временем из T-train получается следующий основной релиз (так например,
12.0(6)Т переходит в 12.1, и в тот же момент образуется ряд 12.1Т для добавления новых возможностей). Зрелость T-train характеризуется как ED
(Early Deployment), что означает, что программное обеспечение не рекомендуется применять на ответственных участках, если аналогичную функциональность можно найти в версиях LD или GD.


Не всякая версия может быть установлена на конкретный маршрутизатор в конретной конфигурации; предварительно следует проконсультироваться у специалиста компании-реселлера.


Кроме версий, образы IOS различаются по заложенной в них функциональности.
Функциональные возможности группируются в наборы, называемые feature sets.
Минимальная функциональность содержится в IP only feature set (или просто
"IP"); она включает в себя, в частности, поддержку IP-интерфейсов, статическую и динамическую IP-маршрутизацию, поддержку мониторинга и управления по SNMP. IP Plus feature set включает дополнительные возможности
(например, поддержку технологии VoIP для передачи голоса). Также имеются feature sets с функциями межсетевого экрана (FW, Firewall), системы обнаружения атак (IDS), криптозащиты трафика (IPSEC) и др., в том числе имеются и комбинированные образы, например IP Plus FW IPSEC. Бесплатно с маршрутизатором поставляется только IP only feature set, остальные образы необходимо покупать. Для определения того, в каком feature set имеется требуемая вам возможность, следует обратиться к специалисту компании- реселлера.


Таким образом, конкретный образ IOS идентифицируется тремя параметрами:

аппаратная платформа, для которой он предназначен,

feature set,

версия.


Пример имени файла с образом IOS: c3620-is-mz.122-13a.bin. Это IOS IP Plus
12.2(13a) для Cisco 3620. Feature set (IP Plus) идентифицируется символами
"is", следующими за обозначением платформы. Другие примеры feature sets:
"i" - IP, "js" - Enterprise Plus, "io" - IP FW. Подобная кодировка справедлива для серий 2600, 3600; для других платформ коды feature set могут отличаться.


Буквы "mz" означают, что IOS при запуске загружается в оперативную память
(m) и что в файле образ хранится в сжатом виде (z).

Основные интерфейсы.

В каждом маршрутизаторе имеется некоторое число физических интерфейсов.
Наиболее распространенными типами интерфейсов являются:
Ethernet/FastEthernet и последовательные интерфейсы (Serial).
Последовательные интерфейсы по своему аппаратному исполнению бывают синхронные, синхронно-асинхронные (режим выбирается командой конфигурации) и асинхронные (Async). Протоколы физического уровня последовательных интерфейсов: V.35 (чаще всего используется на синхронных линиях), RS-232
(чаще всего используется на асинхронных линиях) и другие.


Каждому интерфейсу соответствует разъем на корпусе маршрутизатора.
Интерфейсы Ethernet на витой паре обычно имеют разъем RJ-45, но на некоторых моделях (серия 2500) встречаются разъемы AUI (DB-15), которые требуют подключения внешнего трансивера, реализующего тот или иной интерфейс физического уровня Ethernet.


Последовательные интерфейсы чаще всего снабжаются фирменными разъемами DB-
60 F или SmartSerial F (последний более компактен). Для того, чтобы подключить интерфейс к внешнему оборудованию, необходимо использовать фирменный кабель - свой для каждого протокола физического уровня. Фирменный кабель имеет с одной стороны разъем DB-60 M, а с другой стороны - разъем выбранного стандарта физического уровня для устройства DTE или DCE. Таким образом, кабель выполняет следующие задачи:

путем замыкания специальных контактов в разъеме DB-60 сигнализирует маршрутизатору, какой выбран протокол физического уровня, и каким типом устройства является маршрутизатор: DTE или DCE;

является переходником с универсального разъема DB-60 на стандартный разъем выбранного протокола физического уровня.


Примечание. В терминологии Cisco кабель DTE подключается к устройству DCE, а кабель DCE - к устройству DTE; то есть тип кабеля указывает, какого вида устройством является сам маршрутизатор, а не тот прибор, с которым его соединяет кабель.


Обычно кабели DTE используются для подключения к маршрутизатору модемов, а связка двух кабелей DTE-DCE используется для соединения двух маршрутизаторов напрямую (back-to-back), при этом, естественно, один из маршрутизаторов будет в роли DCE. На рисунке 2.2 приведен пример сипользования кабедей для соединения устройств через интерфейс V.35
(стандартный разъем M.34).


Кроме универсальных последовательных интерфейсов, рассматривавшихся выше, существуют специализированные последовательные интерфейсы, реализованные вместе с каналообразующим оборудованием: контроллеры E1, модули ISDN BRI, модули DSL, встроенные аналоговые или ISDN-модемы. В этом случае последовательный интерфейс находится внутри маршрутизатора, "между" каналообразующим оборудованием и ядром маршрутизатора. Для подключения линий связи к вышеуказанному каналообразующему оборудованию обычно используется разъем RJ-45 (для подключения линий к аналоговым модемам - RJ-
11).

Консольные интерфейсы.

Два специальных последовательных интерефейса - CON и AUX - предназначены для доступа с терминала администратора к маршрутизатору для настройки и управления. Интерфейс CON подключается напосредственно к COM-порту компьютера администратора. К интерфейсу AUX подключается модем, что дает возможность удаленного управления маршрутизатором путем дозвона на модем.
Интерфейс AUX может быть использован и как обычный последовательный интерфейс, через который производится маршрутизация дейтаграмм, но обрабока пакетов на этом интерфейсе требует большой доли процессорного времени
(каждый полученный байт вызывает прерывание), а скорость ограничена 115 кбит/с. Интерфейс CON используется только для терминального доступа к маршрутизатору, параметры COM-порта должны быть 9600-8-N-1.


Обычно разъемы CON и AUX выполнены в формате RJ-45. Подключение к ним производится с помощью специального кабеля RJ45-RJ45, прилагаемого к маршрутизатору. Одним концом кабель включается в CON или AUX, а на другой надевается переходник. Для подключения порта CON к компьютеру на кабель надевается переходник, помеченный как "TERMINAL", а для подключения порта
AUX к модему со стороны модема используется переходник "MODEM".

Виртуальные интерфейсы.

Наряду с физическими интерфейсами в маршрутизаторе могут быть организованы виртуальные интерфейсы: Loopback, Null, Dialer, Virtual-Template,
Multilink, BVI и др.


Loopback и Null вообще никак не связаны с физическими интерфейсами.


Loopback - это интерфейс обратной связи, ему можно назначать IP-адрес и указывать некоторые другие параметры, используемые при настройках интерфейсов. Loopback имеет следующие свойства:

интерфейс всегда активен (в отличие от физических интерфейсов, где, например, обрыв кабеля переводит интерфейс в отключенное состояние);

как и в случае физических интерфейсов, пакеты, адресованные на этот интерфейс, считаются адресованными маршрутизатору, а воображаемая IP-сеть, к которой он "подсоединен" (согласно своим адресу и маске), считается непосредственно подсоединенной к маршрутизатору;

Страницы: 1, 2, 3



2012 © Все права защищены
При использовании материалов активная ссылка на источник обязательна.