Глобальные сети

Федеральное государственное бюджетное  
образовательное учреждение высшего образования  
«Московский государственный технический университет имени Н.Э. Баумана  
(национальный исследовательский университет)»
Глобальные сети
Учебно-методическое пособие

УДК	004.7
ББК	 32.973.202
	
Г54
Издание доступно в электронном виде по адресу
ebooks.bmstu.press/catalog/255/book1817.html
Факультет «Информатика и системы управления»
Кафедра «Компьютерные системы и сети»
Рекомендовано Научно-методическим советом 
МГТУ им. Н.Э. Баумана в качестве учебно-методического пособия 
Авторы:
М.А. Захаров, А.А. Митьковский, 
А.Д. Пономарев, А.В. Пролетарский
	
	
Глобальные сети : учебно-методическое пособие / [М. А. Захаров 

Г54 	и др.]. — Москва : Издательство МГТУ им. Н. Э. Баумана, 2019. — 

 	
77, [3] с. : ил. 
ISBN 978-5-7038-4918-7
Рассмотрены базовые протоколы и функции, обеспечивающие работоспособность и 
безопасность сетей; вопросы, относящиеся к основным настройкам коммутаторов Cisco 
и способам управления ими; команды настройки маршрутизации и ограничений доступа; 
принципы обеспечения безопасности пользователей и управления виртуальными сетями; 
технологии защиты от атак и фильтрации трафика.
Приведены материалы для подготовки к выполнению лабораторных работ, даны 
примеры пошагового решения задач, а также задания для самостоятельной работы.
Для студентов МГТУ им. Н.Э. Баумана, обучающихся по специальности 220100 
«ЭВМ, системы, комплексы и сети» и изучающих дисциплину «Глобальные сети».
УДК 004.7
ББК 32.973.202
 
 МГТУ им. Н.Э. Баумана, 2019
 
 Оформление. Издательство
ISBN 978-5-7038-4918-7	
	
МГТУ им. Н.Э. Баумана, 2019

Предисловие 
Сети и телекоммуникации в настоящее время из чисто научного и узкоспециализированного направления превратились в мощное средство развития. Поскольку компьютерные сети и Интернет проникают в самые разные и 
порой крайне ответственные области человеческой деятельности, возрастает 
актуальность решения вопросов безопасности.
Учебно-методическое пособие подготовлено для студентов, изучающих 
дисциплину «Глобальные сети». Учебной программой предусмотрено выполнение лабораторных работ, посвященных вопросам обеспечения безопасности при работе в современных компьютерных сетях с помощью межсетевых 
экранов компании D-Link — одного из лидеров на рынке современного сетевого оборудования. 
Основной целью лабораторных работ является формирование у обучающихся новых компетенций в области базовых протоколов и средств обеспечения безопасности компьютерных сетей.
После выполнения лабораторных работ в соответствии с рекомендациями, 
содержащимися в настоящем учебно-методическом пособии, студент должен: 
знать
•
• принципы построения и функционирования современных локальных и 
глобальных компьютерных сетей, примеры их реализации;
•
• основные средства и способы обеспечения информационной безопасности и принципы построения систем защиты информации;
•
• основные правила выбора и последующей эффективной эксплуатации 
необходимых программных и технических средств обеспечения безопасности 
информации;
уметь
•
• формулировать и разрабатывать концепции и политики безопасности, 
необходимые для эффективного функционирования комплексных систем защиты информации;
•
• анализировать и оценивать угрозы информационной безопасности 

объекта;
•
• осуществлять меры противодействия нарушениям сетевой безопасности с использованием различных программных и аппаратных средств защиты;
•
• проводить мониторинг угроз безопасности компьютерных сетей;
•
• проводить аудит журналов для выявления попыток несанкционированного доступа и прочих нарушений безопасности информации;
•
• применять средства криптографической защиты;
•
• использовать средства защиты от несанкционированного доступа, системы обнаружения и устранения уязвимостей, межсетевые экраны;
владеть навыками
•
• выявления уязвимостей компьютерных систем и сетей;
•
• проверки правильности функционирования подсистемы управления доступом пользователей к защищаемым информационным ресурсам организации;
•
• администрирования программно-аппаратных средств обеспечения безопасности компьютерных систем и сетей.
3

Лабораторная работа № 1 
Списки контроля доступа ACL 
Цель работы — изучение списков контроля доступа ACL.
Продолжительность работы 2 ч.
Краткая теоретическая часть 
Access Control List (ACL) — это список текстовых выражений, которые разрешают (permit) или запрещают (deny) какое-либо действие. Обычно 
ACL разрешает или запрещает продвижение IP-пакетов, но он также позволяет просматривать содержимое IP-пакета, определять его тип, проверять 
TCP/UDP-порты. Существуют ACL для различных сетевых протоколов — 
IP, IPX, AppleTalk и т. д. В основном ACL применяют для пакетной фильтрации, которая необходима в тех ситуациях, когда оборудование стоит на 
границе Интернет — частная сеть и требуется отфильтровать нежелательный трафик. 
Обработка пакетов ведется строго в том порядке, в котором заданы выражения в ACL. Когда пакет попадает на интерфейс, проверяется первое условие из списка. Если оно выполняется, пакет обрабатывается и дальнейшее 
условие не проверяется. Если обработки не происходит, пакет уничтожается.
Чтобы блокировать избыточные виды трафика, ACL следует разместить 
на входящем направлении. Функционально ACL предназначены для классификации трафика и используются на интерфейсе (пакетная фильтрация), на 
линии Telnet (ограничения доступа к маршрутизатору). Кроме того, они могут применяться для различных технологий: VPN (тип трафика для шифрования); QoS (приоритетность обработки трафика); NAT (правила трансляции адресов). 
Механизм работы ACL 
При пакетной фильтрации ACL создают независимо, а затем присоединяют их к интерфейсу. Устройство начинает просматривать трафик (входящий 
и исходящий), как только ACL присоединен к интерфейсу. Трафик, который 
входит в устройство, называется входящим, тот, который из него выходит, — 
исходящим. Таким образом, ACL применяются на входящем или исходящем 
направлении. 
Типы ACL 
Выделяют два типа ACL: 
•
• стандартные (Standard) — могут проверять только адреса источников;
•
• расширенные (Extended) — могут проверять адреса источников и адреса получателей, а в случае применения IP-протокола еще тип протокола и TCP/
UDP-порты. 
Стандартные ACL следует размещать как можно ближе к получателю, 
расширенные — как можно ближе к источнику. Это необходимо для того, 
чтобы не пересылать пакеты по всей сети. 
4

Списки доступа обозначают номерами или символьными именами. Нумерованные списки доступа, в свою очередь, обозначают следующим образом: 
•
• стандартные — от 1 до 99; 
•
• расширенные — от 100 до 199. 
Символьные ACL также подразделяют на стандартные и расширенные. 
Однако вследствие того, что расширенные ACL могут проверять гораздо больше параметров, чем стандартные, они работают медленнее, так как просматривают содержимое пакета, в отличие от стандартных, просматривающих 
только поле Source Address (Адрес отправителя). При создании ACL каждую 
запись списка доступа обозначают порядковым номером, по умолчанию кратным десяти (10, 20, 30 и т. д.). Нельзя разместить более одного списка доступа на интерфейсе, на протоколе и на направлении. Следует отметить, что 
ACL не действуют на трафик, сгенерированный данным маршрутизатором. 
Для фильтрации адресов в ACL используется WildCard-маска. При определении обратной WildCard-маски ACL следует вычесть обычную маску из 
маски 255.255.255.255. Ниже приведен пример определения обратной маски 
для сетевого адреса 192.168.1.0 с обычной маской 255.255.255.0:
255.255.255.255 – 255.255.255.0 (обычная маска) =
= 0.0.0.255 (обратная маска).
Таким образом, для правильной настройки списков доступа необходимо 
помнить следующее:
•
• обработка ведется строго в том порядке, в котором записаны условия; 
•
• если пакет совпал с условием, далее он не обрабатывается; 
•
• в конце каждого списка доступа стоит неявный запрет deny any (запретить все); 
•
• стандартные ACL следует размещать как можно ближе к получателю, 
расширенные — как можно ближе к источнику; 
•
• нельзя размещать более одного ACL на интерфейсе, на протоколе и на 
направлении; 
•
• ACL не проверяет трафик, который сгенерирован самим устройством; 
•
• для фильтрации адресов используется WildCard-маска. 
Приведем команды управления списками контроля доступа на оборудовании Cisco.
Стандартный ACL
Router(config)#access-list <номер списка от 1 до 99> {permit | deny | 
remark} {address | any | host} [source-wildcard] [log] 
•
• permit: разрешить; 
•
• deny: запретить; 
•
• remark: комментарий о списке контроля доступа; 
•
• address: разрешаем или запрещаем сеть; 
•
• any: разрешаем или запрещаем все; 
•
• host: разрешаем или запрещаем устройство; 
•
• source-wildcard: WildCard-маска сети; 
•
• log: включить журналирование пакетов, проходящих через данную запись ACL. 
5

Расширенный ACL 
Router(config)#access-list <номер списка от 100 до 199> 
{permit | deny | remark} protocol source [source-wildcard] 
[operator operand] 
[port <порт или название протокола> [established] 
•
• permit: разрешить; 
•
• deny: запретить; 
•
• remark: комментарий о списке контроля доступа; 
•
• protocol source: тип протокола, который разрешен или запрещен (ICMP, 
TCP, UDP, IP, OSPF и т. д.); 
•
• source-wildcard: WildCard-маска сети; 
•
• operator operand: 
A.B.C.D — адрес получателя;
any — любое конечное устройство; 
eq — только пакеты на этом порте; 
gt — только пакеты с большим номером порта; 
host — единственное конечное устройство; 
lt — только пакеты с более низким номером порта; 
neq — только пакеты не с данным номером порта; 
range — диапазон портов; 
•
• port: номер TCP/UDP-порта (можно указать имя); 
•
• established: разрешить прохождение TCP-сегментов, которые являются частью уже созданной TCP-сессии.
Присоединение к интерфейсу 
Router(config-if)#ip access-group <номер списка или имя ACL> {in | 
out} 
•
• in: входящее направление; 
•
• out: исходящее направление.
Именованные ACL 
Router(config)#ip access-list {standard | extended} {<номер ACL> | 
<имя ACL>} Router(config-ext-nacl)# {default | deny | exit | no | 
permit | remark} 
•
• standard: стандартный ACL; 
•
• extended: расширенный ACL; 
•
• default: установка параметров команды по умолчанию; 
•
• deny: запретить; 
•
• exit: выход;
•
• no: нет.
Поиск проблем 
show access-lists — информация обо всех списках контроля доступа на 
устройстве;
show access-lists {ACL номер | имя} — информация о списке контроля 
доступа. 
6

Удаление ACL из интерфейса
Для удаления ACL из интерфейса необходимо перейти в режим настройки и ввести no перед командой access-group, как показано ниже:
interface <interface> 
no ip access-group #in|out
Практическая часть 
Схема лабораторной работы. На рис. 1.1 приведена схема, которую необходимо реализовать в процессе выполнения лабораторной работы.
Рис. 1.1. Схема сети для выполнения лабораторной работы № 1
Оборудование. Ниже приведен перечень оборудования, необходимого 
для выполнения лабораторной работы:
1) коммутатор Cisco Catalist 3560; 
2) коммутатор Cisco Catalist 2960 (далее в обозначениях коммутаторов 
слово Cisco опускаем); 
3) четыре рабочие станции с сетевой картой 10/100/1000 Base-T; 
4) пять патч-кордов cat.5e. 
Список команд. В табл. 1.1 приведено описание команд для Cisco IOS.
7

Таблица 1.1
Описание команд для Cisco IOS
Команда
Описание 
Создание стандартного ACL 
access-list <номер списка от 1 до 99> 
{permit | deny | remark} {address | any | 
host} [source-wildcard] [log]
Создание расширенного ACL
access-list <номер списка от 100 до 199> 
{permit | deny | remark} protocol source 
[source-wildcard] [operator operand] [port 
<порт или название протокола>] [established]
ip access-group <номер списка или имя ACL> 
{in | out}
Привязка ACL к интерфейсу 
(выполняется в режиме конфигурирования интерфейса)
Задание 1. Собрать схему, показанную на рис. 1.1, и настроить списки 
контроля доступа таким образом, чтобы не проходили пакеты по команде ping 
с коммутатора Catalist 2960 на рабочую станцию № 4.
Выполнение задания 1. Выполните следующие операции по шагам.
Шаг 1. Настройте IP-адреса на устройствах в соответствии с рис. 1.1. 
Зайдите в режим глобальной конфигурации коммутатора Catalist 2960, затем 
в режим конфигурации интерфейса виртуальной сети VLAN 1 и задайте на 
нем IP-адрес.
Catalyst 2960
Switch>enable //переход в привилегированный режим.
Switch#configure terminal //переход в режим глобальной конфигурации.
Switch(config)#interface vlan 1 //переход в режим конфигурации интерфейса.
Switch(config-if)#ip address 192.168.0.10 255.255.255.0 //задание IP-адреса.
Switch(config-if)#no shutdown //включение интерфейса.
Switch(config-if)#exit //выход из привилегированного режима.
Перейдите теперь в меню «Сетевые подключения» → «Подключение по локальной сети» → «Свойства». Выберите пункт «Протокол Интернета (TCP/IP)» 

и назначьте требуемый IP-адрес.
Шаг 2. Создайте на коммутаторе Catalist 3560 ACL, запрещающий прохождение ICMP-трафика от коммутатора Catalist 2960 к рабочей станции № 4. 
Там же создайте правило, разрешающее прохождение остального трафика по 
данному маршруту.
Catalyst 3560
Switch(config)#access-list 101 deny icmp host 192.168.0.10 
host 192.168.0.4 //где 101 - номер списка доступа, 192.168.0.10 – IP-адрес
                 //коммутатора Catalist 2960 (адресат-отправитель), 
192.168.0.4 – IP-адреса рабочей станции № 4 (получатель).
Switch(config)#access-list 101 permit ip any any //разрешение прохождения 
                             // остального трафика по данному маршруту.
8