Защита маршрутизатора средствами CISCO IOSРефераты >> Программирование и компьютеры >> Защита маршрутизатора средствами CISCO IOS
Содержание.
Введение
Программное обеспечение маршрутизаторов Cisco
Основные интерфейсы
Консольные интерфейсы
Решения Cisco Systems для обеспечения сетевой безопасности
Пользовательский и привилегированный уровни доступа
Парольная защита
Ограничение доступа к маршрутизатору
Заключение
Список использованных источников
Введение.
Компания Cisco Systems является абсолютным лидером на рынке маршрутизаторов (занимает около 70% рынка; на втором месте Juniper c 21%). Cisco предлагает модели от простейших маршрутизаторов для малого офиса (серия 800) до мультигигабитных устройств, размещаемых в ядре Интернета (серия 12000).
Кроме маршрутизаторов Cisco известна коммутаторами ЛВС марки Catalyst, межсетевыми экранами марки PIX, продуктами для IP-телефонии, продуктами марки Aironet для организации беспроводных сетей и др. С учетом всей номенклатуры выпускаемой продукции Cisco Systems является лидером мирового рынка оборудования связи (14%; на втором месте Siemens с 11,7%).
Все модели, кроме серии 800, обладают той или иной степенью модульности, то есть, позволяют устанавливать сменные интерфейсные модули и специализированные вычислительные модули (для шифрования или обработки голоса). Соответственно, цена устройства сильно зависит от комплектации. Широко распространены также устройства серий 2500 и 4000, но в настоящее время они сняты с производства (за исключением моделей 2509 и 2511). На смену 2500 пришли маршрутизаторы серий 1700 и 2600, а на смену 4000 - 3600.
Программное обеспечение маршрутизаторов Cisco.
Все маршрутизаторы Cisco работают под управлением операционной системы Cisco IOS. Для каждой модели маршрутизатора предлагаются несколько разновидностей IOS.
Образы IOS различаются по версии. Cisco использует достаточно сложную систему идентификации версий, ознакомиться с которой можно по этой ссылке.
Для студентов достаточно будет следующего понимания: номер версии Cisco IOS состоит из трех частей:
Номер основного релиза (major release; в настоящее время обычно встречаются основные релизы 11.3, 12.0, 12.1, 12.2).
Номер обновления (maintenance release), начиная с 1. Обновления выпускаются каждые 8 недель, в них включаются исправления ошибок. Набор функциональных возможностей релиза не изменяется.
Номер выпуска (software rebuild), обозначается буквой, начиная с а. Выпуски предназначены для экстренного исправления ошибок, которое не может ждать до следующего обновления.
Таким образом, IOS 12.2(6с) - это основной релиз 12.2, обновление 6, выпуск c.
Каждая версия характеризуется степенью зрелости, как правило это LD (Limited Deployment) или GD (General Deployment). LD подразумевает меньший объем тестирования и опыта эксплуатации по сравнению с GD.
Кроме основного ряда IOS существует экспериментальный ряд, так называемый T-train (или, официально, Technology Releases). Именно в T-train включаются новые возможности и проходят "обкатку" до того, как будут введены в основной ряд. Нумерация версий ряда Т строится аналогично основному ряду (только выпуски нумеруются цифрами):
IOS 12.1(6)T2 - этот T-train базируется на основном релизе 12.1. Это второй выпуск шестого обновления указанного T-train.
Со временем из T-train получается следующий основной релиз (так например, 12.0(6)Т переходит в 12.1, и в тот же момент образуется ряд 12.1Т для добавления новых возможностей). Зрелость T-train характеризуется как ED (Early Deployment), что означает, что программное обеспечение не рекомендуется применять на ответственных участках, если аналогичную функциональность можно найти в версиях LD или GD.
Не всякая версия может быть установлена на конкретный маршрутизатор в конретной конфигурации; предварительно следует проконсультироваться у специалиста компании-реселлера.
Кроме версий, образы IOS различаются по заложенной в них функциональности. Функциональные возможности группируются в наборы, называемые feature sets. Минимальная функциональность содержится в IP only feature set (или просто "IP"); она включает в себя, в частности, поддержку IP-интерфейсов, статическую и динамическую IP-маршрутизацию, поддержку мониторинга и управления по SNMP. IP Plus feature set включает дополнительные возможности (например, поддержку технологии VoIP для передачи голоса). Также имеются feature sets с функциями межсетевого экрана (FW, Firewall), системы обнаружения атак (IDS), криптозащиты трафика (IPSEC) и др., в том числе имеются и комбинированные образы, например IP Plus FW IPSEC. Бесплатно с маршрутизатором поставляется только IP only feature set, остальные образы необходимо покупать. Для определения того, в каком feature set имеется требуемая вам возможность, следует обратиться к специалисту компании-реселлера.
Таким образом, конкретный образ IOS идентифицируется тремя параметрами:
аппаратная платформа, для которой он предназначен,
feature set,
версия.
Пример имени файла с образом IOS: c3620-is-mz.122-13a.bin. Это IOS IP Plus 12.2(13a) для Cisco 3620. Feature set (IP Plus) идентифицируется символами "is", следующими за обозначением платформы. Другие примеры feature sets: "i" - IP, "js" - Enterprise Plus, "io" - IP FW. Подобная кодировка справедлива для серий 2600, 3600; для других платформ коды feature set могут отличаться.
Буквы "mz" означают, что IOS при запуске загружается в оперативную память (m) и что в файле образ хранится в сжатом виде (z).
Основные интерфейсы.
В каждом маршрутизаторе имеется некоторое число физических интерфейсов. Наиболее распространенными типами интерфейсов являются: Ethernet/FastEthernet и последовательные интерфейсы (Serial). Последовательные интерфейсы по своему аппаратному исполнению бывают синхронные, синхронно-асинхронные (режим выбирается командой конфигурации) и асинхронные (Async). Протоколы физического уровня последовательных интерфейсов: V.35 (чаще всего используется на синхронных линиях), RS-232 (чаще всего используется на асинхронных линиях) и другие.
Каждому интерфейсу соответствует разъем на корпусе маршрутизатора. Интерфейсы Ethernet на витой паре обычно имеют разъем RJ-45, но на некоторых моделях (серия 2500) встречаются разъемы AUI (DB-15), которые требуют подключения внешнего трансивера, реализующего тот или иной интерфейс физического уровня Ethernet.
Последовательные интерфейсы чаще всего снабжаются фирменными разъемами DB-60 F или SmartSerial F (последний более компактен). Для того, чтобы подключить интерфейс к внешнему оборудованию, необходимо использовать фирменный кабель - свой для каждого протокола физического уровня. Фирменный кабель имеет с одной стороны разъем DB-60 M, а с другой стороны - разъем выбранного стандарта физического уровня для устройства DTE или DCE. Таким образом, кабель выполняет следующие задачи: