Создание acl-списка
Войдите в режим глобальной конфигурации. При помощи команды access-list введите инструкции списка контроля доступа. Введите все инструкции с одинаковым номером ACL-списка, пока список контроля доступа не будет готов.
Синтаксис стандартного ACL-списка следующий:
access-list [номер списка доступа] [deny|permit] [адресисточника] [шаблоннаямаскаисточника][log]
Поскольку каждый пакет сравнивается с инструкцией ACL-списка до нахождения совпадения, порядок размещения инструкций в ACL-списке может влиять на создаваемое запаздывание. Поэтому располагайте инструкции таким образом, чтобы более частые условия в ACL-списке предшествовали менее частым. Например, инструкции с совпадением по наибольшему объему трафика необходимо размещать в начале ACL-списка.
Пример:
Задание №2 Списки контроля доступа
Топология сети:
Таблица сетевых адресов.
Устройство |
Интерфейс |
IP-адрес |
Маска подсети |
Основной шлюз |
R1 |
Fa0/0 |
192.168.1.1 |
255.255.255.0 |
N/A |
Fa0/1 |
10.0.0.1 |
255.255.255.252 |
N/A |
|
Se0/0/0 |
10.0.0.9 |
255.255.255.252 |
N/A |
|
R2 |
Fa0/0 |
192.168.2.1 |
255.255.255.0 |
N/A |
Fa0/1 |
10.0.0.2 |
255.255.255.252 |
N/A |
|
Se0/0/1 |
10.0.0.6 |
255.255.255.252 |
N/A |
|
R3 |
Fa0/0 |
192.168.3.1 |
255.255.255.0 |
N/A |
Se0/0/0 |
10.0.0.10 |
255.255.255.252 |
N/A |
|
Se0/0/1 |
10.0.0.5 |
255.255.255.252 |
N/A |
|
PC1 |
N/A |
192.168.1.10 |
255.255.255.0 |
192.168.1.1 |
PC2 |
N/A |
192.168.2.10 |
255.255.255.0 |
192.168.2.1 |
Web-Server |
N/A |
192.168.3.10 |
255.255.255.0 |
192.168.3.1 |
1) Запустите файл lab01.pktиз папки с заданиями
2) C помощью графического интерфейса убедитесь, что устройства R1, R2 и R3 сконфигурированыправильно.
3) Убедитесь, что устройства R1, R2 и R3 обмениваютсядруг с другом по протоколу маршрутизации RIP информацией о следующих сетях:
•192.168.1.0/24
• 192.168.2.0/24
• 10.0.0.0/30
• 10.0.0.4/30
• 10.0.0.5/30
У каждого маршрутизатора все указанные выше сети должны присутствовать в таблицемаршрутизации. Список сетей, которые маршрутизаторы должны получать по протоколу RIP указан в таблице
Маршрутизатор |
Сети |
R1 |
192.168.1.0/24 10.0.0.4/30 |
R2 |
192.168.1.0/24 10.0.0.8/30 |
R3 |
192.168.1.0/24 192.168.2.0/24 10.0.0.0/30 |
Сеть 192.168.3.0/24 не включена в протокол RIP, поэтому в таблицах маршрутизации R1 и R2 её быть не должно.
4)Конфигурация маршрута по умолчанию
5) Зайдите в эмулятор командной строки маршрутизатора R3
6) Зайдите в режим “privilegedEXEC”.
R3>enable
R3#
7) Зайдите в режим глобальной конфигурации маршрутизатора.
R3#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R3(config)#
8) Сконфигурируйтемаршрутпоумолчанию.
R3(config)#ip route 0.0.0.0 0.0.0.0 FastEthernet 0/0
9) С помощью команды showiproute удостоверьтесь, что маршрут появился в таблице маршрутизации
10) Распространите маршрут по умолчанию по сети.
R3#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R3(config)#router rip
R3(config-router)#default-information originate
R3(config-router)#
11) С помощью команды showiproute удостоверьтесь, что маршрут появился в таблице маршрутизации на устройствах R1 и R2.
12)
Зайдите в эмулятор рабочего стола
устройства PC1
или PC2.
13) Откройте эмулятор браузера (кнопка WedBrowser), в поле ввода адреса сайта наберите www.site.ru и нажмите ОК.
14) Сохранитеконфигурациюустройств.
Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Router#
15) Настройте на маршрутизаторе R1 стандартныйACL, запрещающий устройству PC1 взаимодействовать с устройствами из других сетей.
a) Зайдите в режим глобальной конфигурации маршрутизатора.
R1>enable
R1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#
b) Создайтестандартный ACL.
R1(config)#access-list 1 deny 192.168.1.10 0.0.0.0
-
access-list
Командасоздания ACL
1
Номер ACL
deny
Команда «запретить»
192.168.1.10
Адрес, к которому надо применить команду
0.0.0.0
Wildcard маска
R1(config)#access-list 1 permit any
c) Установите ACL на интерфейсе fa0/0 маршрутизатора R1.
R1(config)#interface fa 0/0
R1(config-if)#ip access-group 1 in
16) Проверьте правильность настройки стандартногоACL.
a) Зайдите в эмулятор командной строки на устройстве PC1.
b) помощью утилиты ping проверьте возможность взаимодействия устройства PC1 c любым конечным устройством сети.
Если PC1 не получает эхо ответы от другого устройства, ACLнастроен правильно.
17) Настройте на маршрутизаторе R3 расширенныйACL, запрещающий устройству PC2 обращаться к веб-серверу по протоколу HTTP.
a) Зайдите в режим глобальной конфигурации маршрутизатора.
R3>enable
R3#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R3(config)#
b) Создайтестандартный ACL.
R3(config)#access-list 101 deny tcp 192.168.2.10 0.0.0.0 192.168.3.10 0.0.0.0 eq www
access-list |
Командасоздания ACL |
1 |
Номер ACL |
deny |
Команда «запретить» |
tcp |
Протокол транспортного уровня |
192.168.2.10 |
Адресисточника |
0.0.0.0 |
Wildcard маска для адреса источника |
192.168.3.10 |
Адрес получателя |
0.0.0.0 |
Wildcard маска для адреса получателя |
eqwww |
Порт назначения, по которому нужно запретить взаимодействие |
R3(config)#access-list 101 permit ip any any
R3(config)#access-list 101 permit icmp any any
c) Установите ACL на интерфейсе s0/0/1 маршрутизатора R1
R3(config)#interface serial 0/0/1
R3(config-if)#ip access-group 101 in
18) Проверьте правильность настройки расширенногоACL.
a) Зайдите в эмулятор командной строки на устройстве PC2.
b) С помощью утилиты ping проверьте возможность взаимодействия устройства PC1 c любым конечным устройством сети.
c) С помощью эмулятора браузера попробуйте загрузить сайт www.site.ru
Если устройство PC2 получает эхо-ответы от сервера, но страницу загрузить не удаётся, значит ACLнастроен правильно.
19) Сохранитеконфигурациюустройств.
Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Router#
Для самостоятельной работы:
1) Установить пароль на роутер R2 для доступа через vtyи консоль;
2) Установить на роутере баннер с предупреждением;
3) Ограничить доступ компьютера PC1 к роутеру через виртуальный терминал (vty);
4) Сохранитеконфигурациюустройств.