Глава 5 лабораторная работа № 4 «фильтрация трафика на маршрутизаторе с использованием списков управления доступа – access control list»

Задание лабораторной работы № 4

В данной работе будет исследована работа механизма фильтрации IP-адресов – Access Control List (ACL). В процессе выполнения необходимо составить схему ЛВС, включив в нее резервные связи между оборудованием, с помощью встроенных средств Cisco Packet Tracer настроить соответствующие порты на ТКО и правила фильтрации, а затем проверить работу ЛВС.

План лабораторной работы:

1. Составление схемы коммутируемой сети с множественными (резервными) связями между оборудованием.

2. Настройка правил фильтрации.

3. Проверка корректности передачи данных между отдельными узлами коммутируемой сети.

Упражнение 5.1. 

1. Составить схему маршрутизируемой сети, приведенную на рисунке 16.

Рисунок 16. Схема моделируемой сети.

В данной лабораторной работе используется макет сети, разработанный в предыдущей работе (лабораторная работа № 3).

2. Реализовать правила фильтрации трафика на маршрутизаторе.

2.1. Правила фильтрации (выбираются самостоятельно и указываются в отчете):

• разрешить передачу из филиала № Х в головной офис только с РС Х;

• запретить передачу из филиала № Х в сеть 192.168.Х.0 головного офиса.

В качестве примера рассмотрим следующие правила.

• разрешить передачу из филиала №2 в головной офис только с РС6;

• запретить передачу из филиала №3 в сеть 192.168.2.0 головного офиса.

Для настройки разрешения на передачу из филиала №2 в головной офис только с РС6 необходимо ввести следующие команды.

Перейти на вкладку CLI маршрутизатора и войти в режим глобальной конфигурации:

Router>enable (Переход в привилегированный режим)

Router#config terminal (Переход в режим глобальной конфигурации)

Router(config)# access-list 1 permit (разрешить) или deny (запретить) (указывается IP адрес источника). (К примеру, команда на запрет передачи данных с ПК7 выглядит следующим образом: access-list 1 deny 192.168.4.11.) Если необходимо заблокировать/разрешить передачу данных из подсети, необходимо применять инвертированную маску 0.0.0.255, к примеру, access-list 1 deny 192.168.4.11 0.0.0.255 (запрет на передачу данных из сети 192.168.4.0). В случае необходимости удаления некорректно составленного правила фильтрации необходимо ввести команду: no access-list 1 deny 192.168.4.11 0.0.0.255 (в случае удаление правила из примера выше).

Router(config)#access-list 1 deny 192.168.4.11 (вводим сначала правила запрета, т.к. обработка поступающей информации происходит путем чтения сверху вниз, т.е. сначала обработается данное правило).

Router(config)#access-list 1 permit any (далее мы разрешаем передачу информации со всех узлов, т.е. в случае не срабатывания правила, настроенного чуть выше, информация будет передана на необходимый узел.)

Для формирования правил, запрещающих передачу из филиала №3 в сеть 192.168.2.0 головного офиса необходимо ввести следующие команды:

Router(config)#access-list 2 deny 192.168.5.10

Router(config)#access-list 2 deny 192.168.5.11

Router(config)#access-list 2 permit any

Выйти из режима конфигурации и перейти в привилегированный -“exit +ввод”.

3. Вывести ACL. В привилегированном режиме набрать

Router#show access-list 1

4. Проанализировать содержание ACL.

5. Применить список доступа на конкретном интерфейсе/интерфейсах. Для этого необходимо:

Войти в режим конфигурации требуемого интерфейса:

Router#config terminal

Router(config)# interface [идентификатор интерфейса] (К примеру, для перехода в режим настройки интерфейса fastEthernet0/0, необходимо ввести команду: interface fastEthernet0/0)

Router(config-if)# ip access-group 1 in (включение access-list на интерфейсе для проверки входящих сообщений). Или ip access-group 1 out (включение access-list на интерфейсе для проверки исходящих сообщений). В случае необходимости удаления некорректно составленного правила фильтрации необходимо ввести команду: no ip access-group 1 out

К примеру, для настройки рассматриваемых правил фильтрации, необходимо настроить интерфейсы следующим образом:

Router#conf t

Router(config)#interface fastEthernet 0/0

Router(config-if)#ip access-group 1 out

Router(config-if)#exit

Router(config)#interface fastEthernet 0/1

Router(config-if)#ip access-group 1 out

Router(config-if)#ip access-group 2 out

Router(config-if)#exit

6. Войти в привилегированный режим (Router#), вывести файл running-config для настраиваемого маршрутизатора и убедиться в наличии необходимых команд для ACL.

7. Проверить корректность реализации фильтрации трафика на маршрутизаторе.

8. Проведите проверку достижимости всех устройств в сети из сети филиала № 1.

8.1. Проверьте возможность передачи из выбранной филиала № Х в головной офис только с РС Х.

2. Проверьте невозможность передачу из филиала № Х в сеть 192.168.Х.0 головного офис.

9. Составить отчет о работе, в котором должны быть следующие разделы:

1. Схема сети с символьными именами устройств и IP адресами сетей в соответствии с заданием.

2. Содержательная часть файла running-config для маршрутизатора(ов) со стандартным ACL.