- •Отчет по лабораторной работе
- •10.03.01 Информационная безопасность
- •Packet Tracer. Настройка и модификация стандартных списков контроля доступа для iPv4
- •Часть 1. Проверка связи
- •Часть 2. Настройка и проверка стандартных нумерованных списков acl и стандартных именованных acl-списков
- •Часть 3. Изменение стандартного acl-списка Топология сети
- •Общие сведения и сценарий
- •Шаг 2. Настройте стандартный именованный список контроля доступа.
- •Шаг 1: Изменение стандартного именованного acl-списка.
- •Packet Tracer - Реализацией acl iPv4 (повышенный уровень сложности) Таблица адресации
- •Общие сведения и сценарий
- •Шаг 1: Проверка подключения в новой сети компании
- •Шаг 3. Проверка операции acl.
Общие сведения и сценарий
В этом задании будут настроены расширенные, стандартные именованные и расширенные именованные списки ACL в соответствии с указанными требованиями к связи.
Шаг 1: Проверка подключения в новой сети компании
Прежде чем настраивать списки ACL, проверьте подключение к сети в том виде, в каком она есть. Все хосты должны иметь возможность выполнить пинг до всех остальных узлов.
Рис. 2 Успешный ping-запрос с PC1 на PC2 и PC3
Рис. 3 Успешный ping-запрос с PC1 на Admin и Internet User
Рис. 4 Успешный ping-запрос с PC1 на Enterprise Web Server
Рис. 5 Успешный ping-запрос с PC1 на External Web Server и Branch PC, и Branch Server
Шаг 2. Настройка стандартных и расширенных списков управления доступом в соответствии с требованиями.
Настройте ACL для соответствия следующим требованиям.
Важные руководящие принципы:
Не используйте неявную deny any в конце списков ACL.
Используйте сокращения (host и any), когда это возможно.
Напишите инструкции ACL соответсвующие требованям в том порядке, в котором они указаны здесь.
Разместите списки ACL в наиболее эффективное местоположение и направление.
Требования ACL 1:
Создать ACL 101.
Явно блокировать доступ FTP к Enterprise Web Server из Интернета.
Никакой трафик ICMP из Интернета не должен быть разрешен любым хостам в сети LAN 1 HQ.
Разрешить весь оставшийся трафик.
Рис. 6 Создание ACL 101, в соответствии с требованиями 1
Требования ACL 2:
Использовать номер ACL 111
Ни один хост в сети LAN 1 HQ не должен иметь доступа к Branch Server.
Все остальные виды трафика должны быть разрешены.
Рис. 7 Создание ACL 111, в соответствии с требованиями 2
Требования ACL 3:
Создайте именованный стандартный ACL. Используйте имя vty_block. Имя ACL должно точно совпадать с этим именем.
Только адреса из сети HQ LAN 2 должны иметь доступ к линиям VTY маршрутизатора HQ.
Рис. 8 Создание стандартного ACL, в соответствии с требованиями 3
Требования ACL 4:
Создайте именованный расширенный ACL с именем branch_to_hq. Имя ACL должно точно совпадать с этим именем.
Ни один хосты ни в одной из ветвей LAN не должны иметь доступа к локальной сети HQ 1. Используйте одну инструкцию списка доступа для из каждой сети Branch LAN.
Весь остальной трафик IP должен быть разрешен.
Рис. 9 Создание расширенного ACL, в соответствии с требованиями 4
Шаг 3. Проверка операции acl.
Выполните следующие тесты на связность между устройствами в топологии. Обратите внимание, являются ли они успешными или нет.
Отправьте запрос ping от Branch PC на Enterprise Web Server. Была ли проверка успешной? Дайте пояснение. Ответ: да, т.к. было разрешено ACL.
Рис. 10 Успешный ping-запрос с Branch PC на Enterprise Web Server
Какое заявление ACL разрешало или отклоняло пинг между этими двумя устройствами? Перечислите имя или номер списка доступа, маршрутизатор, на котором он был применен, и конкретную строку, сопоставляемую трафиком.
Рис. 11 Заявление ACL, разрешающее ping между Branch PC и Enterprise Web Server
Попытка выполнить эхо-запрос с PC-1 на HQ LAN 1 на сервер Branch Server. Была ли проверка успешной? Дайте пояснение. Ответ: Нет, тк трафик заблокирован ALC.
Рис. 12 Неудачная попытка ping-запроса с PC1 на Branch Server
Какое заявление ACL разрешало или отклоняло пинг между этими двумя устройствами?
Рис. 13 Заявление ACL, запрещающее ping между PC1 и Branch Server Откройте веб-браузер на внешнем сервере и попытайтесь открыть веб-
страницу, хранящуюся на корпоративном веб-сервере. Успешно? Дайте пояснение. Ответ: да, т. к. http не блокируется для веб-сервера
Рис. 14 Удачная попытка открытия веб-браузера с PC1
Какая инструкция ACL разрешала или отклоняла пинг между этими двумя устройствами?
Рис. 15 Инструкция ACL, разрешающая ping между PC1 и внешним сервером
Проверьте подключения к внутреннему серверу из Интернета.
В командной строке на компьютере Internet User PC попытайтесь установить FTP-соединение с сервером филиала. Успешно ли FTP- соединение? Ответ: да
Рис. 16 Удачная попытка установки FTP-соединения на Internet User PC с сервером филиала
Какой список доступа следует изменить, чтобы пользователи из Интернета не могли подключаться к серверу филиалов по FTP? Ответ: Access-list 101 на HQ
Какие операторы должны быть добавлены в список доступа, чтобы запретить этот трафик? Ответ: Access-list 101 deny tcp any host 192.168.2.45 или Access-list 101 deny tcp any host 192.168.2.45 range 20 21
Рис. 17 Результат выполнения работы