Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4614 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича
Предмет:
Принципы организации глобальных вычислительных сетей
Файл:
Настройка и модификация стандартных списков контроля доступа для IPv4 Реализацией ACL IPv4.docx
Скачиваний:
28
Добавлен:
10.04.2023
Размер:
743.04 Кб
Скачать
►Содержание►

Общие сведения и сценарий

В этом задании будут настроены расширенные, стандартные именованные и расширенные именованные списки ACL в соответствии с указанными требованиями к связи.

Шаг 1: Проверка подключения в новой сети компании

Прежде чем настраивать списки ACL, проверьте подключение к сети в том виде, в каком она есть. Все хосты должны иметь возможность выполнить пинг до всех остальных узлов.

Рис. 2 Успешный ping-запрос с PC1 на PC2 и PC3

Рис. 3 Успешный ping-запрос с PC1 на Admin и Internet User

Рис. 4 Успешный ping-запрос с PC1 на Enterprise Web Server

Рис. 5 Успешный ping-запрос с PC1 на External Web Server и Branch PC, и Branch Server

Шаг 2. Настройка стандартных и расширенных списков управления доступом в соответствии с требованиями.

Настройте ACL для соответствия следующим требованиям.

Важные руководящие принципы:

    • Не используйте неявную deny any в конце списков ACL.

    • Используйте сокращения (host и any), когда это возможно.

    • Напишите инструкции ACL соответсвующие требованям в том порядке, в котором они указаны здесь.

    • Разместите списки ACL в наиболее эффективное местоположение и направление.

Требования ACL 1:

      • Создать ACL 101.

      • Явно блокировать доступ FTP к Enterprise Web Server из Интернета.

      • Никакой трафик ICMP из Интернета не должен быть разрешен любым хостам в сети LAN 1 HQ.

      • Разрешить весь оставшийся трафик.

Рис. 6 Создание ACL 101, в соответствии с требованиями 1

Требования ACL 2:

    • Использовать номер ACL 111

    • Ни один хост в сети LAN 1 HQ не должен иметь доступа к Branch Server.

    • Все остальные виды трафика должны быть разрешены.

Рис. 7 Создание ACL 111, в соответствии с требованиями 2

Требования ACL 3:

    • Создайте именованный стандартный ACL. Используйте имя vty_block. Имя ACL должно точно совпадать с этим именем.

    • Только адреса из сети HQ LAN 2 должны иметь доступ к линиям VTY маршрутизатора HQ.

Рис. 8 Создание стандартного ACL, в соответствии с требованиями 3

Требования ACL 4:

    • Создайте именованный расширенный ACL с именем branch_to_hq. Имя ACL должно точно совпадать с этим именем.

    • Ни один хосты ни в одной из ветвей LAN не должны иметь доступа к локальной сети HQ 1. Используйте одну инструкцию списка доступа для из каждой сети Branch LAN.

    • Весь остальной трафик IP должен быть разрешен.

Рис. 9 Создание расширенного ACL, в соответствии с требованиями 4

Шаг 3. Проверка операции acl.

          1. Выполните следующие тесты на связность между устройствами в топологии. Обратите внимание, являются ли они успешными или нет.

Отправьте запрос ping от Branch PC на Enterprise Web Server. Была ли проверка успешной? Дайте пояснение. Ответ: да, т.к. было разрешено ACL.

Рис. 10 Успешный ping-запрос с Branch PC на Enterprise Web Server

Какое заявление ACL разрешало или отклоняло пинг между этими двумя устройствами? Перечислите имя или номер списка доступа, маршрутизатор, на котором он был применен, и конкретную строку, сопоставляемую трафиком.

Рис. 11 Заявление ACL, разрешающее ping между Branch PC и Enterprise Web Server

Попытка выполнить эхо-запрос с PC-1 на HQ LAN 1 на сервер Branch Server. Была ли проверка успешной? Дайте пояснение. Ответ: Нет, тк трафик заблокирован ALC.

Рис. 12 Неудачная попытка ping-запроса с PC1 на Branch Server

Какое заявление ACL разрешало или отклоняло пинг между этими двумя устройствами?

Рис. 13 Заявление ACL, запрещающее ping между PC1 и Branch Server Откройте веб-браузер на внешнем сервере и попытайтесь открыть веб-

страницу, хранящуюся на корпоративном веб-сервере. Успешно? Дайте пояснение. Ответ: да, т. к. http не блокируется для веб-сервера

Рис. 14 Удачная попытка открытия веб-браузера с PC1

Какая инструкция ACL разрешала или отклоняла пинг между этими двумя устройствами?

Рис. 15 Инструкция ACL, разрешающая ping между PC1 и внешним сервером

          1. Проверьте подключения к внутреннему серверу из Интернета.

В командной строке на компьютере Internet User PC попытайтесь установить FTP-соединение с сервером филиала. Успешно ли FTP- соединение? Ответ: да

Рис. 16 Удачная попытка установки FTP-соединения на Internet User PC с сервером филиала

Какой список доступа следует изменить, чтобы пользователи из Интернета не могли подключаться к серверу филиалов по FTP? Ответ: Access-list 101 на HQ

Какие операторы должны быть добавлены в список доступа, чтобы запретить этот трафик? Ответ: Access-list 101 deny tcp any host 192.168.2.45 или Access-list 101 deny tcp any host 192.168.2.45 range 20 21

Рис. 17 Результат выполнения работы

Соседние файлы в предмете Принципы организации глобальных вычислительных сетей
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности