Interface ethernet e0

ip access-group 103 in

Пример 4. В сети (рис.1) разрешить любой трафик из подсети 192.168.1.0 в подсеть 192.168.5.0. и наоборот, за исключением трафикаTelnetиз подсети 192.168.5.0 в под-сеть 192.168.1.0. Возможное решение задачи:

access-list 104 deny tcp 192.168.5.0 0.0.0.255 192.168.1.0 0.0.0.255 eq telnet

access-list 104 permit ip any any

interface ethernet e1

ip access-group 104 in

Пример 5. В сети (рис.1) разрешить доступ пользователей подсети 192.168.1.0 только кFTP-серверу 192.168.5.4 в другой подсети. Возможное решение задачи:

access-list 105 permit tcp any host 192.168.5.4 range 20 21

access-list 105 permit tcp any host 192.168.5.4 gt 1023

interface ethernet e0

ip access-group 105 in

Для доступа к FTP-серверу можно использовать или команду

ftpIP-адрес сервера|символьное имя сервера

набираемую в командной строке, или обозреватель InternetExplorer. Второе дополни-тельное правило вACL105 необходимо для доступа кFTPс помощью обозревателя.

Применение в правилах ключевого слова udp

Синтаксис команды ввода данного правила почти такой же, как и cпараметромtcp:

access-list номер ACL deny | permit udp адр.шаблон отправ. [оператор порт отправ.]адр.шаблон получат. [оператор порт получат.]

В операторах сравнения порты здесь также можно указывать или символьным име-нем, или его числовым кодом (0-65535). Вот некоторые важные приложения, исполь-зующие протокол UDP, их общеизвестные имена портов и коды портов (в скобках):

tftp(69) - простой протокол передачи файлов;

snmp(161) - простой протокол управления в сети;

rip (520) - протокол динамической маршрутизацииRIP.

Применение в правилах ключевого слова icmp

Синтаксис команды ввода данного правила:

access-list номер ACL deny | permit icmp адр.шаблон отправ. адр.шаблон получат. [icmp-тип|icmp-сообщение]

Здесь:

icmp-тип – числовой код (0-255) сообщения протоколаicmp;

icmp-сообщение– имя сообщения протоколаicmp.

Существует более 50 различных сообщений протокола icmp, из которых часто исполь-зуются два сообщения, связанных с применением утилитыping. Их имена и коды:

echo (8) – ping-запрос; echo-reply (0) – ping-ответ.

Пример 6. В примере 3 трафик протоколаicmpна интерфейсеe0полностью блоки-руется. ДополнитьACL103 командой для возможности посылки пакетовpingиз под-сети 192.168.5.0 в подсеть 192.168.1.0. Возможное решение задачи:

access-list 106 permit tcp any any established

access-list 106 permit icmp any any echo-reply

Interface ethernet e0

Ip access-group 106 in

5. Исследовательская составная ip-сеть и подготовка ее к работе

Схема сети представлена на рис.2. В сети используются следующие устройства:

P1,P2- компьютеры под управлением ОСWindowsProfessional2000;

X1,X2- компьютеры под управлением ОСWindowsXP;

S1,S2- компьютеры под управлением ОСWindowsServer2000 и 2003;

Cisco 1601,Cisco 2611- маршрутизаторы от компанииCiscoSystems;

Hub 1-Hub 3- концентраторы-повторители сигналов.

Терминальные компьютеры для управления маршрутизаторами на схеме не показаны.

Лабораторная работа заключается в написании различных списков доступа для за-щиты отдельных частей сети и проверке работы этих списков путем исчерпывающего всестороннего тестирования сети. Результаты испытаний по каждой задаче должны быть отражены в отчете.

Рис. 2.Схема исследовательскойIP-сети

Перед началом работы со списками доступа подготовьте сеть:

♦ Установите на всех интерфейсах сетевых карт соответствующие IP-адреса, маски и шлюзы по умолчанию;

♦ В режиме диалога настройте маршрутизаторы. На интерфейсах s0иs0/0укажите инкапсуляцию в протоколРРР, а на интерфейсеs0дополнительно задайте ско- рость тактирования250 000бит/с [1], установите протокол маршрутизацииRIP [1];

♦ Проверьте работу всей сети на уровне IP-протокола с помощью утилитыping;

♦ Проверьте доступ со станции 192.168.1.3 к маршрутизатору Cisco2611 по прото- колуTelnet.