
- •Уральский государственный Технический университет
- •2. Стандартные списки доступа
- •Ip access-group номер acl in | out
- •192.168.1.1 192.168.5.4
- •Interface ethernet e0
- •Ip access-group 2 in
- •3. Просмотр и редактирование acl
- •Show running-config
- •4. Расширенные списки доступа
- •Применение в правилах ключевого слова tcp
- •Interface ethernet e0
- •Применение в правилах ключевого слова icmp
- •Interface ethernet e0
- •Ip access-group 106 in
- •5. Исследовательская составная ip-сеть и подготовка ее к работе
- •6. Задачи защиты сетей с применением acl
- •Содержание отчета
- •Библиографический список
Interface ethernet e0
ip access-group 103 in
Пример 4. В сети (рис.1) разрешить любой трафик из подсети 192.168.1.0 в подсеть 192.168.5.0. и наоборот, за исключением трафикаTelnetиз подсети 192.168.5.0 в под-сеть 192.168.1.0. Возможное решение задачи:
access-list 104 deny tcp 192.168.5.0 0.0.0.255 192.168.1.0 0.0.0.255 eq telnet
access-list 104 permit ip any any
interface ethernet e1
ip access-group 104 in
Пример 5. В сети (рис.1) разрешить доступ пользователей подсети 192.168.1.0 только кFTP-серверу 192.168.5.4 в другой подсети. Возможное решение задачи:
access-list 105 permit tcp any host 192.168.5.4 range 20 21
access-list 105 permit tcp any host 192.168.5.4 gt 1023
interface ethernet e0
ip access-group 105 in
Для доступа к FTP-серверу можно использовать или команду
ftpIP-адрес сервера|символьное имя сервера
набираемую в командной строке, или обозреватель InternetExplorer. Второе дополни-тельное правило вACL105 необходимо для доступа кFTPс помощью обозревателя.
Применение в правилах ключевого слова udp
Синтаксис команды ввода данного правила почти такой же, как и cпараметромtcp:
access-list номер ACL deny | permit udp адр.шаблон отправ. [оператор порт отправ.]адр.шаблон получат. [оператор порт получат.]
В операторах сравнения порты здесь также можно указывать или символьным име-нем, или его числовым кодом (0-65535). Вот некоторые важные приложения, исполь-зующие протокол UDP, их общеизвестные имена портов и коды портов (в скобках):
tftp(69) - простой протокол передачи файлов;
snmp(161) - простой протокол управления в сети;
rip (520) - протокол динамической маршрутизацииRIP.
Применение в правилах ключевого слова icmp
Синтаксис команды ввода данного правила:
access-list номер ACL deny | permit icmp адр.шаблон отправ. адр.шаблон получат. [icmp-тип|icmp-сообщение]
Здесь:
icmp-тип – числовой код (0-255) сообщения протоколаicmp;
icmp-сообщение– имя сообщения протоколаicmp.
Существует более 50 различных сообщений протокола icmp, из которых часто исполь-зуются два сообщения, связанных с применением утилитыping. Их имена и коды:
echo (8) – ping-запрос; echo-reply (0) – ping-ответ.
Пример 6. В примере 3 трафик протоколаicmpна интерфейсеe0полностью блоки-руется. ДополнитьACL103 командой для возможности посылки пакетовpingиз под-сети 192.168.5.0 в подсеть 192.168.1.0. Возможное решение задачи:
access-list 106 permit tcp any any established
access-list 106 permit icmp any any echo-reply
Interface ethernet e0
Ip access-group 106 in
5. Исследовательская составная ip-сеть и подготовка ее к работе
Схема сети представлена на рис.2. В сети используются следующие устройства:
P1,P2- компьютеры под управлением ОСWindowsProfessional2000;
X1,X2- компьютеры под управлением ОСWindowsXP;
S1,S2- компьютеры под управлением ОСWindowsServer2000 и 2003;
Cisco 1601,Cisco 2611- маршрутизаторы от компанииCiscoSystems;
Hub 1-Hub 3- концентраторы-повторители сигналов.
Терминальные компьютеры для управления маршрутизаторами на схеме не показаны.
Лабораторная работа заключается в написании различных списков доступа для за-щиты отдельных частей сети и проверке работы этих списков путем исчерпывающего всестороннего тестирования сети. Результаты испытаний по каждой задаче должны быть отражены в отчете.
Рис. 2.Схема исследовательскойIP-сети
Перед началом работы со списками доступа подготовьте сеть:
♦ Установите на всех интерфейсах сетевых карт соответствующие IP-адреса, маски и шлюзы по умолчанию;
♦ В режиме диалога настройте маршрутизаторы. На интерфейсах s0иs0/0укажите инкапсуляцию в протоколРРР, а на интерфейсеs0дополнительно задайте ско- рость тактирования250 000бит/с [1], установите протокол маршрутизацииRIP [1];
♦ Проверьте работу всей сети на уровне IP-протокола с помощью утилитыping;
♦ Проверьте доступ со станции 192.168.1.3 к маршрутизатору Cisco2611 по прото- колуTelnet.