Лабораторные / 7. Лабораторная работа №11
.docxЛабораторная работа № 11
Тема занятия: Списки управления доступом (ACL)
Цель занятия: изучить базовые принципы настройки фильтрации трафика на маршрутизаторах с использованием списков управления доступом (ACL).
Задания:
Составление схемы маршрутизируемой сети. Конфигурирование интерфейсов;
Настройка фильтрации трафика на маршрутизаторах с использованием списков управления доступом.
Порядок выполнения лабораторной работы
1. Составление схемы маршрутизируемой сети. Конфигурирование интерфейсов
Сценарий работы сети заключается в следующем: имеется 2 офиса одной компании: в Москве и Звенигороде. Связь между ними - через интернет-провайдера (ISP). Начальники каждого офиса имеют доступ к ISP серверу, остальные сотрудники не имеют. Представители каждого офиса могут общаться с представителем и начальником другого офиса. Сотрудники центрального офиса в Москве могут общаться только с представителем и начальником своего офиса.
Схема сети, изображенная на рисунке 8.1, состоит из 6 ПК (PC-PT), 1 сервера (Server-PT), 5 коммутаторов (2950-24/2950T-24) и 3 маршрутизаторов (2911). Адреса устройств заданы в соответствии с таблицей 8.1.
Рис. 8.1. Схема сети
Табл. 8.1
Адреса устройств сети
Устройство |
Интерфейс |
Ip-адрес |
Маска подсети |
Шлюз по умолчанию |
PC1 |
NIC |
192.168.1.4 |
255.255.255.0 |
192.168.1.1 |
PC2 |
NIC |
192.168.1.5 |
255.255.255.0 |
192.168.1.1 |
PC3 |
NIC |
192.168.1.10 |
255.255.255.0 |
192.168.1.1 |
PC4 |
NIC |
192.168.1.11 |
255.255.255.0 |
192.168.1.1 |
PC5 |
NIC |
192.168.2.4 |
255.255.255.0 |
192.168.2.1 |
PC0 |
NIC |
192.168.2.5 |
255.255.255.0 |
192.168.2.1 |
Server |
NIC |
10.10.10.2 |
255.255.255.0 |
10.10.10.1 |
Router1 |
Gig0/0 |
192.168.1.1 |
255.255.255.0 |
- |
Gig0/1 |
192.168.3.1 |
255.255.255.0 |
- |
|
Router2 |
Gig0/0 |
192.168.3.2 |
255.255.255.0 |
- |
Gig0/1 |
192.168.4.2 |
255.255.255.0 |
- |
|
Gig0/2 |
10.10.10.1 |
255.255.255.0 |
- |
|
Router3 |
Gig0/0 |
192.168.4.1 |
255.255.255.0 |
- |
Gig0/1 |
192.168.2.1 |
255.255.255.0 |
- |
Шаг 1. Собрать схему сети, изображенную на рисунке 8.1. Для соединения всех устройств использовать кабель «Automatically Choose Connection Type»;
Шаг 2. Произвести конфигурацию интерфейсов в соответствии с табл. 8.1;
Настройка интерфейсов маршрутизаторов Router1, Router2 и Router3
Шаг 3. Настроить интерфейсы на маршрутизаторе Router1, выполнив команды:
Router (config)#interface GigabitEthernet0/0
Router (config-if)#ip address 192.168.1.1 255.255.255.0
Router (config-if) #no shutdown
Router (config)#interface GigabitEthernet0/1
Router (config-if)#ip address 192.168.3.1 255.255.255.0
Router (config-if)#no shutdown
Шаг 4. Настроить интерфейсы на маршрутизаторе Router2, выполнив команды:
Router (config)#interface GigabitEthernet0/0
Router (config-if)#ip address 192.168.3.2 255.255.255.0
Router (config-if)#no shutdown
Router (config)#interface GigabitEthernet0/1
Router (config-if)#ip address 192.168.4.2 255.255.255.0
Router (config-if)#no shutdown
Router (config)#interface GigabitEthernet0/2
Router (config-if)#ip address 10.10.10.1 255.255.255.0
Router (config-if)#no shutdown
Шаг 5. Настроить интерфейсы на маршрутизаторе Router3, выполнив команды:
Router (config)#interface GigabitEthernet0/0
Router (config-if)#ip address 192.168.4.1 255.255.255.0
Router (config-if)#no shutdown
Router (config)#interface GigabitEthernet0/1
Router (config-if)#ip address 192.168.2.1 255.255.255.0
Router (config-if)#no shutdown
Шаг 6. Открыть Command prompt PC1, PC2, PC3, PC4, PC5, PC0, Server и проверить наличие связи до соответствующих первых маршрутизаторов (шлюзов по умолчанию) при помощи команды ping;
Настройка HTTP-сервера
Для настройки HTTP-сервера необходимо на Server-PT открыть вкладку Services, а после HTTP, нажать Edit напротив index.html и вставить следующий код:
<html>
<body>
<h1>Welcome to WEB-Server</h1>
</body>
</html>
После чего включить службу HTTP (нажать кнопку ON под вкладкой HTTP).
Шаг 7. Настроить HTTP-сервер;
Настройка маршрутизации
Настройка маршрутизации на Router1
Шаг 8. Настроить маршрутизацию на Router1, выполнив команду:
Router (config) # ip route 0.0.0.0 0.0.0.0 192.168.3.2
Настройка маршрутизации на Router2
Шаг 9. Настроить маршрутизацию на Router2, выполнив команды:
Router (config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1
Router (config)#ip route 192.168.2.0 255.255.255.0 192.168.4.1
Настройка маршрутизации на Router3
Шаг 10. Настроить маршрутизацию на Router3, выполнив команду:
Router (config) # ip route 0.0.0.0 0.0.0.0 192.168.4.2
Шаг 11. Проверить работу всей сети при помощи команд ping и tracert;
Шаг 12. Изучить таблицы маршрутизации на всех маршрутизаторах. Вывести таблицы на экран можно выполнив на каждом маршрутизаторе команду:
Router#show ip route
Шаг 13. Проверить работу настроенного HTTP-сервера с PC1 и PC5;
2. Настройка фильтрации трафика на маршрутизаторах с использованием списков управления доступом
Для настройки фильтрации трафика на маршрутизаторах с использованием списков управления доступом необходимо: сконфигурировать ACL по необходимым правилам фильтрации и применить списки доступа на конкретном интерфейсе/интерфейсах маршрутизатора.
Шаг 14. Cконфигурировать ACL на Router2, разрешающее доступ на сервер только узлам с адресами 192.168.1.10 и 192.168.2.4, выполнив команды:
Router(config)#access-list 1 permit host 192.168.1.10
Router(config)#access-list 1 permit host 192.168.2.4
Шаг 15. Применить созданный список доступа на интерфейсе GigabitEthernet0/2 Router2, выполнив команды:
Router(config)#interface GigabitEthernet0/2
Router(config-if)#ip access-group 1 out
Шаг 16. Cконфигурировать ACL на Router1, разрешающее доступ к дополнительному офису из центрального только узлам с адресом 192.168.1.4 и 192.168.1.5, выполнив команды:
Router(config)#access-list 2 permit host 192.168.1.4
Router(config)#access-list 2 permit host 192.168.1.5
Шаг 17. Применить созданный список доступа на интерфейсе GigabitEthernet0/0 Router1, выполнив команды:
Router(config)#interface GigabitEthernet0/0
Router(config-if)#ip access-group 2 in
Шаг 18. Вывести ACL на Router1, выполнив команду:
Router#show access-list 1
Проанализировать содержание ACL.
Шаг 19. Вывести ACL на Router2, выполнив команду:
Router#show access-list 2
Проанализировать содержание ACL.
Шаг 20. Проверить работу всей сети, в соответствии с первоначальным сценарием, при помощи команд ping и tracert.
Примечание: Помимо вышеназванного способа настройки нумерованных списков доступа для присвоения более емких и информативных названий для списков контроля доступа можно создавать именованные списки доступа. Порядок настройки именованных списков доступа: Шаг 1. Задать имя и перейти в режим формирования списка, выполнив команду: Router(config)#ip access-list standard name Шаг 2. Задать критерии в порядке, в котором они должны применяться в списке, выполнив команды: Router(config-std-nacl)#deny {source [source-wildcard]| any} Router(config-std-nacl)#permit {source [source-wildcard]| any} Шаг 3. Выйти из режима формирования списка, выполнив команду: Router(config-std-nacl)#exit |