Хід роботи
Завдання 1: Відновіть, створену у попередній роботі, конфігурацію мережі, приведену на рис.14.1.
Рис. 14.1 Схема лабораторного макету
Завдання 2: Налаштуйте розширений ACL список.
Необхідно забезпечити пристроям з локальної мережі 192.168.10.0/24 можливість передавати пакети тільки до пристроїв внутрішньої мережі та заборонити доступ до хоста 209.165.200.255 (моделювання ISP). Оскільки, для реалізації завдання необхідно вказувати як адресу джерела, так і адресу призначення, то необхідно використати розширений ACL. Цей ACL необхідно застосовувати на вихідному інтерфейсі маршрутизатора R1 - Serial 0/0/0. Розширені списки контролю доступу - це їх розташування якомога ближче до джерела.
Перед початком конфігурування переконайтеся, що є можливість пінгувати адресу 209.165.200.225 з PC1.
Крок 1: Створіть та задайте ім’я розширеному ACL.
У глобальному режимі конфігурації створіть іменований розширений ACL з назвою EXTEND-1:
R1(config)#ip access-list extended EXTEND-1
Зверніть увагу, що маршрутизатор підтвердить зміни, щоб вказати, що Ви зараз у розширеному режимі конфігурації ACL. Перебуваючи у цьому режимі, додайте необхідні правила для блокування трафіку від мережі 192.168.10.0/24 до хоста з адресою 209.165.200.225.
R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225
Нагадаємо, що у створеному ACL, без додаткових правил на дозвіл, встановлена заборона на весь інший трафік. Додати правило на дозвіл, щоб бути впевненим в тому, що інший трафік не блокується, можна, ввівши в тому ж режимі наступну команду:
R1(config-ext-nacl)#permit ip any any
Крок 2: Застосуйте ACL.
При стандартному ACL, найкращим варіантом є розташування ACL якомога ближче до місця призначення. Розширені списки контролю доступу, як правило, краще розміщувати якомога ближче до джерела. Керуючись цим, розмістимо EXTEND-1 ACL на послідовному інтерфейсі s 0/0/0 на маршрутизаторі R1 і налаштуємо його так, щоб він фільтрував вихідний трафік:
R1(config)#interface serial 0/0/0
R1(config-if)#ip access-group EXTEND-1 out
R1(config-if)#end
R1#copy run start
Крок 3: Перевірка ACL.
З PC1, виконайте команду ping інтерфейсу зворотнього зв'язку Lo0 на маршрутизаторі R2. Ця команда не буде виконуватися, тому що весь трафік з мережі 192.168.10.0/24 фільтрується створеним ACL, коли в якості адреси призначення є адреса 209.165.200.225. Якщо адресою призначення є будь-яка інша адреса, то пінг повинен бути успішним. Перевірте це, виконавши команду ping до маршрутизатора R3 з будь-якого мережевого пристрою в мережі 192.168.10.0/24.
Для відображення ACL можна використати команду show ip access-list на R1.
R1#show ip access-list
Extended IP access list EXTEND-1
10 deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225 (4 matches)
20 permit ip any any
Завдання 2: Налаштуйте список контролю доступу до VTY ліній за допомогою стандартних ACL.
Хорошою практикою є обмеження доступу до віртуальних терміналів VTY маршрутизатора для віддаленого адміністрування. ACL можуть бути застосовані до VTY ліній, що дозволяє обмежити доступ для певних хостів або мереж. У цьому завданні потрібно налаштувати стандартний ACL для дозволу доступу до VTY ліній хостам з двох мереж. Всім іншим хостам в такому доступі має бути відмовлено.
Переконайтеся, що Ви можете по протоколу Telnet зайти на маршрутизатор R2 з обох маршрутизаторів R1 і R3.
Крок 1: Налаштування ACL.
Налаштуйте іменований стандартний ACL на маршрутизаторі R2, що буде дозволяти трафік з 10.2.2.0/30 і 192.168.30.0/24. Забороніть весь інший трафік. R2(config)#ip access-list standard TASK-5
R2(config-std-nacl)#permit 10.2.2.0 0.0.0.3
R2(config-std-nacl)#permit 192.168.30.0 0.0.0.255
Крок 2: Застосуйте ACL.
Увійдіть в режим конфігурації лінії для VTY ліній 0-4.
R2(config)#line vty 0 4
Використайте команду access-class для застосування ACL VTY ліній для вихідного напрямку. Зауважте, що команди відрізняються від команд, що використовуються для застосування списків ACL для інших інтерфейсів.
R2(config-line)#access-class TASK-5 in
R2(config-line)#end
R2#copy run start
Крок 3: Перевірка ACL
Зайдіть по протоколу Telnet на маршрутизатор R2 з маршрутизатора R1. Зверніть увагу, що R1 не має IP-адреси з діапазону адрес, перерахованих в ACL ТАSК-5 як таких, що є дозволеними. Спроба підключення повинна бути невдалою:
R1# telnet 10.1.1.2
Trying 10.1.1.2 …
% Connection refused by remote host
З R3, Telnet до R2. Вас попросять пароль VTY лінії
R3# telnet 10.1.1.2
Trying 10.1.1.2 … Open
CUnauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law.
User Access Verification
Password:
Завдання 3: Виправте у списках управління доступом.
Коли ACL неправильно налаштований чи застосовується до неправильного інтерфейсу або в неправильному напрямку, мережевий трафік може фільтруватися неправильно.
Крок 1: Видаліть ACL STND-1 з інтерфейсу S0/0/1 на маршрутизаторі R3.
У попередніх завданнях було створено іменовані стандартні ACL на маршрутизаторі R3. Використовуйте команду show running-config для перегляду створених списків ACL та їх розміщення. Ввівши цю команду на маршрутизаторі R3, отримаєте інформацію про те, що ACL з іменем STND-1 був налаштований і застосований для вхідного трафіку на інтерфейсі Serial 0/0/1.
Щоб видалити ACL, перейдіть в режим конфігурації для послідовного інтерфейсу S0/0/1 на маршрутизаторі R3. Використовуйте команду no ip access-group STND-1 in, щоб видалити ACL з інтерфейсу:
R3(config)#interface serial 0/0/1
R3(config-if)#no ip access-group STND-1 in
Використайте команду show running-config, щоб переконатися, що ACL був видалений з послідовного інтерфейсу S0/0/1.
Крок 2: Застосуйте ACL STND-1 на S0/0/1 для вихідного трафіку.
Щоб перевірити важливість напрямку фільтрації ACL, повторно застосуйте STND-1 ACL для послідовного інтерфейсу S0/0/1. На цей раз ACL буде фільтрувати вихідний, а не вхідний трафік. Не забудьте використати ключове слов out при застосуванні ACL:
R3(config)#interface serial 0/0/1
R3(config-if)#ip access-group STND-1 out
Крок 3: Перевірка ACL.
Перевірте встановлення ACL, застосувавши команду ping від PC2 до PC3. Зверніть увагу, що на цей раз пінг успішний. Перевірте налаштування ACL шляхом використання команди show ip access-list на маршрутизаторі R3.
Крок 4: Відновлення ACL до попередньої конфігурації.
Видалити ACL з вихідного напрямку і повторно застосуйте його до вхідного напрямку.
R3(config)#interface serial 0/0/1
R3(config-if)#no ip access-group STND-1 out
R3(config-if)#ip access-group STND-1 in
Крок 5: Застосуйте TASK-5 до R2 для вхідного трафіку на послідовний інтерфейс S0/0/0
R2(config)#interface serial 0/0/0
R2(config-if)#ip access-group TASK-5 in
Крок 6: Випробування ACL.
Спробуйте з'єднатися з будь-яким пристроєм, підключеним до R2 або R3 з R1 або під'єднаних до нього мереж. Зверніть увагу, що всі з’єднання блокуються, проте ACL лічильники не збільшуються. Це через неявну заборону усього трафіку, що встановлена в кінці кожного ACL списку. Ця заборона буде запобігати передачі всього вхідного трафіку до послідовного інтерфейсу S0/0/0 від будь-якого джерела, крім R3. Тобто, це спричинить вилучення з таблиці маршрутизації маршрутів від R1. Буде видане повідомлення, подібне наступному, яке буде надруковане на консолях R1 і R2:
*Sep 4 09:51:21.757: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.11.1 on Serial0/0/0 from FULL to DOWN, Neighbor Down: Dead timer expired
Після того, як отримаєте це повідомлення, виконайте команду show ip route на маршрутизаторах R1 і R2, щоб побачити, які маршрути були видалені з таблиці маршрутизації. Видаліть ACL ТАSК-5 з послідовного інтерфейсу S0/0/0 на маршрутизаторі R2 і збережіть поточні налаштування конфігурації:
R2(config)#interface serial 0/0/0
R2(config-if)#no ip access-group TASK-5 in
R2(config)#exit
R2#copy run start
Завдання 4: Виконайте лабораторну роботу на лабораторному макеті. Продемонструйте результат виконання роботи викладачеві.
Завдання 5: Завершення роботи.
Оформіть звіт про виконання даної роботи. Видаліть конфігурації і перезавантажте маршрутизатори. Відключіть і складіть кабелі. Для PC хостів, що зазвичай використовуються для інших мереж (наприклад LAN університету чи Інтернет), підключіть відповідні кабелі і відновіть налаштування TCP/IP.