Permit tcp 192.168.0.0 0.0.0.63 host 192.168.0.82 eq ftp deny ip 192.168.0.0 0.0.0.63 host 192.168.0.82 permit ip any any

Первая инструкция разрешает проходить TCP-пакетам сIP-адресом отправителя из подсети 192.168.0.0 и маской 255.255.255.192, IP-адресом получателя 192.168.0.82, и портом получателя 21. Вторая инструкция блокирует весь остальной трафик из этой подсети, если он направлен к узлу с IP-адресом 192.168.0.82, а третья инструкция разрешает проходить всем пакетам, не попавшим под условия других инструкций. Предварительный список управления доступом создан, теперь необходимо реализовать его на Многоуровневый коммутатор0:

1. Удалите предыдущий ACL (no ip access-list standard Test-access) и указание на него (no ip access-group Test-access out).

123. Зайдите в режим конфигурации и создайте расширенный ACLс помощью командыip access-list extended ftp. Здесьftp– имя списка, а ключевое словоextendedуказывает на то, что созданный список управления доступом – расширенный.

124. Последовательно введите все инструкции, описанные ранее:

Рис. 5.40. Создание расширенного списка управления доступом

125. Перейдите в режим конфигурации логического интерфейса VLAN2, затем введите команду ip access-group ftp in. Повторите эту же команду для логического интерфейса VLAN 3.

126. Проверьте работу созданного списка управления доступом. С любых узлов, входящих в рассматриваемые подсети, отправьте echo-запросы до Сервер1, они должны заканчиваться неудачей. Также проверьте можно ли обратиться к Сервер1 по протоколу ftp, для этого воспользуйтесь кнопкой «Добавить сложный PDU», а затем укажите применение (FTP) и адрес назначения (192.168.0.82), а также порт источника (21). Такой PDU должен успешно доходить.

До сих пор, настройка всех устройств в Cisco Packet Tracer происходила через встроенную вкладку CLI, однако реальные устройства Cisco настраиваются напрямую через консольный порт, который есть на каждом коммутаторе или маршрутизаторе, или виртуально через удаленный доступ. Если для того, чтобы настроить устройство через консольный порт, необходимо находиться рядом с устройством, то для удаленного доступа настройка устройства может осуществляться с любого узла в сети, поэтому важно предотвратить нежелательные подключения с помощью списков управления доступом, тем самым обеспечив дополнительную безопасность сети. Далее будет рассмотрен процесс создания удаленного подключения к Многоуровневый коммутатор0 с помощью протокола Telnet:

1. Сначала необходимо создать учетную запись пользователя с паролем и уровнем привилегий. Зайдите в режим конфигурации и введите команду username admin privilege 15 password cisco. Будет создана учетная запись с именем пользователя admin, уровнем привилегий 15 (максимальные), и паролем cisco.

127. Введите команду line vty 0 4. Устройство перейдет в режим конфигурации виртуальной терминальной линии (сокращ.vty) под номером 0 4 (это значение по умолчанию).

128. Введите команду transport input telnet. Теперь устройство будет готово к использованию протокола Telnet для входящих подключений.

129. Необходимо включить аутентификацию через имя пользователя и пароль с помощью команды login local. Теперь все удаленные подключения будут защищены паролем.

130. Проверьте удаленное подключение. Зайдите в консоль на узле ПК5 и введите команду telnet 192.168.0.65. Должен появиться запрос на имя пользователя и пароль. Пройдите аутентификацию с помощью имени пользователя admin и пароля cisco.

Рис. 5.41. Удаленное подключение по протоколу Telnet

С помощью списков управления доступом возможно ограничить количество узлов, с которых будет возможно удаленное подключение. Для этого необходимо создать расширенный ACL с несколькими инструкциями. Предположим, что подсеть, в которой состоят ПК5 и ПК6 – это подсеть администраторов, для них будет доступно удаленное подключение по Telnet, для всех остальных это подключение будет запрещено.

Инвертированная маска для этой подсети будет равна 0.0.0.15 (обычная маска – 255.255.255.240), список управления доступом будет включен на всех логических интерфейсах Многоуровневого коммутатора0, фильтрация будет осуществляться на входящий трафик. Список инструкций будет выглядеть следующим образом: