Permit tcp 192.168.0.64 0.0.0.15 host 192.168.0.65 eq telnet deny tcp 192.168.0.0 0.0.0.255 any eq telnet permit ip any any

Далее будет описан процесс создания расширенного списка управления доступа cзаданной конфигурацией:

1. Зайдите в режим конфигурации и наберите команду ip access-list extended Telnet.

131. Последовательно введите все инструкции, описанные ранее:

Рис. 5.42. Создание расширенного списка управления доступом

132. Перейдите в режим конфигурации диапазона интерфейсов VLAN 2 – 6 с помощью команды interface range vlan 2-6.

133. Введите команду ip access-group Telnet in, указывая всем логическим интерфейсам наACLс именем «Telnet».

134. Проверьте удаленное подключение по протоколу Telnet. Узлы ПК5 и ПК6 должны успешно подключаться и проходить аутентификацию, любые другие узлы должны выдавать ошибку:

Рис. 5.43. Ошибка «хост не отвечает»

4. Заключение

Навыки работы со стандартными и расширенными списками управления доступом позволяют сетевым инженерами обеспечить первоначальную защиту сети от злоумышленников, а также обеспечивают фильтрацию трафика, оптимизируя тем самым загрузку сети. Также списки управления доступом могут применяться для:

• фильтрации обновлений маршрутизации и установки приоритета пакетов (QoS);

• построения тоннелей виртуальной частной сети (VPN). ACLопределяют, какой трафик следует шифровать и пропускать через VPN-туннель;

• разграничения доступа к оборудованию (Установка паролей и ограничений);

• настройки конфигурации службы трансляции сетевых адресов (NAT);

• для использования Policy-based Routing(PBR) – маршрутизации на основе некоторых политик, установленных администратором.

Владение рефлексивными, динамическими и временными списками управления доступом еще сильнее расширяет область применения ACL, позволяя решать сложные узконаправленные задачи на предприятиях, такие как адаптация к внешним угрозам, автоматическое изменение уровня доступа для устройств и пользователей в зависимости от топологии сети, а также смена привилегий в зависимости от времени суток.

1. Контрольные задания

1. Модифицировать задание №1 из лабораторной работы №4. Запретить доступ к серверу всем узлам в сети, кроме тех, которые находятся в отделе администраторов, сохранив возможность обращаться только по протоколу HTTP. Настроить на коммутаторе третьего уровня удаленные подключения по Telnet, ограничить такие подключения всем, кроме администраторов.

135. Модифицировать задание №2 из лабораторной работы №4. Запретить доступ узлам из отдела 1 в отдел 3 и 4 и наоборот. Запретить доступ узлам из отдела 2 в отдел 4 по всем портам, чей номер больше 21. Выделить один узел из отдела 1, которому будет дана возможность обращаться к узлам из отдела 2, всем остальным запретить доступ.

136. Модифицировать задание №3 из лабораторной работы №4. Запретить доступ к серверу всем узлам из отдела производства, остальным отделам разрешить обращаться к серверу только по портам 1541 и 1560-1591 (диапазон).

137. Модифицировать задание №4 из лабораторной работы №4. Разрешить общаться узлам из двух отделов только по следующим протоколам – TFPT, FTP, HTTP. Настроить на коммутаторе третьего уровня удаленные подключения по Telnet, ограничить такие подключения всем, кроме двух выбранных администраторов, каждый из которых должен находиться в разных зданиях.