2.2.Порядок проведения работы

Для выполнения лабораторной работы необходимо собрать схему сети, представленную на рис. 7.1. Компьютеры локальной сети 10.2.0.0 / 24 подключаются к коммутатору рабочих групп. К одному из интерфейсов коммутатора подключается интерфейс брандмауэра Ethernet 1. Другой интерфейс Ethernet 0 подключается к пограничному маршрутизатору Router (Интернет-шлюзу). Сеть Интернет представлена третьим компьютером с IP-адресом 172.16.1.2 / 12. Для моделирования внешней сети необходимо отключить на стойке соответствующий патч-корд от коммутатора и подключить его к интерфейсу маршрутизатора Router. Кроме того, для выполнения начальной настройки IP-адресов маршрутизатора и брандмауэра используются две консольные линии.

Рис. 7.1. Схема подключения оборудования

В лабораторной работе необходимо выполнить следующие действия.

1. Настройте на компьютерах локальной сети IP-адреса из подсети 10.2.0.0 c маской 255.255.255.0. Настройте на компьютере внешней сети IP-адрес из подсети 172.16.1.0 с маской 255.240.0.0

2. Зайдите на брандмауэр с консоли. Задайте имя устройства, пароль на вход в привилегированный режим, пароль на подключение по линиям telnet. Проверьте имена и уровни безопасности внешнего и внутреннего интерфейсов, задайте IP-адреса, установите скорость и режим передачи.

3. С помощью команды route настройте для внешнего интерфейса брандмауэра статический маршрут по умолчанию к граничному маршрутизатору.

4. Разрешите всем компьютерам локальной сети устанавливать соединения с внешней сетью. Для этого настройте статическую трансляцию адресов на брандмауэре (команда static).

5. На внешнем компьютере выполните команду ping 10.2.0.10. На компьютерах локальной сети выполните команду ping 172.16.1.2. Объясните полученные результаты.

6. Разрешите прохождение ICMP-ответов от внешнего компьютера в локальную сеть (команда conduit). На компьютерах локальной сети выполните команду ping 172.16.1.2. Сравните результаты с п.5.

7. С помощью программы-снифера во внешней сети отловите пакеты с транслированными адресами внутренней сети.

8. Просмотрите таблицу трансляции адресов. Отмените статическую трансляцию адресов и очистите слоты трансляции. Настройте динамическую трансляцию локальных адресов (технология NAT) во внешние адреса из некоторого пула (команды nat, global).

9. Допустим, что провайдер предоставил нам один внешний IP-адрес. Настройте трансляцию всех локальных адресов в один глобальный адрес (технология PAT).

10. Для внешнего компьютера c адресом 172.16.1.2 разрешите управление коммутатором через telnet (порт 23), оставив при этом запрещенными все остальные внешние подключения от других узлов или приложений (команды static, conduit).

11. Предположим, в локальной сети находится Web-сервер с внешним адресом 172.16.1.3. Отключите трансляцию адресов для этого узла (команда nat 0) и откройте http-доступ (порт 80) к web-серверу для всех пользователей Интернета (команда conduit), оставив при этом запрещенными внешние подключения для других приложений.

Команды операционной системы Cisco PIX OS, необходимые для выполнения работы, приведены в табл. 7.1. Обратите внимание, что некоторые команды либо формат их записи отличаются от команд операционной системы Cisco IOS для коммутаторов и маршрутизаторов, хотя имеют тот же смысл.

Таблица 7.1

Команды операционной системы Cisco PIX OS

Команда	Режим	Описание команды
1	2	3
enable	Пользовательский	Переводит в привилегированный режим
show configure	Привилегированный	Выводит на терминал начальную конфигурацию брандмауэра
write terminal	То же	Выводит на терминал текущую конфигурацию
show ip address	»	Выводит на терминал информацию об IP-адресах всех интерфейсов
configure terminal	»	Переводит в режим конфигурации
nameif интерфейс имя уровень	Глобальная конфигурация	Задает имя и уровень безопасности для физического интерфейса
interface интерфейс скорость-дуплекс	То же	Задает скорость и режим работы интерфейса
ip address интерфейс адрес маска	»	Назначает IP-адрес интерфейсу
route имя адрес маска шлюз метрика	»	Устанавливает статический маршрут для интерфейса
static (inside, outside) глобальный_адрес локальный_адрес netmask маска	»	Настраивает статическую трансляцию адресов между внутренним интерфейсом inside и внешним интерфейсом outside.
show xlate	Привилегированный	Выводит на терминал таблицу трансляции адресов
clear xlate	То же	Очищает все слоты в таблице трансляции
nat (inside) номер адреса маска	Глобальная конфигурация	Определяет диапазон локальных адресов для динамической трансляции

Окончание таблицы 7.1

1	2	3
global (outside) номер пул_адресов netmask маска	Глобальная конфигурация	Определяет пул глобальных адресов, которые будут использоваться при динамической трансляции
conduit permit | deny протокол глобальный_адрес маска [оператор порт] внешний_адрес маска	То же	Задает правило доступа из внешней сети к узлам внутренней сети. Глобальные адреса внутренних узлов определяются командами global и static, внешние адреса – это адреса устройств из внешней сети, которым необходимо открыть доступ.