 |
Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | |
Що таке листи контролю доступу (ACL)
|
|
ACL списки дозволяють Вам контролювати трафік всередині та за межами Вашої мережі. ACL - це конфігураційний скрипт маршрутизатора, який керує тим, яким пакетам дозволено проходити через певний інтерфейс маршрутизатора, а яким ні. Такі дії здійснюються на основі аналізу заголовка пакету. Списки контролю доступу також використовуються для визначення типу трафіку, який необхідно аналізувати, спрямовувати або обробляти.
Кожен пакет, що приходить на порт маршрутизатора, на якому встановлений ACL, перевіряється на схожість інформації у заголовку пакету із записом у списку. ACL складаються з правил, які дозволяють, чи забороняють проходження пакету через інтерфейс маршрутизатора. Спискт ACL реалізують політику безпеки мережі.
По замовчуванню, на маршрутизаторі немає налаштованих ACL списків для фільтруваня трафіку. Весь вхідний трафік маршрутизується відповідно до таблиці маршрутизації.
Рекомендації по використанню списків контролю доступу (ACL):
· Використовуйте ACL на маршрутизаторах, що виконують функції фаєрволів, розміщуючи ACL між внутрішньою та зовнішньою мережами (наприклад, мережею Інтернет);
· Використовуйте списки контролю доступу, розміщуючи їх між двома частинами Вашої мережі, тоді можна контролювати вхідний та вихідний трафік у важливій ділянці внутрішньої мережі;
· Налаштовуйте ACL для кожного мережевого протоколу, що налаштований на інтерфейсі граничного маршрутизатора. Можна налаштувати ACL на інтерфейсі для фільтрації вхідного трафіку, вихідного трафіку, або і вхідного, і вихідного трафіку.
Приклад встановлених ACL списків зображено на рисунку 13.1:
Рис. 13.1 Встановлення ACL списків
Хід роботи
Завдання 1: Створити конфігурацію мережі.
Крок 1: Складіть мережу, аналогічну тій, що наведена на рис.13.2.
Можна використовувати будь-який маршрутизатор при умові наявності необхідних інтерфейсів.
Примітка: Ця лабораторна робота була розроблена і перевірена за допомогою маршрутизаторів 1841. Якщо використовуються 1700, 2500, або 2600 маршрутизатори, виходи і інтерфейс опису може відрізнятися. На старих маршрутизаторах або версіях IOS до 12.4, деякі команди можуть бути іншими або взагалі відсутніми.
Крок 2: Видаліть всі існуючі конфігурації на маршрутизаторах.
Рис. 13.2 Схема лабораторного макету
Таблиця адресації
| Device | Interface | IP Address | Subnet Mask | Default Gateway |
| R1 | Fa0/0 | 192.168.10.1 | 255.255.255.0 | N/A |
| Fa0/1 | 192.168.11.1 | 255.255.255.0 | N/A | |
| S0/0/0 | 10.1.1.1 | 255.255.255.252 | N/A | |
| R2 | Fa0/1 | 192.168.20.1 | 255.255.255.0 | N/A |
| S0/0/0 | 10.1.1.2 | 255.255.255.252 | N/A | |
| S0/0/1 | 10.2.2.1 | 255.255.255.252 | N/A | |
| Lo0 | 209.165.200.225 | 255.255.255.224 | N/A | |
| R3 | Fa0/1 | 192.168.30.1 | 255.255.255.0 | N/A |
| S0/0/1 | 10.2.2.2 | 255.255.255.252 | N/A | |
| S1 | Vlan1 | 192.168.10.2 | 255.255.255.0 | 192.168.10.1 |
| S2 | Vlan1 | 192.168.11.2 | 255.255.255.0 | 192.168.11.1 |
| S3 | Vlan1 | 192.168.30.2 | 255.255.255.0 | 192.168.30.1 |
| PC1 | NIC | 192.168.10.10 | 255.255.255.0 | 192.168.10.1 |
| PC2 | NIC | 192.168.11.10 | 255.255.255.0 | 192.168.11.1 |
| PC3 | NIC | 192.168.30.10 | 255.255.255.0 | 192.168.30.1 |
| Web Server | NIC | 192.168.20.254 | 255.255.255.0 | 192.168.20.1 |
Завдання 2: Виконайте основні налаштування конфігурації маршрутизаторів.
Здійсніть налаштування маршрутизаторів R1, R2, R3 і комутаторів S1, S2, S3 у відповідності з такими принципами:
· встановіть ім’я маршрутизатора, щоб воно відповідало його назві на схемі лабораторного макету;
· вимкніть DNS пошук;
· встановіть пароль на вхід в EXEC режим;
· встановіть повідомлення банера (message of the day);
· встановіть пароль Cisco для з’єднання через консоль;
· встановіть пароль для підключення по VTY;
· задайте IP-адреси і маски на всіх інтерфейсах, а також на комп'ютерах;
· включіть OSPF області 0 з ідентифікатором процесу 1 на всіх маршрутизаторах для всіх мереж;
· задайте адресу loop-інтерфейсу на R2 для імітації ISP;
· перевірте наявність зв’язку між пристроями, використовуючи команду ping.
Завдання 3: Налаштуйте стандартні списки ACL.
Стандартні списки управління доступом можуть фільтрувати трафік тільки на основі IP-адреси джерела. Стандартні ACL розміщують якомога ближче до місця призначення. Налаштований ACL буде призначений для блокування трафіку від мережі 192.168.11.0/24 до будь-якої локальної мережі на R3.
Цей ACL список буде застосовуватися для вхідного трафіку на послідовному інтерфейсі serial 0/0/1маршрутизатора R3. Пам'ятайте, що кожен ACL має неявну заборону на весь трафік (deny any), що блокує трафік, який не відповідає, встановленим в ACL, правилам. Додайте правило для дозволу на будь-який трафік.
Перед налаштуванням і застосуванням ACL переконайтеся, що перевірили з'єднання між PC1 (або Fa0/1 інтерфейс на R1) та PC3 (або Fa0/1 інтерфейс R3). Перевірка з'єднання повинна бути успішною для застосування ACL.
Крок 1: Створення ACL на маршрутизаторі R3.
У глобальному режимі конфігурації, створіть стандартний ACL STND-1.
R3(config)# ip access-list standard STND-1
У стандартному режимі налаштування ACL, додайте правило, що забороняє будь-які пакети, з адресою відправника 192.168.11.0/24 і виводить повідомлення на консоль для кожного знайденого пакету:
R3(config-std-nacl)# deny 192.168.11.0 0.0.0.255 log
Правило на дозвіл іншого трафіку.
R3(config-std-nacl)# permit any
Крок 2: Застосуйте ACL.
Застосувати ACL STND-1 як фільтр на пакети, що надходять на R3 через послідовний інтерфейс 0/0/1.
R3(config)# interface serial 0/0/1
R3(config-if)# ip access-group STND-1 in
R3(config-if)# end
R3# copy run start
Крок 3: Перевірте ACL.
Перед тестуванням ACL, переконайтеся, що консоль R3 видно. Це дозволить Вам побачити список журналів повідомлень, коли пакету буде відмовлено в проходженні через інтерфейс маршрутизатора.
Випробуйте правильність налаштованого ACL пінгом з PC2 до PC3. З ACL, призначеним для блокування трафіку з мережі 192.168.11.0/24, PC2 (192.168.11.10) не повинен пінгувати PC3.
У привілейованому режимі EXEC на R3, виконайте команду show access-lists. Ви отримуєте результат, подібний наступному: кожен запис в ACL має лічильник, що показує загальне число пакетів, які відповідають правилу.
Standard IP access list STND-1
10 deny 192.168.11.0, wildcard bits 0.0.0.255 log (5 matches)
20 permit any (25 matches)
Метою цього ACL є заблокувати доступ хостів з мережі 192.168.11.0/24. Будь-які інші хости, такі як хости мережі 192.168.10.0/24, повинні мати доступ до мереж, підключених до маршрутизатора R3. Виконайте команду ping з PC1 до PC3, щоб переконатися, що цей трафік не блокується.
Завдання 4: Виконайте лабораторну роботу на лабораторному макеті. Продемонструйте результат виконання роботи викладачеві.
Завдання 5: Завершення роботи.
Оформіть звіт про виконання даної роботи. Видаліть конфігурації і перезавантажте маршрутизатори. Відключіть і складіть кабелі. Для PC хостів, що зазвичай використовуються для інших мереж (наприклад LAN університету чи Інтернет), підключіть відповідні кабелі і відновіть налаштування TCP/IP.
Контрольні питання
1. Що таке ACL списки та для чого вони використовуються?
2. Які типи ACL Вам відомі?
3. Яка відмінність між різними типами ACL?
4. Які вимоги ставляться до налаштування стандартних ACL листів?
Лабораторна робота №14. Налаштування розширених ACL.
Тема роботи: налаштування розширених списків контролю доступу ACL.
Мета роботи: вивчити принципи налаштування розширених списків контролю доступу ACL на маршрутизаторах Cisco.
Дата публикования: 2015-09-18; Прочитано: 941 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!
