Примеры расширенных списков доступа

Первый критерий разрешает любые входящие TCP-соединения на порты с номерами больше 1023. Второй критерий разрешает входящие SMTP-соединения на адрес 128.88.1.2. Следующий критерий разрешает прохождение ICMP-сообщений.

ВСЕ остальные пакеты, входящие с интерфейса Ethernet0 будут ОТБРОШЕНЫ!

!

access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.0.0 0.0.255.255 gt 1023

access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.1.2 0.0.0.0 eq 25

access-list 102 permit icmp 0.0.0.0 255.255.255.255 128.88.0.0 255.255.255.255

!

interface ethernet 0

ip access-group 102 in

!

Пример именованного списка доступа

Создается стандартный список доступа с именем Internet_filter и расширенный список доступа с именем marketing_group:

!

interface Ethernet0/5

ip address 2.0.5.1 255.255.255.0

ip access-group Internet_filterout

ip access-group marketing_groupin

...

!

ip access-list standard Internet_filter

permit 1.2.3.4

deny any

ip access-list extended marketing_group

permit tcp any 171.69.0.0 0.0.255.255 eq telnet

deny tcp any any

permit icmp any any

deny udp any 171.69.0.0 0.0.255.255 lt 1024

deny ip any any log

!

Лабораторная работа 15

КОНФИГУРИРОВАНИЕ Standard Access List НА МАРШРУТИЗАТОРЕ

Цель

Изучить настройку стандартного списков доступа на маршрутизаторе.

1. Для выполнения работы необходимо использовать топологию, созданную в лабораторной работе 8 (или создать заново).

2. При выполнении работы будет выполняться конфигурация маршрутизаторов Router1, Router2 и Router4.

3. Выполните базовую конфигурацию маршрутизаторов и сконфигурируйте интерфейсы (см. Таблицу). 4. Выполните настройку RIP маршрутизации.5. Проверьте связь Router 4 и Router 2 Router4#ping 24.17.2.2 6. Создадим стандартный ACL с номером «1», который блокирует IP трафик только от одного адреса – 24.17.2.18 и разрешает остальной трафик Router2(config)#access-list 1 deny host 24.17.2.18ИЛИRouter2(config)#access-list 1 deny 24.17.2.18 0.0.0.0 ИЛИRouter2(config)#access-list 1 deny 24.17.2.18 Router2(config)#access-list 1 permit any 7. После создания ACL его необходимо применить на конкретном интерфейсе – Ethernet 0. Т.к. мы хотим заблокировать входящий трафик, то необходимо указать соответствующее «направление» трафика – «IN» Router2(config)#interface ethernet0 Router2(config-if)#ip access-group 1 in Router2(config-if)#exit 8. Проверим работу ACL. Router4#ping 24.17.2.2 9. Для просмотра настроенных ACL можно воспользоваться командой show running-configRouter2#show running-config 10. Команда show ip interface позволит посмотреть какие ACL применены на данном интерфейсе Router2#show ip interface 11. Команда show access-list позволяет посмотреть ACL созданные на маршрутизаторе.Router2#show access-lists Задание 1. Создать топологию представленную на рисунке. Использовать маршрутизаторы 2620 и коммутаторы 2950.2. Выполнить базовую конфигурацию устройств и конфигурацию интерфейсов согласно топологии и таблице IP адресов.3. Выполнить настройку RIP маршрутизации между маршрутизаторами R1, R2 и R3.4. Выполнить настройку статической маршрутизации для обеспечения доступа к ISP.5. Проверить связи между всеми узлами реализованной топологии.6. Выполнить на основе стандартных ACL реализацию следующей политики доступа6.1. Для сетей, подключенных к R1:Узлам подсети 192.168.10.0/24 разрешить доступ ко всем узлам за исключением подсети 192.168.11.0/24.Узлам подсети 192.168.11.0/24 разрешить доступ ко всем узлам, кроме выхода в интернет (т.е. запретить доступ к ISP)6.2. Для подсети, подключенной к R3: Всем узлам подсети 192.168.30.0/24 разрешить весь трафик. Узлу 192.168.30.128 запретить трафик за пределы своей подсети. Рис. Топология сети Таблица IP адресов