Лабораторная работа 16

КОНФИГУРИРОВАНИЕ Extended Access List НА МАРШРУТИЗАТОРЕ

Цель

Изучить настройку расширенных списков доступа на маршрутизаторе.

1. Для выполнения работы необходимо использовать топологию, созданную в лабораторной работе 8 (или создать заново). Возможно, загрузить конфигурацию, которая была создана в предыдущей лабораторной работе. В этом случае необходимо отключить применение ACL 1 на Ethernet 0 Router 2 и пункты 2-4 выполнять нет необходимости.

Router2>enable

Router2#conf t

Router2(config)#interface ethernet0

Router2(config-if)#no ip access-group 1 in

2. При выполнении работы будет выполняться конфигурация маршрутизаторов Router1, Router2 и Router4.

3. Выполните базовую конфигурацию маршрутизаторов и сконфигурируйте интерфейсы (см. Таблицу). 4. Выполните настройку RIP маршрутизации.5. Проверьте связь Router 4 и Router 2 Router4#ping 24.17.2.2 6. Настроим расширенные списки доступа, которые позволят:– входящий Telnet трафик на интерфейсе Serial 0 маршрутизатора Router 1только из подсети 24.17.2.16 255.255.255.240 (или 24.17.2.16/27)– входящий трафик на интерфейсе Ethernet 0 маршрутизатора Router 1 только из подсети 24.17.2.0 255.255.255.240 (или 24.17.2.0/27) Router1#conf t Router1(config)#Router1(config)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any eq telnet logRouter1(config)#access-list 102 permit ip 24.17.2.0 0.0.0.15 any log

7. Применим созданные ACL на соответствующие интерфейсы

Router1(config)#interface serial0

Router1(config-if)#ip access-group 101 in

Router1(config-if)#exit

Router1(config)#interface ethernet0

Router1(config-if)#ip access-group 102 in

Router1(config-if)#exit

8. Проверим работу ACL и правильность их настройки. Командой ping проверим прохождение пакетов до интерфейса Serial 0 маршрутизатора Router 1. Мы не должны получить ответа, т.к. входящие пакеты были отвергнуты маршрутизатором в соответствии с примененным на интерфейсе ACL.

Router4#ping 24.17.2.17

9. Настроим возможность доступа к Router 1 через Telnet

Router1(config)#

Router1(config)#line vty 0 4

Router1(config-line)#login

Router1(config-line)#password boson

Router1(config-line)#exit

9. Проверим доступность маршрутизатора Router 1 через Telnet.

Router4#telnet 24.17.2.17

10. При успешном подключении считаем, что ACL работает правильно. Для возврата в режим CLI Router 4 используйте уже известную комбинацию control+shift+6 затем x. Необходимо закрыть соединение с Router 1 с помощью команды disconnect <номер соединения>, в нашем случае имеем только одно соединение, с номером 1.

Router4#disconnect 1

11. Попробуем «пропинговать» интерфейс Serial 0 Router 4 с маршрутизатора Router 2

Router2#ping 24.17.2.18

При правильной настройки ACL мы должны получить отрицательный результат, т.е. мы не получим ответа от маршрутизатора Router 4. Причиной является блокировка ответных пакетов на интерфейсе Serial 0 маршрутизатора Router 1.

12. Попробуем «пропинговать» интерфейс Ethernet 0 маршрутизатора Router 1.

Router2#ping 24.17.2.1

13. Попробуем подключиться с маршрутизатора Router 2 через Telnet к маршрутизатору Router 1.

Router2#telnet 24.17.2.1

13. Для просмотра сведений по настроенным ACL используйте следующие команды:

Router1#show running-config

Router1#show ip interface

Router1#show access-lists

Задание 1. Создать топологию, представленную на рисунке. Использовать маршрутизаторы 2620 и коммутаторы 2950.2. Выполнить базовую конфигурацию устройств и конфигурацию интерфейсов согласно топологии и таблице IP адресов.3. Выполнить настройку RIP маршрутизации между маршрутизаторами R1, R2 и R3.4. Выполнить настройку статической маршрутизации для обеспечения доступа к ISP.5. Проверить связи между всеми узлами реализованной топологии.6. Выполнить на основе расширенных ACL реализацию следующей политики доступа6.1. Для сетей, подключенных к R1:Для подсети 192.168.10.0/24 блокировать Telnet доступ ко всем узлам и TFTP доступ к корпоративному TFTP серверу 192.168.20.254. Остальной трафик разрешен.Для подсети 192.168.11.0/24 разрешается TFTP доступ к корпоративному TFTP серверу 192.168.20.254. Блокировать весь остальной трафик из подсети 192.168.11.0/24 до подсети 192.168.20.0/24. Разрешить весь остальной трафик.6.2. Для подсети, подключенной к R3:Для подсети 192.168.30.0/24 блокировать весь трафик до подсети 192.168.20.0/24.Для первой половины IP адресов подсети 192.168.30.0/24 (маска подсети 255.255.255.128) разрешить трафик до всех остальных узлов.Для второй половины IP адресов подсети 192.168.30.0/24 (маска подсети 255.255.255.128) разрешить WEB и ICMP трафик до всех остальных узлов. Остальной трафик неявно запретить. Рис. Топология сети Таблица IP адресов