Лабораторная работа № 14. Списки доступа.

Создайте схему сети, как показано на рис.10.1.

Рис.10.1. Схема корпоративной сети.

Задача:

1 - Компьютеры comp1 и comp2 должны открывать все сайты, но им запрещено входить на компьютеры comp3 и comp4.

2 - Компьютеры comp3 и comp4 доступны друг для друга и должны открывать только сайт своей сети, сеть 11.0.0.0 для них недоступна.

Создадим стандартный список доступа, где укажем правила блокировки на хосты comp3 и comp4 и применим этот список на выход интерфейса Fa0/0.

Включите привилегированный режим и войдите в конфигурацию роутера:

Router1>en

Router1#conf t

Создадим стандартный список доступа и введем правила доступа:

Router1(config)#ip access-list standard 10

Router1(config-std-nacl)#deny host 12.0.0.13

Router1(config-std-nacl)#deny host 12.0.0.14

Router1(config-std-nacl)#permit any

Здесь мы разрешили весь трафик, за исключением двух адресов: 12.0.0.13 и 12.0.0.14.

Просмотрим созданный список доступа в настройках роутера. Для этого надо выйти из режима конфигурации роутера и ввести команду просмотра списков на устройстве sh access-list:

Router1#sh access-list

Standard IP access list 10

deny host 12.0.0.13

deny host 12.0.0.14

permit any

Router1#

Применим созданный список на выход интерфейса Fa0/0:

Router1#

Router1#conf t

Router1(config)#interface fa0/0

Router1(config-if)#ip access-group 10 out

В результете того, что список доступа был применен к выходу интерфейса сети 11.0.0.0 мы получили следующую политику доступа:

1 – пакеты, входящие на роутер из сети 11.0.0.0 получают блокировку на два внешних адреса – 12.0.0.13 и 12.0.0.14;

2 – всем внешним пакетам, входящим из роутера в сеть 11.0.0.0 разрешается все, кроме двух адресов - 12.0.0.13 и 12.0.0.14 (этим адресам запрещен вход в сеть 11.0.0.0)

Просмотрим привязку списка доступа к интерфейсу Fa0/0 в конфигурации роутера:

Router1(config-if)#exit

Router1(config)#exit

Router1#

Router1#sh running-config

Используя данную команду, вы увидите полную конфигурацию роутера, в том числе и привязку списка доступа к конкретному интерфейсу (в данном случае на выход интрфейса):

interface FastEthernet0/0

ip address 11.0.0.1 255.0.0.0

ip access-group 10 out

duplex auto

speed auto

!

Проверьте созданную политику доступа к ресурсам сети. Должны выполняться следующие правила:

1 - компьютеры comp3 и comp4 доступны друг для друга и должны открывать только сайт своей сети, вход в сеть 11.0.0.0 им заблокирован;

2 – сервера Server2 доступен всем ресурсам сети;

3 - компьютерам comp1 и comp2 доступны все ресурсы, кроме адресов 12.0.0.13 и 12.0.0.14.

Самостоятельная работа №5.

Создайте сеть, представленную на рис 10.2.

Рис.10.2. Схема корпоративной сети.

Корпоративная сеть состоит из четырех сетей:

сеть 1 – 11.0.0.0/8;

сеть 2 – 12.0.0.0/8;

сеть 3 – 13.0.0.0/8;

сеть 4 – 14.0.0.0/8.

В каждой сети на сервере установлен Web сайт.

Задание:

Компьютеру comp2 доступны только компьютеры своей сети и сomp4.

Компьютеру comp4 доступны только компьютеры своей сети и сomp2.

Компьютеру comp8 доступны только компьютеры своей сети и сomp6.

Компьютеру comp6 доступны только компьютеры своей сети и сomp8.

Компьютеры comp1, comp3, comp5 и comp7 должны открывать все сайты на серверах S1, S2, S3 и S4.

Самостоятельная работа №6.

Создайте сеть, представленную на рис 10.3.

Рис.10.3 Схема корпоративной сети.

Корпоративная сеть состоит из четырех сетей:

сеть 1 – 11.0.0.0/8;

сеть 2 – 12.0.0.0/8;

сеть 3 – 13.0.0.0/8;

сеть 4 – 14.0.0.0/8.

В каждой сети на сервере установлен Web сайт.

Задание:

1 - Сеть 14.0.0.0 недоступна из сети 11.0.0.0.

2 - Компьютерам comp1 и comp2 разрешить открытие сайта на server3, но запретить прослушивание server3 по команде ping.

3 – Компьютеру comp1 разрешить доступ на server2, но запретить открытие сайта на этом сервере.

4 – Компьютеру comp2 разрешить доступ на server1, но запретить открытие сайта на server1, разрешить доступ и открытие сайта на server4.

Самостоятельная работа №7.

Создайте схему сети, представленную на рис.10.4. Задайте сети и адресацию произвольно.

Рис.10.4. Схема корпоративной сети.

Задание:

1 – компьютеры comp1, comp2 и comp3 находятся в одном VLAN 10, доступны только друг для друга и имеют доступ к server1.

2 – компьютеры comp4, comp5 и comp6 находятся в одном VLAN 20, доступны только друг для друга и имеют доступ к server1.

3 - компьютеры comp7 и comp8 доступны только друг для друга и имеют доступ к server1.

Самостоятельная работа №8.

Создайте схему сети, представленную на рис.10.5.

Рис. 10.5. Схема корпоративной сети.

На всех трех серверах установлены службы Web и FTP.

Создайте списки доступа, задающие для компьютеров comp1 и comp2 следующие правила доступа в сети:

Компьютер comp1:

Server1 – разрешить доступ на FTP;

Server2 - разрешить доступ на Web;

Server3 - разрешить доступ на Web и FTP.

Компьютер comp2:

Server1 – разрешить доступ на Web;

Server2 - разрешить доступ на FTP;

Server3 - разрешить доступ на Web и FTP.

Контрольные вопросы.

1. Какие параметры контролирует расширенные списки доступа?

2. Приведите пример команды, разрешающей передачу пакетов от хоста на все веб-сервера.

3. Перечислите основные типы списков доступа.

4. Что такое шаблон маски подсети и приведите примеры его использования в списках доступа.

5. Какое правило обработки сетевого трафика задает следующий список доступа: Ip access-list 111 deny tcp any any eq 80

6. Локальная сеть соединена с роутером по интерфейсу Fa0/0, а внешняя сеть соединена по интерфейсу Fa0/1. Из локальной сети запрещен вход во внешнюю сеть, а из внешней сети запрещено входить на FTP сервер, расположенный во внутренней сети. Для реализации этих правил был создан список доступа. Назовите интерфейс и в каком направлении (на вход или на выход), к которому следует применить созданный список доступа.

7. Для какого варианта не может быть проведено сравнение на основе расширенного списка доступа IP?

- протокол;

- IP адрес отправителя;

- IP адрес получателя;

- имя файла для передачи по протоколу FTP.

8. Назовите, какой шаблон маски соответствует сети 10.16.0.0./12?

9. В списке доступа содержится следующее правило:

Permit any host 192/168/1/1/it 25

Какие номера портов оно обрабатывает?

10. Напишите правило доступа для входа в сеть 51.52.32.0/21

Литература.

1. Д. Бони. Руководство по Cisco IOS. Изд. Питер, Русская Редакция, 2008, 786 с.

2. К. Кеннеди, К. Гамильтон. Принципы коммутации в локальных сетях Cisco. Изд. Вильямс, 2003,976 с.

3. Джером Ф. Димарцио. Маршрутизаторы CISCO. Пособие для самостоятельного изучения. Изд. Символ-Плюс, 2003, 512 с.

4. И.В. Руденко Маршрутизаторы CISCO для IP-сетей. Изд. КУДИЦ-ОБРАЗ, 2003, 656 с.

5. Вито Амато. Основы организации сетей Cisco. Том 1. Изд. Вильямс, 2002, 512 с.

6. Тодд Леммл, Кевин Хейлз. CCNP: Настройка коммутаторов CISCO. Экзамен 640-504. Изд. Лори, 2002 464 с.

7. Уэнделла Одома. «Официальное руководство Cisco по подготовке к сертификационным экзаменам CCENT/CCNA ICND1 640- 822» (3-е издание). Изд. Вильямс, серия Cisco Press, 2013.

8. Cisco ICND 1. Руководство для студента. Изд. Cisco, 2009.

9. Документация к программе Cisco Packet Tracer.

10. Интернет – ресурсы: www.cisco.com, litl-admin.ru.