Лабораторная работа 1 Знакомство с программой Boson Network Designer Цель
 Скачать 1.38 Mb.
|
|
Router4#ping 24.17.2.2 6. Создадим стандартный ACL с номером «1», который блокирует IP трафик только от одного адреса – 24.17.2.18 и разрешает остальной трафик Router2(config)#access-list 1 deny host 24.17.2.18 ИЛИ Router2(config)#access-list 1 deny 24.17.2.18 0.0.0.0 ИЛИ Router2(config)#access-list 1 deny 24.17.2.18 Router2(config)#access-list 1 permit any 7. После создания ACL его необходимо применить на конкретном интерфейсе – Ethernet 0. Т.к. мы хотим заблокировать входящий трафик, то необходимо указать соответствующее «направление» трафика – «IN» Router2(config)#interface ethernet0 Router2(config-if)#ip access-group 1 in Router2(config-if)#exit 8. Проверим работу ACL. Router4#ping 24.17.2.2 9. Для просмотра настроенных ACL можно воспользоваться командой show running-config Router2#show running-config 10. Команда show ip interface позволит посмотреть какие ACL применены на данном интерфейсе Router2#show ip interface 11. Команда show access-list позволяет посмотреть ACL созданные на маршрутизаторе. Router2#show access-lists Задание 1. Создать топологию представленную на рисунке. Использовать маршрутизаторы 2620 и коммутаторы 2950. 2. Выполнить базовую конфигурацию устройств и конфигурацию интерфейсов согласно топологии и таблице IP адресов. 3. Выполнить настройку RIP маршрутизации между маршрутизаторами R1, R2 и R3. 4. Выполнить настройку статической маршрутизации для обеспечения доступа к ISP. 5. Проверить связи между всеми узлами реализованной топологии. 6. Выполнить на основе стандартных ACL реализацию следующей политики доступа 6.1. Для сетей, подключенных к R1: Узлам подсети 192.168.10.0/24 разрешить доступ ко всем узлам за исключением подсети 192.168.11.0/24. Узлам подсети 192.168.11.0/24 разрешить доступ ко всем узлам, кроме выхода в интернет (т.е. запретить доступ к ISP) 6.2. Для подсети, подключенной к R3: Всем узлам подсети 192.168.30.0/24 разрешить весь трафик. Узлу 192.168.30.128 запретить трафик за пределы своей подсети.  Рис. Топология сети Таблица IP адресов  Лабораторная работа 16 КОНФИГУРИРОВАНИЕ Extended Access List НА МАРШРУТИЗАТОРЕ Цель Изучить настройку расширенных списков доступа на маршрутизаторе. 1. Для выполнения работы необходимо использовать топологию, созданную в лабораторной работе 8 (или создать заново). Возможно, загрузить конфигурацию, которая была создана в предыдущей лабораторной работе. В этом случае необходимо отключить применение ACL 1 на Ethernet 0 Router 2 и пункты 2-4 выполнять нет необходимости. Router2>enable Router2#conf t Router2(config)#interface ethernet0 Router2(config-if)#no ip access-group 1 in 2. При выполнении работы будет выполняться конфигурация маршрутизаторов Router1, Router2 и Router4. 3. Выполните базовую конфигурацию маршрутизаторов и сконфигурируйте интерфейсы (см. Таблицу).  4. Выполните настройку RIP маршрутизации. 5. Проверьте связь Router 4 и Router 2 Router4#ping 24.17.2.2 6. Настроим расширенные списки доступа, которые позволят: – входящий Telnet трафик на интерфейсе Serial 0 маршрутизатора Router 1только из подсети 24.17.2.16 255.255.255.240 (или 24.17.2.16/27) – входящий трафик на интерфейсе Ethernet 0 маршрутизатора Router 1 только из подсети 24.17.2.0 255.255.255.240 (или 24.17.2.0/27) Router1#conf t Router1(config)# Router1(config)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any eq telnet log Router1(config)#access-list 102 permit ip 24.17.2.0 0.0.0.15 any log 7. Применим созданные ACL на соответствующие интерфейсы Router1(config)#interface serial0 Router1(config-if)#ip access-group 101 in Router1(config-if)#exit Router1(config)#interface ethernet0 Router1(config-if)#ip access-group 102 in Router1(config-if)#exit 8. Проверим работу ACL и правильность их настройки. Командой ping проверим прохождение пакетов до интерфейса Serial 0 маршрутизатора Router 1. Мы не должны получить ответа, т.к. входящие пакеты были отвергнуты маршрутизатором в соответствии с примененным на интерфейсе ACL. Router4#ping 24.17.2.17 9. Настроим возможность доступа к Router 1 через Telnet Router1(config)# Router1(config)#line vty 0 4 Router1(config-line)#login Router1(config-line)#password boson Router1(config-line)#exit 9. Проверим доступность маршрутизатора Router 1 через Telnet. Router4#telnet 24.17.2.17 10. При успешном подключении считаем, что ACL работает правильно. Для возврата в режим CLI Router 4 используйте уже известную комбинацию control+shift+6 затем x. Необходимо закрыть соединение с Router 1 с помощью команды disconnect <номер соединения>, в нашем случае имеем только одно соединение, с номером 1. Router4#disconnect 1 11. Попробуем «пропинговать» интерфейс Serial 0 Router 4 с маршрутизатора Router 2 Router2#ping 24.17.2.18 При правильной настройки ACL мы должны получить отрицательный результат, т.е. мы не получим ответа от маршрутизатора Router 4. Причиной является блокировка ответных пакетов на интерфейсе Serial 0 маршрутизатора Router 1. 12. Попробуем «пропинговать» интерфейс Ethernet 0 маршрутизатора Router 1. Router2#ping 24.17.2.1 13. Попробуем подключиться с маршрутизатора Router 2 через Telnet к маршрутизатору Router 1. Router2#telnet 24.17.2.1 13. Для просмотра сведений по настроенным ACL используйте следующие команды: Router1#show running-config Router1#show ip interface Router1#show access-lists Задание 1. Создать топологию, представленную на рисунке. Использовать маршрутизаторы 2620 и коммутаторы 2950. 2. Выполнить базовую конфигурацию устройств и конфигурацию интерфейсов согласно топологии и таблице IP адресов. 3. Выполнить настройку RIP маршрутизации между маршрутизаторами R1, R2 и R3. 4. Выполнить настройку статической маршрутизации для обеспечения доступа к ISP. 5. Проверить связи между всеми узлами реализованной топологии. 6. Выполнить на основе расширенных ACL реализацию следующей политики доступа 6.1. Для сетей, подключенных к R1: Для подсети 192.168.10.0/24 блокировать Telnet доступ ко всем узлам и TFTP доступ к корпоративному TFTP серверу 192.168.20.254. Остальной трафик разрешен. Для подсети 192.168.11.0/24 разрешается TFTP доступ к корпоративному TFTP серверу 192.168.20.254. Блокировать весь остальной трафик из подсети 192.168.11.0/24 до подсети 192.168.20.0/24. Разрешить весь остальной трафик. 6.2. Для подсети, подключенной к R3: Для подсети 192.168.30.0/24 блокировать весь трафик до подсети 192.168.20.0/24. Для первой половины IP адресов подсети 192.168.30.0/24 (маска подсети 255.255.255.128) разрешить трафик до всех остальных узлов. Для второй половины IP адресов подсети 192.168.30.0/24 (маска подсети 255.255.255.128) разрешить WEB и ICMP трафик до всех остальных узлов. Остальной трафик неявно запретить.  Рис. Топология сети Таблица IP адресов  Лабораторная работа 17 КОНФИГУРИРОВАНИЕ Named Access List НА МАРШРУТИЗАТОРЕ Цель Изучить настройку именованных списков доступа на маршрутизаторе. 1. Для выполнения работы необходимо использовать топологию, созданную в лабораторной работе 8 (или создать заново). 2. При выполнении работы будет выполняться конфигурация маршрутизаторов Router1 и Router4, а также рабочей станции PC 1. 3. Выполните базовую конфигурацию маршрутизаторов и сконфигурируйте интерфейсы (см. Таблицу).  4. Выполните настройку RIP маршрутизации между подсетями. 5. Проверьте связь между PC 1 и маршрутизатором Router 1. 6. Создадим именованный ACL блокирующий ICMP пакеты от PC 1 до интерфейса Serial 0 маршрутизатора Router 1. Router1(config)# ip access-list extended deny_ping Router1(config-ext-acl)#deny icmp host 192.168.1.18 192.168.1.1 0.0.0.0 log Router1(config-ext-acl)#permit ip any any log 7. Применим созданный ACL на «входе» интерфейса Serial 0 Router1(config-ext-acl)#exit Router1(config)#interface Serial 0 Router1(config-if)#ip access-group deny_ping in 8. Проверьте работу ACL «пропинговав» с PC 1 Router 1 и «пропинговав» с Router 4 Router 1. В консоли Router 1 должны появиться сообщения о применении ACL. Лабораторная работа 18 КОНФИГУРИРОВАНИЕ СЕТЕВЫХ УСТРОЙСТВ (ИТОГОВАЯ) Задание 1. Реализовать представленную на рисунке топологию сети, использовать маршрутизаторы 2620 и коммутаторы 2950. 2. Выполнить базовую настройку сетевых устройств: – задать имя; – установить пароль для входа через консольный порт; – установить пароль для перехода в привилегированный режим; – настройте приветствие (баннер) при входе; – обеспечьте возможность подключения к маршрутизаторам с помощью Telnet 3. Выполните эффективное планирование адресного пространства и заполните недостающие данные таблицы: – во всех LAN не более 62 хостов; – диапазон для сегмента R1-ISP – 209.165.200.224/27; – диапазон для сегмента ISP-Web Server – 192.168.99.0/24; – диапазон для сегментов между маршрутизаторами 10.1.1.0/24 (соответственно выделите три подсети); – диапазон для сегмента LAN, подключенного к R2 – 192.168.20/24; – сегмента LAN, подключенный к R2 содержит две VLAN: VLAN 10 (PC 1, PC 2, PC 4 и PC 5) и VLAN 20 (PC 3 и PC 6) – для сегмента LAN, подключенного к R2, выделить три подсети; первую подсеть использовать для устройств VLAN 10, вторую для VLAN 20, третью для интерфейсов VLAN 1 на коммутаторах; – интерфейс Fa 0/1 R2 назначить на VLAN 10 и использует первый IP адрес из диапазона; – интерфейс Fa 0/0 R2 назначить на VLAN 20 и использует первый IP адрес из диапазона; – рабочие станции VLAN 10 и VLAN 20 используют следующие свободные IP адреса из доступного диапазона – диапазон для сегмента LAN, подключенного к R3 – 192.168.30.0/24; 4. Выполните настройку сетевых интерфейсов. 5. Выполнить настройку VTP на коммутаторах, при этом SW 1 работает в режиме Server, SW 2 и SW 3 в режиме Client. 6. Выполнить настройку VLAN на коммутаторах. 7. Выполнить настройку статической маршрутизации до ISP. 8. Выполнить настройку OSPF маршрутизации. 9. Выполнить настройку ACL: – запретить Telnet трафик от ISP; – запретить Telnet трафик к R2 из LAN, подключенной к R3; – запретить PC 8 трафик за пределы своей подсети; – узлам VLAN 20 запретить доступ к узлам VLAN 10  Рис. Топология сети Таблица IP адресов.
|