Практически. БКС практические. Перечень лабораторных работ
Скачать 1.44 Mb.
|
ЛАБОРАТОРНАЯ РАБОТА № 16“Настройка рефлексивных ACL списков” (2 часа) ПМ.03 «Эксплуатация объектов сетевой инфраструктуры» МДК.03.02 Безопасность компьютерных сетей Составители(авторы) ВилковА.Н. преподаватель ФГБОУ ВО "РЭУ им. Г.В.Плеханова" Рис.1. Топология сети Настройка: Создаем сначала исходящий список OUT, правила из которого будут отражать информацию об исходящих пакетах: Router(config)# ip access-list extended OUT Router(config-ext-nacl)# permit ip any any reflect MIRROR Router(config-ext-nacl)# interface fa0/0 Router(config-if)# ip access-group OUT out Каждый пакет, по которому сработало правило из списка OUT, будет отзеркален в наш рефлексивный акцесс-лист по имени MIRROR. Поскольку в OUT разрешается весь IP- трафик, зеркалиться будут записи для TCP, UDP и ICMP. Если необходимо, можно указать, например, только TCP. TCP-сессии достаточно просто отследить, но IOS также может следить за "сессиями" UDP или ICMP, хотя это на самом деле не настоящие сессионные протоколы. После того, как клиент из сети 192.168.0.0/24 инициировал TCP-сессию с сервером в Интернете, мы можем посмотреть, какие правила были отражены в список доступа MIRROR: Router# show ip access-lists MIRROR Reflexive IP access list MIRROR permit tcp host 213.180.111.4 eq www host 192.168.0.1 eq 54321 (7 matches) (time left 294) Пора подключать наш рефлексивный ACL. Создаём акцесс-лист IN для входящего трафика, который будет сверяться со списком MIRROR, и цепляем его на вход FastEthernet0/0: Router(config)# ip access-list extended IN Router(config-ext-nacl)# evaluate MIRROR Router(config-ext-nacl)# interface f0/0 Router(config-if)# ip access-group IN in Теперь пакеты, прилетающие в FastEthernet0/0, пропускаются внутрь, только если они разрешены списком IN, который, по сути, является всего лишь ссылкой на список MIRROR. Хотя следует отметить, что вы вольны добавлять обычные записи в IN как до, так и после команды evaluate. Router# show ip access-lists Extended IP access list OUT 10 permit ip any any reflect MIRROR (76 matches) Extended IP access list IN 10 evaluate MIRROR Reflexive IP access list MIRROR permit tcp host 213.180.111.4 eq www host 192.168.0.1 eq 54321 (7 matches) (time left 248) Что ещё стоит отметить, так это таймер в правилах MIRROR. Каждый новый пакет, отраженный в рефлексивный список, инициирует таймер в 300 секунд. Если за это время не будет трафика, соответствующего этому правилу, запись удаляется. В добавок, если маршрутизатор определяет окончание сессии (например, по флагу FIN в TCP), таймер сразу уменьшается и запись также быстро удаляется. Контрольные вопросы: Описание технологии ACL Принцип работы Рефлексивных ACL |