Главная страница

Практически. БКС практические. Перечень лабораторных работ


Скачать 1.44 Mb.
НазваниеПеречень лабораторных работ
АнкорПрактически
Дата11.05.2022
Размер1.44 Mb.
Формат файлаdocx
Имя файлаБКС практические.docx
ТипДокументы
#521744
страница20 из 30
1   ...   16   17   18   19   20   21   22   23   ...   30

ЛАБОРАТОРНАЯ РАБОТА 16



Настройка рефлексивных ACL списков

(2 часа)
ПМ.03 «Эксплуатация объектов сетевой инфраструктуры» МДК.03.02 Безопасность компьютерных сетей


Составители(авторы) ВилковА.Н. преподаватель ФГБОУ ВО "РЭУ им. Г.В.Плеханова"


Рис.1. Топология сети
Настройка:

Создаем сначала исходящий список OUT, правила из которого будут отражать информацию об исходящих пакетах:
Router(config)# ip access-list extended OUT

Router(config-ext-nacl)# permit ip any any reflect MIRROR Router(config-ext-nacl)# interface fa0/0

Router(config-if)# ip access-group OUT out
Каждый пакет, по которому сработало правило из списка OUT, будет отзеркален в наш рефлексивный акцесс-лист по имени MIRROR. Поскольку в OUT разрешается весь IP- трафик, зеркалиться будут записи для TCP, UDP и ICMP. Если необходимо, можно указать, например, только TCP. TCP-сессии достаточно просто отследить, но IOS также может следить за "сессиями" UDP или ICMP, хотя это на самом деле не настоящие сессионные протоколы.
После того, как клиент из сети 192.168.0.0/24 инициировал TCP-сессию с сервером в Интернете, мы можем посмотреть, какие правила были отражены в список доступа MIRROR:
Router# show ip access-lists MIRROR Reflexive IP access list MIRROR

permit tcp host 213.180.111.4 eq www host 192.168.0.1 eq 54321 (7 matches) (time left 294)
Пора подключать наш рефлексивный ACL. Создаём акцесс-лист IN для входящего трафика, который будет сверяться со списком MIRROR, и цепляем его на вход FastEthernet0/0:
Router(config)# ip access-list extended IN Router(config-ext-nacl)# evaluate MIRROR Router(config-ext-nacl)# interface f0/0 Router(config-if)# ip access-group IN in
Теперь пакеты, прилетающие в FastEthernet0/0, пропускаются внутрь, только если они разрешены списком IN, который, по сути, является всего лишь ссылкой на список MIRROR. Хотя следует отметить, что вы вольны добавлять обычные записи в IN как до, так и после команды evaluate.
Router# show ip access-lists Extended IP access list OUT

10 permit ip any any reflect MIRROR (76 matches) Extended IP access list IN

10 evaluate MIRROR

Reflexive IP access list MIRROR

permit tcp host 213.180.111.4 eq www host 192.168.0.1 eq 54321 (7 matches) (time left 248)

Что ещё стоит отметить, так это таймер в правилах MIRROR. Каждый новый пакет, отраженный в рефлексивный список, инициирует таймер в 300 секунд. Если за это время не будет трафика, соответствующего этому правилу, запись удаляется. В добавок, если маршрутизатор определяет окончание сессии (например, по флагу FIN в TCP), таймер сразу уменьшается и запись также быстро удаляется.
Контрольные вопросы:

  1. Описание технологии ACL

  2. Принцип работы Рефлексивных ACL

1   ...   16   17   18   19   20   21   22   23   ...   30


написать администратору сайта