9 мая 2013 г.

Лабораторная работа CCNA #FastPass - ACL Lab 1 Basics

Лабораторная работа CCNA #FastPass - ACL Lab 1 Basics
Лабораторная работа CCNA по теме ACL.  Данная лабораторная работа может быть выполнена на реальном оборудовании  или в Cisco Packet Tracer.  Все необходимые действия указаны по порядку их выполнения. Для начала выполнения лабораторной работы необходимо соединить физическую сеть в соответствии со схемой сети или построить соответствующий проект в Cisco Packet Tracer.  Сразу после схемы сети в таблице указана схема адресация, которую нужно применять только тогда, когда это будет явно указано в тексте лабораторной работы. 

Используемая топология
Лабораторная работа CCNA #FastPass - ACL Lab 1 Basics

План адресации
Device
Interface
IP Address
Subnet Mask
Default Gateway
R1
S0/0
10.1.1.2
255.255.255.252
N/A
Fa0/0
172.16.12.1
255.255.255.0
N/A
R2
S0/0
10.1.1.1
255.255.255.252
N/A
S0/1
10.2.2.1
255.255.255.252
N/A
Lo0
203.0.113.225
255.255.255.255
N/A
R3
S0/0
10.2.2.2
255.255.255.252
N/A
Fa0/0
172.16.10.1
255.255.255.0
N/A
Fa0/1
172.16.11.1
255.255.255.0
N/A
PC1
NIC
172.16.12.10
255.255.255.0
172.16.12.1
PC2
NIC
172.16.11.10
255.255.255.0
172.16.11.1
PC3
NIC
172.16.10.10
255.255.255.0
172.16.10.1



1. Базовая конфигурация оборудования
·         Настроить hostname на маршрутизаторах.
·         Отключить DNS lookup.
·         Установить пароль для  EXEC mode
·         Настроить message-of-the-day banner.
·         Установить пароль для console

2. Настроить адресацию оборудования согласно плана
·         Настроить интерфейсы на R1, R2 и R3 согласно плана адресации.
·         Проверить выполненные настройки командой show ip interface brief
·         Настроить интерфейсы PC1,  PC2, PC3 и Server в соответствии с таблицей
·         Сконфигурировать протокол динамической маршрутизации OSPF на R1,  R2 и R3 для всех присутствующих сетей.
·         Проверить выполненные настройки командой ping.

3. Настройка стандартных списков доступа
·         На маршрутизаторе R1 создать стандартный список доступа STN_ACL_1.

R1(config)#ip access-list standard STN_ACL_1

·         Добавить правила запрещающие трафик из сети 172.16.11.0/24.

R1(config-std-nacl)#deny 172.16.11.0 0.0.0.255

·         Добавить правило разрешающее остальной трафик

R1(config-std-nacl)#permit any

·         Установить созданный список доступа STN_ACL_1 на маршрутизаторе R1 для входящего трафика через интерфейс S0/1

R1(config)#interface serial 0/1
R1(config-if)#ip access-group STN_ACL_1 in
R1(config-if)#end
R1#copy run start

·         Проверить работу ACL при помощи команды ping, используя параметр  source

R3#ping 172.16.12.1 source 172.16.11.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.12.1, timeout is 2 seconds:
Packet sent with a source address of 172.16.11.1
U.U.U
Success rate is 0 percent (0/5)

R3#ping 172.16.12.1 source 172.16.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.12.1, timeout is 2 seconds:
Packet sent with a source address of 172.16.10.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 40/43/44 ms

·         Просмотреть статистику  работы  ACL на R1 при помощи команды show access-lists

R1# show access-lists
Standard IP access list STN_ACL_1
10 deny 172.16.11.0, wildcard bits 0.0.0.255 log (5 matches)
20 permit any (10 matches)


4. Настройка расширенных списков доступа
·         На маршрутизаторе R3 создать расширенный список доступа EXT_ACL_1.

R3(config)#ip access-list extended EXT_ACL_1
R3(config-ext-nacl)#deny ip 172.16.10.0 0.0.0.255 host 203.0.113.225
R3(config-ext-nacl)#permit ip any any

·         Установить созданный список доступа EXT_ACL_1 на маршрутизаторе R3 для исходящего трафика через интерфейс S0/0

R3(config)#interface serial 0/0
R3(config-if)#ip access-group EXT_ACL_1 out
R3(config-if)#end
R3#copy run start

·         Проверить работу ACL при помощи команды ping, используя параметр  source

R3#ping 203.0.113.225 source 172.16.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 203.0.113.225, timeout is 2 seconds:
Packet sent with a source address of 172.16.10.1
U.U.U
Success rate is 0 percent (0/5)

·         Просмотреть статистику  работы  ACL на R3 при помощи команды show access-lists

R3# show access-lists
Extended IP access list EX_ACL_1
10 deny ip 172.16.10.0 0.0.0.255 host 203.0.113.225 (4 matches)
20 permit ip any any

5. Ограничение доступа к VTY при помощи ACL

·         На маршрутизаторе R2 создать стандартный список доступа VTY_ACCESS_1

R2(config)#ip access-list standard VTY_ACCESS_1
R2(config-std-nacl)#permit 172.16.12.0 0.0.0.255

·         Установить ограничение доступа к VTY на маршрутизаторе R2

R2(config)#line vty 0 4
R2(config-line)#access-class VTY_ACCESS_1 in

·         Проверить работу ACL при помощи команды telnet

R3# telnet 10.1.1.1
Trying 10.1.1.1 …
% Connection refused by remote host

R1# telnet 10.1.1.1 /source-interface f0/0
Trying 10.1.1.1 … Open
Unauthorized access strictly prohibited, violators will be prosecuted
to the full extent of the law.

User Access Verification

Password:

Комментариев нет:

Отправить комментарий