1 - 5
CCNA 2: Podstawowe wiadomości o routerach i routingu, wersja 3.1 - Ćwiczenie 11.2.1b Copyright
2003, Cisco Systems, Inc.
Ćwiczenie 11.2.1b Standardowe listy ACL
Cele
Zaplanowanie, skonfigurowanie i zastosowanie standardowej listy ACL przepuszczającej lub
blokującej określony ruch oraz przetestowanie jej w celu sprawdzenia, czy osiągnięto oczekiwane
rezultaty.
Scenariusz
Firma z siedzibą w Gadsden (GAD) świadczy usługi dla oddziałów terenowych, takich jak biuro
w Birmingham (BHM). Oddziały te mają pewne wymagania dotyczące bezpieczeństwa i wydajności.
Jako prosty i efektywny środek kontroli ruchu powinna zostać zastosowana standardowa lista ACL.
2 - 5
CCNA 2: Podstawowe wiadomości o routerach i routingu, wersja 3.1 - Ćwiczenie 11.2.1b Copyright
2003, Cisco Systems, Inc.
Infrastruktura
Host 3 to stacja robocza — kiosk, której dostęp jest ograniczony do sieci lokalnej.
Host 4 to inna stacja robocza znajdująca się w biurze BHM, zaś interfejs Loopback 0 routera GAD
oznacza Internet.
Krok 1 Podstawowe połączenie routerów
a. Połącz routery w sposób pokazany na rysunku.
Krok 2 Podstawowa konfiguracja
a. Router
może zawierać konfigurację używaną przy poprzednich ćwiczeniach. Z tego powodu
należy usunąć konfigurację początkową i ponownie załadować router, aby usunąć wszelkie
pozostałości wcześniejszych konfiguracji. Zapoznaj się z tabelą na pierwszej stronie i skonfiguruj
routery oraz hosty. Sprawdź dostępność urządzeń, wysyłając z każdego systemu pakiety ping
do wszystkich systemów i routerów.
b. Aby
zasymulować Internet, do routera GAD dodaj następującą konfigurację.
GAD(config)#interface loopback0
GAD(config-if)#address 172.16.1.1 255.255.255.0
GAD(config-if)#exit
GAD(config)#router rip
GAD(config-router)#network 172.16.0.0
GAD(config-if)#^z
Krok 3 Ustalenie wymagań dotyczących listy kontroli dostępu
a. Kiosk (host 3) musi mieć dostęp ograniczony wyłącznie do sieci lokalnej. Zdecydowano, że
należy utworzyć standardową listę kontroli dostępu w celu zapobieżenia przedostawaniu się
ruchu z hosta do innych sieci. Lista kontroli dostępu powinna blokować ruch z hosta oraz nie
powinna wpływać na pozostały ruch pochodzący z tej sieci. Standardowa lista ACL IP spełnia te
wymagania, gdyż filtracja dotyczy adresów źródłowych pakietów wysyłanych do dowolnych
adresatów.
Jaki jest adres IP kiosku? ____________________________
Krok 4 Planowanie wymagań dotyczących listy kontroli dostępu
a. Tak jak w przypadku innych projektów, najważniejszy jest etap planowania. Najpierw zdefiniuj
informacje niezbędne do utworzenia listy ACL. Pamiętaj, że instrukcje są dodawane po kolei do
listy ACL. Stąd też należy starannie przemyśleć kolejność instrukcji.
b. Określono, że ta lista ACL będzie wymagała dwóch kroków logicznych. Każdy z nich może
zostać wykonany za pomocą jednej instrukcji. W roli narzędzia planistycznego można
wykorzystać edytor tekstu, taki jak Notatnik, aby określić warunki logiczne i następnie wpisać
instrukcje listy. Zaplanuj przebieg logiczny, wpisując w edytorze tekstu:
! zatrzymaj ruch z hosta 3
! przepuszczaj pozostały ruch
3 - 5
CCNA 2: Podstawowe wiadomości o routerach i routingu, wersja 3.1 - Ćwiczenie 11.2.1b Copyright
2003, Cisco Systems, Inc.
c. Bazując na tym opisie przebiegu logicznego, można zapisać instrukcje listy ACL. Posługując się
poniższymi tabelami, zanotuj informacje dla każdej instrukcji.
zatrzymaj ruch z hosta 3
Numer listy
Permit (Przepuszczaj)
lub Deny (Zablokuj)
Adres źródłowy Maska
blankietowa
przepuszczaj pozostały ruch
Numer listy
Permit (Przepuszczaj)
lub Deny (Zablokuj)
Adres źródłowy Maska
blankietowa
d. Co by się stało, gdyby nie zostały dołączone instrukcje przepuszczające pakiety o innych
adresach źródłowych?
_________________________________________________________________________________________
e. Co by się stało, gdyby odwrócić kolejność występowania tych dwóch instrukcji na liście?
_________________________________________________________________________________________
f. Dlaczego obie instrukcje używają tego samego numeru listy ACL?
_________________________________________________________________________________________
g. Ostatnim etapem procesu planowania jest określenie najlepszej lokalizacji listy kontroli dostępu
oraz kierunku, w jakim lista powinna być zastosowana. Korzystając z rysunku intersieci, wybierz
odpowiedni interfejs i kierunek. Zapisz to w poniższej tabeli:
Model Interfejs
Kierunek
Krok 5 Zapisanie i zastosowanie listy ACL
a. Posługując się utworzonym przebiegiem logicznym oraz informacjami o liście kontroli dostępu,
wpisz polecenia w edytorze tekstu. Składnia listy powinna przypominać następujące instrukcje:
! zatrzymaj ruch z hosta 3
access-list
nr deny adres maska-blankietowa
! przepu
ść pozostały ruch
access-list nr permit adres maska-blankietowa
b. Dodaj do tego pliku tekstowego instrukcje konfiguracji służące do zastosowania listy.
Instrukcje konfiguracji przyjmują następującą postać:
interface
typ slot/port
ip access-group
nr {in, out}
4 - 5
CCNA 2: Podstawowe wiadomości o routerach i routingu, wersja 3.1 - Ćwiczenie 11.2.1b Copyright
2003, Cisco Systems, Inc.
c. Na tym etapie tekstowy plik konfiguracyjny powinien zostać zastosowany na routerze. Przejdź
do trybu konfiguracji na odpowiednim routerze, po czym skopiuj i wklej konfigurację. Obserwuj
konsolę, aby wykryć ewentualne błędy.
Krok 6 Sprawdzenie listy ACL
Po utworzeniu listy ACL należy ją sprawdzić i przetestować.
a. Najpierw
sprawdź, czy lista została prawidłowo skonfigurowana na routerze. Aby sprawdzić
logikę listy ACL, użyj polecenia show access-lists. Zapisz wyniki:
_________________________________________________________________________________________
_________________________________________________________________________________________
_________________________________________________________________________________________
b. Następnie sprawdź, czy lista kontroli dostępu została zastosowana na właściwym interfejsie i we
właściwym kierunku. W tym celu sprawdź interfejs za pomocą polecenia show ip interface.
Przyjrzyj się danym wyjściowym na każdym interfejsie i zapisz zastosowane na nim listy.
Interfejs ________________________________________________________________
Lista kontroli dostępu dla ruchu wychodzącego
____________________________________________________
Lista kontroli dostępu dla ruchu przychodzącego
____________________________________________________
c. Na
zakończenie przetestuj funkcjonowanie listy ACL, próbując wysłać pakiety z hosta
źródłowego i sprawdzając, czy zostały przepuszczone, czy zgodnie z założeniami zatrzymane.
W takim przypadku używane będzie polecenie ping.
[ ] sprawd
ź, czy host 3 MOŻE wysłać pakiety ping do hosta 4
[ ] potwierd
ź, że host 3 NIE MOŻE wysłać pakietów ping do hosta 1
[ ] potwierd
ź, że host 3 NIE MOŻE wysłać pakietów ping do hosta 2
[ ] potwierd
ź, że host 3 NIE MOŻE wysłać pakietów ping na interfejs
Fa0/0 routera GAD
[ ] potwierd
ź, że host 3 NIE MOŻE wysłać pakietów ping na interfejs
LO0 routera GAD
[ ] sprawd
ź, czy host 4 MOŻE wysłać pakiety ping do hosta 1
[ ] sprawd
ź, czy host 4 MOŻE wysłać pakiety ping do hosta 2
[ ] sprawd
ź, czy host 4 MOŻE wysłać pakiety ping na interfejs Fa0/0
routera GAD
[ ] sprawd
ź, czy host 4 MOŻE wysłać pakiety ping na interfejs LO0
routera GAD
5 - 5
CCNA 2: Podstawowe wiadomości o routerach i routingu, wersja 3.1 - Ćwiczenie 11.2.1b Copyright
2003, Cisco Systems, Inc.
Krok 7 Utworzenie dokumentacji listy ACL
a. Jednym z elementów zarządzania siecią jest sporządzanie dokumentacji. Można w tym celu
zastosować plik tekstowy tworzący konfigurację i dodatkowo opatrzyć go komentarzami. Plik ten
powinien również zawierać dane wyjściowe poleceń show access-lists i show ip
interface
.
b. Plik powinien zostać zapisany razem z pozostałą dokumentacją sieci. Konwencja nazewnictwa
pliku powinna odzwierciedlać jego funkcję oraz datę implementacji.
W ten sposób powinien zostać zakończony projekt listy ACL.
c. Po
zakończeniu prac skasuj konfigurację początkową na routerach, rozłącz i schowaj kable
oraz adapter. Wyloguj się i wyłącz router.