Access Control List или ACL (или просто Access List) – список правил, которые позволяют контролировать и фильтровать трафик. Правила внутри ACL называются access control entries (ACE).

Основное применение ACL (Access List – Список Доступа) – фильтрация трафика, но так же он находит применение и в других функциях сетевого оборудования.

В cisco-устройствах Access Control List разделяют на два вида:

  1. Standard ACL – список правил, позволяющий выполнять фильтрацию по ip адресу источника в пакете.
  2. Extended ACL – список правил, позволяющий выполнять фильтрацию по ip адресу источника и получателя в пакете, а так же имеет возможность выполнять фильтрацию по портам tcp и udp.

Прежде чем переходить к практике надо узнать, что такое wildcard mask.

Wildcard Mask

Мы уже в курсе что такое маска и как она образуется. Wildcard mask тоже является маской, только “странной” или “обратной” (названия с просторов в Интернете). Нам предстоит узнать о ней побольше, т.к. она используется в ACL.

Ее называют “обратной”, потому что единицы и нули в маске меняют свое значение. Теперь 0 – это номер сети, а 1 это хостовая часть.

“Все познается в сравнении”, поэтому предлагаю сравнить обычную маску с wildcard маской. Начнем с классовых масок.

Таблица 4.1 Сравнение “обычной” маски с wildcard маской

Класс “Обычная” маска “Обычная” маска, двоичный вид Wildcard маска Wildcard маска, двоичный вид
A 255.0.0.0 11111111.00000000.00000000.00000000 0.255.255.255 00000000.11111111.11111111.11111111
B 255.255.0.0 11111111.11111111.00000000.00000000 0.0.255.255 00000000.00000000.11111111.11111111
C 255.255.255.0 11111111.11111111.11111111.00000000 0.0.0.255 00000000.00000000.00000000.11111111

Как вычислить wildcard маску имея обычную маску?

Разберем случай с не классовой маской (которая дробит октет на сетевую часть и хостовую, подробнее тут), т.е. один из октетов отличен от чисел 0 и 255 (“кривой” октет). В начале, все октеты “обычной” маски, со значением 255, будут соответствовать 0 в wildcard маске, а значения 0 в “обычной” маске, в wildcard – 255. Далее надо взять октет, который отличен от 0 и 255 (“кривой” октет) и вычесть его из числа 255, таким образом мы получим значение этого октета (“кривого” октета) в wildcard маске. Например маске 255.255.240.0, будет соответствовать wildcard маска – 0.0.15.255, 255 – 240=15.

На практике будет очень много букв и картинок, наберитесь терпения.

Общая информация

Packet Tracer version: 6.2.0

Рабочий файл: скачать

Тип: Теория и практика

Версия файла: 2.1

Уже получили: 27 пользователей


Часто задаваемые вопросы

Получить достижение

Код активации можно получить выполнив практическое задание

Achievement

Уже получили 40 пользователей


Начальные данные

Все “манипуляции” можно осуществлять при помощи PC0 (либо с других PC в сети).

В данной практической работе сеть уже спланирована, адресация распределена по всем устройствам в сети. Например, на PC0 вы можете видеть “.22.0”, это означает, что он имеет ip адрес 172.16.22.0.На всем сетевом оборудовании настроен telnet-сервер, пароль – cisco123.

Рисунок 4.1 Схема сети из практической работы
Рисунок 4.1 Схема сети из практической работы


Цели

  1. Standard ACL:

    • Создать Standard ACL.
    • Фильтровать трафик при помощи созданного ACL.
  2. Extended ACL:
    • Создать Extended ACL.
    • Фильтровать трафик при помощи созданного ACL.

Выполнение

  1. Standard ACL

    Прежде чем переходить к процессу создания ACL, надо определиться какой трафик мы хотим отфильтровать. В случае с Standard ACL выбор у нас не большой, т.к. фильтрация будет осуществляться только по ip адресу источника пакета.

    Ради примера, мы запретим PC3 выходить за пределы своей сети, аналогично запретим диапазону ip адресов 172.16.20.192-172.16.20.255 (в этот диапазон попадает PC1) выход за пределы 172.16.20.0/22.

    Любой ACL (Standard или Extended), можно создать вызвав команду access-list <номер> <действие> <критерий>. Разберем состав команды.

    Номер ACL – это число, которое определяет какой ACL создается, Standard или Extended:

    • 1-99 – Standard
    • 100-199 – Extended

    Начинаем собирать команду. Уже понятно какие номера можно использовать, чтобы создать Standard ACL.

    access-list 11

    Действия очень просты – разрешить или запретить, permit или deny (так же на этом этапе можно вставить комментарий remark ).

    Продолжим собирать команду, добавим действие – запретить.

    access-list 11 deny

    С критерием немного сложнее, но разобраться можно. Всего три варианта критериев:

    1. any – означает любой ip адрес.
    2. host <ip адрес> – один ip адрес, соответствующий какому-либо устройству.
    3. <номер сети> <wildcard> – используется для обозначения диапазона ip адресов.

    Возвращаемся к нашему недописанному правилу. Согласно заданию, в данной практической работе, надо заблокировать PC3. Следовательно будем использовать критерий host <ip адрес>.

    access-list 11 deny host 172.16.27.110

    Отлично, но остался еще один ОЧЕНЬ ВАЖНЫЙ момент.


    ACL может состоять из нескольких правил, которые называются Access Control Entries (ACE). Очень важно знать, что внутри каждого ACL имеется скрытое правило, которое запрещает ВСЕ. Поэтому, в случае “запретить только … и разрешить все остальное”, в конце надо явно указать – “разрешить ВСЕ”.

    Следуя выше сказанному, создадим еще одно правило “разрешить ВСЕ”.

    access-list 11 permit any

    Предлагаю ввести эти правила на роутер и изучить команду show access-list.

     r1#conf t
     Enter configuration commands, one per line.  End with CNTL/Z.
     r1(config)#access-list 11 deny host 172.16.27.110
     r1(config)#access-list 11 permit any
     r1(config)#exit
     r1#sh access-lists 
     Standard IP access list 11
         10 deny host 172.16.27.110
         20 permit any
    

    Разберем вывод команды show access-list (следует отметить, что эта команда показывает все созданные ACL). Первой строчкой указано, что имеется Стандартный ACL с номером 11, дальше идет перечисление ACE. Каждый ACE имеет свой порядковый номер. По умолчанию первый ACE имеет номер 10, второй ACE 20 и т.д. каждый раз прибавляется шаг 10 (в дальнейшем мы узнаем, как использовать этот номер). Теперь снова ОЧЕНЬ ВАЖНЫЙ момент.


    Когда роутеру надо просмотреть ACL (например, для фильтрации трафика), он просматривает ACE (в указанном ACL) сверху вниз и ищет “подходящее правило”. Когда “подходящее правило” найдено, выполняется указанное действие (все ACE после “подходящего правила” не рассматриваются!). Если в ACL не нашлось подходящего правила, применяется “скрытое правило”, которое запрещает ВСЕ.

    Созданный нами ACL пока что не фильтрует трафик, для этого нам надо “повесить” его на интерфейсе (установить ACL на интерфейс, для фильтрации трафика). Чтобы “повесить” ACL надо использовать команду ip access-group <номер ACL> <направление>. Подробнее о параметре <направление>, он имеет два значения – in или out. Этим параметром мы указываем к какому трафику применить данный фильтр, к входящему или исходящему. Вот поэтому очень важно представлять движение пакетов. Предлагаю, проверить доступность сети 172.16.20.0/22 с PC3, установить фильтрацию на интерфейсе, а после подробно прокомментировать процесс фильтрации.

    Рисунок 4.2 Проверка доступности сети 172.16.20.0/22 с PC3, до применения фильтрации
    Рисунок 4.2 Проверка доступности сети 172.16.20.0/22 с PC3, до применения фильтрации


     r1#conf t
     Enter configuration commands, one per line.  End with CNTL/Z.
     r1(config)#interf fa 0/1
     r1(config-if)#ip access-group 11 in
    
    Рисунок 4.3 Проверка доступности сети 172.16.20.0/22 с PC3, после применения фильтрации
    Рисунок 4.3 Проверка доступности сети 172.16.20.0/22 с PC3, после применения фильтрации


     r1#sh access-lists 
     Standard IP access list 11
         10 deny host 172.16.27.110 (4 match(es))
         20 permit any (483 match(es))
    

    На рисунок 4.2 представлена проверка доступности сети 172.16.20.0/22 с PC3, а именно с PC3 до PC0. Как видим, доступ есть. Далее мы устанавливаем ACL на интерфейс FastEthernet 0/1 командой ip access-group 11 in. Давайте разберем, почему интерфейс FastEthernet 0/1, а так же почему параметр in. Если представлять движение пакета от PC3, то все просто. Интерфейс Fa0/1 – ближайший интерфейс к PC3 и фильтровать мы должны входящие пакеты от PC3, именно по этому указываем параметр in.

    На рисунок 4.3 опять проверяем доступность с PC3 до PC0, но как видим, роутер возвращает ошибку “указанный хост не доступен”. Под рисунком 4.3 представлен вывод команды show access-list в котором появилась строчка (4 match(es)), она указывает на то, что под это правило попало 4 пакета.

    Теперь предлагаю убедиться, что правило под номером 20 тоже работает (на самом деле правило отрабатывает судя по записи (483 match(es)), но лучше убедиться в этом на практике), для этого выполним проверку доступности с CiscoLearning до PC0, рисунок 4.4. Под рисунком представлен вывод команды show access-list.

    Рисунок 4.4 Проверка доступности с CiscoLearning до PC0
    Рисунок 4.4 Проверка доступности с CiscoLearning до PC0
     r1#sh access-lists 
     Standard IP access list 11
         10 deny host 172.16.27.110 (4 match(es))
         20 permit any (940 match(es))
    

    Как видим, правило под номером 20 тоже работает (такое большое количество матчей (matches) вызвано тем, что в фоновом режиме запущена проверка доступности некоторых хостов и они проходят через роутер). Если бы этого правила не было, то весь трафик блокировался “неявным” (невидимым) правилом deny any (далее мы опробуем его на практике).

    Теперь немного “лирики”, прежде чем переходить к созданию нового ACL. Есть еще один вариант, куда мы могли установить ACL 11, на интерфейс Fa0/0 в направлении out. Тогда бы фильтровался исходящий трафик и наша цель тоже была бы достигнута. НО! Если трафик фильтруется как исходящий это значит, что он проходит процесс маршрутизации и тратит ресурсы роутера на обработку пакетов и уже после этого фильтруется, что не правильно. Поэтому рекомендуется устанавливать правила фильтрации, максимально близко к источнику, чтобы не растрачивать аппаратные средства сетевого оборудования на “лишние” действия.

    Создадим ACL, который будет запрещать доступ для диапазона адресов 172.16.20.192-172.16.20.255. Берем номер ACL, например, 12 (Standard ACL в диапазоне от 1 до 99). Теперь надо создать критерий. Для начала запишем номер сети и “обычную” маску для данного диапазона – 172.16.20.192, маска 255.255.255.192. В разделе “Теория” был рассмотрен процесс перевода “обычной” маски в wildcard, поэтому сразу представим получившуюся команду – access-list 12 deny 172.16.20.192 0.0.0.63. И не забываем “разрешить ВСЕ остальное” – access-list 12 permit any.

     r1#conf t
     Enter configuration commands, one per line.  End with CNTL/Z.
     r1(config)#access-list 12 deny 172.16.20.192 0.0.0.63
     r1(config)#access-list 12 permit any 
     r1(config)#exit
     r1#sh access-lists 
     Standard IP access list 11
         10 deny host 172.16.27.110 (4 match(es))
         20 permit any (1315 match(es))
     Standard IP access list 12
         10 deny 172.16.20.192 0.0.0.63
         20 permit any
     r1#
     r1#sh access-lists 12
     Standard IP access list 12
         deny 172.16.20.192 0.0.0.63
         permit any
    

    На роутер добавили новый ACL, с двумя правилами. Команда show access-list показывает ВСЕ созданные ACL на данном роутере. А с помощью команды show access-list <номер ACL>, мы можем просмотреть информацию по конкретному ACL (странно, что не показываются номера ACE, на реальном оборудовании номера присутствуют).

    ACL создан, осталось “повесить” его на интерфейс. Перед этим советую убедиться, что связь между PC1 и CiscoLearning присутствует. Фильтрацию будем осуществлять на интерфейсе Fa0/0, для входящего трафика.

     r1(config)#interf fa 0/0
     r1(config-if)#ip access-group 12 in
    

    Проверим доступность, между PC1 и CiscoLearning, рисунок 4.5. Мы снова можем видеть ошибку “указанный хост не доступен”.

    Рисунок 4.5 Проверка доступности между PC1 и CiscoLearning
    Рисунок 4.5 Проверка доступности между PC1 и CiscoLearnin


     r1#sh access-lists 12
     Standard IP access list 12
         deny 172.16.20.192 0.0.0.63 (4 match(es))
         permit any (211 match(es))
    

    Теперь ответим на вопрос, как узнать, установлен ли на интерфейсе ACL? Это можно узнать при помощи команды show running-config (там же можно увидеть все созданные ACL), а так же при помощи команды show ip interface. В выводе последней команды надо искать строчки Outgoing access list is … (фильтрация исходящего трафика) и Inbound access list is … (фильтрация входящего трафика).

     r1#sh runn
     Building configuration...
     
     Current configuration : 903 bytes
     !
     ...
     !
     interface FastEthernet0/0
      ip address 172.16.21.0 255.255.252.0
      ip access-group 12 in
      duplex auto
      speed auto
     !
     interface FastEthernet0/1
      ip address 172.16.27.65 255.255.255.192
      ip access-group 11 in
      duplex auto
      speed auto
     !
     interface Vlan1
      no ip address
      shutdown
     !
     ip classless
     !
     ip flow-export version 9
     !
     !
     access-list 11 deny host 172.16.27.110
     access-list 11 permit any
     access-list 12 deny 172.16.20.192 0.0.0.63
     access-list 12 permit any
     !
     ...
     
     r1#sh ip interf
     FastEthernet0/0 is up, line protocol is up (connected)
       Internet address is 172.16.21.0/22
       Broadcast address is 255.255.255.255
       Address determined by setup command
       MTU is 1500 bytes
       Helper address is not set
       Directed broadcast forwarding is disabled
       Outgoing access list is not set  //ACL не применен к исходящему трафику
       Inbound  access list is 12  //ACL 12 применен к входящему трафику
       Proxy ARP is enabled
     ...
    

    Прежде чем переходить к рассмотрению Extended ACL, удалим фильтрацию на интерфейсах и один ACL. Все делается при помощи “могучей” команды no. (удаление отдельных правил в ACL будет рассмотрено далее). (“Снимите” ACL 12 с интерфейса, но не удаляйте, если хотите получить достижение!)

     r1(config)#interf fa 0/0
     r1(config-if)#no ip access-group 12 in
     r1(config-if)#interf fa 0/1
     r1(config-if)#no ip access-group 11 in
     r1(config-if)#exit
     r1(config)#no access-list 11
     r1(config)#exit
     r1#sh access-list
     Standard IP access list 12
         10 deny 172.16.20.192 0.0.0.63 (4 match(es))
         20 permit any (752 match(es))
    
  2. Extended ACL

    Extended ACL немного сложнее, чем Standard ACL, т.к. в критерии фильтрации добавляются ip адрес получателя и фильтрация транспортного уровня (фильтрация по портам).

    Теперь зададимся целью, что нам надо отфильтровать.

    • Запретить доступ с PC2 на sw-outside-1.
    • Разрешить диапазону ip адресов 172.16.20.252-172.16.20.255 доступ к CiscoLearning по 80-му порту (tcp), всем остальным запретить.
    • Создать ACL разрешающий доступ только CiscoLearning, tacacsGUI и sw-outside-1.

    Extended ACL задается при помощи команды access-list <номер> <действие> <тип фильтрации> <критерий>. Как видно, теперь появился еще тип фильтрации, его можно отнести к критериям, но для лучшего усвоения материала выделим его как отдельный пункт.

    Как было написано выше ACL с номером из диапазона от 100 до 199Extended ACL, поэтому начало для создания ACL может быть такое – access-list 120.

    Далее, как и в Standard ACL, надо указать действие. Например, запретить, тогда, продолжая собирать команду получаем – access-list 120 deny.

    Критерии будем разбирать подробнее. Прежде всего надо указать какой тип фильтрации будет использован в правиле. Типов много, разберем основные:

    • ip – фильтрация только по ip адресам отправителя и получателя
    • tcp – фильтрация по tcp портам с учетом ip адресов отправителя и получателя. Если порты не указаны, то будут разрешены (ну, или запрещены, в зависимости от действия) все TCP сессии по всем портам между указанными ip адресами!
    • udp – фильтрация по udp портам с учетом ip адресов отправителя и получателя. Если порты не указаны, то будут разрешены все UDP сессии по всем портам между указанными ip адресами!
    • icmp – фильтрация icmp-сообщений с учетом ip адресов отправителя и получателя.

    Начнем с простого, с типа ip. Тогда команда преобразится так – access-list 120 deny ip

    Теперь нам надо указать основные критерии фильтрации. Все просто в начале указывается источник (ip адрес или диапазон)следом указывается получатель (ip адрес или диапазон). При условии, что нам надо запретить доступ с PC2 (источник) до sw-outside-1 (получатель), наше первое правило будет выглядеть так – access-list 120 deny ip host 172.16.22.10 host 172.16.27.100.

    Отлично! Теперь создадим ACL 120, “повесим” его на интерфейс Fa0/0, фильтровать весь входящий трафик. Не забываем, что если мы не разрешим остальной трафик, то по умолчанию, то что не попадает под правила в ACL будет запрещено! Поэтому так же добавим правило, “разрешить ВСЕ”.

     r1(config)#access-list 120 deny ip host 172.16.22.10 host 172.16.27.100
     r1(config)#access-list 120 permit ip any any
     r1(config)#interf fa 0/0
     r1(config-if)#ip access-group 120 in
    

    На рисунке 4.6 представлена проверка связи между PC2 и sw-outside-1. После рисунка 4.6, вы можете найти результат команды show access-list.

    Рисунок 4.6 Проверка доступности между PC2 и sw-outside-1
    Рисунок 4.6 Проверка доступности между PC2 и sw-outside-1


     r1#sh access-lists
     Standard IP access list 12
         10 deny 172.16.20.192 0.0.0.63 (4 match(es))
         20 permit any (752 match(es))
     Extended IP access list 120
         10 deny ip host 172.16.22.10 host 172.16.27.100 (4 match(es))
         20 permit ip any any (528 match(es))
    

    Переходим к созданию следующего правила, точнее сразу двух правил – Разрешить диапазону ip адресов 172.16.20.252-172.16.20.255 доступ к CiscoLearning по 80-му порту (tcp), всем остальным запретить.

    Если нам надо разрешить, то это означает permit. Теперь мы переходим к типу фильтрации tcp – фильтрация по tcp портам. Прежде чем переходить к написанию команды, надо объяснить как устанавливается фильтрация по портам. После указания ip адреса (не важно получателя или отправителя), можно (можно, но не обязательно!) указать порт или диапазон портов при помощи атрибутов:

    • eq – расшифровывается как equal (равен). Например, eq 70, будет означать равен 70-му порту.
    • neq – расшифровывается как no equal (не равен). Например, neq 90, будет означать не равен 90-му порту.
    • gt – расшифровывается как greater than (больше чем). Например, gt 1023, будет означать диапазон от 1024 до 65535 (65535 – это максимальный номер порта).
    • lt – расшифровывается как less than (меньше чем). Например, lt 2024, будет означать диапазон от 1 до 2023.
    • range – этот атрибут указывает конкретный диапазон (range). Например, range 100 200, будет означать диапазон от 100 до 200.

    В нашем случае мы будем использовать атрибут eq, но только в комбинации с ip адресом получателя (eq 80 – порт, который использует http). Порт отправителя может быть любой, поэтому его мы не указываем. Получаем такое правило – access-list 120 permit tcp 172.16.20.252 0.0.0.3 host 172.16.27.92 eq 80.

    А теперь правило, которое будет запрещать всем остальным доступ CiscoLearning по 80-му порту, выглядит так –access-list 120 deny tcp any host 172.16.27.92 eq 80.

    Научимся добавлять правила в уже существующий ACL, а заодно и удалять конкретные правила из ACL. (Будьте очень аккуратны, удалите правило permit ip any any – потеряете доступ к r1!)

     r1(config)#ip access-list extended 120
     r1(config-ext-nacl)#no 10
     r1(config-ext-nacl)#7 permit tcp 172.16.20.252 0.0.0.3 host 172.16.27.92 eq 80
     r1(config-ext-nacl)#13 deny tcp any host 172.16.27.92 eq 80
     r1(config-ext-nacl)#exit
     r1(config)#exit
     r1#sh access-lists
     Standard IP access list 12
         10 deny 172.16.20.192 0.0.0.63 (4 match(es))
         20 permit any (752 match(es))
     Extended IP access list 120
         7 permit tcp 172.16.20.252 0.0.0.3 host 172.16.27.92 eq www
         13 deny tcp any host 172.16.27.92 eq www
         20 permit ip any any (2443 match(es))
    

    Крепитесь! Осталось немного.

    С помощью команды ip access-list extended 120 мы перешли в режим настройки ACL 120 (а с помощью команды ip access-list standard <номер>, можно перейти в режим настройки стандартного ACL). Командой no 10, мы удалили 10-ое правило, которое установили ранее. Далее мы указали какое правило будет под номером 7 и 13. Если мы не укажем номер нового правила, то оно получит номер равный максимальному номеру среди всех правил + 10. После всех этих махинаций, предоставлен результат команды show access-list, изучите его самостоятельно (вместо цифры 80 cisco подставляет слово www).

    Проверяем доступность сервера CiscoLaerning по 80-му порту с устройства PC1, рисунок 4.7. Самостоятельно проверьте доступность с PC0 и еще раз вызовите команду show access-list, изучите попал ли трафик под наши правила.

    Рисунок 4.7 Проверка доступности сервера Server1 по 80-му порту
    Рисунок 4.7 Проверка доступности сервера Server1 по 80-му порту


    Осталось последнее – создать ACL разрешающий доступ только CiscoLearning, tacacsGUI и sw-outside-1.

    Создавать этот ACL мы будем другим путем, при помощи команды ip access-list <extended | standard> <номер | имя>. Символ | означает или. Обратите внимание, что при помощи этой команды, мы можем задавать имя ACL, что гораздо удобнее, чем задавать номер. Итак, чтобы создать ACL с именем super-puper-acl, надо использовать команду – ip access-list extended super-puper-acl. И далее в режиме конфигурации этого ACL добавлять правила.

     r1#conf t
     Enter configuration commands, one per line.  End with CNTL/Z.
     r1(config)#ip access-list extended super-puper-acl
     r1(config-ext-nacl)#permit ip 172.16.27.88 0.0.0.7 any
     r1(config-ext-nacl)#40 permit ip host 172.16.27.100 any
     r1(config-ext-nacl)#exit
     r1(config)#exit
     r1#sh access-lists 
     Standard IP access list 12
         10 deny 172.16.20.192 0.0.0.63 (4 match(es))
         20 permit any (752 match(es))
     Extended IP access list 120
         7 permit tcp 172.16.20.252 0.0.0.3 host 172.16.27.92 eq www (380 match(es))
         13 deny tcp any host 172.16.27.92 eq www (1123 match(es))
         20 permit ip any any (3823 match(es))
     Extended IP access list super-puper-acl
         10 permit ip 172.16.27.88 0.0.0.7 any
         40 permit ip host 172.16.27.100 any
    

    Мы создали ACL с именем super-puper-acl, перешли в режим настройки этого ACL. Добавили правило permit ip 172.16.27.88 0.0.0.7 any (под это правило попадают CiscoLearning и tacacsGUI), т.к. мы не указали номер и это первое правило, то ему автоматически присваивается номер 10. Во втором правиле мы явно указали номер – 40. ОЧЕНЬ ВАЖНО! Мы не добавили правила “разрешить ВСЕ”, поэтому если трафик не попадает под указанные правила, он будет блокироваться скрытым правилом (под это правило попадает PC3).

    Теперь самостоятельно “повесьте” ACL super-puper-acl, на интерфейс Fa0/1 (команда ip access-group super-puper-acl in)и проверьте доступность CiscoLearning с сетью 172.16.20.0/22. А так же проверьте доступность этой сети с PC3.


    ACL не действует на трафик, сгенерированный самим маршрутизатором. Иными словами, пакеты сгенерированные самим устройством НЕ ПОПАДУТ под правила ACL повешенные на out любого интерфейса.

    Если вы дошли до конца, то Вы молодец!

Общая информация

Packet Tracer version: 6.2.0

Рабочий файл: скачать

Тип: Самостоятельная работа

Версия файла: 2.0

Уже получили: 27 пользователей


Часто задаваемые вопросы

Получить достижение

Код активации можно получить выполнив практическое задание

Achievement

Уже получили 27 пользователей


Начальные данные

Все “манипуляции” можно осуществлять только при помощи PC0 (либо с других PC). Пароль от оборудования cisco123, подключаться используя telnet. Для доступа на сетевое оборудование,используйте адресацию представленную на схеме.

Рисунок 3.3 Схема Лабораторки
Рисунок 4.8 Схема Лабораторки


Задание

  1. Ваш босc заметил, что многие из сотрудников очень часто отвлекаются от работы, заходя на сайт Ciscolearning.ru. Он просит вас закрыть доступ к указанному сайту для всех сотрудников, кроме PC_BOSS и PC0. Чтобы узнать ip адрес, который скрывается под доменным именем, достаточно выполнить команду ping <доменное имя> с любого PC. Перед написанием ACL определитесь с интерфейсом, на который вы его “повесите”. При написании ACL не забудьте в конце “разрешить ВСЕ”!
  2. Т.к. политика вашей компании позволяет использовать telnet для удаленного управления сетевым оборудованием, вам надо оградить этот доступ из Интернета. Только компьютер PC_HOME должн иметь доступ к сетевому оборудованию (r1 и sw-1), во всех остальных случаях надо закрыть telnet (telnet использует протокол tcp и порт 23). Для проверки можете использовать PC3. При написании ACL не забудьте в конце “разрешить ВСЕ”

Для проверки этого задания используются Connectivity tests, т.е. проверяются определенные порты на определенных компьютерах. Это дает вам полный карт-бланш на создание своих ACL.



ID: 148 Created: Oct 19, 2016 Modified Oct 02, 2017