- •Часть 1. Проверка базовой связи по сети
- •Часть 2. Защита доступа к маршрутизаторам
- •Часть 3. Создание нумерованного списка acl 120 для ip на маршрутизаторе r1
- •Часть 4. Изменение существующего списка acl на маршрутизаторе r1
- •Часть 5. Создание нумерованного списка acl 110 для ip на маршрутизаторе r3
- •Часть 6. Создание нумерованного списка acl 100 для ip на маршрутизаторе r3
Часть 4. Изменение существующего списка acl на маршрутизаторе r1
Разрешите эхо-ответы ICMP и сообщения о недоступном назначении из внешней сети (относительно маршрутизатора R1). Запретите все прочие входящие ICMP-пакеты.
Шаг 1. Убедитесь, что компьютер PC-A не может успешно отправлять эхо-запросы интерфейсу loopback на маршрутизаторе R2.
Шаг 2. Внесите необходимые изменения в список ACL 120 для разрешения и отклонения указанного трафика.
С помощью команды access-list создайте нумерованный список ACL для IP.
R1(config)#access-list 120 permit icmp any any echo-reply
R1(config)#access-list 120 permit icmp any any un
R1(config)#access-list 120 permit icmp any any unreachable
R1(config)#access-list 120 deny icmp any any
R1(config)#access-list 120 permit ip any any
Шаг 3. Убедитесь, что компьютер PC-A может успешно отправлять эхо-запросы интерфейсу loopback на маршрутизаторе R2.
Часть 5. Создание нумерованного списка acl 110 для ip на маршрутизаторе r3
Запретите все исходящие пакеты, адрес источника которых не принадлежит диапазону внутренних IP-адресов на маршрутизаторе R3.
Шаг 1. Настройте список ACL 110 для разрешения только трафика из внутренней сети.
С помощью команды access-list создайте нумерованный список ACL для IP.
R3(config)#access-list 110 permit ip 192.168.3.0 0.0.0.255 any
Шаг 2. Примените список ACL к интерфейсу G0/1.
С помощью команды ip access-group примените список контроля доступа к входящему трафику на интерфейсе G0/1.
R3(config)#int g0/1
R3(config-if)#ip acc
R3(config-if)#ip access-group 110 in
Часть 6. Создание нумерованного списка acl 100 для ip на маршрутизаторе r3
На маршрутизаторе R3 заблокируйте все пакеты, содержащие IP-адрес источника из следующего пула адресов: любые частные адреса RFC 1918, 127.0.0.0/8 и любые групповые IP-адреса. Так как компьютер PC-C используется для удаленного администрирования, разрешите возврат SSH-трафика из сети 10.0.0.0/8 на хост PC-C.
Шаг 1. Настройте список ACL 100 для блокировки всего указанного трафика из внешней сети.
Следует также заблокировать трафик из вашего собственного пространства внутренних адресов, если это не адреса RFC 1918. В этом задании ваше пространство внутренних адресов входит в пространство частных адресов, определенное в документе RFC 1918.
С помощью команды access-list создайте нумерованный список ACL для IP.
R3(config)#access-list 100 permit tcp 10.0.0.0 0.255.255.255 eq 22 host 192.168.3.3
R3(config)#access-list 100 deny ip 10.0.0.0 0.255.255.255 any
R3(config)#access-list 100 deny ip 172.16.0.0 0.15.255.255 any
R3(config)#access-list 100 deny ip 192.168.0.0 0.0.255.255 any
R3(config)#access-list 100 deny ip 127.0.0.0 0.255.255.255 any
R3(config)#access-list 100 deny ip 224.0.0.0 15.255.255.255 any
R3(config)#access-list 100 permit ip any any
Шаг 2. Примените список ACL к интерфейсу Serial 0/0/1.
С помощью команды ip access-group примените список контроля доступа к входящему трафику на интерфейсе Serial 0/0/1.
R3(config)#int s0/0/1
R3(config-if)#ip acc
R3(config-if)#ip access-group 100 in
Шаг 3. Убедитесь, что указанный трафик, поступающий на интерфейс Serial 0/0/1, обрабатывается правильно.
Отправьте эхо-запрос на сервер PC-A из командной строки компьютера PC-C. Список ACL блокирует эхо-ответы ICMP, так как их источником является адресное пространство 192.168.0.0/16.
Установите SSH-сеанс связи с узлом 192.168.2.1 с компьютера PC-C (подключение должно быть установлено успешно)
Шаг 4. Проверьте результаты.
Вы полностью выполнили задание. Нажмите Check Results (Проверить результаты) для просмотра отзыва и проверки завершенных обязательных компонентов.