Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Labs / lab-14 / lab-14.doc
Скачиваний:
46
Добавлен:
05.03.2016
Размер:
318.46 Кб
Скачать

Лабораторна робота №14

Фільтрація трафіку на основі списків контролю доступу

Мета: навчити студентів використовувати списки контролю доступу для захисту корпоративної мережі.

Ключові слова: трафік, протокол, ІР-адреса, вхідний інтерфейс маршрутизатору, вихідний інтерфейс маршрутизатору, стандартний список контролю доступу, розширений список контролю доступу, іменований список контролю доступу.

Завдання

  1. Забороніть можливість доступу із мережі Інтернет до усіх пристроїв мережі за протоколом Telnet.

Методичні рекомендації щодо виконання лабораторної роботи

Для виконання даної лабораторної роботи використайте проект комп’ютерної мережі із лабораторної роботи 10. для реалізації поставленої задачі використовуйте довідковий матеріал, що надано нижче. У разі відсутності лабораторної роботи 10 виконайте спочатку завдання зазначені у ній.

Зверніть також увагу на те, що команди наведені у довідковому матеріалі є лише прикладаминеобхідних вам команд.

Довідковий матеріал

Типи списків контролю доступу (Access Control List)

Існують 3 типи списків контролю доступу: стандартні, розширені та іменовані.

Стандартні списки

У стандартних списках контролю доступуфільтрація трафіку здійснюється тільки на основі вихідної ІР-адреси вузла або мережі. Стандартні ACL-списки корисні для дозволу доступу всіх служб певного користувача або локальної мережі через маршрутизатор з забороною доступу з інших IP-адрес. Кожному стандартному ACL-списку надається номер з діапазонів: 1..99 або 1300..1999.

Приклад команди, що створює стандартний список контролю доступу:

Router(config)# access-list 1 permit host 172.34.12.1

access-list 1команда, що створює список доступу, 1 – номер, що вказує на створення саме стандартного списку;

permit – параметр команди, який надаєдозвіл, параметрdeny - заборона;

host 172.34.12.1вказується ІР-адреса окремого комп’ютеру.

Розширені списки

Частіше для фільтрації трафіку використовуються розширені списки контролю доступу. В даному випадку фільтрація здійснюється на основі вихідної та кінцевої IP-адреси, а також за протоколом і номерами портів. Тобто розширені списки контролю доступу дозволяють більш гнучке підходити до фільтрації трафіку і забезпечують більш високий рівень контролю. Розширеним ACL-списками присвоюються номери з діапазонів від 100 до 199 і від 2000 до 2699.

Приклад команди, що створює розширений список контролю доступу:

Router(config)# access-list 100 deny tcp 172.16.2.0 0.0.0.255 any eq telnet

access-list 100команда, що створює список доступу, 100 – номер, що вказує на створення саме розширеного списку;

deny – параметр команди, який забороняє всім вузлам мережі172.16.2.0/24 використання доступу за протоколомTelnetдо будь-якого іншого вузла. Докладніше параметри команди будуть надані нижче.

0.0.0.255 групова маска. За допомогою групової маски можна блокувати діапазон адрес або всю мережу за допомогою всього однієї інструкції. У груповій масці використовуються символи "0" для визначення частини IP-адреси, яка повинна в точності збігатися, і символи "1" - для частини IP-адреси, яка не повинна збігатися з певним номером. Приклад розрахунку групової маски див. рис. 6.

Рис. 6. Приклад розрахунку групової маски

Іменовані списки

Як і у розширених списках фільтрація трафіку здійснюється на основі вихідної та кінцевої IP-адреси, а також за протоколом і номерами портів. Іменовані ACL-списки (NaCl-списки) мають формат стандартного або розширеного списку і позначаються описовим ім'ям, а не номером. При налаштуванні іменованих ACL-списків IOS маршрутизатору використовує режим підкоманд NaCl.

Приклад команди, що створює іменований список контролю доступу: