Главная страница Случайная страница
Разделы сайта
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Методические указания. В качестве исходной будет использоваться сеть филиала предприятия, которая была смоделирована в прошлой лабораторной работе
|
|
В качестве исходной будет использоваться сеть филиала предприятия, которая была смоделирована в прошлой лабораторной работе. Для начала проверьте связь различных устройств с помощью команды ping. Echo-запросы должны успешно выполняться между всеми устройствами в сети. Это важно, потому что далее с помощью списков управления доступом связь между некоторыми устройствами будет ограничиваться.
Рис. 5.1. Исходная сеть предприятия
Для создания простейшего стандартного списка управления доступом последовательно выполните следующие действия:
1. Предположим, что нужно ограничить доступ ПК1 к Сервер1. Необходимо принять решение о том, на каком интерфейсе оптимальнее всего расположить список управления доступом, а также в каком направлении будет осуществляться фильтрация трафика. Следуя рекомендациям Cisco, стандартные ACL лучше всего располагать как можно ближе к получателю, то есть на сегменте от коммутатора третьего уровня до Коммутатор2. Списки доступа можно располагать как на физических интерфейсах, так и на логических, в данном случае будет использоваться логический интерфейс VLAN4. Оптимальнее всего будет фильтровать исходящий трафик на этом интерфейсе, чтобы снизить нагрузку на Сервер1. Зайдите в CLI Многоуровневого коммутатора0, а затем в режим конфигурации интерфейса Vlan 4 (conf t Þ int vlan 4). Здесь необходимо указать список управления доступа и направление фильтрации. Введите команду ip access-group 1 out. Номер 1 указывает на будущий список доступа, а ключевое слово out определяет, что фильтроваться будет исходящий трафик.
2. Теперь нужно создать сам список управления доступа. Создание всех ACL происходит из режима глобальной конфигурации. Введите команду access-list 1 deny host 192.168.0.2 (возможно у вас будет другой IP-адрес на ПК1, тогда введите его). Теперь все пакеты, исходящие из интерфейса VLAN4 будут отбрасываться, если IP-адрес отправителя будет равен 192.168.0.2. Однако на этом настройка не окончена, потому что все остальные пакеты также будут отбрасываться из-за неявной инструкции deny ip any any которая расположена в конце каждого списка управления доступом.
3. Введите команду access-list 1 permit any. Это позволит пропускать весь остальной трафик, не удовлетворяющий первой инструкции созданного ACL. Обратите внимание, что инструкции для списка доступа должны быть введены именно в таком порядке, иначе трафик от ПК1 все равно будет проходить до Сервер1, т.к он удовлетворяет инструкции access-list 1 permit any.
4. Проверьте работу списка управления доступом. Попробуйте создать echo-запрос от ПК1 до Сервер1. Он должен заканчиваться неудачей.
Созданный стандартный список доступа обладает явным недостатком – он фильтрует трафик только от одного узла-отправителя. А что если необходимо заблокировать трафик от нескольких узлов? Очевидно, что писать множество инструкций не самый лучший вариант. Вместо этого можно написать одну инструкцию, которая будет фильтровать трафик от множества узлов, например, от всей подсети, в которой состоит ПК1. Для этого в списке управления доступом необходимо указать IP-адрес подсети и инвертированную маску. Рассмотрим пример создания такого списка:
1. Удалите ранее созданный ACL с помощью команды no access-list 1, также в режиме конфигурации интерфейса VLAN4 удалите указание на этот список командой no ip access-group 1 out.
2. Не выходя из конфигурации интерфейса VLAN4, введите указание на новый список командой ip access-group Test-access out. В этой команде «Test-access» является именем списка управления доступом. Использование именованных списков вместо нумерованных – это «новый» синтаксис для обозначения ACL.
3. В режиме конфигурации введите команду ip access-list standard Test-access. Коммутатор должен перейти в режим конфигурации списка управления доступом с именем «Test-access». На это указывает надпись «(config-std-nacl)» после имени устройства в CLI.
4. Теперь необходимо последовательно ввести инструкции для созданного ACL. Чтобы выполнялась фильтрация трафика от всей подсети, в которой состоит ПК1, необходимо указать IP-адрес этой подсети (192.168.0.0), а также инвертированную маску, которую необходимо вычислить с помощью вычитания стандартной маски подсети из маски 255.255.255.255. Каждый октет маски вычитается отдельно, поэтому если стандартная маска подсети равна 255.255.255.224, то инвертированная маска будет равна 0.0.0.31.Итоговая инструкция будет выглядеть следующим образом: deny 192.168.0.0 0.0.0.31.
5. Вторая инструкция будет разрешать весь трафик, который не удовлетворяет условию первой инструкции – permit any.
6. Проверьте работу созданного списка управления доступом – узел ПК3, который находится с ПК1 в одной подсети теперь не должен иметь доступа к Сервер1.
Побочным эффектом от списка доступа с такой конфигурацией является невозможность связи узлов ПК1 и ПК3 с Сервером0, поскольку он находится в той же подсети, что и Сервер1, а значит трафик у обоих серверов обрабатывается логическим интерфейсом VLAN4.
Для того, чтобы ограничить связь ПК1 и ПК3 только с Сервер1 необходимо использовать расширенные списки управления доступом. Однако, чтобы продемонстрировать полный функционал таких списков, задание следует усложнить. Предположим, что требуется ограничить доступ двум подсетям (с которыми ассоциированы VLAN2 и VLAN3) к Сервер1 по любому другому протоколу, кроме FTP (чтобы оставить возможность пользоваться файловым сервером). Исходя из рекомендаций Cisco по использованию списков управления доступом, расширенные ACL следует размещать как можно ближе к отправителю, это означает, что список следует установить на интерфейсах VLAN2 и VLAN3 с фильтрацией на входящий трафик. Следует просчитать инвертированную маску подсети таким образом, чтобы она покрывала диапазоны IP-адресов сразу двух подсетей. Для этого сначала возьмем обычную маску подсети 255.255.255.192, с помощью которой покрывается диапазон из 64 IP-адресов (192.168.0.0 – 192.168.0.64), а затем вычтем ее из маски 255.255.255.255. Итоговая инвертированная маска будет равна 0.0.0.63. Далее следует составить инструкции для будущего списка управления доступом, помещая самые узкие правила проверок в начало, а самые широкие – в конец. Ниже приведены эти инструкции в том порядке, в котором они должны быть в итоговом ACL:
|
|