Лабораторная работа № 14. Списки доступа.

Технология выполнения.

Создайте схему сети, как показано на рис.10.1.

 

 

Рис.10.1. Схема корпоративной сети.

 

Задача:

1 - Компьютеры comp1 и comp2 должны открывать все сайты, но им запрещено входить на компьютеры comp3 и comp4.

2 - Компьютеры comp3 и comp4 доступны друг для друга и должны открывать только сайт своей сети, сеть 11.0.0.0 для них недоступна.

Создадим стандартный список доступа, где укажем правила блокировки на хосты comp3 и comp4 и применим этот список на выход интерфейса Fa0/0.

Включите привилегированный режим и войдите в конфигурацию роутера:

 

Router1> en

Router1#conf t

 

Создадим стандартный список доступа и введем правила доступа:

 

Router1(config)#ip access-list standard 10

Router1(config-std-nacl)#deny host 12.0.0.13

Router1(config-std-nacl)#deny host 12.0.0.14

Router1(config-std-nacl)#permit any

Здесь мы разрешили весь трафик, за исключением двух адресов: 12.0.0.13 и 12.0.0.14.

Просмотрим созданный список доступа в настройках роутера. Для этого надо выйти из режима конфигурации роутера и ввести команду просмотра списков на устройстве sh access-list:

 

Router1#sh access-list

Standard IP access list 10

deny host 12.0.0.13

deny host 12.0.0.14

permit any

Router1#

 

Применим созданный список на выход интерфейса Fa0/0:

 

Router1#

Router1#conf t

Router1(config)#interface fa0/0

Router1(config-if)#ip access-group 10 out

В результете того, что список доступа был применен к выходу интерфейса сети 11.0.0.0 мы получили следующую политику доступа:

1 – пакеты, входящие на роутер из сети 11.0.0.0 получают блокировку на два внешних адреса – 12.0.0.13 и 12.0.0.14;

2 – всем внешним пакетам, входящим из роутера в сеть 11.0.0.0 разрешается все, кроме двух адресов - 12.0.0.13 и 12.0.0.14 (этим адресам запрещен вход в сеть 11.0.0.0)

 

Просмотрим привязку списка доступа к интерфейсу Fa0/0 в конфигурации роутера:

Router1(config-if)#exit

Router1(config)#exit

Router1#

Router1#sh running-config

 

Используя данную команду, вы увидите полную конфигурацию роутера, в том числе и привязку списка доступа к конкретному интерфейсу (в данном случае на выход интрфейса):

 

interface FastEthernet0/0

ip address 11.0.0.1 255.0.0.0

ip access-group 10 out

duplex auto

speed auto

 

Проверьте созданную политику доступа к ресурсам сети. Должны выполняться следующие правила:

1 - компьютеры comp3 и comp4 доступны друг для друга и должны открывать только сайт своей сети, вход в сеть 11.0.0.0 им заблокирован;

2 – сервера Server2 доступен всем ресурсам сети;

3 - компьютерам comp1 и comp2 доступны все ресурсы, кроме адресов 12.0.0.13 и 12.0.0.14.

 

 

Самостоятельная работа №5.

Постановка задачи.

Создайте сеть, представленную на рис 10.2.

Рис.10.2. Схема корпоративной сети.

 

Корпоративная сеть состоит из четырех сетей:

сеть 1 – 11.0.0.0/8;

сеть 2 – 12.0.0.0/8;

сеть 3 – 13.0.0.0/8;

сеть 4 – 14.0.0.0/8.

В каждой сети на сервере установлен Web сайт.

Задание:

Компьютеру comp2 доступны только компьютеры своей сети и сomp4.

Компьютеру comp4 доступны только компьютеры своей сети и сomp2.

Компьютеру comp8 доступны только компьютеры своей сети и сomp6.

Компьютеру comp6 доступны только компьютеры своей сети и сomp8.

Компьютеры comp1, comp3, comp5 и comp7 должны открывать все сайты на серверах S1, S2, S3 и S4.

 

 

Самостоятельная работа №6.

Постановка задачи.

Создайте сеть, представленную на рис 10.3.

 

 

Рис.10.3 Схема корпоративной сети.

 

Корпоративная сеть состоит из четырех сетей:

сеть 1 – 11.0.0.0/8;

сеть 2 – 12.0.0.0/8;

сеть 3 – 13.0.0.0/8;

сеть 4 – 14.0.0.0/8.

В каждой сети на сервере установлен Web сайт.

 

Задание:

1 - Сеть 14.0.0.0 недоступна из сети 11.0.0.0.

2 - Компьютерам comp1 и comp2 разрешить открытие сайта на server3, но запретить прослушивание server3 по команде ping.

3 – Компьютеру comp1 разрешить доступ на server2, но запретить открытие сайта на этом сервере.

4 – Компьютеру comp2 разрешить доступ на server1, но запретить открытие сайта на server1, разрешить доступ и открытие сайта на server4.

 

Самостоятельная работа №7.

Постановка задачи.

Создайте схему сети, представленную на рис.10.4. Задайте сети и адресацию произвольно.

 

Рис.10.4. Схема корпоративной сети.

Задание:

1 – компьютеры comp1, comp2 и comp3 находятся в одном VLAN 10, доступны только друг для друга и имеют доступ к server1.

2 – компьютеры comp4, comp5 и comp6 находятся в одном VLAN 20, доступны только друг для друга и имеют доступ к server1.

3 - компьютеры comp7 и comp8 доступны только друг для друга и имеют доступ к server1.

 

 

Самостоятельная работа №8.

Постановка задачи.

Создайте схему сети, представленную на рис.10.5.

 

 

Рис. 10.5. Схема корпоративной сети.

 

На всех трех серверах установлены службы Web и FTP.

 

Задание.

Создайте списки доступа, задающие для компьютеров comp1 и comp2 следующие правила доступа в сети:

Компьютер comp1:

Server1 – разрешить доступ на FTP;

Server2 - разрешить доступ на Web;

Server3 - разрешить доступ на Web и FTP.

Компьютер comp2:

Server1 – разрешить доступ на Web;

Server2 - разрешить доступ на FTP;

Server3 - разрешить доступ на Web и FTP.

 

Контрольные вопросы

 

1. Какие параметры контролирует расширенные списки доступа?

2. Приведите пример команды, разрешающей передачу пакетов от хоста на все веб-сервера.

3. Перечислите основные типы списков доступа.

4. Что такое шаблон маски подсети и приведите примеры его использования в списках доступа.

5. Какое правило обработки сетевого трафика задает следующий список доступа: Ip access-list 111 deny tcp any any eq 80

6. Локальная сеть соединена с роутером по интерфейсу Fa0/0, а внешняя сеть соединена по интерфейсу Fa0/1. Из локальной сети запрещен вход во внешнюю сеть, а из внешней сети запрещено входить на FTP сервер, расположенный во внутренней сети. Для реализации этих правил был создан список доступа. Назовите интерфейс и в каком направлении (на вход или на выход), к которому следует применить созданный список доступа.

7. Для какого варианта не может быть проведено сравнение на основе расширенного списка доступа IP?

- протокол;

- IP адрес отправителя;

- IP адрес получателя;

- имя файла для передачи по протоколу FTP.

8. Назовите, какой шаблон маски соответствует сети 10.16.0.0./12?

9. В списке доступа содержится следующее правило:

Permit any host 192/168/1/1/it 25

Какие номера портов оно обрабатывает?

10. Напишите правило доступа для входа в сеть 51.52.32.0/21

 

ЗАКЛЮЧЕНИЕ

 

Компьютерные сети создаются для того, чтобы пользователи могли получить доступ к ресурсам сети.

В сегодняшнем понимании компьютерные сети — это сложная структура, основанная на трех основных принципах.

Первый из них — наличие единого центра, ведающего координацией деятельности и развитием сети.

Второй — использование системы маршрутизации, позволяющий сообщению двигаться по цепочке узлов сети без дополнительного вмешательства человека.

Третий — применение единой стандартной адресации, делающей сеть «прозрачной» для внешних сетей, а последнее — доступным для любой абонентской точки системы.

Используйте частную адресацию для того, чтобы минимизировать влияние Internet на локальную сеть вашей организации. Если вы хотите получить собственный адрес TCP/IP, обратитесь к своему Internet-провайдеру.

Для организации межсетевого взаимодействия используются единые правила обмена информации с сети, которые задаются сетевыми протоколами. Сетевой протокол – набор правил, которых придерживаются связанные в сети компьютеры. Протоколы делятся на следующие группы:

· маршрутизируемые (позволяют пакетам путешествовать по разным сетям);

· немаршрутизируемые (только в локальной сети);

· протоколы маршрутизации (используются маршрутизаторами для организации перемещения данных пользователей в корпоративных и глобальных сетях).

Маршрутизация — процесс выбора пути для передачи пакета. Маршруты могут задаваться административно (статические маршруты), либо вычисляться с помощью алгоритмов маршрутизации, базируясь на информации о топологии и состоянии сети, полученной с помощью протоколов маршрутизации (динамические маршруты).

Статическими маршрутами могут быть:

Ÿ маршруты, не изменяющиеся во времени;

Ÿ маршруты, изменяющиеся по расписанию;

Ÿ маршруты, изменяющиеся по ситуации — административно в момент возникновения стандартной ситуации.

Процесс маршрутизации в компьютерных сетях выполняется специальными программно-аппаратными средствами — маршрутизаторами. Название идет от самого процесса (основной функции) — маршрутизации. В дополнение к маршрутизации, маршрутизаторы осуществляют и коммутацию каналов/сообщений/пакетов/ячеек, так же, как и коммутатор компьютерной сети выполняет маршрутизацию (определение, на какой порт отправить пакет на основании таблицы MAC-адресов), а называется в честь основной его функции — коммутации.

Сетевые сервисы упрощают управление работой клиентов в компьютерных сетях. Наиболее часто для организации работы в компьютерных сетях используются следующие сетевые службы: DNS, DHCP, служба Web, WINS, терминальные службы, FTP, электронная почта. Диспетчер службы динамических имен DNS используется для создания зон прямого и реверсивного поиска, используемых для преобразования имен компьютеров в их IP-адреса (и наоборот). Служба WINS использует целую группу партнеров репликации, которая позволяет обеспечить отказоустойчивость работы серверов WINS. Служба DНСР используется для автоматического назначения адресов TCP/IP, а также для автоматического ведения списка серверов WINS и DNS на всех компьютерах. Терминальные службы Windows (WTS) позволяют клиентам запускать различные приложения на сервере. Соединения осуществляются или по локальной сети или через удаленный доступ. Все эти службы помогают пользователям сети находить другие компьютеры в сети, а также сокращают число параметров, которые должны настраиваться администраторами вручную.

 

 

Литература

 

1. Д. Бони. Руководство по Cisco IOS. Изд. Питер, Русская Редакция, 2008, 786 с.

2. К. Кеннеди, К. Гамильтон. Принципы коммутации в локальных сетях Cisco. Изд. Вильямс, 2003, 976 с.

3. Джером Ф. Димарцио. Маршрутизаторы CISCO. Пособие для самостоятельного изучения. Изд. Символ-Плюс, 2003, 512 с.

4. И.В. Руденко Маршрутизаторы CISCO для IP-сетей. Изд. КУДИЦ-ОБРАЗ, 2003, 656 с.

5. Вито Амато. Основы организации сетей Cisco. Том 1. Изд. Вильямс, 2002, 512 с.

6. Тодд Леммл, Кевин Хейлз. CCNP: Настройка коммутаторов CISCO. Экзамен 640-504. Изд. Лори, 2002 464 с.

7. Уэнделла Одома. «Официальное руководство Cisco по подготовке к сертификационным экзаменам CCENT/CCNA ICND1 640- 822» (3-е издание). Изд. Вильямс, серия Cisco Press, 2013.

8. Cisco ICND 1. Руководство для студента. Изд. Cisco, 2009.

9. Документация к программе Cisco Packet Tracer.

10. Интернет – ресурсы: www.cisco.com, litl-admin.ru.

 

⇐ Предыдущая123456789

Поделиться: