Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Раздел 1. Интерфейс Cisco Packet TracerСтр 1 из 9Следующая ⇒
АННОТАЦИЯ
В данном лабораторном практикуме изложены основные принципы межсетевого взаимодействия; проводится обзор по настройке, использованию и администрированию сетевых сервисов; рассматриваются основныевопросы, связанные с выполнением стандартных задач администрирования компьютерных сетей; рассмотрена настройка основных управляющих компонентов компьютерных сетей – маршрутизаторов и коммутаторов. Основная цель при выполнении работ лабораторного практикума – знакомство администрированием корпоративных сетей. Лабораторный практикум по дисциплине «Инфокоомуникационные системы и сети» разработан для студентов Тюменского государственного архитектурно-строительного университета специальности «Информационные системы и технологии».
Введение
Cisco Packet Tracer - это эмулятор сети, созданный компанией Cisco. Данное приложение позволяет строить сети на разнообразном оборудовании в произвольных топологиях с поддержкой разных протоколов. Программное решение Cisco Packet Tracer позволяет имитировать работу различных сетевых устройств: маршрутизаторов, коммутаторов, точек беспроводного доступа, персональных компьютеров, сетевых принтеров, IP-телефонов и т.д. Работа с интерактивным симулятором дает ощущение настройки реальной сети, состоящей из десятков или даже сотен устройств. Настройки, в свою очередь, зависят от характера устройств: одни можно настроить с помощью команд операционной системы Cisco IOS, другие – за счет графического веб-интерфейса, третьи – через командную строку операционной системы или графические меню. Благодаря такому свойству Cisco Packet Tracer, как режим визуализации, пользователь может отследить перемещение данных по сети, появление и изменение параметров IP-пакетов при прохождении данных через сетевые устройства, скорость и пути перемещения IP-пакетов. Анализ событий, происходящих в сети, позволяет понять механизм ее работы и обнаружить неисправности. Cisco Packet Tracer может быть использован не только как симулятор, но и как сетевое приложение для симулирования виртуальной сети через реальную сеть, в том числе Интернет. Пользователи разных компьютеров, независимо от их местоположения, могут работать над одной сетевой топологией, производя ее настройку или устраняя проблемы. Эта функция многопользовательского режима Cisco Packet Tracer может применяется для организации командной работы. В Cisco Packet Tracer пользователь может симулировать построение не только логической, но и физической модели сети и, следовательно, получать навыки проектирования. Схему сети можно наложить на чертеж реально существующего здания или даже города и спроектировать всю его кабельную проводку, разместить устройства в тех или иных зданиях и помещениях с учетом физических ограничений, таких как длина и тип прокладываемого кабеля или радиус зоны покрытия беспроводной сети. Симуляция, визуализация, многопользовательский режим и возможность проектирования делают Cisco Packet Tracer уникальным инструментом для обучения сетевым технологиям.
Раздел 1. Интерфейс Cisco Packet Tracer
Оборудование и линии связи в Cisco Packet Tracer Рассмотрим основное оборудование и линии связи. Маршрутизаторы
Маршрутизаторы используется для поиска оптимального маршрута передачи данных на основании специальных алгоритмов маршрутизации, например выбор маршрута (пути) с наименьшим числом транзитных узлов.
Работают на сетевом уровне модели OSI.
Коммутаторы
Коммутаторы - это устройства, работающие на канальном уровне модели OSI и предназначенные для объединения нескольких узлов в пределах одного или нескольких сегментах сети. Передаёт пакеты коммутатор на основании внутренней таблицы - таблицы коммутации, следовательно трафик идёт только на тот MAC-адрес, которому он предназначается, а не повторяется на всех портах (как на концентраторе).
Концентраторы
Концентратор повторяет пакет, принятый на одном порту на всех остальных портах. Беспроводные устройства
Беспроводные технологии Wi-Fi и сети на их основе. Включает в себя точки доступа. Линии связи
С помощью этих компонентов создаются соединения узлов в единую схему. Packet Tracer поддерживает широкий диапазон сетевых соединений (см. табл. 1.1). Каждый тип кабеля может быть соединен лишь с определенными типами интерфейсов.
Таблица 1.1. Типы кабелей.
Конечные устройства
Здесь представлены конечные узлы, хосты, сервера, принтеры, телефоны и т.д.
Эмуляция Интернета
Пример эмуляция глобальной сети. Модем DSL, " облако" и т.д.
Раздел 2. Режим симуляции Раздел 3. Сетевые службы Задание 1. Работа с основными командами сетевого устройства.
1. Войдите сетевое устройство Router1 Router> 2. Мы хотим увидеть список всех доступных команд в этом режиме. Введите команду, которая используется для просмотра всех доступных команд:
Router>?
Клавишу Enter нажимать не надо. 3. Теперь войдите в привилегированный режим Router> enable Router#
4. Просмотрите список доступных команд в привилегированном режиме
Router#?
5. Перейдём в режим конфигурации Router# config terminal Router(config)#
6. Имя хоста сетевого устройства используется для локальной идентификации. Когда вы входите в сетевое устройство, вы видите Имя хоста перед символом режима (" > " или " #" ). Это имя может быть использовано для определения места нахождения. Установите " Router1" как имя вашег сетевого устройства.
Router(config)# hostname Router1 Router1(config)# 7. Пароль доступа позволяет вам контролировать доступ в привилегированный режим. Это очень важный пароль, потому что в привилегированном режиме можно вносить конфигурационные изменения. Установите пароль доступу " parol".
Router1(config)# enable password parol
7. Давайте испытаем этот пароль. Выйдите из сетевого устройства и попытайтесь зайти в привилегированный режим. 8. Router1> en Password: ***** Router1#
Здесь знаки: ***** - это ваш ввод пароля. Эти знаки на экране не видны.
Задание 2. Работа с основными Show командами.
Перейдите в пользовательский режим командой disable. Введите команду для просмотра всех доступных show команд.
Router1> show? 1. Команда show version используется для получения типа платформы сетевого устройства, версии операционной системы, имени файла образа операционной системы, время работы системы, объём памяти, количество интерфейсов и конфигурационный регистр.
2. Просмотр времени:
Router1> show clock
3. Во флеш-памяти сетевого устройства сохраняется файл-образ операционной системы Cisco IOS. В отличие от оперативной памяти, в реальных устройствах флеш память сохраняет файл-образ даже при сбое питания.
Router1> show flash
4. ИКС сетевого устройства по умолчанию сохраняет10 последних введенных команд
Router1> show history
5. Две команды позволят вам вернуться к командам, введённым ранее. Нажмите на стрелку вверх или < ctrl> P. 6. Две команды позволят вам перейти к следующей команде, сохранённой в буфере. Нажмите на стрелку вниз или < ctrl> N 7. Можно увидеть список хостов и IP-Адреса всех их интерфейсов
Router1> show hosts
8. Следующая команда выведет детальную информацию о каждом интерфейсе
Router1> show interfaces
9. Следующая команда выведет информацию о каждой telnet сессии:
Router1> show sessions
10. Следующая команда показывает конфигурационные параметры терминала:
Router1> show terminal
11. Можно увидеть список всех пользователей, подсоединённых к устройству по терминальным линиям:
Router1> show users
12. Команда
Router1> show controllers
показывает состояние контроллеров интерфейсов. 13. Перейдём в привилегированный режим.
Router1> en
14. Введите команду для просмотра всех доступных show команд.
Router1# show?
Привилегированный режим включает в себя все show команды пользовательского режима и ряд новых.
15. Посмотрим активную конфигурацию в памяти сетевого устройства. Необходим привилегированный режим. Активная конфигурация автоматически не сохраняется и будет потеряна в случае сбоя электропитания. Чтобы сохранить настройки роутера используйте следующие команды: сохранение текущей конфигурации: Router# write memory Или Router# copy run start
Просмотр сохраненной конфигурации: Router# Show configuration
или Router1# show running-config
В строке more, нажмите на клавишу пробел для просмотра следующей страницы информации. 16. Следующая команда позволит вам увидеть текущее состояние протоколов третьего уровня:
Router# show protocols
Задание 3. Введение в конфигурацию интерфейсов. Рассмотрим команды настройки интерфейсов сетевого устройства. 1. На сетевом устройстве Router1 войдём в режим конфигурации:
Router1# conf t Router1( config)#
2. Теперь ми хотим настроить Ethernet интерфейс. Для этого мы должны зайти в режим конфигурации интерфейса:
Router1(config)# interface FastEthernet0/0 Router1( config-if)#
3. Посмотрим все доступные в этом режиме команды:
Router1(config-if)#?
Для выхода в режим глобальной конфигурации наберите exit. Снова войдите в режим конфигурации интерфейса:
Router1(config)# int fa0/0
Мы использовали сокращенное имя интерфейса. 4. Для каждой команды мы можем выполнить противоположную команду, поставивши перед ней слово no. Следующая команда включает этот интерфейс: Router1(config-if)# no shutdown
5. Добавим к интерфейсу описание:
Router1(config-if)# description Ethernet interface on Router 1
Чтобы увидеть описание этого интерфейса, перейдите в привилегированный режим и выполните команду show interface:
Router1(config-if)# end Router1# show interface
6. Теперь присоединитесь к сетевому устройству Router 2 и поменяйте имя его хоста на Router2:
Router# conf t Router(config)# hostname Router2
Войдём на интерфейс FastEthernet 0/0:
Router2(config)# interface fa0/0
Включите интерфейс:
Router2(config-if)# no shutdown
Теперь, когда интерфейсы на двух концах нашего Ethernet соединения включены на экране появится сообщение о смене состояния интерфейса на активное.
7. Перейдём к конфигурации последовательных интерфейсов. Зайдём на Router1. Проверим, каким устройством выступает наш маршрутизатор для последовательной линии связи: оконечным устройством DTE (data terminal equipment), либо устройством связи DCE (data circuit):
Router1# show controllers fa0/1 Если видим сообщение:
DCE cable
то наш маршрутизатор является устройством связи и он должен задавать частоту синхронизации тактовых импульсов, используемых при передаче данных. Частота берётся из определённого ряда частот.
Router1# conf t Router1(config)# int fa0/1 Router1(config-if)# clock rate?
Выберем частоту 64000
Router1(config-if)# clock rate 64000
и включаем интерфейс
Router1(config-if)# no shut
Контрольные вопросы
1. Какой командой можно посмотреть текущие настройки роутера? 2. Какими командами настраивается сетевой интерфейс роутера. 3. Как просмотреть конфигурационные настройки коммутатора? 4. Как определить распределение вилланов по портам коммутатора? 5. Перечислите основные режимы конфигурации при настройке коммутатора. 6. Перечислите основные режимы конфигурации при настройке роутера. 7. Как посмотреть таблицу маршрутизации на роутере? 8. Какие команды формируют таблицу маршрутизации роутера? 9. Какими командами настраиваются вилланы на коммутаторе? 10. Какими командами настраивается взаимодействие между вилланами?
Самостоятельная работа №1
Корпоративная сеть 15.0.0.0/8 разбита на десять подсетей, из них в данный момент задействовано шесть подсетей в шести разных подразделениях организации. Состав сети: - три маршрутизатора; - шесть коммутаторов (по одному в каждом отделе на подсеть); - один компьютер в каждой сети.
Задание. 1 – рассчитайте параметры подсетей и задайте на компьютерах IP адрес, маску и шлюз в каждой отдельной подсети; 2 – создайте произвольную топологию сети, соединив маршрутизаторы с подсетями в любом порядке. При этом соедините роутеры между собой произвольно – напрямую, через штатные коммутаторы подразделения или дополнительные коммутаторы; 3 – проверьте работоспособность корпоративной сети командой PING – все компьютеры должны быть доступны.
Контрольные вопросы
1. В чем преимущества статической маршрутизации? 2. Дайте характеристику параметрам статической таблицы маршрутизации? 3. Какие этапы при установке устройства присущи маршрутизаторам компании Cisco, но отсутствуют у коммутаторов? 4. Какую из указанных ниже команд можно встретить в интерфейсе командной строки маршрутизатора, но не коммутатора? - команда cloc rate; - команда ip address маска адрес; - команда ip address dhcp; - команда interface vlan 1 5. Чем отличаются интерфейсы командной строки маршрутизатора и коммутатора компании Cisco? 6. Какая из указанных ниже команд не покажет настройки IP-адресов и масок в устройстве? - show running-config; - show protocol тип номер; - show ip interface brief; Show version 7. Перечислите основные функции маршрутизатора в соответствии с уровнями модели OSI. 8. Приведите классификацию маршрутизаторов по областям применения. 9. Перечислите основные технические характеристики маршрутизаторов. 10. Дайте характеристику основным сериям маршрутизаторов компании Cisco. 11. Приведите перечень поддерживаемых маршрутизаторами интерфейсов для локальных и глобальных сетей и определите их назначение. 12. Приведите перечень поддерживаемых маршрутизаторами сетевых протоколов и определите их назначение.
Протоколы состояния связи.
Эти протоколы предлагают лучшую масштабируемость и сходимость по сравнению с дистанционно-векторными протоколами. Работа протоколов базируется на алгоритме Дейкстры, который часто называют алгоритмом «кратчайший путь – первым» (shortest path first SPF)). Наиболее типичным представителем является протокол OSPF (Open Shortest Path First). Маршрутизатор берёт в рассмотрение состояние связи интерфейсов других маршрутизаторов в сети. Маршрутизатор строит полную базу данных всех состояний связи в своей области, то есть имеет достаточно информации для создания своего отображения сети. Каждый маршрутизатор затем самостоятельно выполняет SPF-алгоритм на своём собственном отображении сети или базе данных состояний связи для определения лучшего пути, который заносится в таблицу маршрутов. Эти пути к другим сетям формируют дерево с вершиной в виде локального маршрутизатора. Маршрутизаторы извещают о состоянии своих связей всем маршрутизаторам в области. Такое извещение называют LSA (link-state advertisements). В отличие от дистанционно-векторных маршрутизаторов, маршрутизаторы состояния связи могут формировать специальные отношения со своими соседями. Имеет место начальный наплыв LSA пакетов для построения базы данных состояний связи. Далее обновление маршрутов производится только при смене состояний связи или, если состояние не изменилось в течение определённого интервала времени. Если состояние связи изменилось, то частичное обновление пересылается немедленно. Оно содержит только состояния связей, которые изменились, а не всю таблицу маршрутов. Администратор, заботящийся об использовании линий связи, находит эти частичные и редкие обновления эффективной альтернативой дистанционно-векторной маршрутизации, которая передаёт всю таблицу маршрутов через регулярные промежутки времени. Протоколы состояния связи имеют более быструю сходимость и лучшее использование полосы пропускания по сравнению с дистанционно-векторными протоколами. Они превосходят дистанционно-векторные протоколы для сетей любых размеров, однако имеют два главных недостатка: повышенные требования к вычислительной мощности маршрутизаторов и сложное администрирование.
Самостоятельная работа №2.
Задание. Создайте схему, представленную на рис.7.4.
1. Настройте корпоративную сеть с использованием протокола RIP. 2. Проверьте связь между компьютерами Comp1 и Comp3 с помощью команд ping и tracert при включенном и выключенном пятом маршрутизаторе. 3. Проверьте связь между компьютерами ПК0 и Comp1 с помощью команд ping и tracert при включенном и выключенном втором маршрутизаторе.
Рис.6.4. Схема сети.
Раздел 7. Служба NAT Этап 1. Перейдите к конфигурации центрального коммутатора Switch3 и создайте на нем базу VLAN. 1. Создайте VLAN 10: Switch3> en Switch3# conf t Switch3(config)# vlan 10 Switch3(config-vlan)# exit
2. Создайте VLAN 11, VLAN 12 и VLAN 13.
3. Настройте протокол VTP в режиме сервера:
Switch3(config)# vtp domain HOME Switch3(config)# vtp password HOME Switch3(config)# vtp mode server 4. Просмотрите информацию о конфигурации VTP:
Switch# sh vtp status
5. Настройте все интерфейсы на транк:
Switch3(config)# int fa0/1 Switch3(config-if)# switchport mode trunk Switch3(config-if)# exit
и повторите эти настройки для второго и третьего интерфейсов.
Этап 2. Перейдите к конфигурации коммутатора Switch4 и переведите его в режим client: 1. Создайте на коммутаторе VLAN 10 и задайте в нем порт 1 как access порт:
Switch4> en Switch4# conf t Switch4(config)# vlan 10 Switch4(config-vlan)# exit Switch4(config)# int fa0/1 Switch4(config-if)# switchport access vlan 10 Switch4(config-if)# switchport mode access Switch4(config-if)# no shut
2. Создайте на коммутаторе VLAN 11 и задайте в нем порт 4 как access порт. 3. Создайте на коммутаторе VLAN 12 и задайте в нем порт 2 как access порт. Этап 3. 4. Переведите коммутатор в режим clint:
Switch4(config)# vtp domain HOME Switch4(config)# vtp password HOME Switch4(config)# vtp mode client ВАЖНО! При вводе имени домена и пароля соблюдайте нужный регистр.
Этап 4. Перейдите к конфигурации коммутатора Switch1 и выподните следующие настройки: . 1. Создайте на коммутаторе VLAN 11 и задайте в нем порт 1 как access порт. 2. Создайте на коммутаторе VLAN 13 и задайте в нем порт 2 как access порт. 3. Переведите коммутатор в режим client. Этап 5. Перейдите к конфигурации коммутатора Switch2. 1. Создайте на коммутаторе VLAN 12 и задайте в нем порт 2 как access порт. 2. Создайте на коммутаторе VLAN 13 и задайте в нем порт 1 как access порт. 3. Переведите коммутатор в режим client.
Этап 6. Проверьте работоспособность сети на канальном уровне модели OSI. После установки всех настроек таблица VLAN разойдется по коммутаторам с помощью протокола VTP. В результате компьютеры, расположенные в одном виллане, будут доступны друг для друга, а другие компьютеры недоступны. Проверьте связь командой PING между следующими парами компьютеров: - ПК1 – ПК2; - ПК3 – ПК4; - ПК5 – ПК6. Если Вы все сделали правильно, то ping между парами пройдет, если нет – проверьте следующие установки: - транковыми портами являются: на Switch3 все порты, на Switch1, Switch2 и Switch4 – третий порт; - соединения интерфейсов на коммутаторах; - названия и пароли доменов на каждом коммутаторе (команда sh vtp status); - привязку интерфейсов к вилланам на коммутаторах (команда sh vl br).
Этап 7. Настройка маршрутизации на центральном коммутаторе.
Создадим интерфейсы для каждого VLAN.
Настройка интерфейса для vlan 10 (шлюз по умолчанию):
Switch3(config)# int vlan 10 Switch3(config-if)# ip address 10.10.0.1 255.255.0.0 Switch3(config-if)# no shut Switch3(config-if)# exit
Повторите эти настройки для каждого VLAN, задавая адрес IP: 10.[VLAN].0.1 и маску /16.
После этого зайдите в настройки каждого компьютера и установите нужный шлюз по умолчанию. Например для ПК1 – 10.11.0.1.
Включите маршрутизацию командой: Switch3(config)# ip routing Этап 8. Проверьте работоспособность сети на сетевом уровне модели OSI. После включения маршрутизации все компьютеры будут доступны с любого хоста.
Этап 9. Выполним основную задачу работы: для любого вилана могут быть доступны только узлы этого же вилана и сервер Server1. Для этого введем следующие ограничения на трафик сети: 1 - Разрешить пакеты от любого хоста к серверу. 2 - Разрешить пакеты от сервера до любого хоста. 3 – Трафик от одной подсети к этой же подсети разрешить. 4 – Правило по умолчанию: запретить всё остальное.
Ограничения на трафик сети задаются с помощью команды фильтрации access-list. Данная команда задает критерии фильтрации в списке опций разрешения и запрета, называемом списком доступа. Списки доступа имеют два правила: permit – разрешить и deny – запретить. Данные правила либо пропускают пакет дальше по сети, либо блокируют его доступ. Более подробно списки доступа будут рассмотрены в лабораторной работе №14.
Открываем центральный коммутатор (Switch3) и меняем его конфигурацию с помощью команды фильтрации access-list: Switch3(config)# ip access-list extended 100 (создается расширенный список доступа под номером 100) Switch3(config-ext-nacl)# permit ip any 10.10.0.0 0.0.0.255 Switch3(config-ext-nacl)# permit ip 10.10.0.0 0.0.0.255 any (разрешается доступ к сети 10.10.0.0/24)
Switch3(config-ext-nacl)# permit ip 10.11.0.0 0.0.0.255 10.11.0.0 0.0.0.255 Switch3(config-ext-nacl)# permit ip 10.12.0.0 0.0.0.255 10.12.0.0 0.0.0.255 Switch3(config-ext-nacl)# permit ip 10.13.0.0 0.0.0.255 10.13.0.0 0.0.0.255 (разрешается: доступ из сети 10.11.0.0/24 в эту же сеть; доступ из сети 10.12.0.0/24 в эту же сеть; доступ из сети 10.13.0.0/24 в эту же сеть). Switch3(config-ext-nacl)# exit Теперь этот access-list наложим на конкретный интерфейс и применим ко всем VLAN-ам на входящий трафик (опция in – на входящий трафик, out – на исходящий трафик): Switch3(config)# int vlan 10 Switch3(config-if)# ip access-group 100 in Этот шаг повторяем для каждого из VLAN-ов. В результате получим: для любого вилана могут быть доступны только узлы этого же вилана и сервер Server1.
Самостоятельная работа №3. Постановка задачи. На предприятии имеется два отдела, схема сетей которых представлена на рис.8.13. Рис.8.13. Схема сетей отделов предприятия. Отдел 1 – Switch1, отдел 2 – Switch2. В каждой сети имеется сервер со службами DHCP, DNS и HTTP (на серверах Server1 и Server2 расположены интернет-сайты отделов). Компьютеры ПК0 и ПК3 с DHCP серверов своих сетей получают параметры IP адреса и шлюз. Компьютеры ПК1 и ПК2 находятся в отдельной сети в одном VLAN. Задание: Дополните схему сети маршрутизатором или коммутатором третьего уровня, чтобы обеспечить работу корпоративной сети в следующих режимах: 1 - компьютеры ПК0 и ПК3 должны открывать сайты каждого отдела; 2 – компьютеры ПК1 и ПК2 должны быть доступны только друг для друга.
Контрольные вопросы 1. Для чего создаются виртуальные локальные сети? Каковы их достоинства? 2. Как связываются между собой VLAN и порты коммутатора? 3. Как обеспечивается общение между узлами разных виртуальных сетей? 4. Как обеспечивается управление виртуальными локальными сетями? 5. Можно ли построить VLAN на нескольких коммутаторах? Как это сделать? 6. Для чего служит идентификатор кадра (tag)? Где он размещается? 7. Что такое транк? Как он создается на коммутаторе и маршрутизаторе? 8. Какие команды используются для назначения VLAN на интерфейсы? 9. Какие команды используются для создания транковых соединений? 10. Какие команды используются для верификации VLAN?
Работа в сессии 1. Запустите программу Cisco Packet Tracer (первая сессия) и создайте две сети (сеть 11.0.0.0 и 12.0.0.0) по схеме, представленной на рис.9.1:
Рис.9.1. Первая сессия – сети 11.0.0.0 и 12.0.0.0.
Задайте названия устройств, параметры протокола TCP/IP и шлюзы для компьютеров comp11, comp12 и comp14, как показано на схеме (рис.9.1).
Работа в сессии 2. Не выключая текущую сессию работающей программы, создайте вторую сессию работы программы, запустив повторно Cisco Packet Tracer и создайте сеть по схеме, представленной на рис.9.2:
Рис.9.2. Вторая сессия – сеть 11.0.0.0.
Задайте названия устройств и параметры протокола TCP/IP для компьютера comp13, как показано на схеме (рис.9.2).
В результате вы получите работающие сети в разных сессиях программы Cisco Packet Tracer (рис.9.3):
Рис.9.3. Исходные настройки.
Самостоятельная работа №4.
Постановка задачи.
Создайте многопользовательское соединение двух разных сессий на одном компьютере. Используя статическую маршрутизацию создайте в каждой сессии по две сети. Состав каждой сети: клиентский компьютер и сервер c сайтом.
Задание: все компьютеры должны открывать все сайты в обеих сессиях.
Контрольные вопросы
1. Перечислите основные возможности многопользовательского режима работы. 2. Как организуется сеанс связи в многопользовательском режиме работы? 3. Перечислите типы соединений в многопользовательском режиме работы? 4. Через какие сетевые устройства и порты организуется связь в многопользовательском режиме работы? 5. Какие сети выбираются для общего канала доступа? 6. Опишите этапы создания многопользовательского соединения. 7. Как определяются порты для организации сеанса связи при организации многопользовательского режима работы?
Access-list 10 deny 12.0.0.0 0.255.255.255 Access-list 10 permit any
В этом списке: - запрещен весь трафик хосту с IP адресом 11.0.0.5; - запрещен весь трафик в сети 12.0.0.0/8 (в правиле указывается не реальная маска подсети, а ее шаблон); - весь остальной трафик разрешен.
В расширенных списках доступа вслед за указанием действия ключами permit или deny должен находиться параметр с обозначением протокола (возможны протоколы IP, TCP, UDP, ICMP), который указывает, должна ли выполняться проверка всех пакетов IP или только пакетов с заголовками ICMP, TCP или UDP. Если проверке подлежат номера портов TCP или UDP, то должен быть указан протокол TCP или UDP (службы FTP и WEB используют протокол TCP). При создании расширенных списков в правилах доступа можно включать фильтрацию трафика по протоколам и портам. Для указания портов в правиле доступа указываются следующие обозначения (таблица 10.1): Таблица 10.1.
Распространенные приложения и соответствующие им стандартные номера портов приведены в следующей таблице 10.2:
Таблица 10.2.
Пример расширенного списка доступа №111:
! Запретить трафик на порту 80 (www-трафик) Interface ethernetO ! Применить список доступа 111 к исходящему трафику Ip access-group 111 out
В этом списке внешние узлы не смогут обращаться на сайты внутренней сети, т.к. список доступа был применен на выход (для внешних узлов) интерфейса, а так же узлу 10.0.0.15 запрещен доступ к узлу 12.0.0.5 Остальной трафик разрешен.
Этап третий – применение списка доступа.
Списки доступа могут быть использованы для двух типов устройств: 1 – на маршрутизаторе; 2 - на коммутаторе третьего уровня.
На каждом интерфейсе может быть включено два списка доступа: только один список доступа для входящих пакетов и только один список для исходящих пакетов. Каждый список работает только с тем интерфейсом, на который он был применен и не действует на остальные интерфейсы устройства, если он там не применялся. Однако один список доступа может быть применен к разным интерфейсам. Применение списка доступа к устройству осуществляется следующими командами:
Interface ethernet0/0/0 Ip access-group 1 in Ip access-group 2 out
В данном случае к интерфейсу ethernet0/0/0 применили два списка доступа: список доступа №1 – на вход интерфейса (т.е. для внутренних адресов); список доступа №2 – на выход интерфейса (применение к внешней сети).
Чтобы просмотреть все созданные списки доступа и применение их к интерфейсам устройства используйте следующие команды:
Команда просмотра списков доступа: Router# Sh access-list
Просмотр текущей конфигурации устройства и привязки списков к интерфейсам: Router# Show running-config
Просмотр сохраненной конфигурации: Router# Show configuration
Сохранение текущей конфигурации: Router# write memory Или Router# copy run start
Команда удаления списка доступа: interface ethernet0/0/0 - выбор нужного интерфейса no access-list номер_списка – удаление списка в выбранном интерфейсе
Самостоятельная работа №5. Постановка задачи. Создайте сеть, представленную на рис 10.2. Рис.10.2. Схема корпоративной сети.
Корпоративная сеть состоит из четырех сетей: сеть 1 – 11.0.0.0/8; сеть 2 – 12.0.0.0/8; сеть 3 – 13.0.0.0/8; сеть 4 – 14.0.0.0/8. В каждой сети на сервере установлен Web сайт. Задание: Компьютеру comp2 доступны только компьютеры своей сети и сomp4. Компьютеру comp4 доступны только компьютеры своей сети и сomp2. Компьютеру comp8 доступны только компьютеры своей сети и сomp6. Компьютеру comp6 доступны только компьютеры своей сети и сomp8. Компьютеры comp1, comp3, comp5 и comp7 должны открывать все сайты на серверах S1, S2, S3 и S4.
Самостоятельная работа №6. |
Последнее изменение этой страницы: 2017-04-13; Просмотров: 13899; Нарушение авторского права страницы