Ciele cvičenia

  • Základné informácie a sieťová topológia
  • Tvorba rozšíreného Access Listu
  • Tvorba rozšíreného pomenovaného Access Listu
  • Tvorba štandardného pomenovaného Acess Listu

Základné informácie a sieťová topológia

Táto aktivita slúži na zopakovanie Access Control Listov, čo sú prístupové zoznamy na povolenie alebo zablokovanie komunikácie v danej sieťovej topológií. Sieťová topológia, ktorá je použitá v tejto aktivite obsahuje už predkonfigurované prvky ako STP, DHCP, OSPF, atď. Preto pre správne fungovanie Access Listov musíte mať stiahnutú predkonfigurovanú aktivitu, ktorú si môžete stiahnuť nižšie.

Znovu pripomíname, že keďže sa jedná o emulátor GNS-3, tak neobsahuje prvky samohodnotiacich aktivít ako Packet Tracer. Preto zakaždým, keď správne nakonfigurujete Access List skontrolujte jeho funkčnosť pomocou príkazu ping.

topologia

Tvorba rozšíreného Access Listu

Znenie zadania
  • Vytvorte rozšírený prístupový zoznam s číslom 100, v ktorom:
    • umožníte zariadeniam vo VLAN 10 prístup na server SYSLOG_WWW len na jeho webovú službu
    • umožnite zariadeniam z VLAN 10 testovať konektivitu so smerovačmi len využitím ich loopback rozhraní
    • ping z PC10 teda bude možný len na IPv4 adresy 1.1.1.1, 2.2.2.2, 3.3.3.3 a 4.4.4.4
    • nastavte výnímku, nech je komunikácia s fyzickým rozhraním gi0/0 na smerovači R1
    • akákoľvek ďalšia komunikácia z VLAN 10 nech je zakázaná
  • Pri aplikovaní ACL nezabudnite, že rozšírený prístupový zoznam je potrebné aplikovať čo najbližšie k zdroju.
Konfigurácia rozšíreného Access Listu

R1(config)# access-list 100 permit tcp any host 172.16.10.22 eq www

R1(config)# access-list 100 permit icmp any host 1.1.1.1

R1(config)# access-list 100 permit icmp any host 2.2.2.2

R1(config)# access-list 100 permit icmp any host 3.3.3.3

R1(config)# access-list 100 permit icmp any host 4.4.4.4

R1(config)# access-list 100 permit ip any host 192.168.10.1

R1(config)# access-list 100 permit ip any 192.168.20.0 0.0.0.255

R1(config)# access-list 100 permit icmp any host 8.8.8.8

R1(config)# interface gi0/0.10

R1(config-if)# ip access-group 100 in

Tvorba rozšíreného pomenovaného Access Listu

  • Vytvorte rozšírený pomenovaný prístupový zoznam s s názvom from-ISP, ktorý umožní len nasledovnú komunikáciu z vonkajšej siete:
    • opdovede na vytvorené TCP spojenia, odpovede na ping a prístup len na webovú službu servera SYSLOG_WWW
    • akákoľvek iná komunikácia bude blokovaná
  • Pri aplikovaní ACL nezabudnite, že rozšírený prístupový zoznam je potrebné aplikovať čo najbližšie k zdroju.
Konfigurácia rozšíreného pomenovaného Access Listu

R2(config)# ip access-list extended from-ISP

R2(config)# permit tcp any any established

R2(config)# permit icmp any any echo-reply

R2(config)# permit tcp any host 147.232.22.10 eq www

R2(config)# interface se0/0/0

R@(config-if)# ip access-group from-ISP in

Tvorba štandardného pomenovaného Acess Listu

  • Vytvorte štandardný pomenovaný Access List s názvom terminal-in, ktorý:
    • umožní prístup na terminál zariadenia R4 zo všetkých zariadení okrem zariadenia SYSLOG_WWW
  • Pri aplikovaní ACL nezabudnite, že štandardný prístupový zoznam je potrebné aplikovať čo naďalej od zdroja.
Konfigurácia štandardného pomenovaného Access Listu

R4(config)# ip access-list standard terminal-in

R1(config)# deny host 172.16.10.22

R1(config)# permit any

R1(config)# line vty 0 15

R1(config-line)# access-class terminal-in in