I denna laboration utforskas Extended ACL som filtrerar paket grundad i avsändare (Source) och mottagare (destination) IP-adress, protokolltyp, portnummer. Om inte alla gånger används ofta router 1941 vid laborationer. FTP och webb-server (HTTP och HTTPS) har förkonfigurerats för en låtsas www.google.se. Ingen DNS server har konfigurerats så ska du använda enbart servers IP-adresser. På router R1 har säkrats det privilegieratläge med lösenord enpass och virtuella terminaler med lösenord vtypass. Användarkonto till Server FTP är user1 och lösenordet cisco12345.
Enkla konfigurationer så att vi kan koncentrera oss på Extended ACL konfigurationer. Glöm inte att verifiera först IP-kommunikation för alla nätverk och host i nätverkstopologin innan du börjar att konfigurera ACL. Efter varje konfigurering ska du också bekräfta IP-kommunikationen så att konfigurerade filtrering fungerar.
Följande task ska konfigureras:
- Task 1: Endast host i Production nätverk nekas åtkomst till FTP server.
- Task 2: Host PC-A får komma åt HTTP-server med IP-adress 192.168.30.6 endast via HTTPS.
- Task 3: Endast host PC-D nekas IP-kommunikation via PING med server adresserad med 192.168.30.7
Topologi
Instruktioner
Konfigurera hostname, IP-adresser och Telnet på router R1
- Router(config)#hostname R1
- R1(config)#interface g0/0
- R1(config-if)#description Connected To Administration
- R1(config-if)#ip address 192.168.10.1 255.255.255.0
- R1(config-if)#no shutdown
- R1(config-if)#exit
- R1(config)#interface g0/1
- R1(config-if)#description Connected To Production
- R1(config-if)#ip address 192.168.20.1 255.255.255.0
- R1(config-if)#no shutdown
- R1(config-if)#exit
- R1(config)#interface s0/0/0
- R1(config-if)#description Connected To R2
- R1(config-if)#ip address 10.1.1.1 255.255.255.252
- R1(config-if)#no shutdown
- R1(config-if)#exit
- R1(config)#enable secret enpass
- R1(config)#line vty 0 15
- R1(config-line)#password vtypass
- R1(config-line)#login
- R1(config-line)#transport input telnet
- R1(config-line)#end
- R1#show ip interface brief
- R1#show run
Konfigurera hostname och IP-adress på router R2
- Router(config)#hostname R2
- R2(config)#interface g0/0
- R2(config-if)#description Connected To Servers
- R2(config-if)#ip address 192.168.30.1 255.255.255.0
- R2(config-if)#no shutdown
- R2(config-if)#exit
- R2(config)#interface s0/0/0
- R2(config-if)#description DCE Connected To R1
- R2(config-if)#clock rate 128000
- R2(config-if)#ip address 10.1.1.2 255.255.255.252
- R2(config-if)#no shutdown
- R2(config-if)#exit
- R2(config)#
Konfigurera EIGRP på router R1
- R1(config)#router eigrp 100
- R1(config-router)#no auto-summary
- R1(config-router)#network 192.168.10.0 0.0.0.255
- R1(config-router)#network 192.168.20.0 0.0.0.255
- R1(config-router)#network 10.1.1.0 0.0.0.3
- R1(config-router)#end
- R1#show ip interface brief
- R1#show ip route
Konfigurera EIGRP på router R2
- R2(config)#router eigrp 100
- R2(config-router)#no auto-summary
- R2(config-router)#network 192.168.30.0 0.0.0.255
- R2(config-router)#network 10.1.1.0 0.0.0.3
- R2(config-router)#end
- R2#show ip interface brief
- R2#show ip route
Task 1: Endast hosts i Production nätverk nekas åtkomst till FTP server.
- R1(config)#ip access-list extended DENY-FTP
- R1(config-ext-nacl)#10 deny tcp 192.168.20.0 0.0.0.255 host 192.168.30.5 eq ftp
- R1(config-ext-nacl)#20 permit ip any any
- R1(config-ext-nacl)#exit
- R1(config)#interface g0/1
- R1(config-if)#ip access-group DENY-FTP in
- R1(config-if)#exit
- Verifiera att host från Production nätverk kan pinga FTP server.
- Verifiera att host från Production nätverk kan inte komma åt FTP servern via kommandot ftp 192.168.30.5
Task 2: Host PC-A får komma åt HTTP-server med IP-adress 192.168.30.6 endast via HTTPS.
- R1(config)#ip access-list extended DENY-HTTP
- R1(config-ext-nacl)#10 deny tcp host 192.168.10.10 host 192.168.30.6 eq www
- R1(config-ext-nacl)#20 permit ip any any
- R1(config-ext-nacl)#exit
- R1(config)#interface g0/0
- R1(config-if)#ip access-group DENY-HTTP in
- R1(config-if)#end
- R1#show access-list
- R1#show ip interface g0/0
Task 3: Endast host PC-D nekas IP-kommunikation via PING med server adresserad med 192.168.30.7
- R1(config)#ip access-list extended DENY-FTP
- R1(config-ext-nacl)#15 deny icmp host 192.168.20.11 host 192.168.30.7 echo
- R1(config-ext-nacl)#end
- R1#
- Verifiera konfigurationerna