I denna laboration filtreras nätverkstrafik med hjälp av standard ACL. Följande uppgifter kommer att konfigureras:
- Development ska ha åtkomst endast till Produktion, inte till Management och inte heller till Server.
- Production ska ha åtkomst endast till Development, inte till Management och inte heller till Server
- Endast PC-2 med IP adress 200.0.0.2 från Development har ingen åtkomst till andra delnät förutom sitt eget.
- Endast PC-130 med IP-adress 200.0.0.130 från Production har åtkomst till Management, men inte till Server.
- Endast PC-131 med IP-adress 200.0.0.131 från Production har åtkomst till Server, men inte till Management.
- Endast PC-194 med IP-adress 200.0.0.194 från Management har åtkomst till SERVER, men inte till Development och inte heller till Production.
Topologi
Routrars modell är 1941. Se till att följa instruktionerna och inte avvika dem.
Instruktioner
Konfigurera hostname och IP-adresser på router R1
- Router(config)#hostname R1
- R1(config)#int G0/0
- R1(config-if)#description TO DEVELOPMENT
- R1(config-if)#ip address 200.0.0.1 255.255.255.128
- R1(config-if)#no shutdown
- R1(config-if)#exit
- R1(config)#int G0/1
- R1(config-if)#description TO PRODUCTION
- R1(config-if)#ip address 200.0.0.129 255.255.255.192
- R1(config-if)#no shutdown
- R1(config-if)#exit
- R1(config)#int s0/0/0
- R1(config-if)#description TO R2
- R1(config-if)#clock rate 64000
- R1(config-if)#ip address 200.0.0.241 255.255.255.252
- R1(config-if)#no shutdown
- R1(config-if)#exit
- R1(config)#
Konfigurera routing via EIGRP
- R1(config)#router eigrp 10
- R1(config-router)#no auto-summary
- R1(config-router)#network 0.0.0.0 255.255.255.255
- R1(config-router)#exit
- R1(config)#
Konfigurera hostname och IP-adresser på router R2
- Router(config)#hostname R2
- R2(config)#interface G0/0
- R2(config-if)#description TO MANAGMENT
- R2(config-if)#ip address 200.0.0.193 255.255.255.224
- R2(config-if)#no shutdown
- R2(config-if)#exit
- R2(config)#interface G0/1
- R2(config-if)#description TO SERVERS
- R2(config-if)#ip address 200.0.0.225 255.255.255.240
- R2(config-if)#no shutdown
- R2(config-if)#exit
- R2(config)#int s0/0/0
- R2(config-if)#description TO R1
- R2(config-if)#ip address 200.0.0.242 255.255.255.252
- R2(config-if)#no shutdown
- R2(config-if)#exit
- R2(config)#
Konfigurera routing via EIGRP
- R2(config)#router eigrp 10
- R2(config-router)#no auto-summary
- R2(config-router)#network 0.0.0.0 255.255.255.255
- R2(config-router)#exit
- R2(config)#
Development ska ha åtkomst endast till Production, inte till Management och inte heller till Server.
- R1(config)#ip access-list standard DENY-DEV
- R1(config-std-nacl)#10 deny 200.0.0.0 0.0.0.127
- R1(config-std-nacl)#exit
- R1(config)#interface s0/0/0
- R1(config-if)#ip access-group DENY-DEV out
- R1(config-if)#exit
- R1(config)#
- Verifiera kommunikationen mellan host från DEVELOPMENT och PRODUCTION.
Production ska ha åtkomst endast till Development, inte till Management och inte heller till Server
- R1(config)#ip access-list standard DENY-DEV
- R1(config-std-nacl)#20 deny 200.0.0.128 0.0.0.63
- R1(config-std-nacl)#exit
- R1(config)#
- Verifiera kommunikationen mellan host från PRODUCTION och DEVELOPMENT.
Endast PC-2 med IP adress 200.0.0.2 från Development har ingen åtkomst till andra delnät förutom sitt eget.
- R1(config)#ip access-list standard DENY-PC2
- R1(config-std-nacl)#10 deny host 200.0.0.2
- R1(config-std-nacl)#20 permit any
- R1(config-std-nacl)#exit
- R1(config)#interface G0/0
- R1(config-if)#ip access-group DENY-PC2 in
- R1(config-if)#exit
- R1(config)#
- Verifiera att host PC-2 kan inte pinga till host i DEVELOPMENT.
Endast PC-130 med IP-adress 200.0.0.130 från Production har åtkomst till Management, men inte till Server.
- Här behöver vi göra ett undantag för PC-130 som inkluderas i DENY-DEV access list tillämpad på R1
- Vi behöver också skapa en ny ACL på router R2 som ska blockera PC-130 att komma åt till SERVER nätverk.
- R1(config)#ip access-list standard DENY-DEV
- R1(config-std-nacl)#11 permit host 200.0.0.130
- R1(config-std-nacl)#exit
- R1(config)#
- R2(config)#ip access-list standard DENY-PC130
- R2(config-std-nacl)#10 deny host 200.0.0.130
- R2(config-std-nacl)#20 permit any
- R2(config-std-nacl)#exit
- R2(config)#
- R2(config)#interface G0/1
- R2(config-if)#ip access-group DENY-PC130 out
- R2(config-if)#exit
- R2(config)#
- Verifiera att endast PC-130 kan komma åt MANAGMENT nätverk, men inte till SERVER nätverk.
Endast PC-131 med IP-adress 200.0.0.131 från Production har åtkomst till Server, men inte till Management.
- Vi behöver göra ett undantag för PC-131 som är inkluderad i access list DENY-DEV på R1.
- Vi behöver skapa en access list på R2 som blockerar PC-131 att komma åt Management nätverk.
- R1(config)#ip access-list standard DENY-DEV
- R1(config-std-nacl)#12 permit host 200.0.0.131
- R1(config-std-nacl)#exit
- R2(config)#ip access-list standard DENY-PC131
- R2(config-std-nacl)#deny host 200.0.0.131
- R2(config-std-nacl)#permit any
- R2(config-std-nacl)#exit
- R2(config)#
- R2(config)#int G0/0
- R2(config-if)#ip access-group DENY-PC131 out
- R2(config-if)#exit
- R2(config)#
- Verifiera att endast PC-131 kan komma åt SERVER nätverk, men inte till MANAGMENT nätverk.
Endast PC-194 med IP-adress 200.0.0.194 från Management har åtkomst till SERVER, men inte till Development och inte heller till Production.
- Vi behöver skapa en access list på R2 som blockerar PC-194 att komma åt DEVELOPMENT och PRODUCTION
- R2(config)#ip access-list standard DENY-PC194
- R2(config-std-nacl)#10 deny host 200.0.0.194
- R2(config-std-nacl)#20 permit any
- R2(config-std-nacl)#exit
- R2(config)#interface s0/0/0
- R2(config-if)#ip access-group DENY-PC194 out
- R2(config-if)#exit
- Verifiera att host med IP adress 200.0.0.194 kan endast komma åt SERVERS delnät.