Поиск и устранение неполадок в настройке и размещении ACL-списков - Geek-Speak

Главная Форумы SOFTWARE Cisco lessons and setup Поиск и устранение неполадок в настройке и размещении ACL-списков

В этой теме 0 ответов, 1 участник, последнее обновление  Esmertec 3 нед., 6 дн. назад.

Просмотр 1 сообщения - с 1 по 1 (всего 1)
  • Автор
    Сообщения
  • #1042

    Esmertec
    Хранитель

    Топология

    Таблица адресации

    Устройство Интерфейс IP-адрес Маска подсети Шлюз по умолчанию
    HQ G0/1 192.168.1.1 255.255.255.0 N/A
    S0/0/1 (DCE) 10.1.1.2 255.255.255.252 N/A
    Lo0 192.168.4.1 255.255.255.0 N/A
    ISP G0/1 192.168.3.1 255.255.255.0 N/A
    S0/0/0 (DCE) 10.1.1.1 255.255.255.252 N/A
    S1 VLAN 1 192.168.1.11 255.255.255.0 192.168.1.1
    S3 VLAN 1 192.168.3.11 255.255.255.0 192.168.3.1
    PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1
    PC-C NIC 192.168.3.3 255.255.255.0 192.168.3.1

    Задачи

    Часть 1. Построение сети и настройка базовых параметров устройства Часть 2. Поиск и устранение неполадок внутреннего доступа Часть 3. Поиск и устранение неполадок удалённого доступа

    Исходные данные/сценарий

    Список контроля доступа (ACL) — это последовательность команд IOS, обеспечивающая базовую фильтрацию трафика на маршрутизаторе Cisco. С помощью ACL -списков можно выбирать типы трафика, подлежащие обработке. Каждое отдельное выражение ACL-списка называют записью контроля доступа (ACE) . Записи ACE в ACL-списках оцениваются сверху вниз. В конце списка стоит скрытая запись запрета deny all. Также ACL-списки контролируют тип трафика, входящего или исходящего из сети, используя узлы или сеть источника и назначения. Размещение ACL-списков имеет решающее значение для правильной обработки нужного трафика.

    В контексте данной лабораторной работы небольшая компания только что добавила в сеть веб-сервер, чтобы клиенты могли получить доступ к конфиденциальной информации. Корпоративная сеть разделена на две зоны: зону корпоративной сети и демилитаризованную зону (DMZ). В зоне корпоративной сети будут размещены частные серверы и внутренние клиенты. В зоне DMZ содержится внешне доступный веб-сервер (смоделированный как интерфейс Lo0 в HQ). Поскольку компания может управлять только собственным маршрутизатором HQ, на нём необходимо применить все ACL-списки.

    • ACL-список 101 реализован для ограничения трафика, выходящего из зоны корпоративной сети. Эта зона содержит частные сервера и внутренних клиентов (192.168.1.0/24). Доступ других сетей в корпоративную сеть должен быть закрыт.
    • ACL-список 102 применяется для ограничения трафика, входящего в корпоративную сеть. Доступ в эту сеть разрешён только для ответов на запросы, созданные внутри корпоративной сети. К ним относятся TCP-запросы от внутренних узлов, например, на веб- или FTP-сервере. ICMP обладает доступом в сеть для устранения неполадок, чтобы входящие ICMP-сообщения, созданные в ответ на эхо-запросы, могли быть получены внутренними узлами.
    • ACL-список 121 контролирует внешний трафик, входящий в зону DMZ и корпоративную сеть. Доступом к веб-серверу DMZ обладает только HTTP-трафик (смоделированный как интерфейс Lo0 на маршрутизаторе R1). Остальной трафик из внешних сетей, например EIGRP, разрешён. Кроме того, допустимым внутренним частным адресам, например, 192.168.1.0, loopback-адресам, например, 127.0.0.0 и групповым адресам доступ к корпоративной сети запрещён в целях предотвращения вредоносных атак со стороны внешних пользователей.

    Примечание. Убедитесь, что предыдущие настройки маршрутизаторов и коммутаторов удалены, и они не имеют загрузочной конфигурации. Если вы не уверены в этом, обратитесь к преподавателю.

    Необходимые ресурсы:

    • 2 маршрутизатора (Cisco 1941 под управлением ОС Cisco IOS 15.2(4) M3 (образ universal) или аналогичная модель);
    • 2 коммутатора (Cisco 2960 под управлением ОС Cisco IOS 15.0(2), образ lanbasek9 или аналогичная модель);
    • 2 ПК;
    • консольные кабели для настройки устройств Cisco IOS через консольные порты;
    • кабели Ethernet и последовательные кабели в соответствии с топологией.

    Часть 1: Построение сети и настройка базовых параметров устройства

    В первой части лабораторной работы вам нужно создать топологию сети и настроить некоторые базовые параметры на маршрутизаторах и коммутаторах, например пароли и IP-адреса. В качестве исходных настроек маршрутизаторов также даны предварительные настройки. Также вам предстоит настроить параметры IP для компьютеров в приведённой топологии.

    Шаг 1: Подключите кабели в сети в соответствии с топологией.

    Шаг 2: Настройте узлы ПК.

    Шаг 3: Настройте базовые параметры каждого коммутатора (дополнительно).

    1. Отключите поиск DNS.
    2. Настройте имена узлов в соответствии с топологией.
    3. Настройте IP-адрес и шлюз по умолчанию в таблице адресации.
    4. Назначьте cisco в качестве паролей консоли и VTY.
    5. Назначьте class в качестве пароля привилегированного режима EXEC.
    6. Настройте logging synchronous, чтобы сообщения от консоли не могли прерывать ввод команд.

    Шаг 4: Настройте базовые параметры каждого маршрутизатора.

    1. Отключите поиск DNS.
    2. Настройте имена узлов в соответствии с топологией.
    3. Назначьте cisco в качестве паролей консоли и VTY.
    4. Назначьте class в качестве пароля привилегированного режима EXEC.
    5. Настройте logging synchronous, чтобы сообщения от консоли не могли прерывать ввод команд.

    Шаг 5: Настройте HTTP-доступ и учётные данные пользователя на маршрутизаторе HQ.

    Для получения доступа к смоделированному веб-серверу (192.168.4.1) необходимо настроить учётные данные пользователя.

    HQ(config)# ip http server
    HQ(config)# username admin privilege 15 secret adminpass 
    HQ(config)# ip http authentication local

    Шаг 6: Загрузите настройки маршрутизатора.

    В вашем распоряжении конфигурации для маршрутизаторов ISP и HQ. Эти настройки содержат ошибки. Ваша задача — найти ошибки и исправить их.
    Маршрутизатор ISP

    hostname ISP
    interface GigabitEthernet0/1
    ip address 192.168.3.1 255.255.255.0
    no shutdown
    interface Serial0/0/0
    ip address 10.1.1.1 255.255.255.252
    clock rate 128000
    no shutdown
    router eigrp 1
    network 10.1.1.0 0.0.0.3
    network 192.168.3.0
    no auto-summary
    end

    Маршрутизатор HQ

    hostname HQ
    interface Loopback0
    ip address 192.168.4.1 255.255.255.0
    interface GigabitEthernet0/1
    ip address 192.168.1.1 255.255.255.0
    ip access-group 101 out
    ip access-group 102 in
    no shutdown
    interface Serial0/0/1
    ip address 10.1.1.2 255.255.255.252
    ip access-group 121 in
    no shutdown
    router eigrp 1
    network 10.1.1.0 0.0.0.3
    network 192.168.1.0
    network 192.168.4.0
    no auto-summary
    access-list 101 permit ip 192.168.11.0 0.0.0.255 any
    access-list 101 deny ip any any
    access-list 102 permit tcp any any established access-list 102 permit icmp any any echo-reply access-list 102 permit icmp any any unreachable access-list 102 deny ip any any
    access-list 121 permit tcp any host 192.168.4.1 eq 89 access-list 121 deny icmp any host 192.168.4.11 access-list 121 deny ip 192.168.1.0 0.0.0.255 any access-list 121 deny ip 127.0.0.0 0.255.255.255 any access-list 121 deny ip 224.0.0.0 31.255.255.255 any access-list 121 permit ip any any access-list 121 deny ip any any
    end

    Часть 2: Поиск и устранение неполадок внутреннего доступа

    Во второй части нужно проверить ACL-списки на маршрутизаторе HQ, чтобы убедиться в правильности их настройки.

    Шаг 1: Поиск и устранение неполадок в ACL-списке 101

    ACL-список 101 реализован для ограничения трафика, выходящего из зоны корпоративной сети. В этой зоне содержатся только внутренние клиенты и частные сервера. Правом выхода из этой зоны корпоративной сети обладает только сеть 192.168.1.0/24.

    a. Успешно ли проходит эхо-запрос от узла PC-А на его шлюз по умолчанию?

    b. Убедившись в правильности настройки узла PC-A, просмотрите сводку ACL-списка 101, чтобы найти в конфигурации маршрутизатора HQ возможные ошибки. Введите команду show access-lists 101.

    HQ# show access-lists 101
    Extended IP access list 101
    10 permit ip 192.168.11.0 0.0.0.255 any
    20 deny ip any any

    c. Удалось ли вам найти какие-либо ошибки в ACL-списке 101?
    d. Проверьте интерфейс шлюза по умолчанию для сети 192.168.1.0 /24. Убедитесь, что ACL-список 101 применён на правильном направлении интерфейса G0/1. Введите show ip interface g0/1.

    HQ# show ip interface g0/1
    GigabitEthernet0/1 is up, line protocol is up Internet address is 192.168.1.1/24 Broadcast address is 255.255.255.255
    Address determined by setup command
    MTU is 1500 bytes
    Helper address is not set
    Directed broadcast forwarding is disabled
    Multicast reserved groups joined: 224.0.0.10
    Outgoing access list is 101
    Inbound	access list is 102

    e. Исправьте ошибки, найденные в ACL-списке 101, и убедитесь, что трафик из сети 192.168.1.0/24 может покидать корпоративную сеть.
    f. Проверьте, успешно ли выполняется эхо-запрос с узла PC-A на интерфейс его шлюза по умолчанию.

    Шаг 2: Поиск и устранение неполадок в ACL-списке 102

    ACL-список 102 применяется для ограничения трафика, входящего в корпоративную сеть. Трафик, создаваемый во внешней сети, не допускается в корпоративную сеть. Удалённый трафик допускается в корпоративную сеть, если трафик был создан во внутренней сети. Ответные ICMP-сообщения допускаются в целях устранения неполадок.

    a. Успешно ли выполняется эхо-запрос от узла PC-A на узел PC-C?
    b. Просмотрите сводку ACL-списка 102, чтобы найти возможные ошибки в конфигурации маршрутизатора HQ. Введите команду show access-lists 102.

    HQ# show access-lists 102
    Extended IP access list 102
    10 permit tcp any any established
    20 permit icmp any any echo-reply
    30 permit icmp any any unreachable
    40 deny ip any any (57 matches)

    c. Удалось ли вам найти какие-либо ошибки в ACL-списке 102?
    d. Убедитесь, что ACL-список 102 применён на правильном направлении интерфейса G0/1. Введите show ip interface g0/1.

    HQ# show ip interface g0/1
    GigabitEthernet0/1 is up, line protocol is up Internet address is 192.168.1.1/24 Broadcast address is 255.255.255.255 Address determined by setup command
    MTU is 1500 bytes
    Helper address is not set
    Directed broadcast forwarding is disabled
    Multicast reserved groups joined: 224.0.0.10
    Outgoing access list is 101
    Inbound	access list is 101

    e. Удалось ли вам найти какие-либо ошибки в применении ACL-списка 102 на интерфейсе G0/1?
    f. Устраните все ошибки в ACL-списке 102.
    g. Успешно ли теперь отправляется эхо-запрос от узла PC-A на узел PC-C?

    Часть 3: Поиск и устранение неполадок удалённого доступа

    В третьей части лабораторной работы ACL-список 121 настроен для предотвращения спуфинг-атак со стороны внешних сетей и разрешения только удалённого HTTP-доступа к веб-серверу (192.168.4.1) в зоне DMZ.

    a. Проверьте настройки ACL-списка 121. Введите show ip access-list 121.

    HQ# show ip access-lists 121
    Extended IP access list 121
    10 permit tcp any host 192.168.4.1 eq 89
    20 deny icmp any host 192.168.4.11
    30 deny ip 192.168.1.0 0.0.0.255 any
    40 deny ip 127.0.0.0 0.255.255.255 any
    50 deny ip 224.0.0.0 31.255.255.255 any
    60 permit ip any any (354 matches)
    70 deny ip any any

    b. Убедитесь, что ACL-список 121 применён на правильном направлении интерфейса S0/0/1 на маршрутизаторе R1. Введите команду show ip interface s0/0/1.

    HQ# show ip interface s0/0/1
    Serial0/0/1 is up, line protocol is up Internet address is 10.1.1.2/30 Broadcast address is 255.255.255.255
    <output omitted>
    Multicast reserved groups joined: 224.0.0.10 Outgoing access list is not set
    Inbound  access list is 121

    c. При обнаружении ошибок внесите соответствующие изменения в конфигурацию ACL 121 и задокументируйте их.
    d. Убедитесь, что через веб-браузер узел PC-C может получить доступ только к смоделированному веб-серверу на маршрутизаторе HQ. Для доступа к веб-серверу (192.168.4.1) используйте имя пользователя admin и пароль adminpass.

    Сводная таблица интерфейсов маршрутизаторов

    Сводная информация об интерфейсах маршрутизаторов
    Модель маршрутизатора Интерфейс Ethernet №1 Интерфейс Ethernet №2 Последовательный интерфейс №1 Последовательный интерфейс №2
    1800 Fast Ethernet 0/0 (F0/0) Fast Ethernet 0/1 (F0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
    1900 Gigabit Ethernet 0/0 (G0/0) Gigabit Ethernet 0/1 (G0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
    2801 Fast Ethernet 0/0 (F0/0) Fast Ethernet 0/1 (F0/1) Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)
    2811 Fast Ethernet 0/0 (F0/0) Fast Ethernet 0/1 (F0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
    2900 Gigabit Ethernet 0/0 (G0/0) Gigabit Ethernet 0/1 (G0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
    Примечание. Чтобы узнать, каким образом настроен маршрутизатор, изучите интерфейсы с целью определения типа маршрутизатора и количества имеющихся на нём интерфейсов. Эффективного способа перечисления всех комбинаций настроек для каждого класса маршрутизаторов не существует.

    В данной таблице содержатся идентификаторы возможных сочетаний Ethernet и последовательных (Serial) интерфейсов в устройстве. В таблицу не включены какие-либо иные типы интерфейсов, даже если на определённом маршрутизаторе они присутствуют. В качестве примера можно привести интерфейс ISDN BRI. Строка в скобках — это принятое сокращение, которое можно использовать в командах Cisco IOS для представления интерфейса.

    Ты знаешь, что такое безумие? Безумие - это точное повторение одного и того же действия, раз за разом, в надежде на изменение.

Просмотр 1 сообщения - с 1 по 1 (всего 1)

Для ответа в этой теме необходимо авторизоваться.

Авторизация
*
*
Регистрация
*
*
*
Пароль не введен
*
Генерация пароля