Лабораторная работа №14. Списки доступа (access list)

45 
Лабораторная работа № 14. СПИСКИ ДОСТУПА (ACCESS LIST) 
Цель работы
: настроить безопасную сеть на основе фильтрации IP-
пакетов 
Рассмотрим пример, который состоит из четырех сегментов (рис. 27): 
VLAN 2 – технологи, VLAN 3 – менеджеры, VLAN 4 – руководство, VLAN 5 
– сегмент сервера. Интернет моделируют маршрутизатор Router1 и сервер 
Server1. 
1.
На коммутаторе настройте соответствующие порты в 
соответствующие VLAN 2-5; 
2.
Настройте маршрутизатор Router0. Создайте 4 sub интерфейса и 
физический интерфейс с белым IP адресом для выхода в интернет. 
3.
Настроим NAT (согласно лабораторной работе № 11) с акцентом 
на access list: 
3.1.
Заходим в настройки Router0. Определим интерфейсы, которые 
будут внутренними и внешними для NAT. (в рассматриваемом примере fa0/0 
– внешний, fa0/1.2, fa0/1.3, fa0/1.4 - внутренний). Server0 изолируем от сети 
интернет; 
3.2.
Создаем стандартный access list с помощью команды ip access-
list standard FOR-NAT. Перечисляем сети permit 192.168.2.0 0.0.0.255, 
аналогично для 192.168.3.0 и 192.168.4.0; 
3.3.
Указываем название access list с помощью команды ip nat inside 
list FOR-NAT interface fa0/0 overload; 
3.4.
Проверьте доступ компьютеров и Server0 к сети интернет; 
4.
Для ограничения доступа к внутренней сети воспользуемся 
расширенными access list на входящий трафик: 
4.1.
Зайдите в настройки Router0; 
4.2.
Создадим расширенный access list с помощью ip access-list 
extended FROM-OUTSIDE; 

46 
4.3.
Запретим трафик во внутреннюю сеть deny ip any 192.168.2.0 
0.0.0.255, аналогично для 192.168.3.0, 192.168.4.0 и 192.168.5.0; 
4.4.
Созданный access list привяжем к внешнему интерфейсу (в 
нашем случае fa0/0) с помощью команды ip access-group FROM-OUTSIDE in; 
5.
Проверьте. Как можно заметить пропал доступ компьютеров к 
сети интернет. Для того чтобы решить данную проблему зайдем в 
конфигурацию access list и добавим permit ip any host 210.210.0.2. Сохраните 
и проверьте; 
6.
Т.к. в конце любого листа доступа присутствует запрещающее 
правило deny ip any , целесообразнее разрешить единственный access list, а 
остальное было бы запрещено, что привело бы к сокращению access list. Для 
этого: 
6.1.
Удалим access list – no ip access-list extended FROM-OUTSIDE; 
6.2.
Укажем permit ip any host 210.210.0.2. Проверьте с помощью 
show run. 
7.
Проверьте доступ к сети интернет. 
Рис. 27. Списки доступа 

47 
8.
Создадим на Router0 доступ по TELNET username admin privilege 
15 password 1111. Создадим пароль на enable enable password 1111. Включим 
доступ line vty 0 4, login local. Проверьте удаленный доступ с Server1 на 
Router0. Доступ есть. Для его запрета необходимо: 
8.1.
Возвращаемся к access list с помощью команды ip access-list 
extended FROM-OUTSIDE, добавим запрещающее правило на TELNET deny 
tcp any host 210.210.0.2 eq telnet; 
8.2.
Запрещающее правило должно быть выше разрешающего. Для 
этого удалим access list no ip access-list extended FROM-OUTSIDE и создадим 
заново ip access-list extended FROM-OUTSIDE, deny tcp any host 210.210.0.2 
eq telnet, permit ip any host 210.210.0.2; 
8.3.
Проверьте access list и удаленный доступ с Server1.
9.
Применение стандартных access list на исходящий трафик на 
примере Server0 с доступом только для менеджеров: 
9.1.
Настройка Router0. Создайте стандартный access list с именем 
TO-MENEGERS. Разрешим только одну сеть 192.168.2.0; 
9.2.
Привяжите access list к соответствующему интерфейсу fa0/1.5 ip 
access-group TO-MENEGERS out. Проверьте.