Методические указания к лабораторным работам по дисциплине «Компьютерные сети» для специальностей 091501 «Компьютерные системы» и 091502 «Системное программирование»
Именованные ACL Отменим на router1 привязку EACL к интерфейсам router1(conf)# interface Serial0
жүктеу/скачать 0,59 Mb.
|
Методические указания к лабам «Cети Cisco»112
| ^ 5. Именованные ACL
Отменим на router1 привязку EACL к интерфейсам router1(conf)# interface Serial0 router1(conf-if)# no ip access-group 101 in router1(conf-if)# interface Ethernet0 router1(conf-if)#no ip access-group 102 in и отменим на router1 EACL router1(conf)#no access-list 101 router1(conf)#no access-list 102 Поставим задачу запретить по всей сети лишь пинги от router4 на router2. Список доступа можно расположить и на router1 и на router2. Хотя рекомендуют располагать ACL ближе к источнику (для сокоащения трафика), в этом примере расположим именованный список с именем deny_ping на router2. router2(config)#ip access-list extended deny_ping router2(config-ext-nacl)#deny icmp 24.17.2.18 0.0.0.0 24.17.2.2 0.0.0.0 log router2(config- ext-nacl)# permit ip any any log Первая команда указывает, что мы создаём именованный расширенный список доступа с именем deny_ping. Вторая команда указывает на запрещение ICMP трафика с адресом источника строго 24.17.2.18 и адресом приёмника строго 24.17.2.2. Третья команда разрешает остальной IP трафик. Проверим создание списка router2#show access-list Всё правильно, мы видим в первой строке просто другую форму представления команды deny icmp 24.17.2.18 0.0.0.0 24.17.2.2 0.0.0.0 log. Применим список для входного трафика интерфейса Ethernet0 на router2 Router2(conf)#interface Ethernet0 Router2(conf-if)#ip access-group deny_ping in Присоединимся к router4 и пропингуем роутер2 router4#ping 24.17.2.2 Неудача. Присоединимся к router1 и пропингуем роутер2 Router1#ping 24.17.2.2 Успех. Присоединимся к router2 и посмотрим на два отдельных лог-сообщения: первое о запрещении пинга от router4 и второе о разрешении пинга от router1 6. Рассмотрим более сложные вопросы расширенных списков доступа. Создадим топологию . Рисунок 9.4. Используйте коммутаторы модели 1912. Маршрутизатор Router1 - модели 805. Маршрутизатор Router2 - модели 1605. Назначим IP адреса маршрутизаторам
и компьютерам
На Router1 и Router2 конфигурируем RIP Router(config)#router rip Router(config-router)#network 1.0.0.0 Интерфейсы всех устойств должны пинговаться со всех устройств. 6.1. Список доступа сеть-сеть. Создадим список, который разрешает трафик от локальной сети компьютеров PC4 и PC5 в локальную сеть компьютера PC1 и запрещает трафик от локальной сети компьютеров PC2 и PC3 в локальную сеть компьютера PC1. Так как трафик приходит от router2 к router1 , то следует поместить список доступа на интерфейс serial2/0 router1 для входного трафика Router1(conf)#access-list 100 permit ip 1.1.1.0 0.0.0.127 1.1.3.0 0.0.0.255 log Router1(conf)#access-list 100 permit ip 1.1.2.0 0.0.0.255 any log Первая команда непосредственно решает поставленную задачу, а вторая разрешает широковещание RIP протоколов. Проверим создание Router1#show access-list Применим список доступа к интерфейсу. жүктеу/скачать 0,59 Mb. Достарыңызбен бөлісу:
|