Методические указания к лабораторным работам по дисциплине «Компьютерные сети» для специальностей 091501 «Компьютерные системы» и 091502 «Системное программирование»


Именованные ACL Отменим на router1 привязку EACL к интерфейсам router1(conf)# interface Serial0



бет138/148
Дата07.02.2022
өлшемі0,59 Mb.
#90680
түріМетодические указания
1   ...   134   135   136   137   138   139   140   141   ...   148
Байланысты:
Методические указания к лабам «Cети Cisco»112

^ 5. Именованные ACL

Отменим на router1 привязку EACL к интерфейсам

router1(conf)# interface Serial0

router1(conf-if)# no ip access-group 101 in

router1(conf-if)# interface Ethernet0

router1(conf-if)#no ip access-group 102 in

и отменим на router1 EACL

router1(conf)#no access-list 101

router1(conf)#no access-list 102

Поставим задачу запретить по всей сети лишь пинги от router4 на router2. Список доступа можно расположить и на router1 и на router2. Хотя рекомендуют располагать ACL ближе к источнику (для сокоащения трафика), в этом примере расположим именованный список с именем deny_ping на router2.

router2(config)#ip access-list extended deny_ping

router2(config-ext-nacl)#deny icmp 24.17.2.18 0.0.0.0 24.17.2.2 0.0.0.0 log

router2(config- ext-nacl)# permit ip any any log

Первая команда указывает, что мы создаём именованный расширенный список доступа с именем deny_ping. Вторая команда указывает на запрещение ICMP трафика с адресом источника строго 24.17.2.18 и адресом приёмника строго 24.17.2.2. Третья команда разрешает остальной IP трафик.

Проверим создание списка

router2#show access-list



Всё правильно, мы видим в первой строке просто другую форму представления команды deny icmp 24.17.2.18 0.0.0.0 24.17.2.2 0.0.0.0 log.

Применим список для входного трафика интерфейса Ethernet0 на router2

Router2(conf)#interface Ethernet0

Router2(conf-if)#ip access-group deny_ping in

Присоединимся к router4 и пропингуем роутер2

router4#ping 24.17.2.2

Неудача. Присоединимся к router1 и пропингуем роутер2

Router1#ping 24.17.2.2

Успех. Присоединимся к router2 и посмотрим на два отдельных лог-сообщения: первое о запрещении пинга от router4 и второе о разрешении пинга от router1





6. Рассмотрим более сложные вопросы расширенных списков доступа. Создадим топологию

.

Рисунок 9.4.


Используйте коммутаторы модели 1912. Маршрутизатор Router1 - модели 805. Маршрутизатор Router2 - модели 1605.

Назначим IP адреса маршрутизаторам




Router1

Router2

Fa0/0

1.1.3.1/24

1.1.1.129/25


Fa1/0



1.1.1.1/25


Serial2/0


1.1.2.1/24


1.1.2.2/24


и компьютерам


Hostname

IP на ethernet0

Шлюз

PC1

1.1.3.2 255.255.255.0


1.1.3.1

PC2

1.1.1.130 255.255.255.128


1.1.1.129


PC3

1.1.1.131 255.255.255.128

1.1.1.129


PC4

1.1.1.2 255.255.255.128

1.1.1.1

PC5

1.1.1.3 255.255.255.128


1.1.1.1

На Router1 и Router2 конфигурируем RIP

Router(config)#router rip

Router(config-router)#network 1.0.0.0

Интерфейсы всех устойств должны пинговаться со всех устройств.



6.1. Список доступа сеть-сеть.

Создадим список, который разрешает трафик от локальной сети компьютеров PC4 и PC5 в локальную сеть компьютера PC1 и запрещает трафик от локальной сети компьютеров PC2 и PC3 в локальную сеть компьютера PC1. Так как трафик приходит от router2 к router1 , то следует поместить список доступа на интерфейс serial2/0 router1 для входного трафика

Router1(conf)#access-list 100 permit ip 1.1.1.0 0.0.0.127 1.1.3.0 0.0.0.255 log

Router1(conf)#access-list 100 permit ip 1.1.2.0 0.0.0.255 any log

Первая команда непосредственно решает поставленную задачу, а вторая разрешает широковещание RIP протоколов. Проверим создание

Router1#show access-list



Применим список доступа к интерфейсу.





Достарыңызбен бөлісу:
1   ...   134   135   136   137   138   139   140   141   ...   148




©engime.org 2024
әкімшілігінің қараңыз

    Басты бет