Методические указания к лабораторным работам по дисциплине «Компьютерные сети» для специальностей 091501 «Компьютерные системы» и 091502 «Системное программирование»
жүктеу/скачать 0,59 Mb.
|
Методические указания к лабам «Cети Cisco»112
| Практическая часть.
1. Загрузим в симулятор топологию, изображённую на рисунке 2. Рисунок 9.2. Назначим адреса интерфейсам (маска 255.255.255.240) согласно таблице. Не забудьте на DCE устройстве последовательного соединения задать синхронизацию.
Осуществим конфигурацию RIP маршрутизации Для Router1 Router1(config)#router rip Router1(config- router)#version 2 Router1(config- router)#network 24.0.0.0 На Router2 Router2(config)#router rip Router1(config- router)#version 2 Router2(config- router)#network 24.0.0.0 и на Router4 Router4(config)#router rip Router1(config- router)#version 2 Router4(config- router)#network 24.0.0.0 Проверьте свою сеть с помощью команды ping и, в частности, что вы можете пинговать интерфейс Ethernet0 (24.17.2.2) маршрутизатора 2 из маршрутизатора 4 Router4#ping 24.17.2.2 Создадим стандартный список доступа, который не позволит пинговать маршрутизатор 2 из маршрутизатора 4. Для этого блокируем единственный адресс 24.17.2.18 маршрутизатора 4 и разрешим остальной трафик. Список создадим на маршрутизаторе 2 командами Router2(config)#access-list 1 deny 24.17.2.18 0.0.0.0 Router2(config)#access-list 1 permit 0.0.0.0 255.255.255.255 Применим список к интерфейсу Ethernet маршрутизаторе 2 Router2(config)#interface FastEthernet0/0 Router2(config-if)#ip access-group 1 in Проверим, что список доступа запущен. Для этого просмотрим работающую конфигурацию Router2#show running-config Мы также можем видеть, что список применён к интерфейсу, используя команду “show ip interface”. Найдите в выводимой информации с строку “Innbound access list is 1”. Router2#show ip interface Команда “show access-lists” покажет нам содержимое созданного списка доступа. Router2#show access-lists Отметим, что host 24.17.2.18 равносильно 24.17.2.18 0.0.0.0. Теперь при попытке пинговать интерфейс Ethernet0 (24.17.2.2) роутера 2 из роутера 4 Router4#ping 24.17.2.2
Получим строку “UUUUU”, которая означает, что список доступа работает корректно. Создадим и загрузим в симулятор топологию на рисунке 2, Рисунок 9.3. Назначим адреса интерфейсам (маска 255.255.255.0) согласно таблице
Осуществим конфигурацию OSPF маршрутизации Для Router1 Router1(config)#router ospf 1 Router1(config- router)#network 160.10.1.0 0.0.0.255 area 0 Router1(config- router)#network 175.10.1.0 0.0.0.255 area 0 Для Router2 Router2(config)#router ospf 1 Router2(config- router)#network 160.10.1.0 0.0.0.255 area 0 end
Для Router3 Router3(config) #router ospf 1 Router3(config- router)#network 175.10.1.0 0.0.0.255 area 0 Router3(config- router)#network 180.10.1.0 0.0.0.255 area 0 Для Router4 Router4(config )#router ospf 1 Router4(config- router)#network 180.10.1.0 0.0.0.255 area 0 Для проверки пропингуйте крайние точки router2#ping 180.10.1.2 router4#ping 160.10.1.2 Создадим стандартный список доступа для фильтрации трафика, приходящего на интерфейс ethernet0 1-го маршрутизатора router1 и разрешает трафик от подсети 175.10.1.0 (router3) и блокирует трафик от других устройств. router1(config)#access-list 1 permit 175.10.1.0 0.0.0.255 Проверьте, что он создался router1#show access-list Присоедините список как входной к интерфейсу Ethernet 1 router1(config)#interface FastEthernet1/0 router1(config-if)#ip access-group 1 in Проверьте присоединение командой router1# show running-config Проверьте связь между 3 и 2 маршрутизаторами и между 4 и 2 . router3# ping 160.10.1.2 router4# ping 160.10.1.2 Связь между 3 и 2-м роутерами должна быть, а между 4 и 2 - нет. Изменим список доступа и разрешим трафик от подсети 180.10.1.0 (router4) и блокируем трафик от других устройств. router1(config)# no access-list 2 router1(config)# access-list 2 permit 180.10.1.0 0.0.0.255 Проверьте, что он изменился router1#show access-list
Присоедините список как входной к интерфейсу Ethernet 1 router1(config)#interface FastEthernet1/0 router1(config-if)#ip access-group 1 in Проверьте присоединение командой router1# show running-config Проверьте связь между 3 и 2 маршрутизаторами и между 4 и 2. router3# ping 160.10.1.2 router4# ping 160.10.1.2 Связь между 4 и 2-м роутерами должна быть, а между 3 и 2 - нет. 3. Осуществите и проверьте конфигурацию IP для сети на рисунке 1 и примените OSPF для организации динамической маршрутизации. Для маршрутизатора router 1 router1(config)#router ospf 1 router1(config-router)#network 2.2.2.0 0.0.0.255 area 0 router1(config-router)#network 1.1.1.0 0.0.0.255 area 0 router1(config-router)#network 10.1.1.0 0.0.0.127 area 0 Для маршрутизатора router 2 Router2(config)#router ospf 1 Router2(config-router)#network 10.1.1.128 0.0.0.127 area 0 Router2(config-router)#network 15.1.1.0 0.0.0.255 area 0 Router2(config-router)#network 2.2.2.0 0.0.0.255 area 0 Проверте работоспособность сети: вы должны из любого устройства пинговать любой интерфейс. Или проще: все компьютеры A, B, C, D, PC5 должны взаимно попарно пинговаться. Создадим список доступа из теоретической части 3.1 На маршрутизаторе router 1 создадим список доступа router1(config)#access-list 2 deny 10.1.1.128 0.0.0.127 router1(config)#access-list 2 permit host 15.1.1.5 router1(config)#access-list 2 deny 15.1.1.0 0.0.0.255 router1(config)#access-list 2 permit 0.0.0.0 255.255.255.255 и применим его к интерфейсу Ethernet0 как выходной router1(config)#interface FastEthernet0/0 router1(config-if)#ip access-group 2 out Создать скриншот результата выполнения команды router1#show access-list Попарно пропингуем A, B, C, PC5, D. В результате должна получиться следующая матрица доступа
Таблица 1 Видим, что политика безопасности из теоретической части полностью реализована. 3.2 Удалим ACL c интерфейса е0 и применим как входной к интерфейсу s0 router1(config)#interface fa0/0 router1(config-if)#no ip access-group 2 out router1(config-if)#int s2/0 router1(config-if)#ip access-group 2 in Попарно пропингуем A, B, C, PC5, D. В результате должна получиться следующая матрица доступа
Таблица 2 Видим, что теперь трафик между сетями 10.1.1.0/25 и 10.1.1.128/25 запрещен. Невозможен также трафик между сетью 10.1.1.0/25 и сетью 15.1.1.0/24 за исключением компьютера С с адресом 15.1.1.5.
Отменим конфигурацию доступа, сделанную в пункте 1 Router2(config)#no access-list 1 deny 24.17.2.18 0.0.0.0 Router2(config)#no access-list 1 permit 0.0.0.0 255.255.255.255 Применим список к интерфейсу Ethernet маршрутизаторе 2 Router2(config)#interface fa0/0 Router2(config-if)# no ip access-group 1 in Разрешим заходить на router1 телнетом на его два интерфейса с паролем router1 Router1(config)#line vty 0 4 Router1(config-line)#login Router1(config-line)#password router1 Наши EACL будут делать пару различных вещей. Первое мы разрешим только телнет из подсети последовательного соединения 24.17.2.16/240 для входа на router1 router1(conf)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any eq telnet log Опция log заставит маршрутизатор показывать выход при срабатывании списка доступа. Разрешим на маршрутизаторе router1 весь трафик из Ethernet 0 подсети 24.17.2.0/240 router1(conf)#access-list 102 permit ip 24.17.2.0 0.0.0.15 any Проверим установку списков router1#show access-list Теперь применим списки к интерфейсам для входящих пакетов router1(conf)# interface Serial2/0 router1(conf-if)# ip access-group 101 in router1(conf-if)# interface fa0/0 router1(conf-if)# ip access-group 102 in Для проверки, что EACL присутствуют на интерфейсах, используйте команду router1#show running-config или router1#show ip interface Проверим функционирования EACL. Присоединимся к router4 и попытаемся безуспешно пропинговать интерфейс Serial2/0 на router1 router4#ping 24.17.2.17 EACL номер 101 блокировал ping. Но должен разрешить telnet router4#telnet 24.17.2.17 Успешно. Введём пароль router1. Промпт router4# изменился на router1>. Нажав одновременно ctrl-shift-6 и затем 6, вернёмся на router4. О срабатывании EACL 101 на router1 нам укажет лог
Посмотрим номер сессии и убьём телнет соединение router4#show sess router4# disconnect 1 Присоединимся к router2 и посмотрим, можем ли мы пропинговать интерфейс Serial0 на router4. Router2# ping 24.17.2.18 Почему неудачно? Пакет стартует в Router2, идёт через Router1 (о срабатывании EACL 102 на router1 нам укажет лог
) и приходит на Router4. На Router4 он переформируется и отсылается обратно к Router1. Когда Router4 переформирует пакет, адрес источника становится адресом приёмника и адрес приёмника становится адресом источника. Когда пакет приходит на интерфейс Serial0 на router1 он отвергается, так как его адрес источника равен IP адресу интерфейса Serial0 на router4 24.17.2.17, а здесь разрешён лишь tcp. Присоединимся к router2 и посмотрим, можем ли мы пропинговать интерфейс Ethernet0 на router1. router2#ping 24.17.2.1 Успешно. Аналогично и для телнета router2#telnet 24.17.2.1 EACL работают успешно. О срабатывании EACL 102 на router1 нам укажет лог.
Заметим, что лог так же постоянно показывает RIP обновления жүктеу/скачать 0,59 Mb. Достарыңызбен бөлісу:
|