Курсовая работа на тему: "НАСТРОЙКА СТАНДАРТНЫХ И РАСШИРЕННЫХ ACL-СПИСКОВ"
Введение
1.Стандартные и расширенные ACL -
списки
1.1.Типы ACL
1.1.1.Стандартный
1.1.2.Расширенный
1.2.Применение ACL
2.Настройка ACL – списков
2.1.Стандартный список доступа
2.1.1.Настройка коммутаторов 2 уровня
2.1.2.Настройка коммутатора 3 уровня
2.1.3.Настройка маршрутизаторов
2.1.4.Проверка работоспособности сети
2.2.Расширенный список доступа
2.2.1.Настройка маршрутизатора
2.2.2.Проверка работоспособности сети
Заключение
Список источников
Приложение А
Приложение Б
Приложение В
Приложение Г
Приложение Д
Приложение Е
ВВЕДЕНИЕ
ACL (Access Control List) — это набор текстовых
выражений, которые что-то разрешают, либо что-то запрещают. Обычно ACL
разрешает или запрещает IP-пакеты, но помимо всего прочего он может заглядывать
внутрь IP-пакета, просматривать тип пакета, TCP и UDP порты. Также ACL
существует для различных сетевых протоколов (IP, IPX, AppleTalk и так далее). В
основном применение списков доступа рассматривают с точки зрения пакетной
фильтрации, то есть пакетная фильтрация необходима в тех ситуациях, когда оборудование
стоит на границе Интернет и частной сети нужно отфильтровать ненужный трафик.
Впервые введены в ОС Multics в 1965 году, с тех пор
получили широкое распространение и множественные реализации практически во всех
типах программ с распределяемым доступом.
Цель работы: разработать локальные схемы сети с
помощью программного обеспечения Cisco Pacet Tracet и настроить стандартный и
расширенный ACL
–
списки.
Входящими в курсовую работу задачами являются:
-охарактеризовать стандартный и расширенный списки;
-разработать схему с использованием ACL-списков;
-спроектировать сеть в Cisco Pacet Tracer;
-настроить ACL;
-проверить работоспособность.
1.СТАНДАРТНЫЕ
И РАСШИРЕННЫЕ ACL - СПИСКИ
1.1.Типы ACL
Стандартные списки управления доступом - это более
старый тип, который является очень общим. В результате они могут
непреднамеренно неправильно фильтровать трафик. Рекомендуется применять
стандартный ACL рядом с местом назначения, чтобы предотвратить возможную
избыточную фильтрацию.
Он работает медленнее, так как придется заглядывать
внутрь пакета, в отличии от стандартных.
Расширенный ACL позволяет фильтровать трафик по
большому количеству параметров:
-адрес отправителя;
-адрес получателя;
-TCP/UDP порт отправителя;
-TCP/UDP порт получателя;
-протоколу, завёрнутому в ip (отфильтровать только
tcp, только udp, только icmp, только gre и т.п.);
-типу трафика для данного протокола (например, для
icmp отфильтровать только icmp-reply);
-отделить TCP трафик, идущий в рамках установленной
TCP сессии от TCP сегментов, которые только устанавливают соединение. Подробнее
об этом можно прочитать в статье «Что делает established в ACL»;
-и др.
Возможности расширенных ACL богаче стандартных,
кроме того, они могут расширяться дополнительными технологиями:
-dynamic
ACL — ACL, в котором некоторые строчки до поры до времени не работают, но когда
администратор подключается к маршрутизатору по telnet-у, эти строчки
включаются, то есть администратор может оставить для себя «дыру» в безопасности
для отладки или выхода в сеть;
-reflexive
ACL — зеркальные списки контроля доступа, позволяют запоминать, кто обращался
из нашей сети наружу (с каких адресов, с каких портов, на какие адреса, на
какие порты) и автоматически формировать зеркальный ACL, который будет
пропускать обратный трафик извне вовнутрь только в том случае, если изнутри
было обращение к данному ресурсу. Подробнее об этом можно прочесть в статье
«Reflexive ACL — настройка и пример работы зеркальных списков контроля доступа»;
-timeBased
ACL, как видно из названия, это ACL, у которых некоторые строчки срабатывают
только в какое-то время. Например, с помощью таких ACL легко настроить, чтобы в
офисе доступ в интернет был только в рабочее время. Расширенные ACL нужно
размещать как можно ближе к источнику. Это также нужно для того, чтобы не
гонять пакеты по всей сети зря.
1.2.Применение ACL
ACL применяется для разных целей, но основная цель,
для которой он используется в CCNA — фильтрация трафика на интерфейсе. Для
этого надо сначала создать стандартный или расширенный ACL.
На один интерфейс можно повесить более одного ACL,
но при условии, что у них будет отличаться направление, либо, протокол. Для
CCNA это не имеет значения, так как в нём речь идёт только об IP ACL. Таким
образом, если ограничиваться только IP, то на каждый интерфейс можно навесить
не более двух ACL: один на in, второй — на out.
ACL применяется везде, например:
-на интерфейсе: пакетная фильтрация;
-на линии Telnet: ограничения доступа к
маршрутизатору;
-VPN: какой трафик нужно шифровать;
-QoS: какой трафик обрабатывать приоритетнее;
-NAT: какие адреса транслировать.
2.1.Стандартный
список доступа
Для моделирования сети было использовано следующее
оборудование:
-коммутаторы 2 уровня - 2960-24TT, в количестве 8 шт.;
-маршрутизаторы - Router 1841, в количестве 2 шт.;
-персональные компьютеры, в количестве 20 шт.;
-ноутбуки, в количестве 9 шт.;
-сервер - Server-PT, в количестве 1 шт.;
-коммутатор 3 уровня - 3560-24FS, в количестве 1 шт.
Рисунок
1. Схема сети
2.1.1.Настройка
коммутаторов 2 уровня
Коммутатор
2960-24TT
Switch14:
1.Switch>en 2.Switch#conf
t 3.Switch(config)#vlan
2 4.Switch(config-vlan)#name
vl2 5.Switch(config-vlan)#ex 6.Switch(config)#int
range fa 0/2-5 7.Switch(config-if-range)#switchport
mode access 8.Switch(config-if-range)#switchport
access vlan 2 9.Switch(config-if-range)#ex 10.Switch(config)#int
fa 0/1 11.Switch(config-if)#switchport
mode trunk 12.Switch(config-if)#switchport
trunk allowed vlan 2-8 13.Switch(config-if)#ex |
Коммутатор
2960-24TT Switch13:
1.Switch>en 2.Switch#conf t 3.Switch(config)#vlan 3 4.Switch(config-vlan)#name vl3 5.Switch(config-vlan)#ex 6.Switch(config)#int range fa 0/3-6 7.Switch(config-if-range)#switchport mode access 8.Switch(config-if-range)#switchport access vlan 3 9.Switch(config-if-range)#ex 10.Switch(config)#int fa 0/1 11.Switch(config-if)#switchport mode trunk 12.Switch(config-if)#switchport trunk allowed vlan 2-8 13.Switch(config-if)#ex 14.Switch(config)#int fa 0/2 15.Switch(config-if)#switchport mode trunk 16.Switch(config-if)#switchport trunk allowed vlan 2-8 17.Switch(config-if)#ex |
Коммутатор
2960-24TT
Switch12:
1.Switch>en 2.Switch#conf t 3.Switch(config)#vlan 4 4.Switch(config-vlan)#name vl4 5.Switch(config-vlan)#ex 6.Switch(config)#int range fa 0/3-6 7.Switch(config-if-range)#switchport mode access 8.Switch(config-if-range)#switchport access vlan 4 9.Switch(config-if-range)#ex 10.Switch(config)#int fa 0/1 11.Switch(config-if)#switchport mode trunk 12.Switch(config-if)#switchport trunk allowed vlan
2-8 13.Switch(config-if)#ex 14.Switch(config)#int fa 0/2 15.Switch(config-if)#switchport mode trunk 16.Switch(config-if)#switchport trunk allowed vlan
2-8 17.Switch(config-if)#ex |
Коммутатор 2960-24TT Switch8:
1.Switch>en 2.Switch#conf t 3.Switch(config)#vlan 5 4.Switch(config-vlan)#name vl5 5.Switch(config-vlan)#ex 6.Switch(config)#int range fa 0/2-5 7.Switch(config-if-range)#switchport mode access 8.Switch(config-if-range)#switchport access vlan 5 9.Switch(config-if-range)#ex 10.Switch(config)#int fa 0/1 11.Switch(config-if)#switchport mode trunk 12.Switch(config-if)#switchport trunk allowed vlan 2-8 13.Switch(config-if)#ex |
Коммутатор 2960-24TT Switch10:
1.Switch>en 2.Switch#conf t 3.Switch(config)#vlan 6 4.Switch(config-vlan)#name vl6 5.Switch(config-vlan)#ex 6.Switch(config)#int range fa 0/2-4 7.Switch(config-if-range)#switchport mode access 8.Switch(config-if-range)#switchport access vlan 6 9.Switch(config-if-range)#ex 10.Switch(config)#int fa 0/1 11.Switch(config-if)#switchport mode trunk 12.Switch(config-if)#switchport trunk allowed vlan
2-8 13.Switch(config-if)#ex |
Коммутатор 2960-24TT Switch11:
1.Switch>en 2.Switch#conf t 3.Switch(config)#vlan 7 4.Switch(config-vlan)#name vl7 5.Switch(config-vlan)#ex 6.Switch(config)#int range fa 0/2-5 7.Switch(config-if-range)#switchport mode access 8.Switch(config-if-range)#switchport access vlan 7 9.Switch(config-if-range)#ex 10.Switch(config)#int fa 0/1 11.Switch(config-if)#switchport mode trunk 12.Switch(config-if)#switchport trunk allowed vlan 2-8 13.Switch(config-if)#ex |
Коммутатор 2960-24TT Switch0:
1.Switch>en 2.Switch#conf t 3.Switch(config)#vlan 6 4.Switch(config-vlan)#name vl6 5.Switch(config-vlan)#ex 6.Switch(config)#int range fa 0/3-4 7.Switch(config-if-range)#switchport mode access 8.Switch(config-if-range)#switchport access vlan 6 9.Switch(config-if-range)#ex 10.Switch(config)#int fa 0/1 11.Switch(config-if)#switchport mode trunk 12.Switch(config-if)#switchport trunk allowed vlan
2-8 13.Switch(config-if)#ex 14.Switch(config)#int fa 0/2 15.Switch(config-if)#switchport mode trunk 16.Switch(config-if)#switchport trunk allowed vlan
2-8 17.Switch(config-if)#ex |
Коммутатор 2960-24TT Switch15:
1.Switch>en 2.Switch#conf t 3.Switch(config)#vlan 8 4.Switch(config-vlan)#name vl8 5.Switch(config-vlan)#ex 6.Switch(config)#int range fa 0/2-5 7.Switch(config-if-range)#switchport mode access 8.Switch(config-if-range)#switchport access vlan 8 9.Switch(config-if-range)#ex 10.Switch(config)#int fa 0/1 11.Switch(config-if)#switchport mode trunk 12.Switch(config-if)#switchport trunk allowed vlan 2-8 13.Switch(config-if)#ex |
2.1.2.Настройка коммутатора 3 уровня
Коммутатор
3560-24FS Multilayer Switch1:
1.Switch>en 2.Switch#conf t 3.Switch(config)#vlan 9 4.Switch(config-vlan)#name vl9 5.Switch(config-vlan)#ex 6.Switch(config)#int vlan 9 7.Switch(config-if)#ip address 192.168.9.2
255.255.255.0 8.Switch(config-if)#ex 9.Switch(config)#int range fa 0/1-6 10.Switch(config-if-range)#switchport trunk
encapsulation dot1q 11.Switch(config-if-range)#switchport mode trunk 12.Switch(config-if-range)#switchport trunk
allowed vlan 2-9 13.Switch(config-if-range)#ex 14.Switch(config)#ip route 0.0.0.0 0.0.0.0
192.168.9.1 15.Switch(config)#ip
routing |
2.1.3.Настройка маршрутизаторов
Маршрутизатор 1841 Router2:
1.Router>en 2.Router#conf t 3.Router(config)#int fa 0/1 4.Router(config-if)#no shutdown 5.Router(config-if)#ip address 213.234.10.1 255.255.255.252 6.Router(config-if)#no shutdown 7.Router(config-if)#ex 8.Router(config)#int fa 0/0 9.Router(config-if)#no shutdown 10.Router(config-if)#ip address 213.234.20.1 255.255.255.252 11.Router(config-if)#no shutdown 12.Router(config-if)#ex |
Маршрутизатор 1841 Router3:
1.Router>en 2.Router#conf t 3.Router(config)#int fa 0/0 5.Router(config-if)#no shutdown 5.Router(config-if)#ip address 213.234.10.2
255.255.255.252 6.Router(config-if)#no shutdown 7.Router(config-if)#ex 8.Router(config)#ip route 0.0.0.0 0.0.0.0
213.234.10.1 9.Router(config)#int fa 0/0 10.Router(config-if)#ip nat outside 11.Router(config-if)#ex 12.Router(config)#int fa 0/1.2 13.Router(config-subif)#ip address 192.168.2.1
255.255.255.0 13.Router(config-subif)#ip nat inside 14.Router(config-subif)#ex 15.Router(config)#int fa 0/1.3 16.Router(config-subif)#ip address 192.168.3.1
255.255.255.0 17.Router(config-subif)#ip nat inside 18.Router(config-subif)#ex 19.Router(config)#int fa 0/1.4 20.Router(config-subif)#ip address 192.168.4.1
255.255.255.0 21.Router(config-subif)#ip nat inside 22.Router(config-subif)#ex 23.Router(config)#int fa 0/1.5 24.Router(config-subif)#ip address 192.168.5.1
255.255.255.0 25.Router(config-subif)#ip nat inside 26.Router(config-subif)#ex 27.Router(config)#int fa 0/1.6 28.Router(config-subif)#ip address 192.168.6.1
255.255.255.0 29.Router(config-subif)#ip nat inside 30.Router(config-subif)#ex 31.Router(config)#int fa 0/1.7 32.Router(config-subif)#ip address 192.168.7.1
255.255.255.0 33.Router(config-subif)#ip nat inside 34.Router(config-subif)#ex 35.Router(config)#int fa 0/1.8 36.Router(config-subif)#ip address 192.168.8.1
255.255.255.0 37.Router(config-subif)#ip nat inside 38.Router(config-subif)#ex 39.Router(config)#ip access-list standard FOR-NAT 40.Router(config-std-nacl)#permit 192.168.4.0
0.0.0.255 41.Router(config-std-nacl)#permit 192.168.5.0
0.0.0.255 42.Router(config-std-nacl)#permit 192.168.6.0
0.0.0.255 43.Router(config-std-nacl)#permit 192.168.7.0
0.0.0.255 44.Router(config-std-nacl)#permit 192.168.8.0
0.0.0.255 45.Router(config-std-nacl)#ex 46.Router(config)#ip nat inside source list
FOR-NAT int fa 0/0 overload 47.Router(config)#ex |
2.1.4.Проверка
работоспособности сети
-зайти на ПК, который находится в vlan 7;
-выбрать терминал;
-прописать: «ping 213.234.20.2», тем самым проверить,
есть ли доступ в интернет с данного ПК:
Рисунок 2. Проверка ПК12 на доступ в интернет
-ping успешен, значит ПК имеет доступ в интернет;
-также проверить ПК и ноутбук из vlan 2 и vlan 3:
Рисунок
3. Проверка ноутбук11 на доступ в интернет
Рисунок
4. Проверка ПК39 на доступ в интернет
-ping не проходит, потому что, на маршрутизаторе с
помощью стандартного ACL
- списка был разрешён доступ в интернет всем ПК и ноутбукам, кроме vlan 2 и vlan 3
2.2.Расширенный
список доступа
Для моделирования сети было использовано следующее
оборудование:
-коммутатор 2 уровня - 2960-24TT, в количестве 1
шт.;
-маршрутизатор - Router 2811, в количестве 1 шт.;
-персональные компьютеры, в количестве 2 шт.;
-сервер - Server-PT, в количестве 1 шт.
Рисунок
5. Схема сети
2.2.1.Настройка
маршрутизатора
Маршрутизатор 2811 Router0:
1.Router>en 2.Router#conf t 3.Router(config)#int fa 0/0 4.Router(config-if)#no shutdown 5.Router(config-if)#ip address 10.0.1.100
255.0.0.0 6.Router(config-if)#ex 7.Router(config)#int fa 0/1 8.Router(config-if)#no shutdown 9.Router(config-if)#ip address 192.168.1.100
255.255.255.0 10.Router(config-if)#ex 11.Router(config)#ip
access-list extended 111 12.Router(config-ext-nacl)#permit
tcp 192.168.1.1 0.0.0.0 10.0.1.1 0.0.0.0 eq 21 13.Router(config-ext-nacl)#permit
tcp 192.168.1.1 0.0.0.0 10.0.1.1 0.0.0.0 eq 20 14.Router(config-ext-nacl)#deny tcp 192.168.1.2
0.0.0.0 10.0.1.1 0.0.0.0 eq 21 15.Router(config-ext-nacl)#deny tcp 192.168.1.2
0.0.0.0 10.0.1.1 0.0.0.0 eq 20 16.Router(config-ext-nacl)#int
fa 0/1 17.Router(config-if)#ip access-group 111 in 18.Router(config-if)#ex 19.Router(config)#ex 20.Router#wr
mem |
2.2.2.Проверка
работоспособности сети
-зайти на ПК1;
-выбрать терминал;
-прописать: «ftp 10.0.1.1», тем самым проверить,
есть ли доступ на «ftp
сервер»:
Рисунок
6. Проверка доступа к ftp
серверу
на ПК1
-вылезает ошибка, благодаря настроенному
расширенному ACL
– списку;
-прописать такую же команду на ПК0:
Рисунок
6. Проверка доступа к ftp
серверу
на ПК0
-доступ к данному ftp серверу
разрешён.
Для
защиты информации на интерфейсах маршрутизаторов конфигурируются списки доступа
(ACL), которые обеспечивают базовый уровень безопасности. Списки доступа могут
использоваться, чтобы разрешать (permit) или запрещать (deny) продвижение
пакетов через маршрутизатор. Запрет или разрешение сетевого трафика через
интерфейс маршрутизатора реализуется на основании анализа совпадения
определенных условий (правил). В списке доступа ACL могут анализироваться
адреса источника, адреса назначения, протоколы и номера портов. Списки доступа
могут быть определены для каждого установленного на интерфейсе протокола и для
каждого направления сетевого трафика (исходящего и входящего). Стандартные
списки доступа для принятия решения анализируют в пакете только IP-адрес
источника сообщения. Расширенные списки доступа проверяют IP-адрес источника,
IP-адрес назначения, поле протокола в заголовке пакета и номер порта в
заголовке сегмента. Стандартные списки доступа должны располагаться поближе к
адресату назначения. Расширенные списки доступа должны быть установлены по
возможности близко к источнику сообщений.
1. Списки доступа (Access Lists) в Cisco. (Opennet.ru)
2. ACL: списки контроля доступа в Cisco. (Habr.com)
3. IP
списки доступа Cisco
IOS.
(k.psu.ru)
4. Списки контроля доступа. (intuit.ru)
5. Что такое ACL и как его настраивать. (ciscotips.ru)
6. Access
Control List. (linkmeup.gitbook.io)
7. Access
Control List. (itglobal.com)
8. Списки контроля доступа (ACL) в Cisco. (unlix.ru)
9. Access Control List - списки контроля доступа. (help.ubuntu.ru)
10. ACL. (ru.wikipedia.org)
ЭЛЕКТРИЧЕСКАЯ СТРУКТУРА СХЕМЫ СЕТИ
СХЕМА ЛОКАЛЬНОЙ
СЕТИ В ПОМЕЩЕНИЕ
СХЕМА ОРГАНИЗАЦИИ СВЯЗЕЙ
ЭЛЕКТРИЧЕСКАЯ СТРУКТУРА СХЕМЫ СЕТИ
СХЕМА ЛОКАЛЬНОЙ СЕТИ В ПОМЕЩЕНИЕ