Курсовая работа на тему: "НАСТРОЙКА СТАНДАРТНЫХ И РАСШИРЕННЫХ ACL-СПИСКОВ"

СОДЕРЖАНИЕ

Введение. 3

1.Стандартные и расширенные ACL - списки. 4

1.1.Типы ACL. 4

1.1.1.Стандартный. 4

1.1.2.Расширенный. 4

1.2.Применение ACL. 5

2.Настройка ACL – списков. 6

2.1.Стандартный список доступа. 6

2.1.1.Настройка коммутаторов 2 уровня. 6

2.1.2.Настройка коммутатора 3 уровня. 10

2.1.3.Настройка маршрутизаторов. 11

2.1.4.Проверка работоспособности сети. 13

2.2.Расширенный список доступа. 15

2.2.1.Настройка маршрутизатора. 16

2.2.2.Проверка работоспособности сети. 17

Заключение. 19

Список источников. 20

Приложение А.. 21

Приложение Б. 22

Приложение В.. 23

Приложение Г. 24

Приложение Д.. 25

Приложение Е. 26

ВВЕДЕНИЕ

ACL (Access Control List) — это набор текстовых выражений, которые что-то разрешают, либо что-то запрещают. Обычно ACL разрешает или запрещает IP-пакеты, но помимо всего прочего он может заглядывать внутрь IP-пакета, просматривать тип пакета, TCP и UDP порты. Также ACL существует для различных сетевых протоколов (IP, IPX, AppleTalk и так далее). В основном применение списков доступа рассматривают с точки зрения пакетной фильтрации, то есть пакетная фильтрация необходима в тех ситуациях, когда оборудование стоит на границе Интернет и частной сети нужно отфильтровать ненужный трафик.

Впервые введены в ОС Multics в 1965 году, с тех пор получили широкое распространение и множественные реализации практически во всех типах программ с распределяемым доступом.

Цель работы: разработать локальные схемы сети с помощью программного обеспечения Cisco Pacet Tracet и настроить стандартный и расширенный ACL – списки.

Входящими в курсовую работу задачами являются:

-охарактеризовать стандартный и расширенный списки;

-разработать схему с использованием ACL-списков;

-спроектировать сеть в Cisco Pacet Tracer;

-настроить ACL;

-проверить работоспособность.

1.СТАНДАРТНЫЕ И РАСШИРЕННЫЕ ACL - СПИСКИ

1.1.Типы ACL

1.1.1.Стандартный

Стандартные списки управления доступом - это более старый тип, который является очень общим. В результате они могут непреднамеренно неправильно фильтровать трафик. Рекомендуется применять стандартный ACL рядом с местом назначения, чтобы предотвратить возможную избыточную фильтрацию.

1.1.2.Расширенный

Он работает медленнее, так как придется заглядывать внутрь пакета, в отличии от стандартных.

Расширенный ACL позволяет фильтровать трафик по большому количеству параметров:

-адрес отправителя;

-адрес получателя;

-TCP/UDP порт отправителя;

-TCP/UDP порт получателя;

-протоколу, завёрнутому в ip (отфильтровать только tcp, только udp, только icmp, только gre и т.п.);

-типу трафика для данного протокола (например, для icmp отфильтровать только icmp-reply);

-отделить TCP трафик, идущий в рамках установленной TCP сессии от TCP сегментов, которые только устанавливают соединение. Подробнее об этом можно прочитать в статье «Что делает established в ACL»;

-и др.

Возможности расширенных ACL богаче стандартных, кроме того, они могут расширяться дополнительными технологиями:

-dynamic ACL — ACL, в котором некоторые строчки до поры до времени не работают, но когда администратор подключается к маршрутизатору по telnet-у, эти строчки включаются, то есть администратор может оставить для себя «дыру» в безопасности для отладки или выхода в сеть;

-reflexive ACL — зеркальные списки контроля доступа, позволяют запоминать, кто обращался из нашей сети наружу (с каких адресов, с каких портов, на какие адреса, на какие порты) и автоматически формировать зеркальный ACL, который будет пропускать обратный трафик извне вовнутрь только в том случае, если изнутри было обращение к данному ресурсу. Подробнее об этом можно прочесть в статье «Reflexive ACL — настройка и пример работы зеркальных списков контроля доступа»;

-timeBased ACL, как видно из названия, это ACL, у которых некоторые строчки срабатывают только в какое-то время. Например, с помощью таких ACL легко настроить, чтобы в офисе доступ в интернет был только в рабочее время. Расширенные ACL нужно размещать как можно ближе к источнику. Это также нужно для того, чтобы не гонять пакеты по всей сети зря.

1.2.Применение ACL

ACL применяется для разных целей, но основная цель, для которой он используется в CCNA — фильтрация трафика на интерфейсе. Для этого надо сначала создать стандартный или расширенный ACL.

На один интерфейс можно повесить более одного ACL, но при условии, что у них будет отличаться направление, либо, протокол. Для CCNA это не имеет значения, так как в нём речь идёт только об IP ACL. Таким образом, если ограничиваться только IP, то на каждый интерфейс можно навесить не более двух ACL: один на in, второй — на out.

ACL применяется везде, например:

-на интерфейсе: пакетная фильтрация;

-на линии Telnet: ограничения доступа к маршрутизатору;

-VPN: какой трафик нужно шифровать;

-QoS: какой трафик обрабатывать приоритетнее;

-NAT: какие адреса транслировать.

2.НАСТРОЙКА ACL – СПИСКОВ

2.1.Стандартный список доступа

Для моделирования сети было использовано следующее оборудование:

-коммутаторы 2 уровня - 2960-24TT, в количестве 8 шт.;

-маршрутизаторы - Router 1841, в количестве 2 шт.;

-персональные компьютеры, в количестве 20 шт.;

-ноутбуки, в количестве 9 шт.;

-сервер - Server-PT, в количестве 1 шт.;

-коммутатор 3 уровня - 3560-24FS, в количестве 1 шт.

Рисунок 1. Схема сети

2.1.1.Настройка коммутаторов 2 уровня

Коммутатор 2960-24TT Switch14:

1.Switch>en

2.Switch#conf t

3.Switch(config)#vlan 2

4.Switch(config-vlan)#name vl2

5.Switch(config-vlan)#ex

6.Switch(config)#int range fa 0/2-5

7.Switch(config-if-range)#switchport mode access

8.Switch(config-if-range)#switchport access vlan 2

9.Switch(config-if-range)#ex

10.Switch(config)#int fa 0/1

11.Switch(config-if)#switchport mode trunk

12.Switch(config-if)#switchport trunk allowed vlan 2-8

13.Switch(config-if)#ex

Коммутатор 2960-24TT Switch13:

1.Switch>en

2.Switch#conf t

3.Switch(config)#vlan 3

4.Switch(config-vlan)#name vl3

5.Switch(config-vlan)#ex

6.Switch(config)#int range fa 0/3-6

7.Switch(config-if-range)#switchport mode access

8.Switch(config-if-range)#switchport access vlan 3

9.Switch(config-if-range)#ex

10.Switch(config)#int fa 0/1

11.Switch(config-if)#switchport mode trunk

12.Switch(config-if)#switchport trunk allowed vlan 2-8

13.Switch(config-if)#ex

14.Switch(config)#int fa 0/2

15.Switch(config-if)#switchport mode trunk

16.Switch(config-if)#switchport trunk allowed vlan 2-8

17.Switch(config-if)#ex

Коммутатор 2960-24TT Switch12:

1.Switch>en

2.Switch#conf t

3.Switch(config)#vlan 4

4.Switch(config-vlan)#name vl4

5.Switch(config-vlan)#ex

6.Switch(config)#int range fa 0/3-6

7.Switch(config-if-range)#switchport mode access

8.Switch(config-if-range)#switchport access vlan 4

9.Switch(config-if-range)#ex

10.Switch(config)#int fa 0/1

11.Switch(config-if)#switchport mode trunk

12.Switch(config-if)#switchport trunk allowed vlan 2-8

13.Switch(config-if)#ex

14.Switch(config)#int fa 0/2

15.Switch(config-if)#switchport mode trunk

16.Switch(config-if)#switchport trunk allowed vlan 2-8

17.Switch(config-if)#ex

Коммутатор 2960-24TT Switch8:

1.Switch>en

2.Switch#conf t

3.Switch(config)#vlan 5

4.Switch(config-vlan)#name vl5

5.Switch(config-vlan)#ex

6.Switch(config)#int range fa 0/2-5

7.Switch(config-if-range)#switchport mode access

8.Switch(config-if-range)#switchport access vlan 5

9.Switch(config-if-range)#ex

10.Switch(config)#int fa 0/1

11.Switch(config-if)#switchport mode trunk

12.Switch(config-if)#switchport trunk allowed vlan 2-8

13.Switch(config-if)#ex

Коммутатор 2960-24TT Switch10:

1.Switch>en

2.Switch#conf t

3.Switch(config)#vlan 6

4.Switch(config-vlan)#name vl6

5.Switch(config-vlan)#ex

6.Switch(config)#int range fa 0/2-4

7.Switch(config-if-range)#switchport mode access

8.Switch(config-if-range)#switchport access vlan 6

9.Switch(config-if-range)#ex

10.Switch(config)#int fa 0/1

11.Switch(config-if)#switchport mode trunk

12.Switch(config-if)#switchport trunk allowed vlan 2-8

13.Switch(config-if)#ex

Коммутатор 2960-24TT Switch11:

1.Switch>en

2.Switch#conf t

3.Switch(config)#vlan 7

4.Switch(config-vlan)#name vl7

5.Switch(config-vlan)#ex

6.Switch(config)#int range fa 0/2-5

7.Switch(config-if-range)#switchport mode access

8.Switch(config-if-range)#switchport access vlan 7

9.Switch(config-if-range)#ex

10.Switch(config)#int fa 0/1

11.Switch(config-if)#switchport mode trunk

12.Switch(config-if)#switchport trunk allowed vlan 2-8

13.Switch(config-if)#ex

Коммутатор 2960-24TT Switch0:

1.Switch>en

2.Switch#conf t

3.Switch(config)#vlan 6

4.Switch(config-vlan)#name vl6

5.Switch(config-vlan)#ex

6.Switch(config)#int range fa 0/3-4

7.Switch(config-if-range)#switchport mode access

8.Switch(config-if-range)#switchport access vlan 6

9.Switch(config-if-range)#ex

10.Switch(config)#int fa 0/1

11.Switch(config-if)#switchport mode trunk

12.Switch(config-if)#switchport trunk allowed vlan 2-8

13.Switch(config-if)#ex

14.Switch(config)#int fa 0/2

15.Switch(config-if)#switchport mode trunk

16.Switch(config-if)#switchport trunk allowed vlan 2-8

17.Switch(config-if)#ex

Коммутатор 2960-24TT Switch15:

1.Switch>en

2.Switch#conf t

3.Switch(config)#vlan 8

4.Switch(config-vlan)#name vl8

5.Switch(config-vlan)#ex

6.Switch(config)#int range fa 0/2-5

7.Switch(config-if-range)#switchport mode access

8.Switch(config-if-range)#switchport access vlan 8

9.Switch(config-if-range)#ex

10.Switch(config)#int fa 0/1

11.Switch(config-if)#switchport mode trunk

12.Switch(config-if)#switchport trunk allowed vlan 2-8

13.Switch(config-if)#ex

2.1.2.Настройка коммутатора 3 уровня

Коммутатор 3560-24FS Multilayer Switch1:

1.Switch>en

2.Switch#conf t

3.Switch(config)#vlan 9

4.Switch(config-vlan)#name vl9

5.Switch(config-vlan)#ex

6.Switch(config)#int vlan 9

7.Switch(config-if)#ip address 192.168.9.2 255.255.255.0

8.Switch(config-if)#ex

9.Switch(config)#int range fa 0/1-6

10.Switch(config-if-range)#switchport trunk encapsulation dot1q

11.Switch(config-if-range)#switchport mode trunk

12.Switch(config-if-range)#switchport trunk allowed vlan 2-9

13.Switch(config-if-range)#ex

14.Switch(config)#ip route 0.0.0.0 0.0.0.0 192.168.9.1

15.Switch(config)#ip routing

2.1.3.Настройка маршрутизаторов

Маршрутизатор 1841 Router2:

1.Router>en

2.Router#conf t

3.Router(config)#int fa 0/1

4.Router(config-if)#no shutdown

5.Router(config-if)#ip address 213.234.10.1 255.255.255.252

6.Router(config-if)#no shutdown

7.Router(config-if)#ex

8.Router(config)#int fa 0/0

9.Router(config-if)#no shutdown

10.Router(config-if)#ip address 213.234.20.1 255.255.255.252

11.Router(config-if)#no shutdown

12.Router(config-if)#ex

Маршрутизатор 1841 Router3:

1.Router>en

2.Router#conf t

3.Router(config)#int fa 0/0

5.Router(config-if)#no shutdown

5.Router(config-if)#ip address 213.234.10.2 255.255.255.252

6.Router(config-if)#no shutdown

7.Router(config-if)#ex

8.Router(config)#ip route 0.0.0.0 0.0.0.0 213.234.10.1

9.Router(config)#int fa 0/0

10.Router(config-if)#ip nat outside

11.Router(config-if)#ex

12.Router(config)#int fa 0/1.2

13.Router(config-subif)#ip address 192.168.2.1 255.255.255.0

13.Router(config-subif)#ip nat inside

14.Router(config-subif)#ex

15.Router(config)#int fa 0/1.3

16.Router(config-subif)#ip address 192.168.3.1 255.255.255.0

17.Router(config-subif)#ip nat inside

18.Router(config-subif)#ex

19.Router(config)#int fa 0/1.4

20.Router(config-subif)#ip address 192.168.4.1 255.255.255.0

21.Router(config-subif)#ip nat inside

22.Router(config-subif)#ex

23.Router(config)#int fa 0/1.5

24.Router(config-subif)#ip address 192.168.5.1 255.255.255.0

25.Router(config-subif)#ip nat inside

26.Router(config-subif)#ex

27.Router(config)#int fa 0/1.6

28.Router(config-subif)#ip address 192.168.6.1 255.255.255.0

29.Router(config-subif)#ip nat inside

30.Router(config-subif)#ex

31.Router(config)#int fa 0/1.7

32.Router(config-subif)#ip address 192.168.7.1 255.255.255.0

33.Router(config-subif)#ip nat inside

34.Router(config-subif)#ex

35.Router(config)#int fa 0/1.8

36.Router(config-subif)#ip address 192.168.8.1 255.255.255.0

37.Router(config-subif)#ip nat inside

38.Router(config-subif)#ex

39.Router(config)#ip access-list standard FOR-NAT

40.Router(config-std-nacl)#permit 192.168.4.0 0.0.0.255

41.Router(config-std-nacl)#permit 192.168.5.0 0.0.0.255

42.Router(config-std-nacl)#permit 192.168.6.0 0.0.0.255

43.Router(config-std-nacl)#permit 192.168.7.0 0.0.0.255

44.Router(config-std-nacl)#permit 192.168.8.0 0.0.0.255

45.Router(config-std-nacl)#ex

46.Router(config)#ip nat inside source list FOR-NAT int fa 0/0 overload

47.Router(config)#ex

2.1.4.Проверка работоспособности сети

-зайти на ПК, который находится в vlan 7;

-выбрать терминал;

-прописать: «ping 213.234.20.2», тем самым проверить, есть ли доступ в интернет с данного ПК:

Рисунок 2. Проверка ПК12 на доступ в интернет

-ping успешен, значит ПК имеет доступ в интернет;

-также проверить ПК и ноутбук из vlan 2 и vlan 3:

Рисунок 3. Проверка ноутбук11 на доступ в интернет

Рисунок 4. Проверка ПК39 на доступ в интернет

-ping не проходит, потому что, на маршрутизаторе с помощью стандартного ACL - списка был разрешён доступ в интернет всем ПК и ноутбукам, кроме vlan 2 и vlan 3

2.2.Расширенный список доступа

Для моделирования сети было использовано следующее оборудование:

-коммутатор 2 уровня - 2960-24TT, в количестве 1 шт.;

-маршрутизатор - Router 2811, в количестве 1 шт.;

-персональные компьютеры, в количестве 2 шт.;

-сервер - Server-PT, в количестве 1 шт.

Рисунок 5. Схема сети

2.2.1.Настройка маршрутизатора

Маршрутизатор 2811 Router0:

1.Router>en

2.Router#conf t

3.Router(config)#int fa 0/0

4.Router(config-if)#no shutdown

5.Router(config-if)#ip address 10.0.1.100 255.0.0.0

6.Router(config-if)#ex

7.Router(config)#int fa 0/1

8.Router(config-if)#no shutdown

9.Router(config-if)#ip address 192.168.1.100 255.255.255.0

10.Router(config-if)#ex

11.Router(config)#ip access-list extended 111

12.Router(config-ext-nacl)#permit tcp 192.168.1.1 0.0.0.0 10.0.1.1 0.0.0.0 eq 21

13.Router(config-ext-nacl)#permit tcp 192.168.1.1 0.0.0.0 10.0.1.1 0.0.0.0 eq 20

14.Router(config-ext-nacl)#deny tcp 192.168.1.2 0.0.0.0 10.0.1.1 0.0.0.0 eq 21

15.Router(config-ext-nacl)#deny tcp 192.168.1.2 0.0.0.0 10.0.1.1 0.0.0.0 eq 20

16.Router(config-ext-nacl)#int fa 0/1

17.Router(config-if)#ip access-group 111 in

18.Router(config-if)#ex

19.Router(config)#ex

20.Router#wr mem

2.2.2.Проверка работоспособности сети

-зайти на ПК1;

-выбрать терминал;

-прописать: «ftp 10.0.1.1», тем самым проверить, есть ли доступ на «ftp сервер»:

Рисунок 6. Проверка доступа к ftp серверу на ПК1

-вылезает ошибка, благодаря настроенному расширенному ACL – списку;

-прописать такую же команду на ПК0:

Рисунок 6. Проверка доступа к ftp серверу на ПК0

-доступ к данному ftp серверу разрешён.

ЗАКЛЮЧЕНИЕ

Для защиты информации на интерфейсах маршрутизаторов конфигурируются списки доступа (ACL), которые обеспечивают базовый уровень безопасности. Списки доступа могут использоваться, чтобы разрешать (permit) или запрещать (deny) продвижение пакетов через маршрутизатор. Запрет или разрешение сетевого трафика через интерфейс маршрутизатора реализуется на основании анализа совпадения определенных условий (правил). В списке доступа ACL могут анализироваться адреса источника, адреса назначения, протоколы и номера портов. Списки доступа могут быть определены для каждого установленного на интерфейсе протокола и для каждого направления сетевого трафика (исходящего и входящего). Стандартные списки доступа для принятия решения анализируют в пакете только IP-адрес источника сообщения. Расширенные списки доступа проверяют IP-адрес источника, IP-адрес назначения, поле протокола в заголовке пакета и номер порта в заголовке сегмента. Стандартные списки доступа должны располагаться поближе к адресату назначения. Расширенные списки доступа должны быть установлены по возможности близко к источнику сообщений.

СПИСОК ИСТОЧНИКОВ

1. Списки доступа (Access Lists) в Cisco. (Opennet.ru)

2. ACL: списки контроля доступа в Cisco. (Habr.com)

3. IP списки доступа Cisco IOS. (k.psu.ru)

4. Списки контроля доступа. (intuit.ru)

5. Что такое ACL и как его настраивать. (ciscotips.ru)

6. Access Control List. (linkmeup.gitbook.io)

7. Access Control List. (itglobal.com)

8. Списки контроля доступа (ACL) в Cisco. (unlix.ru)

9. Access Control List - списки контроля доступа. (help.ubuntu.ru)

10. ACL. (ru.wikipedia.org)

ПРИЛОЖЕНИЕ А