Цель: изучить и понять, как настроить списки контроля доступа для регистрации трафика, соответствующего любой конкретной записи в настроенном ACL.
Топология:
Пожалуйста, используйте следующую топологию для выполнения этого лабораторного упражнения:
Task 1:
Настройте имена хостов на маршрутизаторах R1 и R3, как показано в топологии.
Task 2:
Сконфигурируйте R1 S0/0, который является DCE, так, чтобы обеспечить R3 тактовую частоту 768 Кбит/с. Сконфигурируйте IP-адреса на последовательных интерфейсах R1 и R3, как показано в топологии.
Task 3:
Включите локальное ведение журнала на R3. Уровень ведения журнала должен быть предназначен только для информационных сообщений.
Task 4:
Настройте расширенный именованный ACL на R3, чтобы разрешить все типы трафика Telnet и ICMP. Этот ACL должен регистрироваться, когда трафик Telnet или ICMP соответствует ему. Настройте этот ACL с именем My ACL и примените его к входящему на R3 Serial0/0.
Task 5:
Очистите журналы на R3 с помощью команды очистить журнал. Выполните пинг R3 с R1 и проверьте журнал на R3 с помощью команды show log. Если вы правильно настроили ACL, у вас появится сообщение журнала о строке ACL, разрешающей ICMP-трафик на R3. Подключитесь по Telnet к R3 с R1 и проверьте журнал на R3 с помощью команды show log. Если вы правильно настроили ACL, у вас появится сообщение журнала о строке ACL, разрешающей трафик Telnet на R3.
Настройка и проверка
Task 3:
R3#conf t
Enter configuration commands, one per line. End with CTRL/Z.
R3(config)#logging on
R3(config)#logging buffered informational
R3(config)#end
R3#
ПРИМЕЧАНИЕ: При настройке ведения журнала всегда рекомендуется включать ведение журнала с помощью команды logging on. При записи сообщений в буфер на маршрутизаторе доступны следующие опции:
R3#conf t
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CTRL/Z.
R3(config)#logging buffered ?
<0-7> Logging severity level
<4096-2147483647> Logging buffer size
alerts Immediate action needed (severity=1)
critical Critical conditions (severity=2)
debugging Debugging messages (severity=7)
emergencies System is unusable (severity=0)
errors Error conditions (severity=3)
informational Informational messages (severity=6)
notifications Normal but significant conditions (severity=5)
warnings Warning conditions (severity=4)
xml Enable logging in XML to XML logging buffer
<cr>
Если вы укажете уровень важности 5 (уведомления), то маршрутизатор или коммутатор будет регистрировать все сообщения вплоть до этого уровня важности включительно. Другими словами, устройство будет регистрировать сообщения уровней с 1 по 5 включительно. Чтобы увидеть выходные данные отладки, вы должны включить уровень важности 7. При протоколировании отладочных сообщений убедитесь, что для этих сообщений достаточно места в буфере. Используйте команду logging buffered <4096-2147483647>, чтобы указать размер буфера.
Task 4:
R3#conf t
Enter configuration commands, one per line. End with CTRL/Z.
R3(config)#ip access-list extended MyACL
R3(config-ext-nacl)#permit tcp any any eq telnet log
R3(config-ext-nacl)#permit icmp any any log
R3(config-ext-nacl)#exit
R3(config)#int s0/0
R3(config-if)#ip access-group MyACL in
R3(config-if)#end
R3#show ip access-lists
Extended IP access list MyACL
10 permit tcp any any eq telnet log
20 permit icmp any any log
Task 5:
Для получения информации о том, как выполнить ping или telnet с маршрутизаторов Cisco, пожалуйста, ознакомьтесь с предыдущими лабораторными работами. Убедитесь, что вы включили доступ по Telnet.
R3#clear log
Clear logging buffer [confirm]
R3#
R3#show log
Syslog logging: enabled (0 messages dropped, 1 messages rate-limited, 0 flushes, 0 overruns, xml disabled)
Console logging: disabled
Monitor logging: level debugging, 0 messages logged, xml disabled
Buffer logging: level informational, 6 messages logged, xml disabled
Logging Exception size (4096 bytes)
Count and timestamp logging messages: disabled
Trap logging: level informational, 35 message lines logged
Log Buffer (4096 bytes):
*Mar 1 01:29:00.370: %SEC-6-IPACCESSLOGDP: list MyACL permitted icmp 172.16.1.1 -> 172.16.1.2 (0/0), 1 packet
*Mar 1 01:29:54.771: %SEC-6-IPACCESSLOGP: list MyACL permitted tcp 172.16.1.1(17218) -> 172.16.1.2(23), 1 packet
*Mar 1 01:30:16.751: %SEC-6-IPACCESSLOGDP: list MyACL permitted icmp 172.16.1.1 -> 172.16.1.2 (8/0), 1 packet
*Mar 1 01:30:23.186: %SEC-6-IPACCESSLOGP: list MyACL permitted tcp 172.16.1.1(60418) -> 172.16.1.2(23), 1 packet