Цель: изучить и понять, как создавать и применять стандартные именованные списки управления доступом.
Топология:
Пожалуйста, используйте следующую топологию для выполнения этого лабораторного упражнения:
Task 1:
Настройте имена хостов на маршрутизаторах R1 и R3, как показано в топологии.
Task 2:
Настройте R1 S0/0, который является DCE, для обеспечения тактовой частоты 768 Кбит/с для R3. Настройте IP-адреса на последовательных интерфейсах R1 и R3, как показано в топологии. Настройте статический маршрут по умолчанию на маршрутизаторе R1, указывающий на маршрутизатор R3, через последовательное соединение между двумя маршрутизаторами. Кроме того, настройте статический маршрут по умолчанию на маршрутизаторе R3, указывающий на маршрутизатор R1 через последовательное соединение между двумя маршрутизаторами. Настройте на маршрутизаторе R3 интерфейсы Loopback, указанные на схеме.
Task 3:
Чтобы проверить подключение, выполните проверку связи R1 с интерфейсов R3 Serial0/0, Loopback10, Loopback20 и Loopback30. Для проверки связи с интерфейсами Loopback используйте команду ping <ip_address> source <interface>.
Task 4:
На маршрутизаторе R1 создайте стандартный список ACL с именем, чтобы запретить входящий трафик из подсетей Loopback10 и Loopback30 на маршрутизаторе R3, но явно разрешить весь входящий трафик из подсетей Serial0/0 и Loopback20 на маршрутизаторе R3. Этот список ACL должен называться LOOPBACK-LOOPBACK-10-30-ACL. Примените этот ACL входящий на Serial0/0. Теперь попробуйте выполнить проверку связи R1 с R3 Serial0/0, Loopback10, Loopback20 и Loopback30 с помощью команды ping <ip_address> source <interface>. Если вы настроили это правильно, будет работать только пинг от Serial0/0 и Loopback20.
Настройка и проверка
Task 4:
R1#conf t
Enter configuration commands, one per line. End with CTRL/Z.
R1(config)#ip access-list standard LOOPBACK-10-30-ACL
R1(config-std-nacl)#remark “Deny Traffic From R3 Loopback10”
R1(config-std-nacl)#deny 10.10.10.0 0.0.0.127
R1(config-std-nacl)#remark “Permit Traffic From R3 Loopback20”
R1(config-std-nacl)#permit 10.20.20.0 0.0.0.15
R1(config-std-nacl)#remark “Deny Traffic From R3 Loopback30”
R1(config-std-nacl)#deny 10.30.30.0 0.0.0.7
R1(config-std-nacl)#remark “Permit Traffic From Serial0/0 Subnet”
R1(config-std-nacl)#permit 172.16.1.0 0.0.0.63
R1(config-std-nacl)#exit
R1(config)#int s0/0
R1(config-if)#ip access-group LOOPBACK-10-30-ACL in
R1(config-if)#end
R1#
R3#ping 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
R3#ping 172.16.1.1 source loop10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.3
U.U.U
Success rate is 0 percent (0/5)
R3#ping 172.16.1.1 source loop20
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
Packet sent with a source address of 10.20.20.3
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/8 ms
R3#ping 172.16.1.1 source loop30
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
Packet sent with a source address of 10.30.30.3
U.U.U
Success rate is 0 percent (0/5)
ПРИМЕЧАНИЕ. Обратите внимание на различия в синтаксисе создания именованного ACL и нумерованного ACL. Именованные списки ACL работают так же, как и нумерованные списки ACL, но позволяют легче определить, для чего используется список ACL, поскольку им можно присвоить имя. Вы можете просмотреть именованные списки ACL, используя те же команды, что и для нумерованных списков ACL:
R1#show ip access-lists LOOPBACK-10-30-ACL
Standard IP access list LOOPBACK-10-30-ACL
10 deny 10.10.10.0, wildcard bits 0.0.0.127 (11 matches)
20 permit 10.20.20.0, wildcard bits 0.0.0.15 (15 matches)
30 deny 10.30.30.0, wildcard bits 0.0.0.7 (11 matches)
40 permit 172.16.1.0, wildcard bits 0.0.0.63 (15 matches)
Чтобы просмотреть списки ACL, примененные к интерфейсу, вы можете использовать команду show run интерфейс <имя> или команду show ip интерфейс <имя>, как показано ниже:
R1#show running-config interface serial 0/0
Building configuration...
Current configuration : 139 bytes
!
interface Serial0/0
ip address 172.16.1.1 255.255.255.192
ip access-group LOOPBACK-10-30-ACL in
clock rate 768000
no fair-queue
end
R1#show ip interface serial 0/0
Serial0/0 is up, line protocol is up
Internet address is 172.16.1.1/26
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is LOOPBACK-10-30-ACL