Цель: изучить и понять, как создавать и применять расширенные нумерованные списки контроля доступа (ACL).
Топология:
Пожалуйста, используйте следующую топологию для выполнения этого лабораторного упражнения:
Task 1:
Настройте имена хостов на маршрутизаторах R1 и R3, как показано в топологии.
Task 2:
Настройте R1 S0/0, который является DCE, для обеспечения тактовой частоты 768 Кбит/с для R3. Настройте IP-адреса на последовательных интерфейсах R1 и R3, как показано в топологии.
Task 3:
Настройте статический маршрут по умолчанию на маршрутизаторе R1, указывающий на маршрутизатор R3, через последовательное соединение между двумя маршрутизаторами. Кроме того, настройте статический маршрут по умолчанию на маршрутизаторе R3, указывающий на маршрутизатор R1 через последовательное соединение между двумя маршрутизаторами. Настройте интерфейсы Loopback, указанные на схеме, на R1 и R3.
Task 4:
Чтобы проверить подключение, выполните проверку связи R1 с интерфейсов R3 Serial0/0, Loopback10, Loopback20 и Loopback30. Для проверки связи с интерфейсами Loopback используйте команду ping <ip_address> /source <interface>.
Task 5:
Настройте маршрутизаторы R1 и R3, чтобы разрешить соединения Telnet. Для доступа через Telnet следует использовать пароль CISCO. Кроме того, настройте секретный ключ CISCO на обоих маршрутизаторах.
Task 6:
Настройте пронумерованный расширенный список ACL на маршрутизаторе R1, чтобы разрешить Telnet из сетей Loopback10 и Loopback30 маршрутизатора R3. Явно настройте расширенный список ACL, чтобы запретить Telnet от R3 Loopback20, но разрешить ping-трафик от R3 Loopback20. По завершении примените этот входящий список ACL к интерфейсу R1 Serial0/0.
Подключитесь к маршрутизатору R1 из интерфейсов Loopback10, Loopback20 и Loopback30 маршрутизатора R3 с помощью команды telnet <ip_address> /source-interface <name>. Если ваш ACL настроен правильно, Telnet должен быть разрешен только из Loopback10 и Loopback30.
Пропингуйте R1 от интерфейсов Loopback10, Loopback 20 и Loopback30 с помощью команды ping <ip_address> /source <interface>. Если ваш ACL настроен правильно, пинг должен работать только при пинге из R3 Loopback20.
Настройка и проверка
Task 5:
R1#conf t
Enter configuration commands, one per line. End with CTRL/Z.
R1(config)#enable secret CISCO
R1(config)#line vty 0 4
R1(config-line)#password CISCO
R1(config-line)#login
R1(config-line)#end
R1#
R3#conf t
Enter configuration commands, one per line. End with CTRL/Z.
R3(config)#enable secret CISCO
R3(config)#line vty 0 4
R3(config-line)#password CISCO
R3(config-line)#login
R3(config-line)#end
R3#
R1(config)#line vty 0 ?
<1-903> Last Line number
<cr>
Task 6:
R1#conf t
Enter configuration commands, one per line. End with CTRL/Z.
R1(config)#access-list 150 remark “Allow Telnet For R3 Loopback10”
R1(config)#access-list 150 permit tcp 10.10.10.0 0.0.0.127 any eq telnet
R1(config)#access-list 150 remark “Deny Telnet For R3 Loopback20”
R1(config)#access-list 150 deny tcp 10.20.20.0 0.0.0.15 any eq telnet
R1(config)#access-list 150 remark “Allow Telnet For R3 Loopback30”
R1(config)#access-list 150 permit tcp 10.30.30.0 0.0.0.7 any eq telnet
R1(config)#access-list 150 remark “Allow PING For R3 Loopback20”
R1(config)#access-list 150 permit icmp 10.20.20.0 0.0.0.15 any echo
R1(config)#int s0/0
R1(config-if)#ip access-group 150 in
R1(config-if)#end
R1#
ПРИМЕЧАНИЕ. Расширенные списки ACL могут соответствовать информации протокола уровня 4. Это означает, что вы должны знать свои известные номера портов TCP и UDP. К счастью, вместо номеров портов TCP и UDP списки ACL Cisco IOS позволяют использовать ключевые слова для общих протоколов. Например, вы можете использовать ключевое слово telnet вместо использования порта 23 для настройки ACL для соответствия трафику Telnet. Однако если вы решите использовать номер порта, Cisco IOS автоматически преобразует его в общее имя, как показано ниже:
R1#conf t
Enter configuration commands, one per line. End with CRTL/Z.
R1(config)#access-list 100 permit tcp any any eq 23
R1(config)#access-list 100 permit tcp any any eq 80
R1(config)#access-list 100 permit tcp any any eq 179
R1(config)#access-list 100 permit udp any any eq 520
R1(config)#access-list 100 permit 88 any any
R1(config)#access-list 100 permit 89 any any
R1(config)#end
R1#
R1#show ip access-lists 100
Extended IP access list 100
10 permit tcp any any eq telnet
20 permit tcp any any eq www
30 permit tcp any any eq bgp
40 permit udp any any eq rip
50 permit eigrp any any
60 permit ospf any any
Как можно видеть, хотя мы настроили ACL, используя номера портов, IOS преобразовала его в общие имена.
Теперь протестируйте ACL. Чтобы выйти из доступа к Telnet, одновременно нажмите клавишу Control-Shift-6, затем отпустите ее и нажмите клавишу X. Не нажимайте клавишу ввода сразу после этого, иначе сеанс Telnet возобновится.
R3#telnet 172.16.1.1 /source-interface loopback10
Trying 172.16.1.1 ... Open
User Access Verification
Password:
R1#
R3#telnet 172.16.1.1 /source-interface loopback20
Trying 172.16.1.1 ...
% Destination unreachable; gateway or host down
R3#telnet 172.16.1.1 /source-interface loopback30
Trying 172.16.1.1 ... Open
User Access Verification
Password:
R1#
R3#ping 172.16.1.1 source loopback 20
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
Packet sent with a source address of 10.20.20.3
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/8 ms
ПРИМЕЧАНИЕ. Когда вы увидите сообщение % Destination unreachable; gateway or host down при попытке подключения к хосту через Telnet, обычно это происходит из-за наличия списка управления доступом, запрещающего Telnet к этому устройству. Судя по нашей конфигурации, все работает, и если бы мы посмотрели на ACL, настроенный на R1, мы бы увидели следующие совпадения с ним:
R1#show ip access-lists 150
Extended IP access list 150
10 permit tcp 10.10.10.0 0.0.0.127 any eq telnet (66 matches)
20 deny tcp 10.20.20.0 0.0.0.15 any eq telnet (3 matches)
30 permit tcp 10.30.30.0 0.0.0.7 any eq telnet (465 matches)
40 permit icmp 10.20.20.0 0.0.0.15 any echo (15 matches)