МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,
СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
Факультет Инфокоммуникационных сетей и систем
Кафедра Защищенных систем связи
Дисциплина Основы маршрутизации в компьютерных сетях
ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №3
Направление/специальность подготовки
10.03.01 Информационная безопасность
(код и наименование направления/специальности)
Выполнили:
Травкина Е.А., ИКБ-14
(Ф.И.О., № группы) (подпись)
Федченко А.С., ИКБ-14
(Ф.И.О., № группы) (подпись)
Мельцин Л.М., ИКБ-14
(Ф.И.О., № группы) (подпись)
Преподаватель:
доц. Беккель Л.С.
(Ф.И.О., № группы) (подпись)
3.1.1 Настройка списков контроля доступа (acl).
1. Настройка списка контроля доступа (ACL)
Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.
R1# config
R1(config)#
Шаг 2. Создаём расширенный именованный список контроля доступа (ACL) с именем DENY_ICMP.
R1(config)# ip access-list extended DENY_ICMP
R1(config-acl)#
Шаг 3. Указываем описание списка контроля доступа с помощью описания, которое задаётся командой description и каким-либо комментарием до 255 символов.
R1(config-acl)# description DENY_ICMP_IN_FROM_192.168.0.2
Шаг 4. В режиме конфигурации списка контроля доступа создаём правило с номером 10.
R1(config-acl)# rule 10
Шаг 5. Ищем совпадение по протоколу ICMP.
R1(config-acl-rule)# match protocol icmp
Шаг 6. Ищем совпадения по адресу источника.
R1(config-acl-rule)# match source-address 192.168.0.2 255.255.255.252
Шаг 7. Ищем совпадения по адресу источника.
R1(config-acl-rule)# match destination-address 192.168.0.1 255.255.255.252
Шаг 8. Указываем действие, которое должно быть выполнено при поиске совпадений. В нашем случае это правило запрещающее.
R1(config-acl-rule)# action deny
Шаг 9. Активируем правило 10 командой enable. Выходим на уровень назад с помощью команды exit.
R1(config-acl-rule)# enable
R1(config-acl-rule)# exit
Шаг 10. Поскольку первое правило запрещающее, то необходимо создать ещё одно, но разрешающее правило. Разрешаем всё остальное, со всех протоколов, со всех адресов источника и на все адреса назначения.
R1(config-acl)# rule 20
R1(config-acl-rule)# action permit
R1(config-acl-rule)# enable
R1(config-acl-rule)# exit
R1(config-acl)# exit
Шаг 11. Далее необходимо список с именем DENY_ICMP применить на физическом интерфейсе gi1/0/2, с помощью команды service-acl input. Далее выходим сразу в привилегированный режим с помощью команды end.
Примечание. Если все предыдущие лабораторные работы выполнялись по порядку, то не нужно ещё раз на этом интерфейсе задавать IP-адрес и отключать межсетевой экран, просто убедитесь, что эти команды уже есть на маршрутизаторе.
R1(config)# interface gi1/0/2
R1(config-if-gi)# ip address 192.168.0.1/30
R1(config-if-gi)# ip firewall disable
R1(config-if-gi)# service-acl input DENY_ICMP
R1(config-if-gi)# end
Шаг 12. Применяем и подтверждаем настроенную конфигурацию.
R1# commit
R1# confirm
Шаг 13. Проверяем конфигурацию настроенного списка командами (см. рис. 1, 2):
R1# show ip access-list
Рис. 1. Команда show ip access-list
R1# show ip access-list DENY_ICMP
Рис. 2. Команда show ip access-list DENY_ICMP
2. Отключение правила в списке и удаление списка acl.
Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.
R1# config
R1(config)#
Шаг 2. Выбираем уже созданный нами расширенный именованный список контроля доступа с именем DENY_ICMP.
R1(config)# ip access-list extended DENY_ICMP
R1(config-acl)#
Шаг 3. Зайдём в правило 10 и сделаем его неактивным, для этого используем команду no enable. Выходим в привилегированный режим с помощью команды end.
R1(config-acl)# rule 10
R1(config-acl-rule)# no enable
R1(config-acl-rule)# exit
Шаг 4. Но, этого, нам кажется, мало, поэтому сейчас нам нужно удалить правило 10 командой no rule 10.
R1(config-acl)# no rule 10
Примечание. После применения и подтверждения конфигурации, у данного списка контроля доступа останется лишь правило с номером 20, которое разрешает всем и всё. Но его тоже можно удалить с помощью команды no rule 20
R1(config-acl)# rule 20
R1(config-acl-rule)# action permit
R1(config-acl-rule)# enable
R1(config-acl-rule)# end
Шаг 5. Применяем и подтверждаем настроенную конфигурацию.
R1# commit
R1# confirm
Шаг 6. Затем, необходимо список с именем DENY_ICMP отменить на физическом интерфейсе gi1/0/2, с помощью команды no service-acl input. Далее выходим сразу в привилегированный режим с помощью команды end.
R1(config)# interface gi1/0/2
R1(config-if-gi)# no service-acl input
R1(config-if-gi)# end
Шаг 7. Далее удалим сам список контроля доступа, сначала из привилегированного режима командой config проходим в режим глобальной конфигурации, потом выбираем уже созданный нами расширенный именованный список контроля доступа с именем DENY_ICMP и перед ним ставим ключ no.
R1# config
R1(config)# no ip access-list extended DENY_ICMP
Шаг 8. Применяем и подтверждаем настроенную конфигурацию.
R1# commit
R1# confirm
Шаг 9. Проверяем конфигурацию настроенного списка командами (см. рис. 3):
R1# show ip access-list
Рис. 3. Команда show ip access-list