МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,

СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ

УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»

(СПбГУТ)

Факультет Инфокоммуникационных сетей и систем

Кафедра Защищенных систем связи

Дисциплина Основы маршрутизации в компьютерных сетях

ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №3

Направление/специальность подготовки

10.03.01 Информационная безопасность

(код и наименование направления/специальности)

Выполнили:

Травкина Е.А., ИКБ-14

(Ф.И.О., № группы) (подпись)

Федченко А.С., ИКБ-14

(Ф.И.О., № группы) (подпись)

Мельцин Л.М., ИКБ-14

(Ф.И.О., № группы) (подпись)

Преподаватель:

доц. Беккель Л.С.

(Ф.И.О., № группы) (подпись)

3.1.1 Настройка списков контроля доступа (acl).

1. Настройка списка контроля доступа (ACL)

Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.

R1# config

R1(config)#

Шаг 2. Создаём расширенный именованный список контроля доступа (ACL) с именем DENY_ICMP.

R1(config)# ip access-list extended DENY_ICMP

R1(config-acl)#

Шаг 3. Указываем описание списка контроля доступа с помощью описания, которое задаётся командой description и каким-либо комментарием до 255 символов.

R1(config-acl)# description DENY_ICMP_IN_FROM_192.168.0.2

Шаг 4. В режиме конфигурации списка контроля доступа создаём правило с номером 10.

R1(config-acl)# rule 10

Шаг 5. Ищем совпадение по протоколу ICMP.

R1(config-acl-rule)# match protocol icmp

Шаг 6. Ищем совпадения по адресу источника.

R1(config-acl-rule)# match source-address 192.168.0.2 255.255.255.252

Шаг 7. Ищем совпадения по адресу источника.

R1(config-acl-rule)# match destination-address 192.168.0.1 255.255.255.252

Шаг 8. Указываем действие, которое должно быть выполнено при поиске совпадений. В нашем случае это правило запрещающее.

R1(config-acl-rule)# action deny

Шаг 9. Активируем правило 10 командой enable. Выходим на уровень назад с помощью команды exit.

R1(config-acl-rule)# enable

R1(config-acl-rule)# exit

Шаг 10. Поскольку первое правило запрещающее, то необходимо создать ещё одно, но разрешающее правило. Разрешаем всё остальное, со всех протоколов, со всех адресов источника и на все адреса назначения.

R1(config-acl)# rule 20

R1(config-acl-rule)# action permit

R1(config-acl-rule)# enable

R1(config-acl-rule)# exit

R1(config-acl)# exit

Шаг 11. Далее необходимо список с именем DENY_ICMP применить на физическом интерфейсе gi1/0/2, с помощью команды service-acl input. Далее выходим сразу в привилегированный режим с помощью команды end.

Примечание. Если все предыдущие лабораторные работы выполнялись по порядку, то не нужно ещё раз на этом интерфейсе задавать IP-адрес и отключать межсетевой экран, просто убедитесь, что эти команды уже есть на маршрутизаторе.

R1(config)# interface gi1/0/2

R1(config-if-gi)# ip address 192.168.0.1/30

R1(config-if-gi)# ip firewall disable

R1(config-if-gi)# service-acl input DENY_ICMP

R1(config-if-gi)# end

Шаг 12. Применяем и подтверждаем настроенную конфигурацию.

R1# commit

R1# confirm

Шаг 13. Проверяем конфигурацию настроенного списка командами (см. рис. 1, 2):

R1# show ip access-list

Рис. 1. Команда show ip access-list

R1# show ip access-list DENY_ICMP

Рис. 2. Команда show ip access-list DENY_ICMP

2. Отключение правила в списке и удаление списка acl.

Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.

R1# config

R1(config)#

Шаг 2. Выбираем уже созданный нами расширенный именованный список контроля доступа с именем DENY_ICMP.

R1(config)# ip access-list extended DENY_ICMP

R1(config-acl)#

Шаг 3. Зайдём в правило 10 и сделаем его неактивным, для этого используем команду no enable. Выходим в привилегированный режим с помощью команды end.

R1(config-acl)# rule 10

R1(config-acl-rule)# no enable

R1(config-acl-rule)# exit

Шаг 4. Но, этого, нам кажется, мало, поэтому сейчас нам нужно удалить правило 10 командой no rule 10.

R1(config-acl)# no rule 10

Примечание. После применения и подтверждения конфигурации, у данного списка контроля доступа останется лишь правило с номером 20, которое разрешает всем и всё. Но его тоже можно удалить с помощью команды no rule 20

R1(config-acl)# rule 20

R1(config-acl-rule)# action permit

R1(config-acl-rule)# enable

R1(config-acl-rule)# end

Шаг 5. Применяем и подтверждаем настроенную конфигурацию.

R1# commit

R1# confirm

Шаг 6. Затем, необходимо список с именем DENY_ICMP отменить на физическом интерфейсе gi1/0/2, с помощью команды no service-acl input. Далее выходим сразу в привилегированный режим с помощью команды end.

R1(config)# interface gi1/0/2

R1(config-if-gi)# no service-acl input

R1(config-if-gi)# end

Шаг 7. Далее удалим сам список контроля доступа, сначала из привилегированного режима командой config проходим в режим глобальной конфигурации, потом выбираем уже созданный нами расширенный именованный список контроля доступа с именем DENY_ICMP и перед ним ставим ключ no.

R1# config

R1(config)# no ip access-list extended DENY_ICMP

Шаг 8. Применяем и подтверждаем настроенную конфигурацию.

R1# commit

R1# confirm

Шаг 9. Проверяем конфигурацию настроенного списка командами (см. рис. 3):

R1# show ip access-list

Рис. 3. Команда show ip access-list