Некоммерческое акционерное общество
АЛМАТИНСКИЙ УНИВЕРСИТЕТ ЭНЕРГЕТИКИ И СВЯЗИ
Кафедра компьютерных технологий

 

БЕЗОПАСНОСТЬ КОМПЬЮТЕРНЫХ СЕТЕЙ И СИСТЕМ
Методические указания к лабораторным работам для студентов специальности 5В070400 – Вычислительная техника и программное обеспечение

Алматы 2014

СОСТАВИТЕЛИ: Тергеусизова А.С., Рахимжанова З.М., Безопасность компьютерных сетей и систем. Методические указания к выполнению лабораторных работ по курсу «Безопасность компьютерных сетей и систем» для студентов специальности 5В070400 – Вычислительная техника и программное обеспечение – Алматы: АУЭС, 2013. – 43 с.

В данном методическом указании рассматриваются лабораторные работы по установке, сбросу и восстановлению пароля на маршрутизаторах Cisco, настройке и конфигурированию функции безопасности канала VTY, конфигурирование ACL – списков стандартных, расширенных и с преобразованием сетевых адресов NAT. Также рассматривается лабораторная работа по применению базовых мер безопасности для коммутатора.

Методические указания предназначены для студентов специальности 5В070400 – Вычислительная техника и программное обеспечение.

Ил. 6 , табл. 6 , библиогр. –  13 назв.

Рецензент: доцент Куликов А.А.

Печатается по дополнительному плану издания некоммерческого акционерного общества «Алматинский университет энергетики и связи» на 2013 г.

© НАО «Алматинский университет энергетики и связи», 2014 г

Содержание

Введение

 

1 Лабораторная работа № 1. Установка, методы сброса и восстановления пароля на маршрутизаторах Cisco

 

6

2 Лабораторная работа №2. Конфигурирование и проверка стандартных и расширенных ACL – списков

12

3 Лабораторная работа №3. Конфигурирование ACL – списка с преобразованием сетевых адресов NAT

21

4 Лабораторная работа №4 Конфигурирование и проверка ограничений канала VTY

26

5 Лабораторная работа №5. Применение базовых мер безопасности для коммутатора

31

6 Лабораторная работа № 6. Конфигурирование фильтрации межсетевого трафика

37

Список литературы

43

Введение

В данной работе рассматривается комплекс лабораторных работ на основе маршрутизаторов и коммутаторов Cisco.

Основная цель лабораторных работ – приобретение практических навыков работы с сетевыми устройствами, установка, настройка, сборка сетей и работа с ними.

Безопасность в корпоративной сети играет крайне важную роль. Важно предотвратить несанкционированный доступ пользователей и защитить сеть от различного рода атак, таких как DoS-атаки. В случае несанкционированного доступа злоумышленники могут изменить, разрушить или украсть конфиденциальные данные с серверов. DoS-атаки препятствуют доступу легальных пользователей к ресурсам.

Фильтрация трафика позволяет администратору контролировать трафик в различных сегментах сети. Фильтрация представляет собой процесс анализа содержимого пакета с целью разрешения или блокировки его передачи.

Фильтрация пакетов может быть простой и сложной и может запрещать или разрешать трафик по следующим критериям:

-      исходный IP-адрес;

-      конечный IP-адрес;

-      MAC-адреса;

-      протоколы;

-      тип приложения.

Одним из наиболее распространенных способов фильтрации трафика является использование списков контроля доступа (ACL-списков). ACL-списки можно использовать для управления входящим и существующим трафиком в сети и его фильтрации.

Лабораторная работа состоит из выполнения рабочего задания, оформления отчета и защиты проделанной работы.

Рабочее задание содержит конкретные работы по выполнению того или иного задания по рассматриваемой теме.

Выполнение каждой лабораторной работы должно завершаться оформлением отчета, который должен содержать:

-      цель и задание работы;

-      краткие итоги теоретической подготовки;

-      результаты проделанной работы (полученные результаты опытов и испытаний, обработанные данные и др.);

-      выводы по работе и список использованной литературы.

Выполненная работа и оформленный отчет защищается у преподавателя.

Отчет может быть оформлен в электронном виде.

1 Лабораторная работа №1. Установка, методы сброса и восстановления пароля на маршрутизаторах Cisco

Цель  работы:

-        настройка пароля, закрывающего доступ к устройству;

-        сброс и восстановление пароля.

1.1 Рабочее задание

-      Ознакомиться с методами установки пароля.

-      Ограничить доступ в привилегированный режим exec и запретить посторонним вносить изменения в настройки маршрутизатора.

-      Установить пароль на консольном порту устройства.

-      Установить пароль на виртуальный терминал.

-      Сбить и восстановить пароль через диалоговый режим.

-      Сбить и восстановить пароль через режим монитора (rommon). 

1.2        Порядок выполнения работы

1.2.1 Установка пролей.

Шаг 1. Конфигурирование пароля привилегированного доступа и шифрования. В режиме глобального конфигурирования задайте пароль cisco:

CustomerRouter(config)#enable password cisco

Активируйте шифрование пароля привилегированного доступа cisco123 с помощью команды secret:

CustomerRouter(config)#enable secret cisco123 

Шаг 2. Конфигурирование консольного пароля.  В режиме глобального конфигурирования переключитесь в режим конфигурирования командной строки для определения строки консоли:

CustomerRouter(config)#line console 0 

Установите пароль cisco123, потребуйте ввода пароля при входе в систему, а затем выйдите из режима конфигурации строки:

CustomerRouter(config-line)#password cisco123

CustomerRouter(config-line)#login

CustomerRouter(config-line)#exit

Шаг 3. Конфигурирование пароля vty для обеспечения удаленного доступа с виртуального терминала к маршрутизатору. В режиме глобального конфигурирования переключитесь в режим конфигурирования командной строки для определения строк vty:

CustomerRouter(config)#line vty 0 4 

Установите пароль cisco123, потребуйте ввода пароля при входе в систему, а затем выйдите из режима конфигурации строки и закончите сеанс.

CustomerRouter(config-line)#password cisco123

CustomerRouter(config-line)#login

CustomerRouter(config-line)#exit

CustomerRouter(config)#end 

В привилегированном режиме EXEC сохраните текущую конфигурацию в файл начальной конфигурации:

CustomerRouter#copy run start 

1.2.2 Сброс и восстановление паролей.

Существуют три метода восстановления  доступа к маршрутизатору в случае утраты пароля. Вы можете посмотреть пароль, изменить его или полностью очистить память, в которой хранится конфигурация.

Каждый из этих методов включает в себя основные действия, описанные ниже.

Шаг 1. Настройте маршрутизатор таким образом, чтобы он не восстанавливал конфигурацию из энергонезависимой памяти (NVRAM). Такая конфигурация зачастую носит название тестового режима, режима загрузки из ПЗУ или boot- режима.

Шаг 2. Перезагрузите систему.

Шаг 3. Создайте временную запись в списке доступа (если регистры конфигурации были установлены корректно в пункте 1, это может быть сделано без пароля).

Шаг 4. Просмотрите или измените пароль, либо очистите память маршрутизатора.

Шаг 5. Настройте маршрутизатор на нормальный режим чтения энергонезависимой памяти при загрузке.

Шаг 6. Перезагрузите систему.

Для восстановления некоторых паролей может понадобиться передача сигнала break; для этого можно воспользоваться терминалом или ПК с эмулятором терминала. Например, в терминале ProComm нажатие сочетания клавиш <Ctrl>+<B> генерирует сигнал break; в Windows-программе HypеrTerminal для передачи сигнала break следует нажать <Вгеак> или комбинацию клавиш <Ctrl>+<Break>. Кроме того, программа HyperTerminal позволяет назначить функциональную клавишу для отправки сигнала break. В окнах терминала выберите пункт меню Функциональный клавиши и укажите комбинацию для отправки сигнала Break, введя символы ^$В (<Shift>+<6>, <Shift>+<4> и символ <В> в верхнем регистре). В сети Internet вы также сможете найти и другие бесплатно распространяемые программы эмуляции терминала и выбрать любую, оптимально соответствующую вашим требованиям.

Далее приведены подробные инструкции для определенных моделей маршрутизаторов Cisco. Перед тем как начать восстановление пароля в маршрутизаторе, определите его модель и следуйте соответствующей инструкции.

Метод восстановления пароля № 1.

Этот метод восстановления пароля применим к маршрутизаторам Cisco моделей:

- серии 2500;

- серии 3000;

- серии 7000 с операционной системой Cisco IOS версии 10.0 или более поздней, которая установлена в ПЗУ.

Рассматриваемый метод может быть использован для маршрутизаторов Cisco 7000 и Cisco 7010 только в том случае, если в маршрутизаторе установлена ОС Cisco IOS на плате процессора маршрутизации (Router Processor — RP). Операционная система Cisco IOS также может быть загружена из Flash-памяти, однако она должна присутствовать в ПЗУ на плате процессора. Указанные ниже действия реализуют первый метод восстановления пароля.

Шаг 1. Присоедините терминал или ПК с запущенной программой эмуляции терминала к порту консоли маршрутизатора. Для подсоединения ПК можно использовать нуль-модемный кабель (авторы этой книги использовали кабель Tandy Null Modem Adapter №26-1496). Подсоедините нуль-модемный кабель к порту консоли, а противоположную его сторону — к нуль-модемному адаптеру.

Шаг 2. Введите команду show version и запишите значения конфигурационных регистров. Обычно они составляют 0х2102 или 0х102. Если вы не получили доступа к командной строке маршрутизатора и у вас не получилось выполнить команду show version, то значение регистров конфигурации можно посмотреть в подобных моделях маршрутизаторов или попробовать использовать значение 0х2102.

Шаг 3. Выключите и включите маршрутизатор.

Шаг 4. Нажмите и задержите в таком положении комбинацию клавиш BREAK- последовательности в терминале в точение 60 секунд после включения питания маршрутизатора. Вы должны увидеть приглашение командной строки > без названия маршрутизатора. Если приглашение не появилось, значит, скорее всего, терминал не отправляет корректный сигнал BREAK маршрутизатору. В таком случае проверьте терминал или настройки программы эмуляции терминала.

Шаг 5. В командной строке введите команду о/r 0x42 для загрузки из Flash-памяти или команду о/r 0x41 для загрузки из ПЗУ (следует заметить, что первым символом команды является символ буквы о, а не цифры 0). Если у вас есть Flash-память с образом операционной системы, то оптимальным решением будет загрузки именно с него. Стандартно используется именно загрузка с Flash-носителя. Команду 0х41 следует использовать только когда Flash-память очищена или же не установлена. Введя 0x41, вы можете просмотреть или очистить конфигурацию маршрутизатора. Изменить пароль таким образом не удастся.

Шаг 6. В командной строке с приглашением > введите команду i. При этом маршрутизатор перезагрузится и проигнорирует сохраненную конфигурацию.

Шаг 7. На все вопросы диалога начальной установки отвечайте no или нажимайте <Ctrl>+<C>

Шаг 8. В приглашении командной строки вида Router> введите команду enable.

Войдя в привилегированный режим, вы увидите приглашение командной строки вида Router#.

Шаг 9. Выполните необходимое действие:

а)   для просмотра пароля введите команду show start;

б)   для изменения пароля (например, если старый пароль зашифрован) выполните следующее:

- серии 2500;

- серии 3000;

- серии 7000 с операционной системой Cisco IOS версии 10.0 или более поздней, которая установлена в ПЗУ;

- чтобы скопировать содержимое энергонезависимого ОЗУ в оперативную память, введите команду copy start run;

- выполните команду show run;

- если использовалось шифрование пароля, выполните такие действия:

- введите команду config term и внесите необходимые изменения;

- введите команду enable secret «новый__пароль»;

- нажмите комбинацию клавиш <Ctrl>+<Z.>;

- если вы не использовали команду enable secret пароль, то выполните команду enable password «новый_пароль» и нажмите комбинацию клавиш <Ctrl>+<Z>;

Метод восстановления пароля №2.

Этот метод восстановления пароля применим к маршрутизаторам Cisco моделей:

- серии 1003;

- серии 1600;

- серии 2600;

- серии 3600;

- серии 4600;

- серии 7100;

- серии 7200;

- серии 7500;

- маршрутизаторам, основанным на системе обнаружения вторжений (IDT) Orion;

- платформам AS5200 и AS5300.

Для восстановления следует выполнить действия в той последовательности, в какой они указаны ниже.

Шаг 1.     Присоедините терминал или ПК с запущенной программой эмуляции терминала к порту консоли    маршрутизатора.

Шаг 2.     Введите команду show version и запишите значение конфигурационных регистров.    Обычно они составляют 0х2102 или 0х102.

Значения конфигурационных регистров, как правило, выводятся в последней строке.   Следует отметить, что конфигурационные регистры также позволяют разрешить или запретить обработку сигнала прерывания BREAK.

Стандартно в маршрутизаторе конфигурационный регистр имеет значение 0х2102. Третий символ слева – 1, он означает запрет сигнала прерывания BREAK. Если это значение равно 1, то сигнал BREAK разрешен.

Шаг 3. Выключите маршрутизатор и включите его снова.

Шаг 4. Нажмите клавишу или комбинацию клавиш для отправки сигнала прерывания в приложении терминала в течении 60-ти секунд после включения питания маршрутизатора. Вы должны увидеть приглашение командной строки > без названия маршрутизатора. Если приглашение не появилось, то, скорее всего, терминал не отправляет корректный сигнал прерывания BREAK маршрутизатору. В таком случае проверьте корректность работы терминала или настройки программы эмуляции терминала.

Шаг 5. В командной строке введите команду confreg. Будет выдан такой запрос:

Do you wish to change configuration [y/n]? (вы хотите изменить конфигурацию [да/нет]?)

Шаг 6.  Введите “yes” (да) и нажмите клавишу <Enter> (возврат каретки).

Шаг 7. На все последующие вопросы отвечайте “no” (нет) до появления вопроса:

Ignore system config info [y/no]? (игнорировать информацию о конфигурации системы [да/нет]?).

Шаг 8. Выберите “yes” (да).

Шаг 9. На все последующие вопросы отвечайте “no” (нет) до появления вопроса:

Change boot characteristics [y/no]?       (изменить характеристики загрузки [да/нет]?).

Шаг 10. Выберите “yes” (да). Будет получен такой запрос:

              Enter to boot:

Шаг 11. На этот запрос для загрузки из Flash-памяти введите 2 или, если Flash-память очищена, введите 1.

Если содержимое Flash-памяти уничтожено, то маршрутизатор Cisco 4500 должен быть возвращен в сервисный центр компании Cisco. Если вы введете 1, то сможете лишь только посмотреть или очистить конфигурацию; пароль в этом случае не может быть изменен.

После завершения настройки будет выдан такой запрос:

Do you wish change configuration [y/n]? (вы хотите изменить конфигурацию [да/нет]?).

Шаг 12. Введите “no” (нет) и нажмите клавишу <Enter>.

Шаг 13.    Введите команду reset в привилегированном режиме или, для маршрутизаторов серии Cisco 4500 и Cisco 7500, выключите и снова включите питание маршрутизатора.

Шаг 14. После загрузки маршрутизатора на все вопросы отвечайте “no” (нет) до появления приглашения командной строки вида

Шаг 15. Для входа в привилегированный режим выполните команду enable. Будет выдано приглашение командной строки вида Router#.

Шаг 16. Выберите один из следующих пунктов:

- чтобы просмотреть пароль, если он не зашифрован, введите команду:           more nvram : startup-config;

- чтобы изменить пароль (например, в том случае, если он зашифрован), введите такую последовательность команд:

Router#  configure memory

Router#  configure terminal

Router#  (config) enable secret 1234abcd

!  Нажмите комбинацию клавиш ctrl-z

Router#  write memory

 

1.3    Контрольные вопросы

 

1.     Как можно повысить надежность паролей доступа к клиентскому маршрутизатору?

2.     Такие пароли как разрешенный секрет, пароль консоли, пароль виртуального терминала для чего настраиваются на маршрутизаторе?

3.     Классификация маршрутизатора.

4.     В сетях для чего используется маршрутизатор?

5.     Назначение интерфейсов маршрутизатора.

6.     На каком уровне  модели OSI работает маршрутизатор?

7.     Какие файлы конфигурации существуют на маршрутизаторе?

8.     В чем отличие обычного маршрутизатора от маршрутизатора с функцией поддержки безопасности?

 

2 Лабораторная работа №2. Конфигурирование и проверка стандартных и расширенных ACL – списков

 

Цель работы:

- настройка стандартного ACL-списка для ограничения трафика;

- настройка расширенного ACL-списка для управления трафиком;

- проверка работы ACL-списка.

 

2.1 Рабочее задание

 

В данной лабораторной работе вы будете работать со стандартными ACL-списками с целью контроля сетевого трафика на основании IP-адресов узлов. Можно использовать любой маршрутизатор, отвечающий требованиям интерфейса, представленного на диаграмме выше. Например, маршрутизатор серии 800, 1600, 1700, 1800, 2500, 2600, 2800 или любая комбинация этих маршрутизаторов.

Необходимо использовать следующие ресурсы:

- коммутатор Cisco 2960 или другой совместимый коммутатор;

- два маршрутизатора Cisco серии 1841 или эквивалентные, у каждого из которых должен быть последовательный интерфейс и интерфейс Ethernet;

- один ПК на базе ОС Windows и с программой эмуляции терминала, установленный как узел;

- как минимум один консольный кабель с разъемами RJ-45 и DB-9 для конфигурирования маршрутизаторов и коммутатора;

- два прямых кабеля Ethernet;

- один двойной (DTE/DCE) последовательный перекрестный кабель.

Информация в этой лабораторной работе основана на маршрутизаторе серии 1841. Допускается использование других маршрутизаторов, однако синтаксис их команд может отличаться.

Примечание. В зависимости от модели маршрутизатора интерфейсы могут отличаться. Например, на некоторых маршрутизаторах интерфейс Serial 0 может обозначаться как Serial 0/0 или Serial 0/0/0, а интерфейс Ethernet 0 - как FastEthernet 0/0. Коммутаторы Cisco Catalyst 2960 поставляются уже настроенными. До подключения к сети нужно только ввести основную информацию о безопасности.

 

 

Рисунок 2.1 – Диаграмма топологии сети

 

Таблица 2.1 – Таблица адресации устройств диаграммы

Устройство

Имя

узла

IP-адрес

FastEthernet

IP-адрес интерфейса Serial0/0/0

Тип интерфейса

Ser0/0/0

Адрес логического интерфейса

loopback

Пароль с шифрованием привилегиро-

ванного

доступа

Пароль консоли, канала vty и режима

enable

Маршру

тизатор 1

R1

192.168.200.1/24

192.168.100.1/30

DCE

 

class

cisco

Маршру

тизатор2

R2

нет

192.168.100.2/30

DTE

Lo0 192.168.1.1

Lo0 192.168.2.1

class

cisco

Комму

татор1

S1

нет

 

 

 

class

cisco

 

          2.2 Порядок выполнения работы

 

2.2.1 Настройка стандартного ACL – списка.

Шаг 1. Подключение оборудования:

а)  подключите интерфейс serial 0/0/0 маршрутизатора 1 к интерфейсу serial 0/0/0 маршрутизатора 2 посредством последовательного кабеля;

б)  подключите интерфейс fa0/0 маршрутизатора 1 к интерфейсу fa0/1 коммутатора 1 посредством прямого кабеля;

в)  подсоедините консольный кабель к ПК, чтобы провести конфигурирование маршрутизаторов и коммутатора;

г)   подключите узел H1 к порту fa0/2 коммутатора 1 посредством прямого кабеля.

Шаг 2. Выполните основные действия по конфигурированию на маршрутизаторе 1:

а)      подсоедините ПК к порту консоли маршрутизатора, чтобы выполнить конфигурирование с помощью программы эмуляции терминала;

б)      на маршрутизаторе 1 сконфигурируйте имя узла, интерфейсы, пароли и баннер новости дня и отключите проверку DNS согласно таблице адресов и диаграмме топологии. Сохраните конфигурацию.

Шаг 3. Выполните основные действия по конфигурированию на маршрутизаторе 2 и сохраните конфигурацию.

Шаг 4. Выполнение основных действий по конфигурированию на коммутаторе 1. Сконфигурируйте имя узла и пароли на коммутаторе 1 согласно таблице адресации и диаграмме топологии.

Шаг 5. Сконфигурируйте для узла IP-адрес, маску подсети и шлюз по умолчанию:

а)      настройте правильный IP-адрес, маску подсети и шлюз по умолчанию для узла. Узлу следует присвоить адрес 192.168.200.10/24, а шлюзу по умолчанию - 192.168.200.1;

б)      рабочая станция должна иметь возможность проводить эхо-тестирование присоединенного маршрутизатора. Если эхо-запрос не проходит, необходимо устранить неисправности. Проверьте, присвоен ли рабочей станции IP-адрес и шлюз по умолчанию.

Шаг 6. Настройте маршрутизацию по протоколу RIP и проверьте сквозную связность сети:

а)      на маршрутизаторе 1 включите протокол маршрутизации RIP и настройте его на оповещение обеих подсоединенных сетей;

б)      на маршрутизаторе 2 включите протокол маршрутизации RIP и настройте его на оповещение всех трех подсоединенных сетей;

в)      Отправьте запрос с узла 1 на два логических интерфейса loopback на маршрутизаторе 2.

Прошел ли эхо-запрос с узла 1 успешно? __________

Если ответ отрицательный, выполните поиск и устранение ошибок в конфигурациях маршрутизатора и узла. Повторяйте отправку эхо-запросов до успешного ответа и маршрутизатора, и узла.

Шаг 7. Настройте и протестируйте стандартный ACL-список.

В топологии этой лабораторной работы логические интерфейсы loopback на маршрутизаторе R2 имитируют две сети класса С, подсоединенные к маршрутизатору. ACL-списки будут использоваться для управления доступом к этим подсетям. Логический интерфейс loopback 0 будет представлять сеть управляющих рабочих станций, а логический интерфейс loopback 1 будет представлять инженерную сеть с ограниченным доступом.

В этой сети нужно, чтобы была хотя бы одна управляющая рабочая станция в подсети 192.168.200.0/24, наряду с остальными пользовательскими рабочими станциями. Управляющей рабочей станции присваивается статический IP-адрес 192.168.200.10. Пользовательские рабочие станции используют остальные IP-адреса в сети.

ACL-список управления доступом должен давать доступ управляющей рабочей станции к сетям, подсоединенным к маршрутизатору R2, но не давать доступ к этим сетям с других узлов в сети 192.168.200.0.

Используется стандартный ACL-список, который будет размещен на маршрутизаторе R2, потому что он является ближайшим пунктом назначения:

а)      создайте стандартный ACL-список на маршрутизаторе R2, используемый для доступа к прилагаемым сетям. Данный ACL-список будет предоставлять доступ узлу 192.168.200.10 и запрещать всем остальным.

 

R2(config)#access-list 1 permit 192.168.200.10

R2(config)#access-list 1 deny any

 

Примечание. Неявная команда deny в конце списка управления доступом выполняет ту же самую функцию. Однако добавление такой строки в список управления доступом помогает задокументировать эту функцию и считается правильным. Если добавить эту команду явным образом, подсчитывается количество пакетов, соответствующих этой команде, и администратор может видеть, сколько пакетов было отклонено;

б)      после создания ACL-списка он должен быть применен к интерфейсу на маршрутизаторе. Используйте интерфейс Serial 0/0/0 для управления сетями 192.168.1.0 и 192.168.2.0. Потенциальный трафик будет идти в интерфейс, поэтому примените ACL-список во входящем направлении.

 

R2(config)#interface serial 0/0/0

R2(config-if)#ip access-group 1 in

 

в)      теперь, когда ACL-список создан и применен, используйте команду show access-lists на маршрутизаторе R2 для просмотра ACL-списка.

Есть ли соответствия инструкции ACL-списка? __________

 

R2#show access-lists

Standard IP access list 1

10 permit 192.168.200.10

20 deny any

 

г)       используйте команду show ip interface s0/0/0, чтобы отобразить применение ACL-списка.

 

Шаг 8. Протестируйте ACL-список

а)      с узла 1 отправьте эхо-запрос на loopback-адрес 192.168.1.1.

Успешно ли прошел эхо-запрос? __________

б)      с узла 1 отправьте эхо-запрос на loopback-адрес 192.168.2.1.

Успешно ли прошел эхо-запрос? __________

в)      используйте команду show access-list еще раз.

Сколько соответствий для первой инструкции ACL-списка (permit)? _________

R2#show access-lists

Standard IP access list 1

permit 192.168.200.10 (16 matches)

deny any

Сколько соответствий второй инструкции ACL-списка (deny)? ______________

Просмотрите таблицу маршрутизации на маршрутизаторе R2, используя команду show ip route command. Какой маршрут пропал из таблицы маршрутизации? __________________________________

Маршрут пропал из таблицы маршрутизации, потому что ACL-список допускает только пакеты от 192.168.200.10. Пакеты обновления RIP из маршрутизатора R1 поступают от последовательного интерфейса маршрутизатора Serial 0/0/0 192.168.100.1 и отклоняются ACL-списком. Поскольку обновления RIP маршрутизатора R1, оповещающие о сети 192.168.200.0, блокируются ACL-списком, маршрутизатор R2 не узнаёт о сети 192.168.200.0. Ранее отправленные эхо-запросы не блокировались ACL-списком. Они не прошли, потому что маршрутизатор R2 не смог вернуть ответ; маршрутизатор R2 не знал, как достичь сети 192.168.200.0.

На этом примере показано, почему нужно аккуратно программировать ACL-списки и тщательно проверять их на предмет функциональности;

г)       воссоздайте ACL-список на маршрутизаторе R2, чтобы он получал обновления маршрутизации с маршрутизатора R1.

 

R2(config)#no access-list 1

R2(config)#access-list 1 permit 192.168.200.10

R2(config)#access-list 1 permit 192.168.100.1

R2(config)#access-list 1 deny any

 

д)      отправьте эхо-запрос на 192.168.1.1 и 192.168.2.1 с узла 1.

Успешны ли теперь эхо-запросы? ___________

е)      измените IP-адрес на узле 1 на 192.168.200.11.

ж)    снова отправьте эхо-запрос на 192.168.1.1 и 192.168.2.1 с узла 1.

Успешно ли выполнены эхо-запросы? __________

воспользовавшись командой clear ip access-list counters из командной строки EXEC.

 

 2.2.2 Настройка расширенного ACL – списка.

 

 

Рисунок 2.2 - Диаграмма топологии сети

 

Таблица 2.2 – Таблица адрессации устройств диаграммы

Устройство

Имя

узла

IP-адрес

FastEthernet

IP-адрес интерфейса Serial0/0/0

Тип интерфейса

Ser0/0/0

Адрес логического интерфейса

loopback

Пароль с шифрованием привилегиро-

ванного

доступа

Пароль консоли, канала vty и режима

enable

Маршру

тизатор 1

R1

192.168.200.1/24

192.168.15.1/30

DCE

 

class

cisco

Маршру

тизатор2

R2

нет

192.168.15.2/30

DTE

 

class

cisco

Комму

татор1

S1

 

 

 

 

class

cisco

Узел 1

H1

192.168.1.10/24

 

 

192.168.1.1

 

 

Узел 2

H2

192.168.1.11/24

 

 

192.168.1.1

 

 

Узел 3

H3

192.168.5.10/24

 

 

192.168.5.1

 

 

 

Шаг 1. Подключение оборудования:

а)      подключите интерфейс Serial 0/0/0 маршрутизатора 1 к интерфейсу Serial 0/0/0 маршрутизатора 2 посредством последовательного кабеля;

б)      подключите интерфейс Fa0/0 маршрутизатора 1 к порту Fa0/1 коммутатора 1 посредством прямого кабеля;

в)      подсоедините консольный кабель к каждому ПК, чтобы провести конфигурирование маршрутизаторов и коммутатора;

г)       подключите узел 1 к порту Fa0/3 коммутатора 1 посредством прямого кабеля;

д)      подключите узел 2 к порту Fa0/2 коммутатора 1 посредством прямого кабеля;

е)      соедините перекрестным кабелем узел 3 и интерфейс Fa0/0 маршрутизатора 2.

Шаг 2. Выполните основные действия по конфигурированию на маршрутизаторе 1:

а)      подсоедините ПК к порту консоли маршрутизатора, чтобы выполнить конфигурирование с помощью программы эмуляции терминала;

б)      на маршрутизаторе 1 сконфигурируйте имя узла, интерфейсы, пароли, баннер новости дня и отключите проверку DNS согласно таблице адресов и диаграмме топологии. Сохраните конфигурацию.

Шаг 3. Выполните основные действия по конфигурированию на маршрутизаторе 2 и сохраните конфигурацию.

Шаг 4. Выполнение основных действий по конфигурированию на коммутаторе 1. Сконфигурируйте для коммутатора 1 имя узла, консоль, протокол Telnet и пароли согласно таблице адресов и диаграмме топологии.

Шаг 5. Сконфигурируйте для узлов IP-адрес, маску подсети и шлюз по умолчанию:

а)      сконфигурируйте для узлов IP-адрес, маску подсети и шлюз по умолчанию согласно таблице адресов и диаграмме топологии;

б)      каждая рабочая станция должна иметь возможность проводить эхо-тестирование присоединенного маршрутизатора. Если эхо-тестирование не успешно, необходимо устранить неисправности. Проверьте, присвоен ли рабочей станции IP-адрес и шлюз по умолчанию.

Шаг 6. Настройте маршрутизацию по протоколу RIP и проверьте сквозную связность сети:

а)      на маршрутизаторе R1 включите протокол маршрутизации RIP и настройте его на оповещение обеих подсоединенных сетей;

б)      на маршрутизаторе R2 включите протокол маршрутизации RIP и настройте его на оповещение обеих подсоединенных сетей;

в)      опросите с каждого узла два другие узла.

Успешно ли выполнены эхо-запросы? __________

Если ответ отрицательный, выполните поиск и устранение ошибок в конфигурациях маршрутизатора и узла. Повторяйте отправку эхо-запросов до успешного ответа от них всех.

Шаг 7. Настройте расширенный ACL-список для управления трафиком.

Узел 3 в этой сети содержит служебную информацию. Требования к безопасности этой сети таковы, что только ограниченный круг устройств должен иметь доступ к этой машине. Узел 1 - это единственный узел, который будет иметь доступ к этому компьютеру. Все прочие узлы в этой сети используются для гостевого доступа и не должны получать доступ к узлу 3. Кроме того, узел 3 - это единственный компьютер в сети, которому разрешен доступ к интерфейсам маршрутизатора R1 для удаленного управления. Расширенные ACL-списки будут использоваться для управления доступом к этой сети.

а)      составьте список требований для ясности:

1)      узел 1 имеет доступ к узлу 3. Все прочие узлы (только в этой сети) не могут иметь доступ к узлу 3. Любые дополнительные узлы, добавляемые в других сетях в будущем, должны иметь возможность доступа к узлу 3, поскольку к ним не будет гостевого доступа;

2)      узел 3 может иметь доступ к интерфейсам маршрутизатора R1. Все прочие устройства в сети не будут иметь доступа;

б)      проанализируйте требования и определите положение расширенных списков управления доступом.

          Исходя из требований, трафик, который необходимо контролировать – это трафик, исходящий из интерфейса Fa0/0 маршрутизатора R2 по направлению к узлу 3. Поэтому список управления доступом должен быть в интерфейсе Fa0/0 маршрутизатора R2;

в)      создайте расширенный ACL-список, чтобы выполнить поставленные задачи и примените его к маршрутизатору R2

 

R2(config)#access-list 101 permit ip host 192.168.1.10 host 192.168.5.10

R2(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 host 192.168.5.10

R2(config)#access-list 101 permit ip any any

R2(config)#access-list 101 deny ip any any

 

          Примечание. Неявная команда deny в конце списка управления доступом выполняет ту же самую функцию. Однако добавление такой строки в список управления доступом помогает задокументировать эту функцию и считается правильным. Если добавить эту команду явным образом, подсчитывается количество пакетов, соответствующих этой команде, и администратор может видеть, сколько пакетов было отклонено;

г)       примените список управления доступом к интерфейсу Fa0/0 маршрутизатора R2 в исходящем направлении

 

R2(config)#interface fastethernet 0/0

R2(config-if)#ip access-group 101 out

 

д)      проверьте ACL-список на маршрутизаторе R2 с помощью команды show access-lists.

Отображается ли в выходных данных команды show access-lists созданный ACL-список? __________

Отображается ли в выходных данных команды show access-lists то, как применяется ACL-список?__________

е)      используйте команду show ip interface fa0/0 на маршрутизаторе R2, чтобы отобразить применение ACL-списка.

Что могут сказать выходные данные команды show ip interface об ACL-спиcке?

Шаг 8. Протестируйте ACL-список

а)      отправьте на узел 3 эхо-запрос с узлов 1 и 2.

Отправляет ли узел 1 эхо-запрос на узел 3? __________

Отправляет ли узел 2 эхо-запрос на узел 3? __________

б)      чтобы проверить, возможна ли отправка эхо-запроса на узел 3 с других адресов, отправьте эхо-запрос на узел 3 с маршрутизатора R1.

Успешно ли прошел эхо-запрос? __________

в)      еще раз отобразите список управления доступом с помощью команды show access-lists.

          Какая дополнительная информация отображается сразу за инструкциями списка управления доступом? __________________________________________

г)       перед продолжением работы удалите этот список управления доступом.

Шаг 9. Сконфигурируйте и настройте ACL-список для удовлетворения следующего требования:

а)      узел 3 - это единственный узел, которому должна быть предоставлена возможность подсоединения к маршрутизатору R1 для удаленного управления. Создайте список управления доступом для удовлетворения этого требования. Этот ACL-список нужно будет разместить на маршрутизаторе R1, поскольку маршрутизатор R1 является пунктом назначения трафика. Всем другим узлам доступ предоставляться не будет. Это единственный контролируемый трафик; все прочие трафики допускаются.

R1(config)#access-list 101 permit ip host 192.168.5.10 host 192.168.15.1

R1(config)#access-list 101 permit ip host 192.168.5.10 host 192.168.1.1

R1(config)#access-list 101 deny ip any host 192.168.15.1

R1(config)#access-list 101 deny ip any host 192.168.1.1

R1(config)#access-list 101 permit ip any any

R1(config)#access-list 101 deny ip any any

б)      поскольку исходный трафик может приходить с любого направления, этот ACL-список нужно применять к обоим интерфейсам на маршрутизаторе R1. Контролируемый трафик - это трафик, входящий на маршрутизатор.

R1(config)#interface fastethernet 0/0

R1(config-if)#ip access-group 101 in

R1(config-if)#interface serial 0/0/0

R1(config-if)#ip access-group 101 in

в)      теперь попробуйте связаться через протокол telnet с маршрутизатором R1 со всех узлов и маршрутизатора R2. Попробуйте связаться через протокол telnet с обоими адресами маршрутизатора R1.

Удалось ли вам связаться с маршрутизатором R1 с какого-либо из этих устройств? Если да, то с какого(их)? ____________________

г)       просмотрите выходные данные команды show access-lists на маршрутизаторе R1.

Отображается ли в выходных данных команды show access-lists то, что имеются соответствия инструкциям? __________

 

2.3 Контрольные вопросы

 

1.      Зачем необходимо тщательное планирование и тестирование списков управления доступом?

2.      Каковы преимущества использования расширенных ACL-списков по сравнению со стандартными ACL-списками?

3.      Каково главное ограничение стандартных ACL-списков?

4.      Отображается ли в выходных данных команды show access-lists созданный ACL-список?

5.      Отображается ли в выходных данных команды show access-lists то, как применяется ACL-список?

6.      Протокол IP Sec.

7.      Метод шифрования 3DES.

8.      ХЭШ функции.

 

3 Лабораторная работа №3. Конфигурирование ACL-списка с преобразованием сетевых адресов (NAT)

 

 Цель работы:

-        настроить NAT и PAT и проверить их работоспособность;

-        настроить и применить ACL-список к интерфейсу, в котором выполняется преобразование сетевых адресов (NAT);

-        наблюдение эффекта размещения ACL-списка при использовании NAT.

 

3.1 Рабочее задание

 

Организуйте сеть, аналогичную той, что изображена на диаграмме. Можно использовать любой маршрутизатор, соответствующий требованиям интерфейса, изображенного на диаграмме топологии. Например, маршрутизатор серии 800, 1600, 1700, 1800, 2500, 2600, 2800 или любая комбинация этих маршрутизаторов.

Необходимо использовать следующие ресурсы:

-    один коммутатор Cisco 2960 или другой совместимый коммутатор;

-    два маршрутизатора серии 1841 или аналогичные маршрутизаторы, каждый с последовательным интерфейсом и интерфейсом Ethernet;

-    два компьютера на базе ОС Windows, на каждом из которых должна быть установлена программа эмуляции терминала, и оба должны быть настроены в качестве узлов;

-    как минимум один консольный кабель с разъемами RJ-45 и DB-9 для настройки маршрутизаторов и коммутатора;

-    три прямых кабеля Ethernet;

-    один двухкомпонентный последовательный кабель (DTE/DCE).

Сведения, приведенные в этой лабораторной работе, применимы и к маршрутизаторам серии 1841. Данные сведения также применимы и к другим маршрутизаторам; однако синтаксис команд может различаться.

Примечание. В зависимости от модели маршрутизатора интерфейсы могут отличаться. Например, на некоторых маршрутизаторах интерфейс Serial 0 может обозначаться как Serial 0/0 или Serial 0/0/0, а интерфейс Ethernet 0 - как FastEthernet 0/0. Коммутаторы Cisco Catalyst 2960 поставляются уже настроенными. До подключения к сети нужно только ввести основную информацию о безопасности.

 

 

Рисунок 3.1 – Диаграмма топологии сети

 

Таблица 3.1 – Таблица адресации устройств диаграммы

Устройство

Имя

узла

IP-адрес

FastEthernet

IP-адрес интерфейса Serial0/0/0

Тип интерфейса

Ser0/0/0

Адрес логического интерфейса

loopback

Пароль с шифрованием привилегиро-

ванного

доступа

Пароль консоли, канала vty и режима

enable

Маршру

тизатор 1

R1

192.168.1.1/24

192.168.201.1/30

DTE

 

class

cisco

Маршру

тизатор2

R2

нет

192.168.201.2/30

DCE

 

class

cisco


Продолжение таблицы 3.1

Коммутатор

S1

 

 

 

 

class

cisco

Узел 1

H1

192.168.1.2/24

 

 

192.168.1.1

 

 

Узел 2

H2

192.168.1.3/24

 

 

192.168.1.1

 

 

 

3.2 Порядок выполнения работы

 

Шаг 1. Подключение оборудования:

а)  подключить интерфейс Serial 0/0/0 маршрутизатора 1 к интерфейсу Serial 0/0/0 маршрутизатора 2 с помощью последовательного кабеля, как показано на диаграмме и в таблице адресации;

б)  подключите интерфейс Fa0/0 маршрутизатора 1 к порту Fa0/1 коммутатора 1 посредством прямого кабеля;

в)  подключите каждый ПК посредством консольного кабеля, чтобы провести конфигурирование маршрутизатора и коммутаторов;

г)   подключите узел 1 к порту Fa0/2 коммутатора 1 посредством прямого кабеля;

д)  подключите узел 2 к порту Fa0/3 коммутатора 1 посредством прямого кабеля.

Шаг 2. Выполните основные действия по конфигурированию на маршрутизаторе 1:

а)  подсоедините ПК к порту консоли маршрутизатора, чтобы выполнить конфигурирование с помощью программы эмуляции терминала;

б)  сконфигурируйте для маршрутизатора 1 имя узла, консоль, протокол Telnet и пароли привилегированного доступа согласно таблице адресов и диаграмме топологии. Сохраните конфигурацию.

Шаг 3. Выполните основные действия по конфигурированию маршрутизатора 2 в качестве маршрутизатора шлюза с именем узла, интерфейсами, консолью, протоколом Telnet и паролями привилегированного доступа согласно таблице адресации и диаграмме топологии. Сохраните конфигурацию.

Шаг 4. Выполните основные действия по конфигурированию на коммутаторе 1. Сконфигурируйте для коммутатора 1 имя узла, консоль, протокол Telnet и пароли привилегированного доступа согласно таблице адресации и диаграмме топологии.

Шаг 5. Сконфигурируйте для узлов IP-адрес, маску подсети и шлюз по умолчанию:

а)  настройте правильный IP-адрес, маску подсети и шлюз по умолчанию для каждого узла;

б)  каждая рабочая станция должна иметь возможность проводить эхо-тестирование присоединенного маршрутизатора. Если эхо-тестирование не успешно, необходимо устранить неисправности. Проверьте, присвоен ли рабочей станции IP-адрес и шлюз по умолчанию.

Шаг 6. Сконфигурируйте статическую маршрутизацию и маршруты по умолчанию на маршрутизаторах:

а)  настройка статического маршрута на маршрутизаторе R2 для достижения частной сети на R1. Используйте интерфейс следующего перехода на маршрутизаторе R1 в качестве пути.

 

R2(config)#ip route 192.168.1.0 255.255.255.0 209.165.201.1

 

б)  сконфигурируйте маршрут по умолчанию на маршрутизаторе R1 для переадресации любого трафика неизвестного назначения на следующий переход на R2.

 

R1(config)#ip route 0.0.0.0 0.0.0.0 209.165.201.2

 

Шаг 7. Проверка работы сети:

а)      с подсоединенных узлов отправьте запрос на интерфейс FastEthernet маршрутизатора шлюза по умолчанию.

Прошел ли эхо-запрос с узла 1 успешно? __________

Прошел ли эхо-запрос с узла 2 успешно? __________

Если ответ на какой-либо вопрос отрицательный, выполните поиск и устранение ошибок в конфигурации маршрутизатора. Повторяйте отправку эхо-запросов до успешного ответа и маршрутизатора, и узла;

б)      выполните эхо-тестирование интерфейса Serial 0/0/0 маршрутизатора R2 с каждого узла.

Каждый эхо-запрос должен быть успешным. Если это не так, проведите диагностику конфигурации статического маршрута и маршрута по умолчанию для обнаружения ошибки. Повторяйте отправку эхо-запросов до успешного ответа и маршрутизатора, и узла.

Шаг 8. Сконфигурируйте NAT и PAT на маршрутизаторе R1:

а)  определите список доступа, соответствующий внутренним частным IP-адресам

 

R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255

 

б)  определите преобразование PAT изнутри списка наружу

 

R1(config)#ip nat inside source list 1 interface s0/0/0 overload

 

в)  задайте интерфейсы

 

R1(config)#interface fastethernet 0/0

R1(config-if)#ip nat inside

R1(config-if)#exit

R1(config)#interface serial 0/0/0

R1(config-if)#ip nat outside

 

Шаг 9. Тестирование и проверка конфигурации:

а)  отправка эхо-запроса с ПК1 на ПК2.

Была ли проверка успешной? ________

б)  выполните эхо-тестирование последовательного интерфейса на R2 с ПК1 и ПК2.

Была ли проверка успешной? _______

в)  убедитесь в том, что преобразования NAT выполняются. Для этого воспользуйтесь командой show ip nat translations (показаны примерные выходные данные).

global

icmp 209.165.201.1:2 192.168.1.2:2 209.165.201.2:2 209.165.201.2:2

icmp 209.165.201.1:3 192.168.1.2:3 209.165.201.2:3 209.165.201.2:3

icmp 209.165.201.1:4 192.168.1.2:4 209.165.201.2:4 209.165.201.2:4

icmp 209.165.201.1:5 192.168.1.2:5 209.165.201.2:5 209.165.201.2:5

icmp 209.165.201.1:10 192.168.1.3:10 209.165.201.2:10 209.165.201.2:10

icmp 209.165.201.1:7 192.168.1.3:7 209.165.201.2:7 209.165.201.2:7

icmp 209.165.201.1:8 192.168.1.3:8 209.165.201.2:8 209.165.201.2:8

icmp 209.165.201.1:9 192.168.1.3:9 209.165.201.2:9 209.165.201.2:9

 

Шаг 10. Настроить и применить ACL-список, предназначенный для фильтрования трафика с одного узла:

а)      трафик с ПК1 не должен достигать R2, в то время как весь остальной трафик может передаваться свободно.

 

R1(config)#access-list 10 deny 192.168.1.2

R1(config)#access-list 10 permit any

 

б)      применить ACL-список к последовательному интерфейсу маршрутизатора R1

 

R1(config)#interface s0/0/0

R1(config-if)#ip access-group 10 out

 

Шаг 11. Протестируйте влияние ACL-списка на сетевой трафик:

а)  направьте эхо-запрос с ПК1 на ПК2, и с ПК1 на шлюз по умолчанию.

Успешно ли выполнены эхо-запросы? __________

б)  направьте эхо-запрос с ПК1 на последовательный интерфейс маршрутизатора R2.

Успешно ли выполнен эхо-запрос? ____________

в)  направьте эхо-запрос с ПК2 на последовательный интерфейс маршрутизатора R2.

Успешно ли выполнен эхо-запрос? ____________

 

Шаг 12. Перемещение ACL-списка и повторное тестирование:

а)  удалите ACL-список из последовательного интерфейса маршрутизатора R1

 

R1(config)#interface s0/0/0

R1(config-if)#no ip access-group 10 out

 

б)  поместите ACL-список в интерфейс FastEthernet

 

R1(config)#interface fastethernet 0/0

R1(config-if)#ip access-group 10 in

 

в)  выполните повторное тестирование ACL-списка с использованием эхо-запросов, описанных на шаге 11.

 

3.3 Контрольные вопросы

 

1.  Какую роль играет IP-адрес последовательного интерфейса маршрутизатора R1 в NAT и PAT?

2.  Почему перемещение ACL-списка в интерфейс FastEthernet привело к желаемым результатам?

3.  Каким образом выходные данные указывают на то, что используется PAT?

4.  Что можно увидеть при просмотре таблицы преобразований NAT?

5.  Какие статические IP адреса Вы знаете?

6.  Можно ли с помощью статического IP адреса выйти в Интернет?

7.  Чем отличаются IPv4 и IPv6?

8.  В чем различие натройки статической NAT от динамической NAT?

 

4 Лабораторная работа №4. Конфигурирование и проверка ограничений канала VTY

 

Цель работы:

-    использовать класс доступа и команд командной строки для управления доступом Telnet к маршрутизатору;

-    протестировать ACL-списки, чтобы определить, достигнут ли желаемый результат.

 

4.1 Рабочее задание

 

Организуйте сеть, аналогичную той, что изображена на диаграмме. Можно использовать любой маршрутизатор, соответствующий требованиям интерфейса, изображенного на диаграмме топологии (рисунок 1). Например, маршрутизатор серии 800, 1600, 1700, 1800, 2500, 2600, 2800 или любая комбинация этих маршрутизаторов.

Необходимо использовать следующие ресурсы:

-    два коммутатора Cisco 2960 или аналога;

-    два маршрутизатора Cisco серии 1841 или эквивалентные, каждый с последовательным соединением и интерфейсом Ethernet;

-    четыре компьютера на базе ОС Windows, на двух из которых должна быть установлена программа эмуляции терминала, и два должны быть настроены в качестве узлов;

-    как минимум один консольный кабель с разъемами RJ-45 и DB-9 для настройки маршрутизаторов и коммутатора;

-    шесть прямых кабелей Ethernet;

-    один двойной (DTE/DCE) последовательный перекрестный кабель.

Сведения, приведенные в этой лабораторной работе, применимы к маршрутизаторам серии 1841. Допускается использование других маршрутизаторов, однако синтаксис их команд может отличаться.

Примечание. В зависимости от модели маршрутизатора интерфейсы могут отличаться. Например, на некоторых маршрутизаторах интерфейс Serial 0 может обозначаться как Serial 0/0 или Serial 0/0/0, а интерфейс Ethernet 0 - как FastEthernet 0/0. Коммутаторы Cisco Catalyst 2960 поставляются уже настроенными. До подключения к сети нужно только ввести основную информацию о безопасности.

 

 

Рисунок 4.1 – Диаграмма топологии сети

 

Таблица 4.1 – Таблица адресации устройств диаграммы

Устройство

Имя

узла

IP-адрес

FastEthernet

IP-адрес интерфейса Serial0/0/0

Тип интерфейса

Ser0/0/0

Адрес логического интерфейса

loopback

Пароль с шифрованием привилегиро-

ванного

доступа

Пароль консоли, канала vty и режима

enable

Маршру

тизатор 1

R1

192.168.1.1/24

192.168.201.1/30

DTE

 

class

cisco

Маршру

тизатор2

R2

нет

192.168.201.2/30

DCE

 

class

cisco

Коммутатор 1

S1

 

 

 

 

class

cisco

Коммутатор 2

S2

 

 

 

 

class

cisco

Узел 1

H1

192.168.15.2/24

 

 

192.168.15.1

 

 

Узел 2

H2

192.168.15.3/24

 

 

192.168.15.1

 

 

Узел 3

H3

192.168.17.2/24

 

 

192.168.17.1

 

 

Узел 4

H2

192.168.17.3/24

 

 

192.168.17.1

 

 

 

4.2 Порядок выполнения работы

 

Шаг 1. Подключение оборудования:

а)  подключите интерфейс S0/0/0 маршрутизатора 1 к интерфейсу S0/0/0 маршрутизатора 2 посредством последовательного кабеля, как указано на рисунке 1 и таблице адресов;

б)  подключите интерфейс Fa0/0 маршрутизатора 1 к порту Fa0/1 коммутатора 1 посредством прямого кабеля;

в)  подключите узел 1 к порту Fa0/2 коммутатора 1 с помощью прямого кабеля, а также узел 2 к порту Fa0/3 коммутатора 1 с помощью прямого кабеля;

г)   подключите узел 3 к порту Fa0/2 коммутатора 2 с помощью прямого кабеля, а также узел 4 к порту Fa0/3 коммутатора 2 с помощью прямого кабеля.

Шаг 2. Выполните основные действия по конфигурированию на маршрутизаторе 1:

а)  подсоедините ПК к порту консоли маршрутизатора, чтобы выполнить конфигурирование с помощью программы эмуляции терминала;

б)  на маршрутизаторе 1 сконфигурируйте имя узла, интерфейсы, пароли, баннер новости дня и отключите проверку DNS согласно таблице адресов и диаграмме топологии. Сохраните конфигурацию.

Шаг 3. Выполните основные действия по конфигурированию на маршрутизаторе 2.

Шаг 4. Выполните основные действия по конфигурированию на коммутаторах 1 и 2.

 Шаг 5. Сконфигурируйте для узлов IP-адрес, маску подсети и шлюз по умолчанию согласно таблице 1:

а)  сконфигурируйте для узлов IP-адрес, маску подсети и шлюз по умолчанию согласно таблице адресации и диаграмме топологии;

б)  каждая рабочая станция должна иметь возможность проводить эхо-тестирование присоединенного маршрутизатора. Если эхо-тестирование не успешно, необходимо устранить неисправности. Проверьте, присвоен ли рабочей станции IP-адрес и шлюз по умолчанию.

Шаг 6. Сконфигурируйте динамическую маршрутизацию на маршрутизаторах:

а)  сконфигурируйте маршрутизацию по протоколу RIP на R1. Оповестите соответствующие сети;

б)  сконфигурируйте маршрутизацию по протоколу RIP на R2. Оповестите соответствующие сети.

Шаг 7. Проверка подключения:

а)  если сеть конвергируется, укажите четырех адресатов, которым узел Н1 должен уметь отправлять эхо-запросы:__________________;

б)  проверьте связь, отправив эхо-запросы всем адресатам. Если какой-либо запрос не проходит, устраните ошибку в конфигурации маршрутизаторов и главных ПК;

в)  проверьте таблицу маршрутизации на R1.

 

R1#show ip route

 

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

- ODR, P - periodic downloaded static route

Gateway of last resort is not set

C 192.168.15.0/24 is directly connected, FastEthernet0/0

R 192.168.17.0/24 [120/1] via 192.168.16.2, 00:00:09, Serial0/0/0

C 192.168.16.0/24 is directly connected, Serial0/0/0

 

г)   убедитесь, что все три маршрута появились в таблице маршрутизации. Если какого-то маршрута нет, устраните ошибку в конфигурации маршрутизатора;

д)  выполните подключение по Telnet с узлов к обоим маршрутизаторам. Все узлы должны выполнять подключение по Telnet к обоим маршрутизаторам. Если подключение по Telnet не происходит, устраните ошибку в конфигурации маршрутизатора и узла.

Шаг 8. Сконфигурируйте и проверьте ACL-список, который будет ограничивать доступ по Telnet:

а)      создайте стандартный ACL-список, представляющий локальную сеть, присоединенную к R1

 

R1(config)#access-list 1 permit 192.168.15.0 0.0.0.255

 

б)      теперь, когда определен трафик ЛВС, необходимо применить его к линиям каналов vty. Это позволяет пользователям в этой ЛВС связываться с этим маршрутизатором, но блокирует пользователей других ЛВС от установки связи по Telnet с этим маршрутизатором.

 

R1(config)#line vty 0 4

R1(config-line)#access-class 1 in

R1(config-line)#end

 

в)      проверка ограничений.

Шаг 9. Создайте ограничения канала vty для R2:

а)      создайте стандартный ACL-список, который не позволяет узлам ЛВС R1 подключаться по Telnet к R2, но позволяет узлам ЛВС R2 подключаться по Telnet к подсоединенному к ним маршрутизатору.

 

R2(config)#access-list 2 permit 192.168.17.0 0.0.0.255

R2(config)#line vty 0 4

R2(config-line)#access-class 2 in

R2(config-line)#end

 

б)      проведите тестирование, чтобы убедиться, что этот ACL-список отвечает поставленным перед ним целям. Если он не отвечает целям, устраните ошибки, просмотрев выходные данные команды show running-config, чтобы убедиться, что ACL-список присутствует и применен к нужному интерфейсу.

 

4.3 Контрольные вопросы

 

1.      Почему ACL-список с ограничениями канала vty полезен при конфигурировании маршрутизатора?

2.      Каково основное назначение Firewall?

3.      Перечислите функции устройства безопасности ASA.

4.      Можно ли с помощью команды show running-config увидеть настроенный ACL-список?

5.      Метод шифрования данных RSA.

6.      Сравните методы удаленного соединения Telnet и SSH.

7.      Почему метод SSH считается более безопасным?

8.      Какие функции безопасности можно настроить на маршрутизаторе?

 

                                

5 Лабораторная работа №5. Применение базовых мер безопасности для коммутатора

 

Цель работы:

-      задать в настройках конфигурации пароли для защиты доступа к командной строке;

-      задать в настройках конфигурации коммутатора необходимость удаления информации о состоянии сервера в целях безопасности;

-      выполнить настройку безопасности порта;

-      отключить неиспользуемые порты;

-      выполнить тестирование конфигурации путем подключения неопределенных узлов к безопасным портам.

 

 

Рисунок 5.1 – Диаграмма топологии сети

 

            Таблица 5.1 - Таблица адрессации устройств диаграммы

Устройство

IP-адрес

 

Маска подсети

Шлюз по умолчанию

Пароль с шифрова

нием привилегиро

ванного

доступа

Пароль консоли и виртуаль

ного терминала

ПК 1

192.168.1.3

255.255.255.0

192.168.1.1

 

 

ПК 2

192.168.1.4

255.255.255.0

192.168.1.1

 

 

ПК 3

192.168.1.5

255.255.255.0

192.168.1.1

 

 

Коммута

тор 1

192.168.1.2

255.255.255.0

192.168.1.1

class

cisco

 

5.1 Рабочее задание

 

В данной лабораторной работе студенты должны организовать сеть, аналогичную той, что изображена на диаграмме топологии.

Необходимо использовать следующие ресурсы:

-       коммутатор Cisco 2960 или аналог;

-       два ПК с ОС Windows, на одном или обоих сразу должна быть установлена программа эмуляции терминала;

-       один или большее количество консольных кабелей с разъемами RJ45 и DB9;

-       два прямых кабеля Ethernet (для подсоединения ПК 1 и ПК 2 к коммутатору);

-       доступ к командной строке ПК;

-       доступ к сетевой конфигурации TCP/IP ПК.

 

Примечание. Убедитесь в том, что начальная конфигурация коммутатора удалена.

 

5.2 Порядок выполнения работы

 

Шаг 1. Подсоединение ПК 1 к коммутатору:

а)      подсоедините ПК 1 к порту коммутатора Fa0/1. Выполните настройку ПК 1, задав IP-адрес, маску подсети и шлюз по умолчанию согласно таблице (см. выше);

б)      с ПК 1 запустите программу эмуляции терминала и установите сеанс связи с коммутатором.

Шаг 2. Подсоединение ПК 2 к коммутатору:

а)      подсоедините ПК 2 к интерфейсу Fa0/4 коммутатора;

б)      выполните настройку ПК 2, задав IP-адрес, маску подсети и шлюз по умолчанию согласно таблице (см. выше).

Шаг 3. Настройка ПК 3 без подключения

Для целей данной лабораторной работы требуется третий узел:

а)      в качестве IP-адреса ПК 3 укажите 192.168.1.5. Маска подсети - 255.255.255.0, шлюз по умолчанию - 192.168.1.1;

б)      подключать этот компьютер к коммутатору на данном этапе не следует. Он будет использоваться позднее для тестирования безопасности.

Шаг 4. Настройка начальной конфигурации коммутатора:

а)      в качестве имени узла коммутатора задайте Switch1

 

Switch>enable

Switch#config terminal

Switch(config)#hostname Switch1

 

б)      в качестве пароля привилегированного режима EXEC укажите cisco

 

Switch1(config)#enable password cisco

 

в)      в качестве пароля с шифрованием привилегированного режима EXEC укажите class

Switch1(config)#enable secret class

 

г)       укажите необходимость использования пароля в строках виртуального терминала и консоли, а также обязательного запроса пароля при входе в систему.

Switch1(config)#line console 0

Switch1(config-line)#password cisco

Switch1(config-line)#login

Switch1(config-line)#line vty 0 15

Switch1(config-line)#password cisco

Switch1(config-line)#login

Switch1(config-line)#end

 

д)      завершите сеанс консоли и войдите в систему снова. Какой пароль запросила система при входе в привилегированный режим EXEC?_____________________________________________________________

Почему?_______________________________________________________

Шаг 5. Настройка интерфейса управления коммутатора в сети VLAN 1

а)      войдите в режим конфигурации интерфейса для VLAN 1

 

Switch1(config)#interface vlan 1

 

б)      задайте IP-адрес, маску подсети и шлюз по умолчанию для интерфейса управления

 

Switch1(config-if)#ip address 192.168.1.2 255.255.255.0

Switch1(config-if)#no shutdown

Switch1(config-if)#exit

Switch1(config)#ip default-gateway 192.168.1.1

Switch1(config)#end

 

Почему интерфейс VLAN1 требует IP-адрес для этой локальной сети?

______________________________________________________________

Для чего предназначен шлюз по умолчанию?

_______________________________________________________________

Шаг 6. Проверка настроек управления локальными сетями:

а)      убедитесь, что IP-адрес интерфейса управления коммутатора VLAN 1 и IP-адреса ПК 1 и ПК 2 расположены в одной сети. Введите команду show running-config, чтобы проверить настройку IP-адреса на коммутаторе;

б)      проверьте настройки интерфейса в VLAN 1.

Switch1#show interface vlan 1

Какова полоса пропускания этого интерфейса? ___________________________________________________________

Шаг 7.  Отключите функцию http-сервера на коммутаторе

 

Switch1(config)#no ip http server

 

Шаг 8. Проверка подключения:

а)      для проверки правильной настройки конфигурации узлов и коммутатора выполните с узлов тестирование доступности IP-адреса коммутатора с помощью эхо-запроса.

Успешно ли выполнены эхо-запросы? ___________________________

Если эхо-запрос выполнить не удалось, проверьте подсоединения и конфигурацию. Убедитесь в том, что все кабели подключены правильно и надежно. Проверьте конфигурацию узла и коммутатора.

б)      сохраните конфигурацию.

Шаг 9. Запись MAC-адреса

Определите и запишите адреса 2-го уровня сетевых интерфейсных плат. В командной строке на каждом компьютере введите ipconfig /all.

ПК1 ___________________________________________________

ПК 2 __________________________________________________

ПК 3 __________________________________________________

Шаг 10. Определение MAC-адресов, информацию о которых получил коммутатор. Выясните, какие MAC-адреса определил коммутатор с помощью команды show mac-address-table, введенной в приглашение привилегированного режима EXEC.

 

Switch1#show mac-address-table

 

Сколько динамических адресов присутствует? _____________

Сколько всего динамических адресов присутствует? ____________

Соответствуют ли MAC-адреса MAC-адресам узла? ____________

Шаг 11. Просмотрите параметры, доступные для команды show mac-address-table.

 

Switch1(config)#show mac-address-table ?

 

Какие параметры доступны?____________________________

Шаг 12. Назначение статического MAC-адреса.

Задайте статический MAC-адрес на интерфейсе Fa0/4. Используйте адрес, записанный для ПК 2 на шаге 9. MAC-адрес 00e0.2917.1884 используется только в этом примере

 

Switch1(config)#mac-address-table static 00e0.2917.1884 vlan 1 interface fastethernet 0/4

 

Шаг 13. Проверка результатов:

а)    выполните проверку записей в таблице MAC-адресов.

 

Switch1#show mac-address-table

Сколько динамических MAC-адресов присутствует сейчас в таблице?

Сколько статических MAC-адресов присутствует сейчас в таблице? Удалите статический адрес из таблицы MAC-адресов

 

Switch1(config)#no mac-address-table static 00e0.2917.1884 vlan 1 interface fastethernet 0/4

 

Шаг 14. Перечисление параметров безопасности порта:

а)      определите параметры безопасности для интерфейса FastEthernet 0/4.

 

Switch1(config)#interface fastethernet 0/4

Switch1(config-if)#switchport port-security ?

 

Какие параметры доступны?

____________________________________________________________

б)      чтобы разрешить порту FastEthernet 0/4 коммутатора принимать только одно устройство, настройте конфигурацию безопасности порта.

 

Switch1(config-if)#switchport mode access

Switch1(config-if)#switchport port-security

Switch1(config-if)#switchport port-security mac-address sticky

 

в)      выйдите из режима конфигурации и проверьте настройки безопасности порта.

 

Switch1#show port-security

 

Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action

(Count) (Count) (Count)

---------------------------------------------------------------------------

Fa0/5 1 0 0 Shutdown

---------------------------------------------------------------------------

Что произойдет, если вместо ПК 2 к интерфейсу Fa0/4 попытается подключиться другой узел?_____________________________________________

Шаг 15. Ограничение числа узлов для каждого порта:

а)      на интерфейсе FastEthernet 0/4 установите значение максимального числа MAC-адресов порта в значение 1.

 

Switch1(config-if)#switchport port-security maximum 1;

 

б)      отсоедините ПК, подсоединенный к FastEthernet 0/4. Подсоедините ПК 3 к FastEthernet 0/4. ПК 3 присвоили IP-адрес 192.168.1.5, но он еще не подключен к коммутатору. Чтобы вызвать трафик, возможно, понадобится выполнить тестирование доступности адреса 192.168.1.2 коммутатора.

Зафиксируйте свои наблюдения.___________________________________ ____________________________________________________________________

Шаг 16. Настройка порта на отключение при нарушении безопасности:

а)      в случае нарушения безопасности интерфейс отключится. Чтобы порт отключался при нарушении безопасности, введите следующую команду:

Switch1(config-if)#switchport port-security violation shutdown

Какие еще параметры безопасности порта доступны? _________________________________________________________

б)      при необходимости протестируйте доступность адреса 192.168.1.2 коммутатора с ПК 3 192.168.1.5. Этот ПК теперь подключен к интерфейсу FastEthernet 0/4. Это обеспечивает движение трафика от ПК к коммутатору;

в)      зафиксируйте свои наблюдения_____________________________

________________________________________;

г)       проверьте настройки безопасности порта.

 

Switch1#show port-security

 

Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action

(Count) (Count) (Count)

---------------------------------------------------------------------------

Fa0/5 1 1 0 Shutdown

---------------------------------------------------------------------------

Шаг 17. Отображение информации о конфигурации порта 0/4

Для просмотра информации, касающейся только порта FastEthernet 0/4, введите команду show interface fastethernet 0/4 в приглашение режима привилегированного доступа EXEC.

 

Switch1#show interface fastethernet 0/4

 

Шаг 18. Повторное включение порта:

а)      если произошло нарушение безопасности и порт отключился, воспользуйтесь командой shutdown / no shutdown для повторного включения порта;

б)      попробуйте повторно включить порт несколько раз, переключаясь между исходным узлом порта 0/4 и каким-либо новым. Подключите исходный узел, введите команду no shutdown на интерфейсе и выполните тестирование связи с помощью команды ping.

Тестирование связи с помощью команды ping следует повторить несколько раз; можно также использовать команду ping 192.168.1.2 –n 200. Эта команда устанавливает число пакетов, равное 200, а не 4. Затем поменяйте узлы и повторите попытку.

Шаг 19. Отключите любые порты коммутатора, которые не используются.

Switch1(config)#interface range Fa0/5 - 24

Switch1(config-if-range)#shutdown

Switch1(config)#interface range gigabitethernet0/1 - 2

Switch1(config-if-range)#shutdown

 

5.3 Контрольные вопросы

 

1.  Зачем следует включать безопасность порта на коммутаторе?

2.  Зачем нужно отключать неиспользуемые порты коммутатора?

3.  Что такое статический MAC – адрес?

4.  Что такое динамический MAC – адрес?

5.  Что такое sticky Mac – адрес?

6.  Как настраивается режим реагирования на нарушения безопасности?

7.  Какой командой можно указать количество безопасных MAC – адресов?

8.  Как настраивается безопасность порта для коммутатора?

 

 6 Лабораторная работа № 6. Фильтрация межсетевого трафика (между VLAN)

 

Цель работы:

-    настроить сети VLAN на коммутаторе;

-    настроить и проверить создание магистралей4

-    настроить маршрутизатор для межсетевой маршрутизации (между VLAN);

-    настроить, применить и протестировать ACL-список для фильтрации межсетевого трафика (между VLAN).

 

6.1 Рабочее задание

 

Организуйте сеть, аналогичную той, что изображена на диаграмме. Можно использовать любой маршрутизатор, соответствующий требованиям интерфейса, изображенного на диаграмме топологии (рисунок 1). Например, маршрутизатор серии 800, 1600, 1700, 1800, 2500, 2600, 2800 или любая комбинация этих маршрутизаторов.

Необходимо использовать следующие ресурсы:

-        коммутатор Cisco 2960 или аналог;

-        один маршрутизатор Cisco 1841 или другой совместимый маршрутизатор;

-        три ПК на базе ОС Windows, на каждом из которых должна быть установлена программа эмуляции терминала;

-        как минимум один консольный кабель с разъемами RJ-45 и DB-9 для настройки маршрутизатора и коммутатора;

-        четыре прямых кабеля Ethernet.

Сведения, приведенные в этой лабораторной работе, применимы к маршрутизаторам серии 1841. Другие маршрутизаторы также могут работать, однако синтаксис команд может отличаться.

Примечание. В зависимости от модели маршрутизатора интерфейсы могут отличаться. Например, на некоторых маршрутизаторах интерфейс Serial 0 может обозначаться как Serial 0/0 или Serial 0/0/0, а интерфейс Ethernet 0 - как FastEthernet 0/0. Коммутаторы Cisco Catalyst 2960 поставляются уже настроенными. До подключения к сети нужно только ввести основную информацию о безопасности.

 

 

Рисунок 6.1 – Диаграмма топологии сети

 

Таблица 6.1 – Таблица адресации устройств диаграммы

Устройство

Имя

узла

IP-адрес

FastEthernet

IP-адрес шлюза по умолчанию

Названия и номера сетей VLAN

Назначение портов коммутатора

Пароль с шифрованием привилегиро-

ванного

доступа

Пароль консоли, канала vty и режима

enable

Маршру

тизатор 1

R1

Fa0/0:нет

Fa0/0.1:

192.168.1.1/24

Fa0/0.2:

192.168.2.1/24

Fa0/0.3:

192.168.3.1/24

Fa0/0.4:

192.168.4.1/24

 

 

 

class

cisco

Продолжение таблицы 6.1

Коммутатор 1

S1

192.168.1.2/24

192.168.1.1

Собственная VLAN1

VLAN10 серверов

VLAN20пользовательская 1

VLAN30 пользовательская 2

 

 

 

 

Fa0/1

Fa0/2

Fa0/5

Fa0/8

 

 

 

 

 

 

class

 

 

 

 

 

 

cisco

Узел 1

H1

192.168.2.10/24

192.168.2.1

 

 

 

 

Узел 2

H2

192.168.3.10/24

192.168.3.1

 

 

 

 

Узел 3

H3

192.168.4.10/24

192.168.4.1

 

 

 

 

 

6.2 Порядок выполнения работы

 

Шаг 1. Подключение оборудования:

а)      подключите интерфейс Fa0/0 маршрутизатора 1 к порту Fa0/1 коммутатора;

б)      подключите компьютеры посредством консольного кабеля, чтобы провести конфигурирование маршрутизатора и коммутатора;

в)      подключите ПК узлов с помощью прямых кабелей к следующим портам коммутатора: узел 1 к Fa0/2; узел 2 к Fa0/5; узел 3 к Fa0/8.

Шаг 2. Выполните основные действия по конфигурированию на маршрутизаторе 1 по таблице 1.

Шаг 3. Настройка R1 для поддержки межсетевого трафика (между VLAN).

Интерфейс FastEthernet 0/0 на маршрутизаторе R1 будет преобразован в подынтерфейс для маршрутизации трафика, поступающего от каждой из трех сетей VLAN. IP-адрес каждого подынтерфейса станет шлюзом по умолчанию для указанной сети VLAN.

 

R1#configure terminal

R1(config)#interface fastethernet 0/0

R1(config-if)#no shutdown

R1(config-if)#interface fastethernet 0/0.1

R1(config-subif)#encapsulation dot1q 1

R1(config-subif)#ip address 192.168.1.1 255.255.255.0

R1(config-subif)#interface fastethernet 0/0.2

R1(config-subif)#encapsulation dot1q 10

R1(config-subif)#ip address 192.168.2.1 255.255.255.0

R1(config-subif)#interface fastethernet 0/0.3

R1(config-subif)#encapsulation dot1q 20

R1(config-subif)#ip address 192.168.3.1 255.255.255.0

R1(config-subif)#interface fastethernet 0/0.4

R1(config-subif)#encapsulation dot1q 30

R1(config-subif)#ip address 192.168.4.1 255.255.255.0

R1(config-subif)#end

R1#copy running-config startup-config

 

Примечание. Для целей данной лабораторной работы каждой сети VLAN присваивается только репрезентативный интерфейс. При присвоении сети VLAN нескольких портов используйте параметр range. Например, при присвоении портов с 0/2 по 0/4 сети VLAN 10, используйте следующую последовательность команд:

S1(config)#interface range fastethernet 0/2 - 4

S1(config-if-range)#switchport mode access

S1(config-if-range)#switchport access vlan 10

 

Шаг 4. Выполнение основных действий по конфигурированию на коммутаторе 1 по таблице 1.

Шаг 5. Создание, именование и выделение портов для трех сетей VLAN на коммутаторе S1.

Данная сеть содержит одну сеть VLAN для серверной фермы и две сети VLAN для групп пользователей:

а)  для создания трех VLAN введите следующие команды:

 

S1(config)#vlan 10

S1(config)#name Servers

S1(config)#vlan 20

S1(config)#name Users1

S1(config)#vlan 30

S1(config)#name Users2

 

б)  присвойте порт каждой сети VLAN, согласно таблице адресации.

 

S1#configure terminal

S1(config)#interface fastethernet0/2

S1(config-if)#switchport mode access

S1(config-if)#switchport access vlan 10

S1(config)#interface fastethernet0/5

S1(config-if)#switchport mode access

S1(config-if)#switchport access vlan 20

S1(config)#interface fastethernet0/8

S1(config-if)#switchport mode access

S1(config-if)#switchport access vlan 30

 

Шаг 6. Создание магистрали на коммутаторе S1.

Чтобы установить интерфейс Fa0/1 в качестве магистрального порта введите следующую команду:

S1(config)#interface fastethernet 0/1

S1(config-if)#switchport mode trunk

S1(config-if)#end

 

Шаг 7. Настройка узлов. Настройте правильный IP-адрес, маску подсети и шлюз по умолчанию для каждого узла согласно таблице 1.

Шаг 8. Проверка работы сети:

а)      с каждого подключенного узла выполните эхо-тестирование двух других узлов и IP-адресов подынтерфейсов каждого маршрутизатора.

Успешно ли выполнены эхо-запросы? __________

          Если ответ отрицательный, выполните поиск и устранение ошибок в конфигурации маршрутизатора, коммутатора и узла;

б)      с коммутатора S1 направьте эхо-запрос на шлюз маршрутизатора по умолчанию 192.168.1.1;

          Успешно ли выполнены эхо-запросы? __________

в)      используйте команду show ip interfaces brief и проверьте статус каждого интерфейса или подынтерфейса;

г) повторяйте эхо-запросы до успешного ответа.

 

Шаг 9. Настройка, применение и тестирование расширенного ACL-списка для фильтрации межсетевого трафика (между VLAN).

Участники сети пользовательской VLAN 1 не должны иметь доступа к серверной ферме, а участники другой сети VLAN должны иметь доступ друг к другу и к маршрутизатору. Пользовательская VLAN 1 должна иметь доступ к сетям VLAN, отличным от серверной фермы.

а)  создайте инструкции ACL-списка:

 

R1(config)#access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255

R1(config)#access-list 100 permit ip any any

 

б)  примените ACL-список и выполните тестирование, направив эхо-запрос с ПК2 на ПК1 и на ПК3. Если ACL-список работает правильно, эхо-запросы с ПК2 на ПК1 пройти не должны. Все остальные эхо-запросы должны быть успешными. Если результаты не отвечают этим требованиям, выполните диагностику неисправности синтаксиса и размещения ACL-списка.

6.3 Контрольные вопросы

1. Почему полезно выполнять и проверять базовые настройки и настройки сетей VLAN перед созданием и применением ACL-списка?

2. Почему не обязательно указывать, какой магистральный протокол (dot1q, ISL) будет использоваться?

3. Почему полезно размещать серверную ферму в отдельной сети VLAN?

4. Почему необходимо указывать тип инкапсуляции каждого подынтерфейса?

5.Что такое port-security?

6. Какие модули безопасности для коммутатора Вы знаете?

7. Отличие trunk порта от access порта.

8. Ограничивает ли VLAN широковещательный домен и домен коллизии?

Список литературы

1.Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 3-изд. – СПб.: «Питер», 2006. – 958 c.

2. Программа сетевой академии Cisco CCNA 1 и 2. Вспомогательное руководство. 3-е изд. с испр.: пер. с англ. – М.: Вильямс, 2005. – 1168 с.

3. Амато Вито. Основы организации сетей Cisco, том 1 и 2.: Испр. Пер. с англ. – М.: Издательский дом «Вильямс», 2004. – 512, 464 с.

4. Гук М. Аппаратные средства локальных сетей. Энциклопедия  –  СПб: Издательство «Питер», 2000.  –  576 с.

5. Закер К. Компьютерные сети. Модернизация и поиск неисправностей: Пер. с англ. – СПб.: БХИ-Петербург, 2001. – 1008 с.

6. Кульгин М. Компьютерные сети. Практика построения. Для профессионалов. 2-издание. – СПб.: Изд-во «Питер», 2003. – 462 с.

7. Кульгин М. Технологии корпоративных сетей. Энциклопедия. – СПб.: Изд-во «Питер», 1999. – 704 с.

8. Леинванд А., Пински Б., Конфигурирование маршрутизаторов, 2-е изд.: Пер. с англ. Авторизованное учебное пособие. Cisco Press.
– М.: Вильямс, 2001. – 368 с.

9. Палмер М., Синклер Р.Б. Проектирование и внедрение компьютерных сетей. Учебный курс. 2-издание. – СПб.: БХВ-Петербург, 2004. – 752 с.

10. Работы учебные. Фирменный стандарт ФС РК 10352-1910-У-е-001-2002. Общие требования к построению, изложению, оформлению и содержанию. – Алматы, АИЭС, 2002. – 31 с.

11. Спортак М., Паппас Ф. Компьютерные сети и сетевые технологии.  –  Киев: «ТИД «ДС», 2002.

12. Столлингс В. Современные компьютерные сети (серия «Классика computer science»). 2-изд.  –  СПб.: «Питер», 2003.  –  783 с. 

13. Таненбаум Э. Компьютерные сети.  –  СПб: «Питер», 2003.  –  992 с.

Доп. план 2013г. поз.11

Алия Советжановна Тергеусизова
Зухра Муратовна Рахимжанова

БЕЗОПАСНОСТЬ КОМПЬЮТЕРНЫХ СЕТЕЙ И СИСТЕМ
Методические указания к выполнению лабораторных работ для студентов специальности
5В070400 – Вычислительная техника и программное обеспечение

Редактор Н.М.Голева
Специалист по стандартизации Н.К. Молдабекова

Подписано в печать ___.___._____.
Формат 60х84 1/16
Тираж 50 экз.
Бумага типогр. №1
Объем 2,7 уч.- изд. л.
Заказ _ Цена 1350 тн.

Копировально-множительное бюро
некоммерческого акционерного общества
«Алматинский университет энергетики и связи»
050013, Алматы, Байтурсынулы, 126