Настройка и проверка ограничений VTY Топология, Рефераты из Сети и Телекоммуникации

Скачай Настройка и проверка ограничений VTY Топология и еще Рефераты в формате PDF Сети и Телекоммуникации только на Docsity! Лабораторная работа. Настройка и проверка ограничений VTY Топология Таблица адресации Устройство Интерфейс IP-адресадрес Маска подсети Шлюз по умолчанию R1 G0/0 192.168.0.1 255.255.255.0 — G0/1 192.168.1.1 255.255.255.0 — S1 VLAN 1 192.168.1.2 255.255.255.0 192.168.1.1 PC-A Сетевой адаптер 192.168.1.3 255.255.255.0 192.168.1.1 PC-B Сетевой адаптер 192.168.0.3 255.255.255.0 192.168.0.1 Задачи Часть 1. Настройка основных параметров устройства Часть 2. Настройка и применение списка контроля доступа на маршрутизаторе R1 Часть 3. Проверка списка контроля доступа с помощью Telnet Часть 4. Задание повышенной сложности. Настройка и применение списка контроля доступа на коммутаторе S1 Общие сведения/сценарий Рекомендуется ограничивать доступ к интерфейсам управления маршрутизатором, например консольное соединение и каналы VTY. Список контроля доступа (ACL) можно использовать для ACL) можно использовать для разрешения доступа определенным IP-адресам, благодаря чему только компьютеры администраторов имеют доступ к маршрутизатору через telnet или SSH. Примечание. В выходных данных устройств Cisco список контроля доступа обозначается как access- list. В этой лабораторной работе вам предстоит создать и применить стандартный именованный ACL- список, ограничивающий удаленный доступ к VTY-каналам маршрутизатора. После создания и применения ACL-списка вам нужно проверить его функционирование путем получения доступа к маршрутизатору с различных IP-адресов посредством Telnet. В этой лабораторной работе предоставлены все команды, необходимые для создания и применения ACL-списка. Лабораторная работа. Настройка и проверка ограничений VTY Необходимые ресурсы  1 маршрутизатор (ACL) можно использовать для Cisco 1941 с операционной системой Cisco IOS 15.2(ACL) можно использовать для 4)M3 (ACL) можно использовать для универсальный образ) или аналогичная модель)  1 коммутатор (ACL) можно использовать для Cisco 2960 с ПО Cisco IOS версии 15.0(ACL) можно использовать для 2) с образом lanbasek9 или аналогичная модель)  2 ПК (ACL) можно использовать для Windows 7, Vista или XP с программой эмуляции терминала, например, Tera Term))  Консольные кабели для настройки устройств Cisco IOS через консольные порты  Кабели Ethernet, расположенные в соответствии с топологией. Примечание. Интерфейсы Gigabit Ethernet на маршрутизаторах Cisco 1941 определяют скорость автоматически, поэтому для подключения маршрутизатора к PC-B можно использовать прямой кабель Ethernet. При использовании другой модели маршрутизатора Cisco может возникнуть необходимость использовать перекрестный кабель Ethernet. Часть 1: Настройка основных параметров устройств В первой части лабораторной работы от вас потребуется создать топологию сети и настроить IP- адреса интерфейсов, доступ к устройствам и пароли на маршрутизаторе. Шаг 1: Создайте сеть, как изображено на диаграмме топологии. Шаг 2: Настройте сетевые параметры на узлах PC-адресA и PC-адресB в соответствии с таблицей адресации. Шаг 3: Выполните инициализацию и перезагрузку маршрутизатора и коммутатора. a. Подключитесь к маршрутизатору с помощью консоли и перейдите в режим глобальной настройки. b. Скопируйте приведенную ниже базовую конфигурацию и вставьте ее в текущую конфигурацию на маршрутизаторе. no ip domain-lookup hostname R1 service password-encryption enable secret class banner motd # Unauthorized access is strictly prohibited. # Line con 0 © Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. В данном документе содержится общедоступная информация компании Cisco. Страница 2 из 7 Лабораторная работа. Настройка и проверка ограничений VTY c. Посмотрите параметры команды ip access-адресlist standard, используя пробел и знак вопроса. R1(config)# ip access-list standard ? <1-99> Standard IP access-list number <1300-1999> Standard IP access-list number (expanded range) WORD Access-list name d. Добавьте ADMIN-адресMGT в конце команды ip access-адресlist standard и нажмите клавишу Enter. Теперь вы находитесь в режиме конфигурации стандартного именованного списка доступа (ACL) можно использовать для config-std- nacl). R1(config)# ip access-list standard ADMIN-MGT R1(config-std-nacl)# e. Построчно введите записи разрешения (ACL) можно использовать для perm)it) или запрета (ACL) можно использовать для deny), которые также называют ), которые также называют правилами ACL-списка (ACL) можно использовать для записи ACE). Помните, что в конце ACL-списка стоит скрытая запись deny any, которая запрещает весь трафик. Введите знак вопроса, чтобы просмотреть параметры команды. R1(config-std-nacl)# ? Standard Access List configuration commands: <1-2147483647> Sequence Number default Set a command to its defaults deny Specify packets to reject exit Exit from access-list configuration mode no Negate a command or set its defaults permit Specify packets to forward remark Access list entry comment f. Создайте разрешающую запись ACE для компьютера администратора PC-A в сети 192.168.1.3, а также дополнительную запись ACE, разрешающую доступ другим зарезервированным административным IP-адресам от 192.168.1.4 до 192.168.1.7. Обратите внимание, как первая разрешающая запись ACE обрабатывает одиночный хост, используя ключевое слово host. Вместо этого можно было бы использовать ACE-запись permit 192.168.1.3 0.0.0.0. Вторая разрешающая запись ACE обеспечивает доступ узлам от 192.168.1.4 до 192.168.1.7 с помощью шаблонной маски 0.0.0.3, которая является обратной маской маски подсети 255.255.255.252. R1(config-std-nacl)# permit host 192.168.1.3 R1(config-std-nacl)# permit 192.168.1.4 0.0.0.3 R1(config-std-nacl)# exit Создание запрещающей записи не требуется, поскольку в конце любого ACL-списка имеется косвенная запись deny any. g. Теперь, когда вы создали именованный список ACL, примените его на каналах vty), которые также называют . R1(config)# line vty 0 15 R1(config-line)# access-class ADMIN-MGT in R1(config-line)# exit Часть 3: Проверка списка контроля доступа с помощью Telnet В третьей части лабораторной работы вам предстоит использовать Telnet для доступа к маршрутизатору с целью проверки корректности функционирования именованного ACL-списка. Примечание. SSH является более безопасным протоколом, чем Telnet; однако для использования SSH сетевое устройство должно быть настроено на прием SSH-подключений. Для удобства в данной лабораторной работе используется Telnet. © Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. В данном документе содержится общедоступная информация компании Cisco. Страница 5 из 7 Лабораторная работа. Настройка и проверка ограничений VTY a. Откройте командную строку на компьютере PC-A и проверьте подключение к маршрутизатору с помощью команды ping. b. С помощью командной строки на PC-A запустите клиентскую программу Telnet, чтобы настроить подключение к маршрутизатору по протоколу telnet. Введите логин и пароли привилегированного режима. После этого вы должны войти, увидеть баннерное сообщение и оказаться в консольном режиме маршрутизатора R1. c. Измените IP-адрес, чтобы убедиться, что именованный ACL-список блокирует неразрешенные IP- адреса. Измените IPv4-адрес PC-А на 192.168.1.100. d. Снова попытайтесь подключиться по telnet к маршрутизатору R1 по адресу 192.168.1.1. Сеанс Telnet прошел успешно? e. Измените IP-адрес на PC-A, чтобы убедиться, что именованный ACL-список разрешает узлу с IP- адресом в диапазоне от 192.168.1.4 до 192.168.1.7 подключаться к маршрутизатору по telnet. После изменения IP-адреса на PC-A откройте командную строку Windows и попытайтесь подключиться к маршрутизатору R1 по telnet. © Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. В данном документе содержится общедоступная информация компании Cisco. Страница 6 из 7 Лабораторная работа. Настройка и проверка ограничений VTY f. В привилегированном режиме на R1 введите команду show ip access-адресlists и нажмите клавишу Enter. В выходных данных команды обратите внимание, как устройство Cisco IOS автоматически назначает номера строк записям доступа ACL-списка с шагом 10 и показывает количество успешных совпадений для каждого разрешающего правила (ACL) можно использовать для в скобках). g. Войдите в режим глобальной конфигурации на маршрутизаторе R1. h. Войдите в режим конфигурации списка доступа под именем ADMIN-MGT и добавьте запись deny any в конец ACL-списка. R1(config)# ip access-list standard ADMIN-MGT R1(config-std-nacl)# deny any R1(config-std-nacl)# exit i. В привилегированном режиме введите команду show ip access-адресlists и нажмите клавишу Enter. Вы должны увидеть несколько совпадений с записями deny any. © Корпорация Cisco и/или ее дочерние компании, 2016. Все права защищены. В данном документе содержится общедоступная информация компании Cisco. Страница 7 из 7