Labb 1: Ext ACL

Lab 5413 Extended ACL | Sammanfattning av ACL

Syftet med den här laborationen är att implementera Access Control Lists (ACL) på routrar i ett nätverk bestående av tre routrar (R1, R2, R3) och tre LAN. Varje LAN har en server och en PC med olika tjänster som DNS, FTP och webbserver. Målet är att använda ACL för att kontrollera vilken trafik som tillåts eller blockeras mellan olika nätverk, vilket ger en grundläggande säkerhetsfunktion i nätverket.

Topologi

Nätverkstrafikfiltrering 1

Använd Extended ACL 120 (nära till source, från LAN 1, dvs R1):

Tillåt ping-trafik från LAN 1 (192.168.1.0/24) till enbart server ns2-www (192.168.2.200), men blockera ping till andra enheter i LAN 2 (inklusive PC).
- Det innebär att ICMP-echo-trafik till servern 192.168.2.200 ska tillåtas, men att all annan ping (ICMP) till andra enheter i LAN 2 ska blockeras.
Tillåt webbtrafik (port 80) från LAN 1 (192.168.1.0/24) till enbart server ns2-www (192.168.2.200), men blockera webbtrafik till andra enheter i LAN 2 (inklusive PC).
- Här tillåts TCP-trafik på port 80 från 192.168.1.0/24 till servern 192.168.2.200, medan andra enheter i LAN 2 (inklusive PC) inte får ta emot webbtrafik.
Blockera ping-trafik (ICMP) från LAN 1 (192.168.1.0/24) till alla enheter i LAN 2 (192.168.2.0/24).
- Detta innebär att ICMP-trafik från 192.168.1.0/24 till 192.168.2.0/24 ska blockeras helt, förutom den specifika regeln som redan tillåter ping till server 192.168.2.200.
Tillåt all annan IP-trafik från LAN 1 (192.168.1.0/24) till alla andra LAN.
- Alla andra typer av trafik som inte är specifikt blockerade ska tillåtas från 192.168.1.0/24 till alla andra nätverk.

Nätverkstrafikfiltrering 2

Använd Extended Named ACL FTP-ACCESS (nära till source, från LAN 2, dvs R2):

Blockera all ping-trafik (ICMP) från 192.168.2.0/24 till 192.168.1.0/24.
Tillåt FTP-trafik (port 21) från 192.168.2.0/24 till server ns1-ftp (192.168.1.200), men blockera FTP-trafik till alla andra enheter i LAN 1.
Tillåt all annan IP-trafik från 192.168.2.0/24 till alla andra nätverk.

Nätverkstrafikfiltrering 3

Använd Numrerad Standard ACL (nära till destinationen, till LAN3, dvs. R3):

Blockera all trafik från LAN 1 (192.168.1.0) till LAN 3
Tillåt all annan IP-trafik

Konfigurationer

Slutenheter:

ns1-ftp
IPv4 Address: 192.168.1.200
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.1.1
DNS server: 192.168.1.1
ns2-www
IPv4 Address: 192.168.2.200
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.2.1
DNS server: 192.168.2.200
ns3
IPv4 Address: 192.168.3.200
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.3.1
DNS server: 192.168.3.200
PC1
IPv4 Address: 192.168.1.100
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.1.1
DNS server: 192.168.1.200
PC2
IPv4 Address: 192.168.2.100
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.2.1
DNS server: 192.168.2.200
PC3
IPv4 Address: 192.168.3.100
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.3.1
DNS server: 192.168.3.200

R1 konfigurationer

R1(config)# interface g0/0
R1(config-if)# description Connected to LAN 1
R1(config-if)# ip address 192.168.1.1 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)# exit
!
R1(config)# interface g0/1
R1(config-if)# description Connected to R2
R1(config-if)# ip address 172.16.1.1 255.255.255.252
R1(config-if)# no shutdown
R1(config-if)# exit
!
R1(config)# router eigrp 100
R1(config-router)# no auto-summary
R1(config-router)# network 192.168.1.0 0.0.0.255
R1(config-router)# network 172.16.1.0 0.0.0.3
R1(config-router)# exit
R1(config)#

R2 konfigurationer

R2(config)# interface g0/0
R2(config-if)# description Connected to LAN 2
R2(config-if)# ip address 192.168.2.1 255.255.255.0
R2(config-if)# no shutdown
R2(config-if)# exit
!
R2(config)# interface g0/1
R2(config-if)# description Connected to R1
R2(config-if)# ip address 172.16.1.2 255.255.255.252
R2(config-if)# no shutdown
R2(config-if)# exit
!
R2(config)# interface g0/2
R2(config-if)# description Connected to R3
R2(config-if)# ip address 172.16.1.5 255.255.255.252
R2(config-if)# no shutdown
R2(config-if)# exit
!
R2(config)# router eigrp 100
R2(config-router)# no auto-summary
R2(config-router)# network 192.168.2.0 0.0.0.255
R2(config-router)# network 172.16.1.0 0.0.0.3
R2(config-router)# network 172.16.1.4 0.0.0.3
R2(config-router)# exit
R2(config)#

R3 konfigurationer

R3(config)# interface g0/0
R3(config-if)# description Connected to LAN 3
R3(config-if)# ip address 192.168.3.1 255.255.255.0
R3(config-if)# no shutdown
R3(config-if)# exit
!
R3(config)# interface g0/2
R3(config-if)# description Link to R2
R3(config-if)# ip address 172.16.1.6 255.255.255.252
R3(config-if)# no shutdown
R3(config-if)# exit
!
R3(config)# router eigrp 100
R3(config-router)# no auto-summary
R3(config-router)# network 192.168.3.0 0.0.0.255
R3(config-router)# network 172.16.1.4 0.0.0.3
R3(config-router)# exit
R3(config)#

Tillåt ping trafik från LAN 1 till server 192.168.2.200 (men inte till andra datorer i LAN 2)

R1(config)# access-list 120 permit icmp 192.168.1.0 0.0.0.255 host 192.168.2.200 echo

Tillåt web-trafik från LAN 1 till server 192.168.2.200 (men inte till andra datorer i LAN 2)

R1(config)# access-list 120 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.200 eq www

Blockera ping trafik från LAN 1 till LAN 2

R1(config)# access-list 120 deny icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 echo

Tillåt allt ip trafik från LAN 1 till resterande LANs

R1(config)# access-list 120 permit ip any any

Tillämpa ACL 120:

R1(config)# interface g0/0
R1(config-if)# ip access-group 120 in
R1(config-if)# end
R1# show access-list

Skapa Extended ACL FTP-ACCESS

R2(config)# ip access-list extended FTP-ACCESS

Blockera ping från LAN 2 till LAN 1

R2(config)# deny icmp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 echo

Tillåt ftp-trafik från LAN 2 till LAN 1 ftp-server

R2(config)# permit tcp 192.168.2.0 0.0.0.255 host 192.168.1.200 eq ftp

Tillåt all trafik från LAN 2

R2(config)# permit ip any any

Tillämpa:

R2(config)# interface g0/0
R2(config-if)# ip access-group FTP-Access in
R2(config-if)# end
R2#