2017-12-14
399
Для настройки запрета компьютерам PC2 и PC3 доступа в сеть 11.0.0.0 достаточно сделать следующее:
1) Создать команду, запрещающую трафик с соответствующихIP-узлов;
2) Привязать сформированный список доступа к интерфейсу, входящему в сеть 11.0.0.0.
Для этого достаточно использовать обычный список пользователя. Создадим его с помощью команды:
Ipaccess-liststandart 10
Здесь 10 – номер списка пользователя.
Запретим трафик узлам 12.0.0.13 и 12.0.0.14, а потом привяжем данный список на выход интерфейса FasetEthernet 0/0 маршрутизатора Router0. Именно по этому интерфейсу возможен вход в сеть 11.0.0.0.
Denyhost 12.0.0.13
Denyhost 12.0.0.14
Последней командой, котораявыполняется в списке доступа по умолчанию,будет команда, запрещающая все, что не описано в списке. В связи с этим, последней строкой списка необходимо разрешить весь остальной трафик:
Permitany
Для привязки данного трафика к выходу интерфейса FasetEthernet 0/0 необходимо зайти в режим конфигурации роутера, выбрать соответствующий интерфейс и применить к нему созданный список:
Router1# conf t
Router1(config)# interface fa0/0
Router1(config-if)# ip access-group 10 out
Следующим этапом будет запрет к службе Web, установленной на сервере Server 1, из сети 11.0.0.0. При этом необходимо учесть, что любые узлы сети могут иметь доступ к серверу Server 1 (им запрещен только вход на сайт, расположенный на данном сервере).
Поскольку в данном случае необходимо обращаться к конкретным портам (в частности, к порту 80, который использует протокол HTTP), требуется формирование расширенного списка доступа. Он должен запретить доступ лишь к 80 порту для всех узлов сети 11.0.0.0. Поскольку на транспортном уровне протокол HTTPиспользует TCP-трафик, необходимо запретить данный вид трафика из сети 11.0.0.0 0.255.255.255 на хост 12.0.0.2 на 80 порт. Весь остальной вид трафика с любых узлов на любые другие разрешаем. Таким образом, данный список будет выглядеть следующим образом:
Ipaccess-listextended 102
Denytcp 11.0.0.0. 0.255.255.255 host 12.0.0.2 eq 80
Permitipanyany
Выйдя из режима редактирования списков (команда exit),приведем его содержимое. Для этого воспользуемся командой:
Router# Shaccess-list
Результат представлен на рис.5.
Рис. 5 – Список доступа
Основные результаты
Проанализируем возможности доступа в сети после формирования списка доступа. В первую очередь, осуществим попытку доступа из узлов сети 11.0.0.0 к узлам 12.0.0.13 и узлам 12.0.0.14. Результат представлен на рис. 6.
Рис. 6 – Результат команды pingмежду узлами PC0 и PC3
Как видно из данного рисунка, до применения списка доступа команда pingмежду этими узлами проходила (верхняя часть окна). После применения политики доступа команда pingне идет (нижняя часть окна). Аналогичные результаты получили после проверки доступности PC3 из узла PC1, а также доступности узла PC2 из узлов PC0 и PC1. Таким образом, узлам PC0 и PC1 недоступны ресурсы, находящиеся на узлах PC2 и PC3.
Проверим теперь возможность выхода узлам PC2 и PC3 в сеть 11.0.0.0. Результат представлен на рис. 7.
Рис. 7 – Проверка доступности узлов сети 11.0.0.0 из узла PC3
Проверка из узла PC2 показывает аналогичные результаты. Таким образом, сеть 11.0.0.0 из узлов PC2 и PC3 недостижима. Однако, между собой эти узлы могут взаимодействовать.
В качестве последней проверки откроем из узла PC1 Web-приложение, установленное на узле 12.0.0.2. Результат представлен на рис. 8.
Рис. 8 – Попытка открытия Web-страницы по адресу 12.0.0.2
Сравнив полученные данные с данными, приведенные ранее (рис. 4), делаем вывод, что доступ к Web-приложению после применения политики доступа стал невозможен. Тем не менее, доступ к самому серверу у узла имеется, что может быть доказано командой ping.
Рис. 9 – Попытка доступа к серверу из узла PC1
Таким образом, все требуемые ограничения доступа выполнены.
Заключение
Объектом исследования в данной курсовой работе являлась межсеть, состоящая из двух подсетей 11.0.0.0 и 12.0.0.0, каждая из которых включает в себя сервер и два компьютера. Сети были соединены через маршрутизатор (Router0), подключенныйк двум коммутаторам (Switch0 и Switch1).
Целью работы являлась настройка политики доступа в сети, представленной на рис.1, запрещающая доступ к Web-сайту сервера Server1, находящийся в сети 12.0.0.0, а также запрещающая узлам этой сети доступ к сети 11.0.0.0 и доступ любых узлов сети 11.0.0.0 к узлам PC2 и PC3.
В результате были созданы два списка доступа (обычный 10 и расширенный 102), который применили к двум выходным интерфейсам маршрутизатора.
Таким образом, на основании списков управления доступом были получены следующие результаты:
- компьютеры PC2 и PC3 доступны друг для друга и должны открывать только сайт своей сети; вход в сеть 11.0.0.0 им заблокирован;
- компьютерам PC0 и PC1и Server 1 доступны все ресурсы, кроме компьютеров PC2и PC3 и службы Webна сервере Server1.
Проверки, приведенные в п.4 пояснительной записки свидетельствуют о том, что все требования политики доступа выполнены.
