Recent changes

Laboratorul 03. ACL-uri

Motivație

Fiind în continuă creștere a numărului de angajați, compania noastră se vede în situația de a angaja lucrători la distanță pentru departamentele de Marketing și Finanțe. Acest lucru ridică însă o serie de probleme, fiind necesară construcția unei infrastructuri care să impună o serie de reguli de filtrare pentru accesul la resurse al lucrătorilor la distanță.

Cheat sheet

Topologie

Resurse laborator

Laboratorul 3

Exerciții

01. [20p] Blocare trafic către R10

Pe ruterul R10 există definit Loopback 1 și Loopback 2, pe care trebuie să le acceseze doar utilizatorii de pe R9. Blocati traficul venit de la alte rutere către aceste interfețe.

Atentie, Restul traficului către ruterul R10 trebuie să funcționeze în continuare!

Afișează rezolvarea
Ascunde rezolvarea
Afișează rezolvarea
R10(config)#ipv6 access-list ex1 
R10(config-ipv6-acl)#permit ipv6 1000:BABE::19/126 host 1000:BABE::1
R10(config-ipv6-acl)#permit ipv6 1000:FACE::21/124 host 1000:BABE::1
R10(config-ipv6-acl)#permit ipv6 1000:BABE::19/126 host 1000:BABE::11
R10(config-ipv6-acl)#permit ipv6 1000:FACE::21/124 host 1000:BABE::11
R10(config-ipv6-acl)#deny ipv6 any host 1000:BABE::11
R10(config-ipv6-acl)#deny ipv6 any host 1000:BABE::1
R10(config-ipv6-acl)#permit ipv6 any any
R10(config-ipv6-acl)#int fa1/0
R10(config-if)#ipv6 traffic-filter ex1 in
R10(config-if)#int fa0/0
R10(config-if)#ipv6 traffic-filter ex1 in

02. [20p] Filtrare TCP porturi destinație

Filtrați (blocați) traficul TCP cu range-ul de porturi destinație 22-81 si sursa R3 către următoarele adrese:

  • 1000:FACE::39
  • 1000:FACE::21
  • 1000:FACE::31
Afișează rezolvarea
Ascunde rezolvarea
Afișează rezolvarea
R4(config)#ipv6 access-list ex2
R4(config-ipv6-acl)#deny tcp host 1000:BAE:21:0:CE03:3CFF:FE44:10 host 1000:FACE::39 range 22 81
R4(config-ipv6-acl)#deny tcp host 1000:BAE:21:0:CE03:3CFF:FE44:10 host 1000:FACE::21 range 22 81
R4(config-ipv6-acl)#deny tcp host 1000:BAE:21:0:CE03:3CFF:FE44:10 host 1000:FACE::31 range 22 81
R4(config-ipv6-acl)#permit any any
R4(config-ipv6-acl)#int fa2/0
R4(config-if)#ipv6 traffic-filter ex2 out

03. [20p] Blocare inițiere conexiuni

Datorită riscurilor de securitate, s-a luat decizia ca niciun server al companiei din Zona A să nu poată iniția o conexiune TCP nouă către restul rețelei. De aceea, se poate implementa o regulă ce specifică blocarea tuturor pachetelor cu sursa zonei A ce inițiază o conexiune TCP nouă.

Afișează rezolvarea
Ascunde rezolvarea
Afișează rezolvarea
R1(config)#ipv6 access-list ex3
R1(config-ipv6-acl)#permit tcp any any established
R1(config-ipv6-acl)#deny tcp 1000:BABE::/122 any
R1(config-ipv6-acl)#deny tcp 1000:FACE::/122 any
R1(config-ipv6-acl)#permit ipv6 any any
R1(config-ipv6-acl)#int fa2/0
R1(config-if)#ipv6 traffic-filter ex3 out

04. [20p] Blocare acces către Area 2

Blocați traficul de tip ICMP provenit de la R6 către router-ele din Area 2.

Afișează rezolvarea
Ascunde rezolvarea
Afișează rezolvarea
R2(config)#ipv6 access-list ex4
R2(config-ipv6-acl)#deny icmp host 1000:BAE:10:0:CE06:4FFF:FE68:0 host 1000:BAE:21:0:CE04:19FF:FEF0:10
R2(config-ipv6-acl)#deny icmp host 1000:BAE:12:0:CE06:4FFF:FE68:20 host 1000:BAE:21:0:CE04:19FF:FEF0:10
R2(config-ipv6-acl)#deny icmp host 1000:BAE:10:0:CE06:4FFF:FE68:0 host 1000:BAE:21:0:CE03:3CFF:FE44:10
R2(config-ipv6-acl)#deny icmp host 1000:BAE:12:0:CE06:4FFF:FE68:20 host 1000:BAE:21:0:CE03:3CFF:FE44:10
R2(config-ipv6-acl)#permit icmp any any
R2(config-ipv6-acl)#permit ipv6 any any
R2(config-ipv6-acl)#exit
R2(config)#int fa2/0
R2(config-if)#ipv6 traffic-filter ex4 out

05. [20p] Trafic în zilele lucrătoare

Vrem ca traficul IP din Area 2 către Area 0 să funcționeze doar în zilele lucrătoare ale unei săptămâni (Luni - Vineri, în intervalul 9:00 – 18:00). Faceți configurațiile necesare pentru a permite accesul în intervalul respectiv, interzicând complet accesul din Area 2 în Area 0 în afara intervalului specificat.

Observații:

  • Lista de access creată nu trebuie să afecteze funcționalitatea niciunui task anterior!
  • Testați funcționarea acestui task schimbând ceasul pe ruterul pe care ați aplicat lista de acces prin comanda:
Router# clock set 01:00:00 Dec 1 2013

Afișează rezolvarea
Ascunde rezolvarea
Afișează rezolvarea
R4(config)#time-range weekdays
R4(config-time-range)#periodic weekdays 09:00 to 18:00 

R4(config)#ipv6 access-list ex5
R4(config-ipv6-acl)#permit tcp any any time-range weekdays
R4(config-ipv6-acl)#deny tcp any any
R4(config-ipc6-acl)#int fa2/0
R4(config-if)#ipv6 traffic-filter out

Laboratorul 3

Informații generale PR

Cursuri

Laboratoare

Table of Contents

pr/labs/03.txt · Last modified: 2020/11/17 14:53 by flavia.oprea
Old revisions
Media ManagerBack to top
CC Attribution-Share Alike 3.0 Unported
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0