Differences
This shows you the differences between two versions of the page.
|
pr:laboratoare:05 [2016/11/07 17:28] iulia.florea [Cerințe] |
pr:laboratoare:05 [2025/09/16 00:19] (current) eduard.dumistracel [Resurse laborator] |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| - | ===== Laboratorul 05. ACL-uri ===== | + | ===== Laboratorul 05. OSPF Single Area===== |
| - | + | ==== Cuprins ==== | |
| - | ==== Motivație ==== | + | * [[#topologie|Topologie]] |
| - | + | * [[#Exerciții|Exerciții]] | |
| - | Fiind în continuă creștere a numărului de angajați, compania noastră se vede în situația de a angaja lucrători la distanță pentru departamentele de Marketing și Finanțe (clădirea C). Acest lucru ridică însă o serie de probleme, fiind necesară construcția unei infrastructuri care să impună o serie de reguli de filtrare pentru accesul la resurse al lucrătorilor la distanță. | + | * [[#resurse-laborator|Resurse laborator]] |
| - | + | ||
| - | + | ||
| - | ==== Topologie ==== | + | |
| - | + | ||
| - | {{ :pr:laboratoare:topologie_acl.png |}} | + | |
| - | ==== Cerințe ==== | + | |
| - | + | ||
| - | === Setup === | + | |
| - | <note important> Descărcați configurațiile inițiale de {{:pr:laboratoare:05_initial_configs.zip|aici}}. </note> | + | |
| - | + | ||
| - | === Exerciții === | + | |
| - | Rezolvarea următoarelor taskuri va asigura configurarea corectă a echipamentelor pentru a permite accesul lucrătorilor la distanță și implementarea regulilor de filtrare a traficului. | + | |
| - | + | ||
| - | Atenție: Ruterul Blastoise nu se află sub autoritatea Dvs., deci nu îl veți configura. El este deja configurat cu toate rutele necesare. | + | |
| - | + | ||
| - | + | ||
| - | 1. [10p] Asigurați conectivitatea end-to-end pentru întreaga rețea, folosind un număr minim de rute statice. | + | |
| - | + | ||
| - | <solution -hidden> | + | |
| - | <code> | + | |
| - | Lucario(config)#ip route 0.0.0.0 0.0.0.0 66.218.168.6 | + | |
| - | Machop(config)#ip route 0.0.0.0 0.0.0.0 191.105.157.1 | + | |
| - | Machop(config)#ip route 192.168.254.0 255.255.255.0 172.29.167.2 | + | |
| - | Muk(config)#ip route 0.0.0.0 0.0.0.0 172.29.167.1 | + | |
| - | + | ||
| - | Machop#ping 155.17.23.1 | + | |
| - | + | ||
| - | Type escape sequence to abort. | + | |
| - | Sending 5, 100-byte ICMP Echos to 155.17.23.1, timeout is 2 seconds: | + | |
| - | !!!!! | + | |
| - | Success rate is 100 percent (5/5), round-trip min/avg/max = 20/60/148 ms | + | |
| - | Lucario(config)# ip access-list extended ONLY_TELEWORKER_TO_LOOPBACK | + | |
| - | Lucario(config-ext-nacl)# permit ip 192.168.254.0 0.0.0.255 host 155.17.23.1 | + | |
| - | Lucario(config-ext-nacl)# permit ip host 172.29.167.2 host 155.17.23.1 | + | |
| - | Lucario(config-ext-nacl)# deny ip any host 155.17.23.1 | + | |
| - | Lucario(config-ext-nacl)# permit ip any any | + | |
| - | Lucario(config)# int fa2/0 | + | |
| - | Lucario(config-if)# ip access-group ONLY_TELEWORKER_TO_LOOPBACK in | + | |
| - | Muk(config)#do ping 155.17.23.1 | + | |
| - | + | ||
| - | Type escape sequence to abort. | + | |
| - | Sending 5, 100-byte ICMP Echos to 155.17.23.1, timeout is 2 seconds: | + | |
| - | !!!!! | + | |
| - | Success rate is 100 percent (5/5), round-trip min/avg/max = 20/78/140 ms | + | |
| - | Muk(config)#do ping 155.17.23.1 source Lo0 | + | |
| - | + | ||
| - | Type escape sequence to abort. | + | |
| - | Sending 5, 100-byte ICMP Echos to 155.17.23.1, timeout is 2 seconds: | + | |
| - | Packet sent with a source address of 192.168.254.1 | + | |
| - | !!!!! | + | |
| - | Success rate is 100 percent (5/5), round-trip min/avg/max = 28/79/136 ms | + | |
| - | Machop#ping 155.17.23.1 | + | |
| - | + | ||
| - | Type escape sequence to abort. | + | |
| - | Sending 5, 100-byte ICMP Echos to 155.17.23.1, timeout is 2 seconds: | + | |
| - | U.U.U | + | |
| - | Success rate is 0 percent (0/5) | + | |
| - | </code> | + | |
| - | </solution> | + | |
| - | + | ||
| - | 2. [15p] Pe ruterul Lucario există definit Loopback 0 pe care trebuie să îl aceseze doar angajaţii din zona Teleworker. Filtraţi restul traficului către această interfață. | + | |
| - | Pentru acest task, permiteți, pe lângă traficul originat din zona Teleworker și traficul originat de pe ruterul Muk | + | |
| - | * Atentie, Restul traficului către ruterul Lucario trebuie să funcționeze în continuare! | + | |
| - | + | ||
| - | <solution -hidden> | + | |
| - | <code> | + | |
| - | Muk(config)#do telnet 208.69.127.83 80 | + | |
| - | Trying 208.69.127.83, 80 ... Open | + | |
| - | ^C | + | |
| - | HTTP/1.1 400 Bad Request | + | |
| - | Date: Fri, 01 Mar 2002 00:22:05 GMT | + | |
| - | Server: cisco-IOS | + | |
| - | Accept-Ranges: none | + | |
| - | + | ||
| - | 400 Bad Request | + | |
| - | + | ||
| - | [Connection to 208.69.127.83 closed by foreign host] | + | |
| - | Muk(config)#do telnet 77.73.36.99 80 | + | |
| - | Trying 77.73.36.99, 80 ... Open | + | |
| - | [...] | + | |
| - | [Connection to 77.73.36.99 closed by foreign host] | + | |
| - | Muk(config)#do telnet 74.125.39.1 80 | + | |
| - | Trying 74.125.39.1, 80 ... Open | + | |
| - | [...] | + | |
| - | [Connection to 74.125.39.1 closed by foreign host] | + | |
| - | Machop(config)#ip access-list extended NO_HTTP_TELEWORKER | + | |
| - | Machop(config-ext-nacl)# deny tcp any host 208.69.127.83 eq www | + | |
| - | Machop(config-ext-nacl)# deny tcp any host 77.73.36.99 eq www | + | |
| - | Machop(config-ext-nacl)# deny tcp any 74.125.39.0 0.0.0.255 eq www | + | |
| - | Machop(config-ext-nacl)# permit ip any any | + | |
| - | Machop(config)#int fa0/0 | + | |
| - | Machop(config-if)#ip access-group NO_HTTP_TELEWORKER in | + | |
| - | Muk(config)#do telnet 208.69.127.83 80 | + | |
| - | Trying 208.69.127.83, 80 ... | + | |
| - | % Destination unreachable; gateway or host down | + | |
| - | + | ||
| - | Muk(config)#do telnet 77.73.36.99 80 | + | |
| - | Trying 77.73.36.99, 80 ... | + | |
| - | % Destination unreachable; gateway or host down | + | |
| - | + | ||
| - | Muk(config)#do telnet 74.125.39.1 80 | + | |
| - | Trying 74.125.39.1, 80 ... | + | |
| - | % Destination unreachable; gateway or host down | + | |
| - | </code> | + | |
| - | + | ||
| - | </solution> | + | |
| - | + | ||
| - | 3. [20p] Lucrătorii din zona Teleworker nu au dreptul de a accesa o serie de site-uri web: | + | |
| - | * 208.69.127.83 | + | |
| - | * 77.73.36.99 | + | |
| - | * 74.125.39.0/24 | + | |
| - | + | ||
| - | Filtraţi accesul HTTP la aceste IP-uri. | + | |
| - | Observație: Acest task POATE fi testat. Încercați | + | |
| - | + | ||
| - | + | ||
| - | 4. [20p] Permiteți accesul Telnet generat din zona Teleworker către Machop, doar pe interfața Loopback 0 a acestuia. | + | |
| - | * Asigurați-vă mai întâi că Machop acceptă conexiuni de tip Telnet. | + | |
| - | * Observație: Lista de access creată nu trebuie să afecteze funcționalitatea niciunui task anterior! | + | |
| - | + | ||
| - | <solution -hidden> | + | |
| - | <code> | + | |
| - | Machop(config)# line vty 0 4 | + | |
| - | Machop(config-line)# password aceofspades | + | |
| - | Machop(config-line)# login | + | |
| - | Machop(config-line)# transport input telnet | + | |
| - | Machop(config)# ip access-list ext NO_HTTP_TELEWORKER | + | |
| - | Machop(config-ext-nacl)#33 permit tcp any host 20.20.20.20 eq telnet | + | |
| - | Machop(config-ext-nacl)#34 deny tcp any host 172.29.167.1 eq telnet | + | |
| - | Machop(config-ext-nacl)#35 deny tcp any host 191.105.157.2 eq telnet | + | |
| - | Muk(config)#do telnet 20.20.20.20 /source Lo0 | + | |
| - | Trying 20.20.20.20 ... Open | + | |
| - | + | ||
| - | + | ||
| - | User Access Verification | + | |
| - | + | ||
| - | Password: | + | |
| - | Machop>exit | + | |
| - | + | ||
| - | [Connection to 20.20.20.20 closed by foreign host] | + | |
| - | Muk(config)#do telnet 172.29.167.1 /source Lo0 | + | |
| - | Trying 172.29.167.1 ... | + | |
| - | % Destination unreachable; gateway or host down | + | |
| - | + | ||
| - | Muk(config)#do telnet 191.105.157.2 /source Lo0 | + | |
| - | Trying 191.105.157.2 ... | + | |
| - | % Destination unreachable; gateway or host down | + | |
| - | </code> | + | |
| - | </solution> | + | |
| - | + | ||
| - | + | ||
| - | 5. [10p] Din cauza riscurilor de securitate, s-a luat decizia ca niciun server al companiei să nu se afle în clădirea C. De aceea, se poate implementa o regulă ce specifică blocarea tuturor pachetelor cu destinația clădirea C ce inițiază o conexiune TCP nouă. | + | |
| - | * Observație: Pentru a putea testa acest task, cât și următorul, trebuie să porniți ruterul Caterpie, însă NU trebuie să lucrați pe acesta. După rezolvarea acestora, puteți închide acest ruter. | + | |
| - | + | ||
| - | + | ||
| - | + | ||
| - | <solution -hidden> | + | |
| - | + | ||
| - | </code> | + | |
| - | Lucario(config)# ip access-list ext NO_TCP_C | + | |
| - | Lucario(config-ext-nacl)# 10 permit tcp any any established | + | |
| - | Lucario(config-ext-nacl)# 20 deny tcp any any | + | |
| - | Lucario(config)# int e1/0 | + | |
| - | Lucario(config-if)# ip access-group NO_TCP_C out | + | |
| - | GunsNRoses# telnet 20.20.20.20 | + | |
| - | Trying 20.20.20.20 ... Open | + | |
| - | + | ||
| - | + | ||
| - | User Access Verification | + | |
| - | + | ||
| - | Password: | + | |
| - | Machop> | + | |
| - | Machop(config-ext-nacl)#do telnet 192.168.231.2 | + | |
| - | Trying 192.168.231.2 ... | + | |
| - | % Destination unreachable; gateway or host down | + | |
| - | Lucario(config)#do sh access-l | + | |
| - | Extended IP access list NO_TCP_C | + | |
| - | 10 permit tcp any any established | + | |
| - | 20 deny tcp any any (1 match) | + | |
| - | </code> | + | |
| - | </solution> | + | |
| - | + | ||
| - | 6. [20p] Permiteţi traficul ICMP de la Clădirea C către zona Teleworker doar dacă acesta este un răspuns la o cerere iniţiată din această zonă. Restul traficului ICMP de la Lucario către zona Teleworker trebuie să fie permis, de asemenea. | + | |
| - | * Hint: Aplicaţi o listă de acces reflexivă pe ruterul Machop. | + | |
| - | + | ||
| - | <solution -hidden> | + | |
| - | + | ||
| - | <code> | + | |
| - | Machop(config)#do sh ip access ICMP_TO_JH | + | |
| - | Extended IP access list ICMP_TO_JH | + | |
| - | 10 permit icmp 172.29.167.0 0.0.0.255 192.168.231.0 0.0.0.255 reflect ICMP1 (11 matches) | + | |
| - | 20 permit icmp 192.168.254.0 0.0.0.255 192.168.231.0 0.0.0.255 reflect ICMP2 | + | |
| - | 30 permit ip any any (15 matches) | + | |
| - | Machop(config)#do sh ip access ICMP_FROM_JH | + | |
| - | Extended IP access list ICMP_FROM_JH | + | |
| - | 10 evaluate ICMP1 | + | |
| - | 20 evaluate ICMP2 | + | |
| - | 30 permit icmp host 66.218.168.5 172.29.167.0 0.0.0.255 (10 matches) | + | |
| - | 40 permit icmp host 155.17.23.1 172.29.167.0 0.0.0.255 | + | |
| - | 50 permit icmp host 172.2.0.1 172.29.167.0 0.0.0.255 | + | |
| - | 60 permit icmp host 10.10.10.17 172.29.167.0 0.0.0.255 | + | |
| - | 70 permit icmp host 10.10.10.33 172.29.167.0 0.0.0.255 | + | |
| - | 80 permit icmp host 66.218.168.5 192.168.254.0 0.0.0.255 (5 matches) | + | |
| - | 90 permit icmp host 155.17.23.1 192.168.254.0 0.0.0.255 | + | |
| - | 100 permit icmp host 172.2.0.1 192.168.254.0 0.0.0.255 | + | |
| - | 110 permit icmp host 10.10.10.17 192.168.254.0 0.0.0.255 | + | |
| - | 120 permit icmp host 10.10.10.33 192.168.254.0 0.0.0.255 | + | |
| - | Machop(config)#int fa1/0 | + | |
| - | Machop(config-if)#ip access-group ICMP_TO_JH out | + | |
| - | Machop(config-if)#ip access-group ICMP_FROM_JH in | + | |
| - | </code> | + | |
| - | Observație: Lista de access creată nu trebuie să afecteze funcționalitatea niciunui task anterior! | + | |
| - | </solution> | + | |
| - | + | ||
| - | ==== Bonus ==== | + | |
| - | + | ||
| - | 7. [10p] Vrem ca zona Teleworker să poată accesa restul rețelei doar în zilele lucrătoare ale unei săptămâni (Luni - Vineri, în intervalul 9:00 – 18:00). Faceți configurațiile necesare pentru a permite accesul în intervalul respectiv, interzicând complet accesul zonei Teleworker la restul rețelei în afara intervalului specificat. | + | |
| - | * Observație: Lista de access creată nu trebuie să afecteze funcționalitatea niciunui task anterior! | + | |
| - | * Hint: Aplicaţi lista de acces creată pe ruterul Machop, folosind o interfaţă şi o direcţie încă nefolosite. | + | |
| - | * Testați funcționarea acestui task schimbând ceasul pe ruterul pe care ați aplicat lista de acces prin comanda: | + | |
| - | + | ||
| - | + | ||
| - | <solution -hidden> | + | |
| - | <code> | + | |
| - | Router# clock set 01:00:00 Dec 1 2013 | + | |
| - | Machop(config)#time-range TELEWORKER_TIME | + | |
| - | Machop(config-time-range)#periodic weekdays 09:00 to 18:00 | + | |
| - | Machop(config)#ip access-list extended TELEWORKER_ACCESS | + | |
| - | Machop(config-ext-nacl)#permit ip any any time-range TELEWORKER_TIME | + | |
| - | Machop(config-ext-nacl)#int fa0/0 | + | |
| - | Machop(config-if)#ip access-group TELEWORKER_ACCESS out | + | |
| - | </code> | + | |
| - | Hint: Aplicaţi lista de acces creată pe ruterul Machop, folosind o interfaţă şi o direcţie încă nefolosite. | + | |
| - | </solution> | + | |
| - | + | ||
| + | ==== Topologie==== | ||
| + | {{ :pr:laboratoare:lab5_ospf_topologie.png?700 |}} | ||
| + | Acest laborator se bazează pe configurația de la lab 2 puțin updatată. Am adăugat următoarele legături: | ||
| + | * ISP-CoreWest - ISP-CoreSouth -> 2001:db8:cafe::0470 - 2001:db8:cafe::0477/125 | ||
| + | * ISP-CoreNorth - ISP-EdgeNorth -> 2001:db8:cafe::0478 - 2001:db8:cafe::047f/125 | ||
| + | * ISP-EdgeNorth - ISP-DistEast -> 2001:db8:cafe::0480 - 2001:db8:cafe::0487/125 | ||
| + | ==== Resurse laborator ==== | ||
| + | * GNS3 Lab: <hidden>{{:pr:laboratoare:lab05_pr_initial.zip|}} Vizibil il facem in saptamana cu labul deoarece e cel vechi rezolvat</hidden> | ||
| + | * Lab Setup: [[pr:laboratoare:01|]] | ||
| + | ==== Exerciții ==== | ||
| + | === Task1 === | ||
| + | Activați rutarea IPv6 pe toate routerele din topologie, utilizând comanda: | ||
| + | * **ipv6 unicast-routing** | ||
| + | Această configurare este obligatorie pentru ca routerele să poată procesa și retransmite pachete IPv6. | ||
| + | === Task2 === | ||
| + | Configurați protocolul OSPFv3 pe toate interfețele router–router din topologie. Aceste interfețe trebuie incluse în area 0 și setate ca legături de tip point-to-point. | ||
| + | Fiecare router trebuie să aibă un router-id unic, iar interfețele care conectează routerele între ele vor forma relații de vecinătate OSPF. Astfel: | ||
| + | * ISP-CoreWest -> 1.1.1.1 | ||
| + | * ISP-CoreSouth -> 2.2.2.2 | ||
| + | * ISP-CoreEast -> 3.3.3.3 | ||
| + | * ISP-CoreNorth -> 4.4.4.4 | ||
| + | * ISP-EdgeNorth -> 5.5.5.5 | ||
| + | * ISP-DistWest -> 6.6.6.6 | ||
| + | * ISP-DistEast -> 7.7.7.7 | ||
| + | * ISP-AccessEast -> 8.8.8.8 | ||
| + | * ISP-AccessWest -> 9.9.9.9 | ||
| + | === Task3 === | ||
| + | Configurați interfețele către rețelele de tip LAN (LocalClient, Server, RemoteNetwork) ca interfețe passive în OSPFv3. Astfel, routerele vor anunța prefixele IPv6 ale acestor rețele în OSPF, dar nu vor mai trimite pachete Hello și nu vor încerca să formeze vecinătăți cu hosturile. | ||
| + | === Task4 === | ||
| + | Modificați intervalele de Hello și Dead pentru interfețele router–router, astfel încât OSPFv3 să detecteze mai rapid căderile de legătură. | ||
| + | * Implicit, valorile sunt: Hello = 10 secunde, Dead = 40 secunde (Ethernet). | ||
| + | * În acest exercițiu, setați: Hello = 5 secunde, Dead = 20 secunde. | ||
| + | **Observație**: Intervalele Hello/Dead trebuie să fie identice pe ambele capete ale legăturii, altfel routerele nu vor forma vecinătate OSPF. | ||
| + | ==== Cuprins ==== | ||
| + | * [[#topologie|Topologie]] | ||
| + | * [[#Exerciții|Exerciții]] | ||
| + | * [[#resurse-laborator|Resurse laborator]] | ||
