Show page

Differences

This shows you the differences between two versions of the page.

--- pr:laboratoare:05 [2016/11/09 11:50]
sergiu.costea [Cerințe]
+++ pr:laboratoare:05 [2025/07/27 14:49] (current)
@@ Line 1: / Line 1: @@
-===== Laboratorul 05. ACL-uri =====
+===== Laboratorul 05. =====
-==== Motivație ====
-Fiind în continuă creștere a numărului de angajați, compania noastră se vede în situația de a angaja lucrători la distanță pentru departamentele de Marketing și Finanțe (clădirea C). Acest lucru ridică însă o serie de probleme, fiind necesară construcția unei infrastructuri care să impună o serie de reguli de filtrare pentru accesul la resurse al lucrătorilor la distanță.
-==== Topologie ====
-{{ :pr:laboratoare:topologie_acl.png |}}
-==== Cerințe ====
-=== Setup ===
-<note important> Descărcați configurațiile inițiale de {{:pr:laboratoare:05_initial_configs.zip|aici}}. </note>
-=== Exerciții ===
-Rezolvarea următoarelor taskuri va asigura configurarea corectă a echipamentelor pentru a permite accesul lucrătorilor la distanță și implementarea regulilor de filtrare a traficului.
-Atenție: Ruterul Blastoise nu se află sub autoritatea Dvs., deci nu îl veți configura. El este deja configurat cu toate rutele necesare.
-.  [10p] Asigurați conectivitatea end-to-end pentru întreaga rețea, folosind un număr minim de rute statice.
-<solution -hidden>
-<code>
-Lucario(config)#ip route 0.0.0.0 0.0.0.0 66.218.168.6
-Machop(config)#ip route 0.0.0.0 0.0.0.0 191.105.157.1
-Machop(config)#ip route 192.168.254.0 255.255.255.0 172.29.167.2
-Muk(config)#ip route 0.0.0.0 0.0.0.0  172.29.167.1
-</code>
-</solution>
-. [15p] Pe ruterul Lucario există definit Loopback 0 pe care trebuie să îl aceseze doar angajaţii din zona Teleworker. Filtraţi restul traficului către această interfață.
-Pentru acest task, permiteți, pe lângă traficul originat din zona Teleworker și traficul originat de pe ruterul Muk
-<note warning>
-Atentie, Restul traficului către ruterul Lucario trebuie să funcționeze în continuare!
-</note>
-<solution -hidden>
-<code>
-Machop#ping 155.17.23.1
-Type escape sequence to abort.
-Sending 5, 100-byte ICMP Echos to 155.17.23.1, timeout is 2 seconds:
-!!!!!
-Success rate is 100 percent (5/5), round-trip min/avg/max = 20/60/148 ms
-Lucario(config)# ip access-list extended ONLY_TELEWORKER_TO_LOOPBACK
-Lucario(config-ext-nacl)# permit ip 192.168.254.0 0.0.0.255 host 155.17.23.1
-Lucario(config-ext-nacl)# permit ip host 172.29.167.2 host 155.17.23.1
-Lucario(config-ext-nacl)# deny ip any host 155.17.23.1
-Lucario(config-ext-nacl)# permit ip any any
-Lucario(config)# int fa2/0
-Lucario(config-if)# ip access-group ONLY_TELEWORKER_TO_LOOPBACK in
-Muk(config)#do ping 155.17.23.1
-Type escape sequence to abort.
-Sending 5, 100-byte ICMP Echos to 155.17.23.1, timeout is 2 seconds:
-!!!!!
-Success rate is 100 percent (5/5), round-trip min/avg/max = 20/78/140 ms
-Muk(config)#do ping 155.17.23.1 source Lo0
-Type escape sequence to abort.
-Sending 5, 100-byte ICMP Echos to 155.17.23.1, timeout is 2 seconds:
-Packet sent with a source address of 192.168.254.1
-!!!!!
-Success rate is 100 percent (5/5), round-trip min/avg/max = 28/79/136 ms
-Machop#ping 155.17.23.1
-Type escape sequence to abort.
-Sending 5, 100-byte ICMP Echos to 155.17.23.1, timeout is 2 seconds:
-U.U.U
-Success rate is 0 percent (0/5)
-</code>
-</solution>
-. [20p] Lucrătorii din zona Teleworker nu au dreptul de a accesa o serie de site-uri web:
-  *  208.69.127.83
-  *  77.73.36.99
-  *  74.125.39.0/24
-Filtraţi accesul HTTP la aceste IP-uri.
-Observație: Acest task POATE fi testat. Încercați 
-<solution -hidden>
-<code>
-Muk(config)#do telnet 208.69.127.83 80
-Trying 208.69.127.83, 80 ... Open
-^C
-HTTP/1.1 400 Bad Request
-Date: Fri, 01 Mar 2002 00:22:05 GMT
-Server: cisco-IOS
-Accept-Ranges: none
-Bad Request
-[Connection to 208.69.127.83 closed by foreign host]
-Muk(config)#do telnet 77.73.36.99 80
-Trying 77.73.36.99, 80 ... Open
-[...]
-[Connection to 77.73.36.99 closed by foreign host]
-Muk(config)#do telnet 74.125.39.1 80
-Trying 74.125.39.1, 80 ... Open
-[...]
-[Connection to 74.125.39.1 closed by foreign host]
-Machop(config)#ip access-list extended NO_HTTP_TELEWORKER
-Machop(config-ext-nacl)# deny tcp any host 208.69.127.83 eq www
-Machop(config-ext-nacl)# deny tcp any host 77.73.36.99 eq www
-Machop(config-ext-nacl)# deny tcp any 74.125.39.0 0.0.0.255 eq www
-Machop(config-ext-nacl)# permit ip any any
-Machop(config)#int fa0/0
-Machop(config-if)#ip access-group NO_HTTP_TELEWORKER in
-Muk(config)#do telnet 208.69.127.83 80
-Trying 208.69.127.83, 80 ...
-% Destination unreachable; gateway or host down
-Muk(config)#do telnet 77.73.36.99 80
-Trying 77.73.36.99, 80 ...
-% Destination unreachable; gateway or host down
-Muk(config)#do telnet 74.125.39.1 80
-Trying 74.125.39.1, 80 ...
-% Destination unreachable; gateway or host down
-</code>
-</solution>
-. [20p] Permiteți accesul Telnet generat din zona Teleworker către Machop, doar pe interfața Loopback 0 a acestuia.
-  * Asigurați-vă mai întâi că Machop acceptă conexiuni de tip Telnet.
-  * Observație: Lista de access creată nu trebuie să afecteze funcționalitatea niciunui task anterior!
-<solution -hidden>
-<code>
-Machop(config)# line vty 0 4
-Machop(config-line)# password aceofspades
-Machop(config-line)# login
-Machop(config-line)# transport input telnet
-Machop(config)# ip access-list ext NO_HTTP_TELEWORKER
-Machop(config-ext-nacl)#33 permit tcp any host 20.20.20.20 eq telnet
-Machop(config-ext-nacl)#34 deny tcp any host 172.29.167.1 eq telnet
-Machop(config-ext-nacl)#35 deny tcp any host 191.105.157.2 eq telnet
-Muk(config)#do telnet 20.20.20.20 /source Lo0
-Trying 20.20.20.20 ... Open
-User Access Verification
-Password:
-Machop>exit
-[Connection to 20.20.20.20 closed by foreign host]
-Muk(config)#do telnet 172.29.167.1 /source Lo0
-Trying 172.29.167.1 ...
-% Destination unreachable; gateway or host down
-Muk(config)#do telnet 191.105.157.2 /source Lo0
-Trying 191.105.157.2 ...
-% Destination unreachable; gateway or host down
-</code>
-</solution>
-.  [10p] Din cauza riscurilor de securitate, s-a luat decizia ca niciun server al companiei să nu se afle în clădirea C. De aceea, se poate implementa o regulă ce specifică blocarea tuturor pachetelor cu destinația clădirea C ce inițiază o conexiune TCP nouă.
-  * Observație: Pentru a putea testa acest task, cât și următorul, trebuie să porniți ruterul Caterpie, însă NU trebuie să lucrați pe acesta. După rezolvarea acestora, puteți închide acest ruter.
-<solution -hidden>
-</code>
-Lucario(config)# ip access-list ext NO_TCP_C
-Lucario(config-ext-nacl)# 10 permit tcp any any established
-Lucario(config-ext-nacl)# 20 deny tcp any any
-Lucario(config)# int e1/0
-Lucario(config-if)# ip access-group NO_TCP_C out
-GunsNRoses# telnet 20.20.20.20
-Trying 20.20.20.20 ... Open
-User Access Verification
-Password:
-Machop>
-Machop(config-ext-nacl)#do telnet 192.168.231.2
-Trying 192.168.231.2 ...
-% Destination unreachable; gateway or host down
-Lucario(config)#do sh access-l
-Extended IP access list NO_TCP_C
-permit tcp any any established
-deny tcp any any (1 match)
-</code>
-</solution>
-.  [20p] Permiteţi traficul ICMP de la Clădirea C către zona Teleworker doar dacă acesta este un răspuns la o cerere iniţiată din această zonă. Restul traficului ICMP de la Lucario către zona Teleworker trebuie să fie permis, de asemenea.
-  * Hint: Aplicaţi o listă de acces reflexivă pe ruterul Machop.
-<solution -hidden>
-<code>
-Machop(config)#do sh ip access ICMP_TO_JH
-Extended IP access list ICMP_TO_JH
-permit icmp 172.29.167.0 0.0.0.255 192.168.231.0 0.0.0.255 reflect ICMP1 (11 matches)
-permit icmp 192.168.254.0 0.0.0.255 192.168.231.0 0.0.0.255 reflect ICMP2
-permit ip any any (15 matches)
-Machop(config)#do sh ip access ICMP_FROM_JH
-Extended IP access list ICMP_FROM_JH
-evaluate ICMP1
-evaluate ICMP2
-permit icmp host 66.218.168.5 172.29.167.0 0.0.0.255 (10 matches)
-permit icmp host 155.17.23.1 172.29.167.0 0.0.0.255
-permit icmp host 172.2.0.1 172.29.167.0 0.0.0.255
-permit icmp host 10.10.10.17 172.29.167.0 0.0.0.255
-permit icmp host 10.10.10.33 172.29.167.0 0.0.0.255
-permit icmp host 66.218.168.5 192.168.254.0 0.0.0.255 (5 matches)
-permit icmp host 155.17.23.1 192.168.254.0 0.0.0.255
-permit icmp host 172.2.0.1 192.168.254.0 0.0.0.255
-permit icmp host 10.10.10.17 192.168.254.0 0.0.0.255
-permit icmp host 10.10.10.33 192.168.254.0 0.0.0.255
-Machop(config)#int fa1/0
-Machop(config-if)#ip access-group ICMP_TO_JH out
-Machop(config-if)#ip access-group ICMP_FROM_JH in
-</code>
-Observație: Lista de access creată nu trebuie să afecteze funcționalitatea niciunui task anterior!
-</solution>
-==== Bonus ====
-. [10p] Vrem ca zona Teleworker să poată accesa restul rețelei doar în zilele lucrătoare ale unei săptămâni (Luni - Vineri, în intervalul 9:00 – 18:00). Faceți configurațiile necesare pentru a permite accesul în intervalul respectiv, interzicând complet accesul zonei Teleworker la restul rețelei în afara intervalului specificat.
-  * Observație: Lista de access creată nu trebuie să afecteze funcționalitatea niciunui task anterior!
-  * Hint: Aplicaţi lista de acces creată pe ruterul Machop, folosind o interfaţă şi o direcţie încă nefolosite.
-  * Testați funcționarea acestui task schimbând ceasul pe ruterul pe care ați aplicat lista de acces prin comanda:
-<solution -hidden>
-<code>
-Router# clock set 01:00:00 Dec 1 2013
-Machop(config)#time-range TELEWORKER_TIME
-Machop(config-time-range)#periodic weekdays 09:00 to 18:00
-Machop(config)#ip access-list extended TELEWORKER_ACCESS
-Machop(config-ext-nacl)#permit ip any any time-range TELEWORKER_TIME
-Machop(config-ext-nacl)#int fa0/0
-Machop(config-if)#ip access-group TELEWORKER_ACCESS out
-</code>
-Hint: Aplicaţi lista de acces creată pe ruterul Machop, folosind o interfaţă şi o direcţie încă nefolosite.
-</solution>

Cursuri

Laboratoare

Resurse

pr/laboratoare/05.1478685056.txt.gz · Last modified: 2016/11/09 11:50 by sergiu.costea

Show page Old revisions

Media Manager Back to top