Differences
This shows you the differences between two versions of the page.
|
pr:laboratoare:07 [2025/09/26 23:16] eduard.dumistracel [Exerciții] |
pr:laboratoare:07 [2025/11/22 17:20] (current) eduard.dumistracel |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| - | ===== Laboratorul 07. EIGRP===== | + | ===== Laboratorul 07. ACL===== |
| ==== Cuprins ==== | ==== Cuprins ==== | ||
| Line 7: | Line 7: | ||
| ==== Topologie==== | ==== Topologie==== | ||
| + | {{ :pr:laboratoare:topologie_acl_initial.png?700 |}} | ||
| - | + | ==== Resurse laborator ==== | |
| - | * R1 - R2 -> 2001:db8:cafe::0440/125 | + | * GNS3 Lab: {{:pr:laboratoare:lab_acl_initial.zip|}} |
| - | * R1 - R3 -> 2001:db8:cafe::0448/125 | + | * Lab Setup: [[pr:laboratoare:01|]] |
| - | * R3 - R4 -> 2001:db8:cafe::0450/125 | + | Vă rugăm să descărcați fișierele pe desktop și să le ștergeți la finalul laboratorului. |
| - | * R2 - R4 -> 2001:db8:cafe::0458/125 | + | |
| - | * R4 - R5 -> 2001:db8:cafe::0460/125 | + | |
| - | * R4 - R6 -> 2001:db8:cafe::0468/125 | + | |
| - | * R5 - R7 -> 2001:db8:cafe::0470/125 | + | |
| - | * R6 - R7 -> 2001:db8:cafe::0478/125 | + | |
| ==== Exerciții ==== | ==== Exerciții ==== | ||
| === Task1 === | === Task1 === | ||
| - | Configurați ruterele R1, R2, R3 și R4 să ruleze OSPFv3 în aceeași arie (Area 0). Verificați stabilirea vecinătăților și prezența rețelelor în tabela de rutare. | + | Pe ruterul R0 există definite Loopback 0 și Loopback 1, pe care trebuie să le acceseze doar de pe R6. |
| + | Blocați traficul venit de la alte rutere către aceste interfețe. | ||
| - | * R1 - 1.1.1.1 | + | Atenție! Restul traficului către ruterul R0 trebuie să funcționeze în continuare! |
| - | * R2 - 2.2.2.2 | + | <spoiler Soluţie> |
| - | * R3 - 3.3.3.3 | + | <code> |
| - | * R4 - 4.4.4.4 | + | ipv6 access-list ex1 |
| + | permit ipv6 host 2001:db8:cafe::0449 host 2001:DB8:CAFE::1 | ||
| + | permit ipv6 host 2001:db8:cafe::0449 host 2001:DB8:CAFE::201 | ||
| + | deny ipv6 any host 2001:DB8:CAFE::1 | ||
| + | deny ipv6 any host 2001:DB8:CAFE::201 | ||
| + | permit ipv6 any any | ||
| + | int fa0/0 | ||
| + | ipv6 traffic-filter ex1 in | ||
| + | </code> | ||
| + | </spoiler> | ||
| + | === Task2 === | ||
| + | Filtrați (blocați) traficul TCP cu range-ul de porturi destinație 22-81 si sursa R5 către următoarele adrese: | ||
| - | === Task2 === | + | 2001:db8:cafe::0431 |
| - | Configurați ruterele R4, R5, R6 și R7 să ruleze EIGRP pentru IPv6. Verificați formarea adiacențelor și propagarea rețelelor în partea dreaptă a topologiei. | + | 2001:db8:cafe::0441 |
| - | * R4 - 4.4.4.4 | + | 2001:db8:cafe::0439 |
| - | * R5 - 5.5.5.5 | + | |
| - | * R6 - 6.6.6.6 | + | <spoiler Soluţie> |
| - | * R7 - 7.7.7.7 | + | <code> |
| + | ipv6 access-list ex2 | ||
| + | deny tcp host 2001:db8:cafe::0462 host 2001:db8:cafe::0431 range 22 81 | ||
| + | deny tcp host 2001:db8:cafe::0462 host 2001:db8:cafe::0441 range 22 81 | ||
| + | deny tcp host 2001:db8:cafe::0462 host 2001:db8:cafe::0439 range 22 81 | ||
| + | permit any anyW | ||
| + | int fa0/0 | ||
| + | ipv6 traffic-filter ex2 out | ||
| + | </code> | ||
| + | </spoiler> | ||
| === Task3 === | === Task3 === | ||
| - | Testați conectivitatea folosind comanda ping și traceroute între R1 și R7. Confirmați că traficul NU circulă între cele două domenii de rutare. | + | Datorită riscurilor de securitate, s-a luat decizia ca nicio rețea din Zona A să nu poată iniția o conexiune TCP nouă către Zona B. De aceea, se poate implementa o regulă ce specifică blocarea tuturor pachetelor cu sursa zonei A ce inițiază o conexiune TCP nou |
| + | <spoiler Soluţie> | ||
| + | <code> | ||
| + | ipv6 access-list ex3 | ||
| + | permit tcp any any established | ||
| + | deny tcp <network> any | ||
| + | deny tcp <network> any | ||
| + | permit ipv6 any any | ||
| + | int <port> | ||
| + | ipv6 traffic-filter ex3 out | ||
| + | </code> | ||
| + | </spoiler> | ||
| === Task4 === | === Task4 === | ||
| - | Configurați redistribuirea rutelor OSPFv3 în EIGRP pe R4. Asigurați-vă că prefixele din partea stângă (R1–R3) apar în tabela de rutare a rutere-lor din partea dreaptă (R5–R7). | + | Blocați traficul de tip ICMP provenit de la R6 către router-ele din Zona A. |
| + | <spoiler Soluţie> | ||
| + | <code> | ||
| + | ipv6 access-list ex4 | ||
| + | deny icmp host <host1> host <host2> | ||
| + | deny icmp host <host3> host <host2> | ||
| + | permit icmp any any | ||
| + | permit ipv6 any any | ||
| + | exit | ||
| + | int <port> | ||
| + | ipv6 traffic-filter ex4 out | ||
| + | </code> | ||
| + | </spoiler> | ||
| === Task5 === | === Task5 === | ||
| - | Configurați redistribuirea rutelor EIGRP în OSPFv3 pe R4. Verificați că rețelele din partea dreaptă apar în tabela de rutare a rutere-lor R1, R2 și R3. | + | Vrem ca traficul IP din Area A către Area B să funcționeze doar în zilele lucrătoare ale unei săptămâni (Luni - Vineri, în intervalul 9:00 – 18:00). Faceți configurațiile necesare pentru a permite accesul în intervalul respectiv, interzicând complet accesul din Area A în Area B în afara intervalului specificat. |
| - | === Task6 === | + | |
| - | Testați conectivitatea folosind comanda ping și traceroute între R1 și R7. Confirmați că traficul circulă între cele două domenii de rutare prin redistribuire. | + | |
| - | === Task7 === | + | |
| - | Implementați un prefix-list sau route-map pe R4 pentru a filtra anumite prefixe redistribuite. Verificați efectul asupra tabelelor de rutare din ambele părți. | + | |
| - | Exemplu 1 OSPF -> EIGRP | + | Testați funcționarea acestui task schimbând ceasul pe ruterul pe care ați aplicat lista de acces prin comanda: |
| - | + | Router# clock set 01:00:00 Dec 1 2025 | |
| - | 1.Creezi prefix-list astfel incat sa permiti doar reteaua R1-R2 | + | <spoiler Soluţie> |
| - | + | <code> | |
| - | * ipv6 prefix-list OSPF-TO-EIGRP seq 10 permit 2001:db8:cafe::0440/125 | + | time-range weekdays |
| - | * ipv6 prefix-list OSPF-TO-EIGRP seq 20 deny ::/0 le 128 | + | periodic weekdays 09:00 to 18:00 |
| - | + | ipv6 access-list ex5 | |
| - | 2.Creezi route-map | + | permit tcp any any time-range weekdays |
| - | + | deny tcp any any | |
| - | * route-map RM-OSPF-TO-EIGRP permit 10 | + | int <port> |
| - | * match ipv6 address prefix-list OSPF-TO-EIGRP | + | ipv6 traffic-filter out |
| - | + | </code> | |
| - | 3. Aplici route-map în redistribuire | + | </spoiler> |
| - | + | ||
| - | * ipv6 router eigrp 10 | + | |
| - | * no redistribute ospf 5 | + | |
| - | * redistribute ospf 5 metric 100000 100 255 1 1500 route-map RM-OSPF-TO-EIGRP | + | |
| - | + | ||
| - | 4. Verificați | + | |
| - | * show ipv6 route eigrp -> Vei vedea doar prefixele permise (2001:db8:cafe::0440/122) | + | |
| - | + | ||
| - | Exemplu 2 EIGRP -> OSPF | + | |
| - | + | ||
| - | 1. Prefix-list (permit doar rețelele din zona R5–R6) | + | |
| - | + | ||
| - | * ipv6 prefix-list EIGRP-TO-OSPF seq 10 permit 2001:db8:cafe::0460/123 le 128 | + | |
| - | * ipv6 prefix-list EIGRP-TO-OSPF seq 20 deny ::/0 le 128 | + | |
| - | + | ||
| - | 2. Route-map | + | |
| - | + | ||
| - | * route-map RM-EIGRP-TO-OSPF permit 10 | + | |
| - | * match ipv6 address prefix-list EIGRP-TO-OSPF | + | |
| - | + | ||
| - | 3.Aplicare în redistribuire | + | |
| - | + | ||
| - | * ipv6 router ospf 5 | + | |
| - | * no redistribute eigrp 10 | + | |
| - | * redistribute eigrp 10 route-map RM-EIGRP-TO-OSPF | + | |
| - | * end | + | |
| ==== Cuprins ==== | ==== Cuprins ==== | ||
| * [[#topologie|Topologie]] | * [[#topologie|Topologie]] | ||
| * [[#Exerciții|Exerciții]] | * [[#Exerciții|Exerciții]] | ||
| * [[#resurse-laborator|Resurse laborator]] | * [[#resurse-laborator|Resurse laborator]] | ||
| + | |||
| + | |||
