Fiind în continuă creștere a numărului de angajați, compania noastră se vede în situația de a angaja lucrători la distanță pentru departamentele de Marketing și Finanțe (clădirea C). Acest lucru ridică însă o serie de probleme, fiind necesară construcția unei infrastructuri care să impună o serie de reguli de filtrare pentru accesul la resurse al lucrătorilor la distanță.

Rezolvarea următoarelor taskuri va asigura configurarea corectă a echipamentelor pentru a permite accesul lucrătorilor la distanță și implementarea regulilor de filtrare a traficului.

Atenție: Ruterul R3 nu se află sub autoritatea Dvs., deci nu îl veți configura. El este deja configurat cu toate rutele necesare.

Inainte de a incepe laboratorul, verificati, cu ping, conectivitatea intre ruterul R4 si interfata de loopback a lui R1.

1. [20p] Pe ruterul R4 există definit Loopback 2, pe care trebuie sa il acceseze doar utilizatorii de pe R2. Blocati traficul venit de la R1 către această interfață.

2. [20p] Filtrati traficul TCP cu range-ul de porturi destinatie 22-81 si sursa R1 catre urmatoarele adrese IP:

• 208.69.127.83
• 77.73.36.99
• 74.125.39.1

Observație: Pentru a testa acest task, verificati ca, dupa aplicarea listei de acces, nu merg traficul HTTP si telnet catre IP-urile de mai sus.

R1#telnet 208.69.127.83 80
Trying 208.69.127.83, 80 ... Open

3. [20p] Permiteți accesul HTTP generat din zona Teleworker către R2, doar pe interfețele fizice ale acestuia. Filtrati traficul HTTP catre interfetele de Loopback ale lui R2.

• Observație: Lista de access creată nu trebuie să afecteze funcționalitatea niciunui task anterior!

4. [20p] Din cauza riscurilor de securitate, s-a luat decizia ca niciun server al companiei din cladirea C (ruter-ul R5) să nu poata initia o conexiune TCP noua catre restul retelei. De aceea, se poate implementa o regulă ce specifică blocarea tuturor pachetelor cu sursa clădirea C ce inițiază o conexiune TCP nouă.

• Observație: Pentru a putea testa acest task, cât și următorul, trebuie să porniți ruterul R5, însă NU trebuie aplicata nicio lista de acces pe acesta.
• Interfata lui R4 conectata catre R5 e e1/0.

5. [20p] Permiteţi traficul ICMP de la R1 către cladirea C doar dacă acesta este un răspuns la o cerere iniţiată din această zonă. Restul traficului dintre echipamente trebuie să fie permis, de asemenea.

• Hint: Aplicaţi o listă de acces reflexivă pe ruterul R2.

• Observație: Lista de access creată nu trebuie să afecteze funcționalitatea niciunui task anterior!

6. [10p] Vrem ca traficul TCP din zona Teleworker catre serverul C să functioneze doar în zilele lucrătoare ale unei săptămâni (Luni - Vineri, în intervalul 9:00 – 18:00). Faceți configurațiile necesare pentru a permite accesul în intervalul respectiv, interzicând complet accesul zonei Teleworker catre cladirea C în afara intervalului specificat.

• Observație: Lista de access creată nu trebuie să afecteze funcționalitatea niciunui task anterior!
• Testați funcționarea acestui task schimbând ceasul pe ruterul pe care ați aplicat lista de acces prin comanda:

Router# clock set 01:00:00 Dec 1 2013