Show page

Differences

This shows you the differences between two versions of the page.

--- systems:pr:laboratoare:laborator-09 [2012/09/19 12:24]
sergiu.costea
+++ — (current)
@@ Line 1: / Line 1: @@
-====== Laborator 9 - ACL, NAT, GRE ======
-===== Motivație =====
-Fiind în continuă creștere a numărului de angajați, compania noastră se vede în situația de a angaja lucrători la distanță pentru departamentele de Marketing și Finanțe (clădirea C). Acest lucru ridică însă o serie de probleme, fiind necesară construcția unei infrastructuri care să suporte acest tip de muncitori.
-Pe lângă acestea, mai trebuie de asemenea implementată o serie de reguli de filtrare a traficului în anumite zone din reţeaua extinsă a companiei.
-===== Topologie =====
-===== Cerințe =====
-Rezolvarea următoarelor taskuri va asigura configurarea corectă a echipamentelor pentru a permite accesul lucrătorilor la distanță și implementarea regulilor de filtrare a traficului.
-Atenție: Ruterul StanLee este folosit pentru testare. Configurațiile din zona teleworker se vor face pe ruterul ChuckLorre.
-  - [20p] Lucrătorul la distanţă se află într-un spaţiu de adrese privat, neputând accesa Internetul. Rezolvați această problemă pentru întreaga zonă Teleworker
-    * Porniti comanda de debug pentru solutia pe care ati gasit-o. Cum sunt transmise pachetele din zona Teleworker catre Internet? <solution>
-Pe ChuckLorre, configuram PAT:
-<code>
-access-list 1 permit 172.29.167.0 0.0.0.3
-access-list 1 permit 192.168.254.0 0.0.0.255
-ip nat inside source list 1 interface FastEthernet1/0 overload
-interface FastEthernet0/0
-ip nat inside
-interface FastEthernet1/0
-ip nat outside
-</code> </solution>
-  - [10p] Asigurați conectivitatea end-to-end pentru întreaga rețea, folosind cat mai optim rutarea. Ruterul Penny nu se află sub autoritatea Dvs., deci nu îl veți configura. El este deja configurat cu toate rutele necesare.
-    * Cum va cunoaste ruter-ul Howard pachetele din zona Teleworker? Incercati comanda de debug pentru a verifica. <solution> <code>
-StanLee(config)# ip route 0.0.0.0 0.0.0.0 172.29.167.1
-ChuckLorre(config)# ip route 0.0.0.0 0.0.0.0 191.105.157.1
-Howard(config)# ip route 0.0.0.0 0.0.0.0 66.218.168.6
-Howard(config)# ip route 191.105.157.0 255.255.255.0 66.218.168.6
-</code> </solution>
-  - [10p] Pe ruterul Howard există definit Loopback 0 pe care trebuie să îl aceseze doar angajaţii din zona teleworker. Filtraţi restul traficului.
-    * Testați folosind L0 de pe ChuckLorre funcționarea ACL-ului. In timpul acestui test, porniti comanda de debug pe ruter-ul pe care ati plasat ACL-ul. <solution> <code>
-Howard(config)# ip access-list extended task3
-Howard(config-ext-nacl)# permit ip host 191.105.157.2 host 155.17.23.1
-Howard(config-ext-nacl)# deny ip any host 155.17.23.1
-Howard(config-ext-nacl)# permit ip any any
-Howard(config)# int fa2/0
-Howard(config-if)# ip access-group task3 in
-ChuckLorre# ping 155.17.23.1 source 20.20.20.20
-</code> </solution>
-  - [15p] Lucrătorii din zona teleworker nu au dreptul de a accesa o serie de site-uri web:
-    * 208.69.127.83
-    * 77.73.36.99
-    * 74.125.39.0/24 \\ Filtraţi accesul HTTP la aceste IP-uri. \\ Obs. Acest task POATE fi testat. Încercați :-). <solution> <code>
-ChuckLorre(config)# ip access-list extended task4
-ChuckLorre(config-ext-nacl)# deny tcp any host 208.69.127.83 eq www
-ChuckLorre(config-ext-nacl)# deny tcp any host 77.73.36.99 eq www
-ChuckLorre(config-ext-nacl)# deny tcp any 74.125.39.0 0.0.0.255 eq www
-ChuckLorre(config-ext-nacl)# permit ip any any
-ChuckLorre(config-ext-nacl)# int fa0/0
-ChuckLorre(config-if)# ip access-group task4 in
-StanLee# telnet 77.73.36.99 www
-</code> </solution>
-  - [15p] Permiteți accesul Telnet generat din zona Teleworker-ilor către ChuckLorre doar pe interfața Loopback 0 a acestuia. Rezolvați acest task fără să mai creați un nou ACL. <hidden> Ultimele linii ale ACL-ului (4-9) opresc traficul telnet pe oricare IP al lui Howard(nu tb sa scrie toate IP-urile, important e sa realizeze ca tb sa treaca un IP de-al lui Howard si nu orice destinatie. </hidden> <solution> <code>
-Howard(config)# ip access-list extended task3
-Howard(config-ext-nacl)# 2 deny tcp host 191.105.157.2 host 155.17.23.1 eq teln
-Howard(config-ext-nacl)# 3 permit tcp any host 155.17.23.1 eq teln
-Howard(config-ext-nacl)# [4-9] deny tcp any host [IP_Howard]  eq telnet
-</code> </solution>
-  - [10p] Datorită riscurilor de securitate, s-a luat decizia ca nici un server al companiei să nu se afle în clădirea C. De aceea, se poate implementa o regulă ce specifică blocarea tuturor pachetelor cu destinația clădirea C ce inițiază o conexiune TCP nouă. <solution> <code>
-permit tcp any DEST established
-</code> </solution>
-  - [20p] Pentru a accesa intranet-ul companiei într-o metodă mai sigură, s-a luat decizia ca traficul lucrătorului la distanţă să treacă printr-un tunel GRE între Howard şi ChuckLorre. Implementați acest tunel folosind adrese din subnetul 103.13.0.0/24. <solution>
-**ChuckLorre**:
-<code>
-interface Tunnel0
- ip address 10.0.0.1 255.255.255.252
- tunnel source FastEthernet1/0
- tunnel destination 66.218.168.5
-interface Tunnel0
-ip route 10.10.10.16/28,  10.10.10.32/27, 172.2.0.0/24 Tunnel0
-</code> </solution>
-  - [10p] S-a luat decizia ca traficul ICMP generat de către lucrătorul la distanță să ajungă translatat la ruter-ul Howard prin Tunel, cu una din adresele subnetului 80.75.0.0/29.
-    * Testați această configurare prin comenzi de debug, atat pe ruter-ul ChuckLorre, cat si pe Howard. <solution> <code>
-</code> </solution>

systems/pr/laboratoare/laborator-09.1348046672.txt.gz · Last modified: 2012/09/19 12:24 by sergiu.costea

Show page Old revisions

Media Manager Back to top