Laborator 9 - ACL, NAT, GRE

Fiind în continuă creștere a numărului de angajați, compania noastră se vede în situația de a angaja lucrători la distanță pentru departamentele de Marketing și Finanțe (clădirea C). Acest lucru ridică însă o serie de probleme, fiind necesară construcția unei infrastructuri care să suporte acest tip de muncitori.

Pe lângă acestea, mai trebuie de asemenea implementată o serie de reguli de filtrare a traficului în anumite zone din reţeaua extinsă a companiei.

Rezolvarea următoarelor taskuri va asigura configurarea corectă a echipamentelor pentru a permite accesul lucrătorilor la distanță și implementarea regulilor de filtrare a traficului. Atenție: Ruterul StanLee este folosit pentru testare. Configurațiile din zona teleworker se vor face pe ruterul ChuckLorre.

1. [20p] Lucrătorul la distanţă se află într-un spaţiu de adrese privat, neputând accesa Internetul. Rezolvați această problemă pentru întreaga zonă Teleworker
   • Porniti comanda de debug pentru solutia pe care ati gasit-o. Cum sunt transmise pachetele din zona Teleworker catre Internet?
2. [10p] Asigurați conectivitatea end-to-end pentru întreaga rețea, folosind cat mai optim rutarea. Ruterul Penny nu se află sub autoritatea Dvs., deci nu îl veți configura. El este deja configurat cu toate rutele necesare.
   • Cum va cunoaste ruter-ul Howard pachetele din zona Teleworker? Incercati comanda de debug pentru a verifica.
3. [10p] Pe ruterul Howard există definit Loopback 0 pe care trebuie să îl aceseze doar angajaţii din zona teleworker. Filtraţi restul traficului.
   • Testați folosind L0 de pe ChuckLorre funcționarea ACL-ului. In timpul acestui test, porniti comanda de debug pe ruter-ul pe care ati plasat ACL-ul.
4. [15p] Lucrătorii din zona teleworker nu au dreptul de a accesa o serie de site-uri web:
   • 208.69.127.83
   • 77.73.36.99
   • 74.125.39.0/24
     Filtraţi accesul HTTP la aceste IP-uri.
     Obs. Acest task POATE fi testat. Încercați .
5. [15p] Permiteți accesul Telnet generat din zona Teleworker-ilor către ChuckLorre doar pe interfața Loopback 0 a acestuia. Rezolvați acest task fără să mai creați un nou ACL.
6. [10p] Datorită riscurilor de securitate, s-a luat decizia ca nici un server al companiei să nu se afle în clădirea C. De aceea, se poate implementa o regulă ce specifică blocarea tuturor pachetelor cu destinația clădirea C ce inițiază o conexiune TCP nouă.
7. [20p] Pentru a accesa intranet-ul companiei într-o metodă mai sigură, s-a luat decizia ca traficul lucrătorului la distanţă să treacă printr-un tunel GRE între Howard şi ChuckLorre. Implementați acest tunel folosind adrese din subnetul 103.13.0.0/24.
8. [10p] S-a luat decizia ca traficul ICMP generat de către lucrătorul la distanță să ajungă translatat la ruter-ul Howard prin Tunel, cu una din adresele subnetului 80.75.0.0/29.
   • Testați această configurare prin comenzi de debug, atat pe ruter-ul ChuckLorre, cat si pe Howard.