|
9 РАСПРЕДЕЛЕНИЕ СЕТЕВЫХ СЛУЖБ И ИХ ЗАЩИТА ПО СРЕДСТВОМ НАСТРОЙКИ СПИСКОВ ДОСТУПА В соответствии с пунктами 9 и 10 задания на курсовое проектирование необходимо настроить сетевой доступ таким образом, чтобы: • разрешить любой трафик между локальными сетями филиалов; • обеспечить доступность сетевых сервисов DNS и Http в соответствии с таблицей распределения сетевых сервисов и штатной структурой предприятия с использованием списков доступа; • обеспечить недоступность сетевых сервисов в соответствии с таблицей с использованием списков доступа. Основным инструментом для настройки сетевого доступа являются списки контроля доступа (ACL). В данной курсовой работе будут использованы расширенные списки доступа. Для этого в качестве идентификатора ACL нужно использовать число от 100 до 199. Ниже приведена конфигурация списков доступа для маршрутизаторов предприятия. 9.1 Маршрутизатор R0.2 В данном маршрутизаторе будут составлены списки доступа для интерфейса FastEthernet0/0 с идентификаторами 100 и 101 для исходящего и входящего трафика соответственно. Сначала нужно разрешить работу протокола маршрутизации RIP, обеспечивающего маршрутизацию в сети, так как иначе станет невозможной работа VPN-туннеля: access-list 100 permit rip any any Нужно разрешить прохождение трафика протокола GRE, обеспечивающего работу VPNтуннелей, от узла с IP-адресом 45.10.35.2 к узлам с IP-адресами 10.20.30.1, 55.40.25.1 и 20.35.10.2: access-list 100 permit gre host 45.10.35.2 host 10.20.30.1 access-list 100 permit gre host 45.10.35.2 host 55.40.25.1 access-list 100 permit gre host 45.10.35.2 host 20.35.10.2 Аналогичным образом составляется список доступа 101, работающий на входящий трафик. access-list 101 permit eigrp any any access-list 101 permit gre host 10.20.30.1 host 45.10.35.2 access-list 101 permit gre host 20.35.10.2 host 45.10.35.2 access-list 101 permit gre host 55.40.25.1 host 45.10.35.2 Настройка сетевого доступа центрального офиса между отделами и HTTP-сервером. Согласно пункту 10 задания на курсовое проектирование, нужно разрешить прохождение трафика |
|
от узла с IP-адресом 35.10.45.2 к узлам с IP-адресами 192.168.4.3, 192.168.1.3, 192.168.2.3 и 192.168.3.3(HTTP-сервер центрального офиса связан с отделом№2 центрального офиса, отделом№2 перврго филиала, отделом №2 второго филиала, отделом №2 третьего филиала: access-list 100 permit ip 35.10.45.2 0.0.0.255 192.168.4.3 0.0.0.255 access-list 100 permit ip 35.10.45.2 0.0.0.255 192.168.1.3 0.0.0.255 access-list 100 permit ip 35.10.45.2 0.0.0.255 192.168.2.3 0.0.0.255 access-list 100 permit ip 35.10.45.2 0.0.0.255 192.168.3.3 0.0.0.255 access-list 101 permit ip 192.168.4.3 0.0.0.255 35.10.45.2 0.0.0.255 access-list 101 permit ip 192.168.1.3 0.0.0.255 35.10.45.2 0.0.0.255 access-list 101 permit ip 192.168.2.3 0.0.0.255 35.10.45.2 0.0.0.255 access-list 101 permit ip 192.168.3.3 0.0.0.255 35.10.45.2 0.0.0.255 Теперь необходимо запретить любой другой интернет-трафик, чтобы уменьшить вероятность попадания злоумышленника во внутреннюю сеть: access-list 100 deny ip any any access-list 101 deny ip any any Привязка списка доступа №101 к интерфейсу f0/0 для входящего трафика: interface FastEthernet0/0 ip access-group 101 in Привязка списка доступа №100 к интерфейсу f0/0 для исходящего трафика: interface FastEthernet0/0 ip access-group 100 out 9.2 Маршрутизатор R0.1 Этот маршрутизатор является пограничным для данной схемы построения ДМЗ. Здесь необходимо разрешить прохождение интернет-трафика от сети демилитаризованной зоны центрального офиса к любому другому узлу сети: access-list 100 permit ip 35.10.45.0 0.0.0.255 any Запретить прохождение любого другого входящего трафика протокола IP: access-list 100 deny ip any any |
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.