|
Разрешить прохождение интернет-трафика от любого узла сети к сети демилитаризованной зоны центрального офиса: access-list 101 permit ip any 35.10.45.0 0.0.0.255 И запретить прохождение любого другого исходящего трафика протокола IP: access-list 101 deny ip any any Привязка списка доступа №100 к интерфейсу f1/0 для входящего трафика: interface FastEthernet1/0 ip access-group 100 in Привязка списка доступа №101 к интерфейсу f1/0 для исходящего трафика: ip access-group 101 out 9.3 Маршрутизатор R1.1 В данном маршрутизаторе будут составлены списки доступа для интерфейса FastEthernet0/0. Сначала нужно разрешить работу протокола маршрутизации EIGRP, обеспечивающего маршрутизацию в сети, так как иначе станет невозможной работа VPN-туннеля: access-list 100 permit eigrp any any Нужно разрешить прохождение трафика протокола GRE, обеспечивающего работу VPNтуннелей, от узла с IP-адресом 45.10.35.2 к узлу с IP-адресом 20.35.10.2: access-list 100 permit gre host 45.10.35.2 host 20.35.10.2 Аналогичным образом составляется список доступа 101, работающий на входящий трафик. access-list 101 permit eigrp any any access-list 101 permit gre host 20.35.10.2 host 45.10.35.2 Настройка сетевого доступа первого филиала между отделами и HTTP, DNS-серверами. В таблице 9.3.1 представлены данные о обеспечении доступности сетевых сервисов DNS и HTTP в соответствии с таблицей распределения сетевых сервисов и штатной структурой предприятия с использованием списков доступа для первого филиала. На рисунке 9.3.1 предоставлена схема входящего и исходящего трафика первого филиала. |
Теперь необходимо запретить любой другой интернет-трафик, чтобы уменьшить вероятность попадания злоумышленника во внутреннюю сеть: access-list 100 deny ip any any access-list 101 deny ip any any Привязка списка доступа №101 к интерфейсу f1/1 для входящего трафика: interface FastEthernet1/1 ip access-group 101 in Привязка списка доступа №100 к интерфейсу f1/1 для исходящего трафика: interface FastEthernet1/1 ip access-group 100 out Маршрутизатор R1.1 является пограничным для данной схемы построения ДМЗ. Здесь необходимо разрешить прохождение интернет-трафика от сети демилитаризованной зоны первого филиала к любому другому узлу сети: access-list 100 permit ip 25.30.50.0 0.0.0.255 any Запретить прохождение любого другого входящего трафика протокола IP: access-list 100 deny ip any any Разрешить прохождение интернет-трафика от любого узла сети к сети демилитаризованной зоны центрального офиса: access-list 101 permit ip any 25.30.50.0 0.0.0.255 И запретить прохождение любого другого исходящего трафика протокола IP: access-list 101 deny ip any any Привязка списка доступа №100 к интерфейсу f2/0 для входящего трафика: interface FastEthernet2/0 ip access-group 100 in Привязка списка доступа №101 к интерфейсу f2/0 для исходящего трафика: interface FastEthernet2/0 ip access-group 101 out |
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.