2) Запретить доступ из студенческой подсети в административную, но обеспечить полный доступ из административной сети в студенческую. В качестве исключения представляется целесообразным разрешить свободный обмен SNMP-трафиком, ответами на ICMP-запросы и запросы DNS между сетями.
9.1. ACL для последовательного интерфейса маршрутизатора
Router(#) configure terminal
Router(config)# access-list 101 permit tcp any any established
Router(config)# access-list 101 permit icmp any any echo-reply
Router(config)# access-list 101 permit tcp any host 130.200.200.200 eq smtp
Router(config)# access-list 101 permit udp any host 130.200.200.200 eq dns
Router(config)# access-list 101 permit tcp host 130.200.1.1 any eq snmp
Router(config)# access-list 101 permit udp host 130.200.1.1 any eq snmp
Router(config)# interface serial 0/0
Router(config-if)# access-group 101 in
9.2. ACL для LAN подинтерфейса маршрутизатора Fa 0/0.1
Router(#) configure terminal
Router(config)# access-list 102 permit tcp any any established
Router(config)# access-list 102 permit icmp any any echo-reply
Router(config)# access-list 102 permit tcp any any eq snmp
Router(config)# access-list 102 permit udp any any eq snmp
Router(config)# access-list 102 permit udp any any eq dns
Sunset(config)# interface FA 0/0.1
Sunset(config-if)# access-group 102 out
Для обеспечения соединения школьного маршрутизатора с маршрутизатором районного информационного центра проект предполагает использование протокола Frame Relay.
Frame Relay – это стандарт, определяющий процесс передачи информации через публичную информационную сеть (Public data network-PDN) и разработанный Международным союзом электросвязи (МСЭ) совместно и Американским национальным институтом стандартизации (ANSI). Это эффективная технология, получившая распространение во всем мире. Frame Relay – это способ передачи информации по WAN соединению с использованием разбиения её на пакеты. Каждый пакет может проходить через ряд коммутаторов в сети Frame Relay, прежде чем достигает точки назначения. Технология работает на первом (Physical) и втором (Data Link) уровнях семиуровневой модули взаимодействия открытых сетей OSI, но полагается на протоколы высших уровней, такие как TCP, для обеспечения надежности передачи информации. Frame Relay изначально предназначался для интерфейсов ISDN. Но сегодня это стандарт, протокол уровня Data Link, поддерживающий множество виртуальных сетей.
Пусть глобальный ip-адрес последовательного интерфейса назначен 130.200.200.20/24. Приведем порядок настройки интерфейса S 0/0 школьного маршрутизатора в предположении, что на нем установлена IOS версии не ниже 11.2: Начиная с этой версии, Cisco IOS поддерживает автоматическое определение типа Local Management Interface (LMI) и определение номера Data-link Connection Identifier (DLCI) исходя из получаемых сообщений LMI. В качестве метода инкапсуляции по умолчанию принимается метод, разработанный Cisco Systems. Следовательно, требуется, чтобы в районном офисе использовался маршрутизатор производства этой компании. Впрочем, при необходимости возможен переход к методу инкапсуляции, определенному Internet Engineering Task Force (IETF) в стандарте RFC 1490. Итак:
Router(#) configure terminal
Router(config)# interface serial 0/0
Router(config-if)# ip address 130.200.200.20 255.255.255.0
Router(config-if)# encapsulation frame-relay
Router(config-if)# no shutdown
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.