Exempel 2

Nätverkstopologin nedan har skapats med router 1841 till vilken har lagts modulen HWIC-2T för seriell uppkoppling. Switcharna är 2960. Här ska du använda Standard ACL numrerad och namngiven. Routing är statisk och IP kommunikationen ska testats så att alla nätverksenheter kan pinga varandra.

Nätverkstrafikfiltreringar

  1. Development ska ha åtkomst endast till Produktion. inte Management och Server.
  2. Production ska ha åtkomst endast till Development, inte Management och inte heller Server.
  3. Endast 200.0.0.2 från Development har ingen åtkomst till andra delnät förutom sitt eget.
  4. Endast 200.0.0.130 från Production har åtkomst till Management, men inte till Server.
  5. Endast 200.0.0.131 från Production har åtkomst till Server, men inte till Management.
  6. Endast 200.0.0.194 från Management har åtkomst till Server, men inte till Development och Production.

Konfigurationer

  • Villkor 1 och 2: Namngiven standard ACL – SecureBackBone
  • Villkor 3: Numrerad ACL 10
  • Villkor 4: Namngiven standard ACL – SecureServer
  • Villkor 5: Namngiven standard ACL – SecureManagement
  • Villkor 6: Namngiven standard ACL – BlockExtern

 

Standard-acl-ex-2

ACL SecureBackbone

  1. Development adresseras med 200.0.0.0 255.255.255.128 därmed är wildcard 255 - 255.255 - 255.255 - 255.255 - 128 = 0.0.0.127
  2. Production adresseras med 200.0.0.128 255.255.255.192 därmed är wildcard 255 - 255.255 - 255.255 - 255.255 - 192 = 0.0.0.63
  • R1(config)# ip access-list standard SecureBackbone
  • R1(config-std-nacl)# deny 200.0.0.0 0.0.0.127
  • R1(config-std-nacl)# deny 200.0.0.128 0.0.0.63
  • R1(config-std-nacl)# exit
  • R1(config)# interface s0/0/0
  • R1(config-if)# ip access-group SecureBackbone out
  • R1(config-if)# end
  • R1# show access-lists
  • Från datorerna bekräftas nätverkstrafikfiltreringen med ping. Alla datorer i Development och Production kan pinga varandra men inte till någon dator på Management eller Server.

ACL 10

Host 200.0.0.2 ska blockeras så att den kan kontakta endast datorer i samma nätverk. Alla andra datorer i Development kan kommunicera med datorer i Production.

  • R1(config)# access-list 10 deny host 200.0.0.2
  • R1(config)# access-list 10 permit any
  • R1(config)# interface fa0/0
  • R1(config-if)# ip access-group 10 in
  • R1(config-if)# end
  • R1# show access-lists
  • Testa nätverkstrafikfiltreringen med ping. Host 2 kan endast pinga host 3.

ACL SecureServer

Host 200.0.0.130 ska tillåtas komma till Management men inte till Server. Först redigerar vi ACL SecureBackbone eftersom Production blockeras där. Host 130 inte kan ta sig ur till Management så länge han blockeras med ACL SecureBackbone..

  • R1# show access-list SecureBackbone

10 deny 200.0.0.0 0.0.0.127
20 deny 200.0.0.128 0.0.0.63

  • R1(config)# ip access-list standard SecureBackbone
  • R1(config-std-nacl)# 11 permit host 200.0.0.130
  • R1(config-std-nacl)# end
  • R1# show access-list secureBackbone

10 deny 200.0.0.0 0.0.0.127
11 permit host 200.0.0.130
20 deny 200.0.0.128 0.0.0.63

  • Nu kan host 130 ta sig ur till Management men också till Server så vi måste blockera åtkomst till Server:
  • R2(config)# ip access-list standard SecureServer
  • R2(config-std-nacl)# deny host 200.0.0.130
  • R2(config-std-nacl)# permit any
  • R2(config-std-nacl)# exit
  • R2(config)# interface fa0/1
  • R2(config-if)# ip access-group SecureServer out
  • R2(config-if)# end
  • R2# show access-lists
  • Bekräfta nätverkstrafikfiltreringen med ping. Host 130 kan pinga till datorer i Management men inte till datorer i Server.

ACL SecureManagement

Host 200.0.0.131 ska kunna komma åt Server men inte till Management. Återigen behöver vi redigera ACL SecureBackbone eftersom Production blockeras.

  • R1# show access-list SecureBackbone

10 deny 200.0.0.0 0.0.0.127
11 permit host 200.0.0.130
20 deny 200.0.0.128 0.0.0.63

  • R1# configure terminal
  • R1(config)# ip access-list standard SecureBackbone
  • R1(config-std-nacl)# 12 permit host 200.0.0.131
  • R1(config-std-nacl)# end
  • R1# show access-list SecureBackbone

10 deny 200.0.0.0 0.0.0.127
11 permit host 200.0.0.130
12 permit host 200.0.0.131
20 deny 200.0.0.128 0.0.0.63

  • Nu kan host 131 ta sig ut till Server men också till Management så vi måste blockera åtkomst till Management.
  • R2(config)# ip access-list standard SecureManagement
  • R2(config-std-nacl)# deny host 200.0.0.131
  • R2(config-std-nacl)# permit any
  • R2(config-std-nacl)# exit
  • R2(config)# interface fa0/0
  • R2(config-if)# ip access-group SecureManagement out
  • R2(config-if)# end
  • R2# show access-list
  • Testa med ping så att host 131 kan komma åt datorer i Server, men inte till datorer i Management

ACL Block_extern

Host 200.0.0.194 från Management ska kunna komma åt Server, men inte till Development och Production.

  • R2(config)# ip access-list standard Block_extern
  • R2(config-dst-nacl)# deny host 200.0.0.194
  • R2(config-dst-nacl)# permit any
  • R2(config-dst-nacl)# exit
  • R2(config)# interface s0/0/0
  • R2(config-if)# ip access-group Block_extern out
  • R2(config-if)# end
  • R2# show access-list
  • Verifiera via ping.