. Topologie 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Page 1 of 8
Tabela de Adresare Echipament Interfață Adresă IP Masca de subrețea Default Gateway Obiective HQ G0/1 192.168.1.1 255.255.255.0 N/A S0/0/1 10.1.1.2 255.255.255.252 N/A Lo0 192.168.4.1 255.255.255.0 N/A ISP G0/1 192.168.3.1 255.255.255.0 N/A S0/0/0 (DCE) 10.1.1.1 255.255.255.252 N/A S1 VLAN 1 192.168.1.11 255.255.255.0 192.168.1.1 S3 VLAN 1 192.168.3.11 255.255.255.0 192.168.3.1 PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1 PC-C NIC 192.168.3.3 255.255.255.0 192.168.3.1 Partea 1: Construirea Rețelei și Configurarea Setărilor de Bază ale Rețelei Partea 2 : Depanați Accesul Intern Partea 3 : Depanați Accesul la Distanță Context/Scenariu Un ACL (access control list) este o serie de comenzi IOS care poate furniza filtrarea traficului de bază pe un router Cisco. ACL-urile sunt utilizate pentru a selecta tipurile de trafic ce trebuie procesate. O singură intrare ACL este denumită ACE (access control entry) ACE-urile din ACL sunt evaluare de sus în jos cu un deny all implicit la finalul fiecărei liste. ACL-urile pot controla și tipurile de trafic ce intră sau ies din rețea prin hosturile sursă și de destinație. Pentru a procesa în mod corect traficul dorit, plasarea ACL-urilor este critică. În acest laborator, o companie mică tocmai a adăugat un server de web la rețea pentru a permite clienților să acceseze informații confidențiale. Rețeaua companiei se împarte în două zone: Corporate Network Zone și Demilitarized Zone (DMZ). Prima zonă găzduiește servere private și clienți interni. DMZ găzduiește serverul de web ce poate fi accesat din exterior (simulat de Lo0 pe HQ). Deoarece compania își poate administra doar propriul router HQ, toate ACL-urile trebuie aplicate la routerul HQ. ACL 101 este implementat pentru a limita traficul în afara zonei Corporate Network. Această zonă găzduiește serverele private și clienții interni (192.168.1.0/24). Nici o altă rețea nu ar trebui să o poată accesa. ACL 102 este utilizat pentru a limita traficul în rețeaua corporației. Doar răspunsurile la solicitări care sunt generate din interiorul rețelei corporației pot intra din nou în rețea. Sunt incluse și interogări bazate pe TCP de la hosturi interne cum ar fi Web și FTP. ICMP este permis în rețea în scopuri de depanare astfel încât mesajele ICMP de intrare generate ca răspuns la ping-uri să poată fi primite de hosturile interne. ACL 121 controlează traficul extern la rețeaua corporației și la DMZ. Doar traficul HTTP este permis la serverul de web DMZ (simulat de Lo0 pe R1). Restul traficului, cum ar fi EIGRP, este permis din rețelele externe. Mai mult, adreselor private interne precum 192.168.1.0, adresei de loopback precum 127.0.0.0 și adreselor multicast le sunt refuzate intrarea în rețelele corporației pentru a împiedica atacurile malițioase de la utilizatorii externi. 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Page 2 of 8
Notă: Router-ele folosite la laboratoarele practice de CCNA sunt: Cisco 1941 Integrated Services Routers (ISR-uri)și Cisco IOS Release 15.2(4)M3 (universalk9 image). Switch-urile folosite sunt Cisco Catalyst 2960 cu Cisco IOS Release 15.0(2) (lanbasek9 image). Pot fi folosite și alte router-e, switch-uri și versiuni IOS. În funcție de model și de versiunea Cisco IOS, comenzile disponibile și rezultatele produse pot fi diferite față de cele arătate la laboratoare. Pentru a vizualiza identificatorii corecți ai interfeței, puteți consulta Tabelul cu Interfețele Routerelor de la sfârșitul laboratorului. Notă: Asigurați-vă că routerele și switchurile au fost șterse și că nu au configurații de pornire. Dacă nu sunteți sigur, contactați-vă instructorul. Resurse necesare 2 Routere (Cisco 1941 cu Cisco IOS Release 15.2(4)M3 imagine universală sau comparabilă) 2 Switchuri (Cisco 2960 cu Cisco IOS Release 15.0(2) imagine lanbasek9 sau comparabilă) 2 Calculatoare (Windows 7, Vista sau XP cu program de emulare a terminalului, cum ar fi Tera Term) Cabluri de consolă pentru a configura echipamentele Cisco IOS prin intermediul porturilor de consolă Cabluri seriale și Ethernet așa cum se arată în topologie Part 1: Construiți Rețeaua și Configurați Setările de Bază ale Rețelei În Partea 1, veți configura topologia rețelei și routerele și switchurile cu setări de bază, cum ar fi parole și adrese IP. Configurații prestabilite sunt de asemenea prevăzute pentru dumneavoastră pentru configurațiile inițiale ale routerului. De asemenea, veți configura setările IP pentru calculatoarele din topologie. Step 1: Cablați rețeaua așa cum se arată în topologie. Step 2: Configurați hosturile. Step 3: Inițializați și reîncărcați routerele și switchurile, dacă este necesar. Step 4: (Opțional) Configurați setările de bază pe fiecare switch. a. Dezactivați DNS lookup. b. Configurați numele hostului așa cum se arată în topologie. c. Configurați adresa IP și gateway-ul default în Tabela de Adresare. d. Folosiți cisco ca parolă vty și de consolă. e. Folosiți class ca parolă pentru modul EXEC privilegiat. f. Configurați logging synchronous pentru a împiedica mesajele de consolă să întrerupă introducerea comenzii. Step 5: Configurați setările de bază pentru fiecare router. a. Dezactivați DNS lookup. b. Configurați numele hosturilor așa cum se arată în topologie. c. Folosiți cisco ca parolă vty și de consolă. d. Folosiți class ca parolă pentru modul EXEC privilegiat. e. Configurați logging synchronous pentru a împiedica mesajele de consolă să întrerupă introducerea comenzii. 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Page 3 of 8
Step 6: Configurați accesul HTTP și credențialele utilizatorului pe routerul HQ. Credențialele utilizatorului local sunt configurate pentru a accesa serverul de web simulat (192.168.4.1). HQ(config)# ip http server HQ(config)# username admin privilege 15 secret adminpass HQ(config)# ip http authentication local Step 7: Încărcați configurările routerului. Configurările pentru routerele ISP și HQ vă sunt furnizate. Există erori în cadrul acestor configurări și este sarcina dumneavoastră să determinați configurările incorecte și să le corectați. Router ISP hostname ISP interface GigabitEthernet0/1 ip address 192.168.3.1 255.255.255.0 no shutdown interface Serial0/0/0 ip address 10.1.1.1 255.255.255.252 clock rate 128000 no shutdown router eigrp 1 network 10.1.1.0 0.0.0.3 network 192.168.3.0 no auto-summary end Router HQ hostname HQ interface Loopback0 ip address 192.168.4.1 255.255.255.0 interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip access-group 101 out ip access-group 102 in no shutdown interface Serial0/0/1 ip address 10.1.1.2 255.255.255.252 ip access-group 121 in no shutdown router eigrp 1 network 10.1.1.0 0.0.0.3 network 192.168.1.0 network 192.168.4.0 no auto-summary access-list 101 permit ip 192.168.11.0 0.0.0.255 any access-list 101 deny ip any any access-list 102 permit tcp any any established access-list 102 permit icmp any any echo-reply access-list 102 permit icmp any any unreachable access-list 102 deny ip any any 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Page 4 of 8
access-list 121 permit tcp any host 192.168.4.1 eq 89 access-list 121 deny icmp any host 192.168.4.11 access-list 121 deny ip 192.168.1.0 0.0.0.255 any access-list 121 deny ip 127.0.0.0 0.255.255.255 any access-list 121 deny ip 224.0.0.0 31.255.255.255 any access-list 121 permit ip any any access-list 121 deny ip any any end Part 2: Depanați Accesul Intern În Partea 2, ACL-urile de pe routerul HQ sunt examinate pentru a determina dacă sunt configurate corect. Step 1: Depanați ACL 101 ACL 101 este implementat pentru a limita traficul în afara zonei Corporate Network. Această zonă găzduiește doar clienți interni și servere private. Doar rețeaua 192.168.1.0/24 poate ieși din această zonă. a. PC-B poate da ping la gateway-ul său implicit? b. După ce verificați dacă PC-A a fost configurat corect, examinați routerul HQ pentru a găsi posibile erori de configurare vizualizând un sumar pentru ACL 101. Introduceți comanda show access-lists 101. HQ# show access-lists 101 Extended IP access list 101 10 permit ip 192.168.11.0 0.0.0.255 any 20 deny ip any any c. Există probleme cu ACL 101? d. Examinați interfața pentru default gateway pentru rețeaua 192.168.1.0 /24. Verificați dacă ACL 101 este aplicat în direcția corectă pe interfața G0/1. Introduceți comanda show ip interface g0/1. HQ# show ip interface g0/1 GigabitEthernet0/1 is up, line protocol is up Internet address is 192.168.1.1/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Multicast reserved groups joined: 224.0.0.10 Outgoing access list is 101 Inbound access list is 102 Direcția pentru interfața G0/1 este corect configurată pentru ACL 101? e. Corectați erorile găsite cu privire la ACL 101 și verificați dacă traficul din rețeaua 192.168.1.0 /24 poate ieși din rețeaua corporației. Înregistrați comenzile utilizate pentru a corecta erorile. 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Page 5 of 8
f. Verificați dacă PC-A poate da ping la interfața default gateway-ului. Step 2: Depanați ACL 102 ACL 102 este implementat pentru a limita traficul în rețeaua corporației. Traficul din rețelele exterioare nu este permis în rețeaua corporației. Traficul remote este permis în rețea corporației dacă traficul stabilit provine de la o rețea internă. Mesajele de răspuns ICMP sunt permise în scopuri de depanare. a. PC-A poate da ping la PC-C? b. Examinați routerul HQ pentru a găsi posibile erori de configurare vizualizând sumarul lui ACL 102. Introduceți comadna show access-lists 102. HQ# show access-lists 102 Extended IP access list 102 10 permit tcp any any established 20 permit icmp any any echo-reply 30 permit icmp any any unreachable 40 deny ip any any (57 matches) c. Există probleme cu ACL 102? d. Verificați dacă ACL 102 este aplicată în direcția corectă pe interfața G0/1. Introduceți comanda show ip interface g0/1. HQ# show ip interface g0/1 GigabitEthernet0/1 is up, line protocol is up Internet address is 192.168.1.1/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Multicast reserved groups joined: 224.0.0.10 Outgoing access list is 101 Inbound access list is 101 e. Există probleme la aplicarea ACL-ului 102 pe interfața G0/1? f. Corectați erorile găsite cu privire la ACL 102. Înregistrați comenzile utilizate pentru a corecta erorile. g. PC-A poate da acum ping la PC-C? Part 3: Depanați Accesul Remote ÎN Partea 3, ACL 121 este configurat pentru a împiedica atacurile de spoofing din rețelele externe și pentru a permite doar accesul HTTP remote la serverul de web (192.168.4.1) în DMZ. a. Verificați dacă ACL 121 a fost configurat corect. Introduceți comanda show ip access-list 121. HQ# show ip access-lists 121 Extended IP access list 121 10 permit tcp any host 192.168.4.1 eq 89 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Page 6 of 8
20 deny icmp any host 192.168.4.11 30 deny ip 192.168.1.0 0.0.0.255 any 40 deny ip 127.0.0.0 0.255.255.255 any 50 deny ip 224.0.0.0 31.255.255.255 any 60 permit ip any any (354 matches) 70 deny ip any any Există probleme cu acest ACL? b. Verificați dacă ACL 121 este aplicată în direcția corectă pe interfața S0/0/1 a lui R1. Introduceți comanda show ip interface s0/0/1. HQ# show ip interface s0/0/1 Serial0/0/1 is up, line protocol is up Internet address is 10.1.1.2/30 Broadcast address is 255.255.255.255 <output omitted> Multicast reserved groups joined: 224.0.0.10 Outgoing access list is not set Inbound access list is 121 Există probleme cu aplicarea acestui ACL? c. Dacă au fost găsite erori, modificați și înregistrați modificările de configurare pentru ACL 121. d. Verificați dacă PC-C poate accesa doar serverul de web simulat pe HQ folosind browser-ul web. Furnizați numele de utilizator admin și parola adminpass pentru a accesa serverul de web (192.168.4.1). Reflecție 1. Cum ar trebui ordonată intrarea ACL? De la general la specific sau invers? 2. Dacă ștergeți un ACL folosind comanda access-list și ACL încă este aplicat la interfață, ce se întâmplă? 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Page 7 of 8
Tabela Interfețelor Routerului Rezumatul Interfețelor Routerului Modelul Routerului Interfața Ethernet #1 Interfața Ethernet #2 Interfața Serială #1 Interfața Serială #2 1800 Fast Ethernet 0/0 (F0/0) 1900 Gigabit Ethernet 0/0 (G0/0) 2801 Fast Ethernet 0/0 (F0/0) 2811 Fast Ethernet 0/0 (F0/0) 2900 Gigabit Ethernet 0/0 (G0/0) Fast Ethernet 0/1 (F0/1) Gigabit Ethernet 0/1 (G0/1) Fast Ethernet 0/1 (F0/1) Fast Ethernet 0/1 (F0/1) Gigabit Ethernet 0/1 (G0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/0 (S0/0/0) Serial 0/1/0 (S0/1/0) Serial 0/0/0 (S0/0/0) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) Serial 0/0/1 (S0/0/1) Serial 0/1/1 (S0/1/1) Serial 0/0/1 (S0/0/1) Serial 0/0/1 (S0/0/1) Notă: Pentru a afla cum este configurat routerul, uitați-vă la interfețe pentru a identifica tipul routerului și câte interfețe are routerul. Nu există o listă efectivă cu toate combinațiile configurărilor pentru fiecare clasă de routere. Acest tabel include identificatorii pentru combinațiile posibile de interfețe Seriale și Ethernet din dispozitiv. Tabelul nu include nici un alt tip de interfață, chiar dacă un anumit router poate. Un astfel de exemplu poate fi interfața ISND BRI. Denumirea din paranteză este prescurtarea legală care poate fi folosită în comenzile Cisco IOS pentru a reprezenta interfața. 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Page 8 of 8