Scribd Logo
Upload

Welcome to Scribd!

  • Вежба 6

    Uploaded by

    dejan2447
    9 views10 pages

    Copyright

    © © All Rights Reserved

    Available Formats

    DOC, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as DOC, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    Download as doc, pdf, or txt
    9 views10 pages

    Вежба 6

    Uploaded by

    dejan2447

    Copyright:

    © All Rights Reserved
    Download as DOC, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    Download as doc, pdf, or txt
    of 10

    Вежба 6: Приступне (аccess) листе.

    Приступне (аccess листе представљају примитивни "firewall" на рутеру који


    омогућује блокирање или пропуштање одређеног саобраћаја. Тиме омогућују
    повећање перформанси мреже, односно смањују количину непотребног саобраћаја
    кроз одређене делове мреже. Филтрирање саобраћаја може да се врши по:
    - IP адресном опсегу (Source и Destination),
    - по врсти протокола и портова.

    Филтрирање саобраћаје се врши на трећем ОСИ слоју (мрежном слоју).

    За приступне листе важи правило да једну приступну листу можемо поставити


    по протоколу, смеру и интерфејсу.

    Приступне листе се могу поделити на стандардне (Standard Access List) и


    проширене (Extended Access List).

    Стандардне приступне листе филтрирају само по изворишним (source)


    адресама и постављају се ближе одредишту (destination). Могу се поделити на
    бројчане (numberеd) у опсегу 1-99 и 1300-1999, и на именоване (named).

    Проширене приступне листе филтрирају по IP source/destination адресама,


    протоколима и портовима. Постављају се ближе изворишту (source). Могу се
    поделити на бројчане (numberеd) у опсегу 100-199 и 2000-2699, и на именоване
    (named).

    1. Активирати пројектовану мрежу из Вежбе 5 и додати један сервер, повезати


    га са Router3 користећи интерфејс Fa0/1 и Copper Cross-Over кабл (Слика 6.1).

    Слика 6.1.
    2. Кофигурисати сервер на начин као што је приказано на Слици 6.2.

    Слика 6.2.

    3. Конфигурисати интерфејс Fa0/1 рутера Router3 на начин као што је


    приказан на Слици 6.3.

    Слика 6.3.

    Задатак 1:
    Конфигурисати стандардну приступну листу која онемогућује приступ
    рачунару РС1 са свих рачунара из мреже где је РС0. РС0 треба да пингује РС2,
    али не и РС1. РС2 треба да пингује све рачунаре.

    4. Конфигурисати стандардну приступну листу на Router1 преко терминала са


    РС1 на начин приказан као на Слици 6.4.

    Слика 6.4.

    Код стандардне приступне листе увек бирамо рутер који је ближи одредишту.
    Број после аccess-list представља број из опсега 1-99 и 1300-1999. Након
    опсега дефинише се IP адреса мреже која се блокира, а након ње WildCard Mask за
    исту мрежу.

    WildCard Mask: 255.255.255.255 – 255.255.255.128 = 0.0.0.127

    Наредбом permit any омогућен је саобраћај за све остале мреже ка РС1.

    Наредбом in или out дефинишемо где се проверава услов на рутеру. У нашем


    случају услов се испитује када пакет излази из рутера ка одредишту (РС1).

    Наредбе у приступним листама се проверавају узастопно. Ако је услов


    задовољен, пакет се пропушта или одбацује и преостале наредбе у приступној листи
    се не проверавају – Top-down приступ. Ако ни једна наредба у приступној листи не
    одговара услову, постоји имплицитна deny any наредба које се по правилу налази на
    крају листе и невидљива је.

    Наредбом deny се блокира саобраћај а наредбом permit се пропушта


    саобраћај.

    5. Тестирати саобраћај са рачунара РС0 и РС2 на РС1 (Слика 6.5).

    Слика 6.5.
    Задатак 2:
    Конфигурисати проширену приступну листу која допушта веб приступ са
    РС2 према серверу, али забрањује сав остали саобраћај са РС2.

    6. Конфигурисати проширену приступну листу на Router2 преко терминала са


    РС2 на начин приказан као на Слици 6.6.

    Слика 6.6.

    Код проширене приступне листе увек бирамо рутер за конфугурацију који је


    ближи изворишту саобраћаја.

    После наредбе permit се дефинише протокол (ми користимо ТСР јер њему
    припада WWW; избором IP обухаватамо све постојеће протоколе) и поставља се IP
    адреса изворишног и одредишног хоста где се дозвољава приступ. После наредбе
    eq наводи се број порта или одговарајући протокол за порт којим се
    допушта/забрањује приступ.

    Забрана сваког осталог саобраћаја се остварује наредбом deny ip any any.

    Уколико сте несигурни за наредбе после одређеног блока коришћењем ''?''


    приказују се доступне наредбе (Слика 6.6).

    7. Помоћу Add Simple PDU тестирати ICMP са РС2 на РС1 и са РС2 на РС0
    (Слика 6.7).

    Слика 6.7.
    8. Помоћу Add Complex PDU тестирати HTTP саобраћај са РС2 на сервер.
    Кликом Add Complex PDU на РС2, a затим на сервер отвара се прозор који
    попуњавамо са параметрима приказаним на Слици 6.8.

    Слика 6.8.

    HTTP протокол од РС2 до сервера је онемогућен (Слика 6.9).

    Слика 6.9.

    Задатак 3:
    Конфигурисати приступне листе из Задатка 1 и Задатка 2 користећи
    именоване приступне листе.

    9. Обрисати све постојеће приступне листе из Задатка 1 (Слика 6.10) и


    Задатка 2 (Слика 6.11).

    Слика 6.10.
    Слика 6.11.

    10. Помоћу show run наредбe из привилегованог мода проверити да ли су


    листе обрисане.

    11. Конфигурисати именовану стандардну приступну листу на Router1 преко


    терминала са РС1 на начин приказан као на Слици 6.12.

    Слика 6.12.

    BLOCK192.168.12.0 представља име стандардне листе које произвољно


    дајемо.

    12. Помоћу Add Simple PDU тестирати ICMP са РС0 на РС1 и са РС0 на РС2
    (Слика 6.13).

    Слика 6.13.

    13. Конфигурисати именовану стандардну приступну листу на Router2 преко


    терминала са РС2 на начин приказан као на Слици 6.14.

    Слика 6.14.

    Уколико желимо да омогућимо приступ читаве мреже (а не само једног


    рачунара) користимо синтаксу permit tcp 192.168.12.192 0.0.0.31 host 209.165.202.2
    eq 80.

    WEBPRISTUPPC2 представља име проширене листе које произвољно дајемо.

    14. Помоћу Add Simple PDU тестирати ICMP са РС2 на РС0 и са РС2 на РС1
    (Слика 6.15).
    Слика 6.15.

    Задатак 4:
    Конфигурисати приступне листе којима се онемугућује сва комуникација
    између рачунара РС2 и мреже у којој је РС1. Онемогућити TELNET саобраћај са
    РС2 према серверу. Сав остали саобраћај у мрежи је дозвољен.

    15. Обрисати све постојеће приступне листе из Задатка 3 (Слика 6.16).

    Слика 6.16.

    16. Помоћу show run наредбe из привилегованог мода проверити да ли су


    листе обрисане.

    17. Конфигурисати преко терминала на Router2 именовану проширену


    приступну листу којом се онемугућује сва комуникација између рачунара РС2 и
    мреже у којој је РС1 на начин приказан као на Слици 6.17.

    Слика 6.17.
    После наредбе deny наводимо који тип протокола блокирамо. Ако желимо да
    блокирамо све протоколе користимо ip. Свр понуђене протоколе (опције) после deny
    можемо погледати навођењем ''?'' после deny (Слика 6.17).

    WildCard Mask: 255.255.255.255 – 255.255.255.192 = 0.0.0.63

    18. Онемогућити TELNET саобраћај са РС2 према серверу, а сав остали


    саобраћај у мрежи је дозвољен на начин као што је приказано на Слици 6.18.

    Слика 6.18.

    Наредбом permit ip any any омогућујемо сав остали саобраћај у мрежи изузев
    претходно наведених услова.

    19. Помоћу Add Simple PDU тестирати ICMP са РС2 на РС1 и са РС2 на РС0
    (Слика 6.19).

    Слика 6.19.

    20. Помоћу Add Complex PDU тестирати TELNET саобраћај са РС2 на сервер.
    Кликом Add Complex PDU на РС2, a затим на сервер отвара се прозор који
    попуњавамо са параметрима приказаним на Слици 6.20.
    Слика 6.20.

    ТСР протокол од РС2 до сервера је онемогућен (Слика 6.21).

    Слика 6.21.

    21. Командом do show run прегледати садржај кофигурисаних приступних


    листи. Тастером Space листати садржај (Слика 6.22).
    Слика 6.22.

    You might also like