Лабораторная 10.4: Расширенные списки доступа (Extended IP Access-Lists)

Primary tabs

vedro-compota's picture
Submitted by vedro-compota on Tue, 12/18/2012 - 02:50

Forums:

Лабораторная 10.4: Расширенные списки доступа (Extended IP Access-Lists)

В этой лабораторной мы сначала удалим стандартный список на 2600A, затем создадим новый расширенный список доступа. Сценарий такой: нам нужно чтобы хост F использовал некие сетевые службы в подсети 172.16.40.0, но мы не хотим, чтобы с хоста F можно было выполнять telnet на маршрутизатор 2600A.

1. Удаляем стандартный список доступа с 2600A из прошлой лабораторной.

2600A#config t
no access-list 10

- выше видимо опечатка - чтобы удалить правило из предыдущей лабы надо выполнить = no access-list 20
2. Проверяем, что хост F может теперь выполнять ping на 172.16.40.1 и 172.16.40.3.

3. Создаем список доступа на 2600A для блокирования telnet-доступа в подсеть 172.16.40.0, но тем не менее, позволяем хосту F делать ping на хост E.

config t
access-list 110 deny tcp host 172.16.50.3 172.16.40.0 0.0.0.255 eq telnet
access-list 110 permit ip any any

4. Применяем сформированный таким образом расширенный список доступа к последовательному интерфейсу 0/0 маршрутизатора 2600A для входящих пакетов.

2600A(config)#interface serial 0/0
2600A(config-if)#ip access-group 110 in
2600A(config-if)#^z
2600A#

5. Проверяем, пытаясь сделать telnet на 172.16.40.1 с хостаF. Все прочие устройства должны иметь возможность делать telnet на 172.16.40.1.

Обратите внимание: Созданная в этой лабораторной конфигурация используется для выполнения следующей лабораторной - 10.5.

Key Words for FKN + antitotal forum (CS VSU):

  • Log in to post comments
  • 3655 reads
vedro-compota's picture

vedro-compota

Tue, 12/18/2012 - 02:52

после создания нового правила вы не можем подклчиться к маршрутизатору А по telnet c хоста F -но пинги при этом работают:

PC>telnet 172.16.40.1
Trying 172.16.40.1 ...
% Connection timed out; remote host not responding
PC>ping 172.16.40.1

Pinging 172.16.40.1 with 32 bytes of data:

Reply from 172.16.40.1: bytes=32 time=100ms TTL=253
Reply from 172.16.40.1: bytes=32 time=70ms TTL=253
Reply from 172.16.40.1: bytes=32 time=70ms TTL=253
Reply from 172.16.40.1: bytes=32 time=70ms TTL=253

Ping statistics for 172.16.40.1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 70ms, Maximum = 100ms, Average = 77ms

PC>ping 172.16.40.3

Pinging 172.16.40.3 with 32 bytes of data:

Reply from 172.16.40.3: bytes=32 time=130ms TTL=125
Reply from 172.16.40.3: bytes=32 time=130ms TTL=125
Reply from 172.16.40.3: bytes=32 time=122ms TTL=125
Reply from 172.16.40.3: bytes=32 time=110ms TTL=125

Ping statistics for 172.16.40.3:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 110ms, Maximum = 130ms, Average = 123ms

PC>

при этом с хоста С (к нему правило не относилось) подключиться по telnet можно:


Packet Tracer PC Command Line 1.0
PC>telnet 172.16.40.1
Trying 172.16.40.1 ...Open


User Access Verification

Password: 
2600A>
2600A>

_____________
матфак вгу и остальная классика =)