Московский государственный технический университет им. Н.Э. Баумана
Опубликован: 25.06.2013 | Доступ: свободный | Студентов: 3840 / 815 | Длительность: 18:32:00
Практическая работа 14:

Списки управления доступом (Access Control List)

Настройка ограничения доступа пользователей в Интернет по IP-адресам

Задача: пользователям с IP-адресами с 10.1.1.1/24 по 10.1.1.63/24 разрешен доступ в Интернет. Остальным пользователем сети 10.1.1.0/24 с адресами, не входящими в разрешенный диапазон, доступ в Интернет запрещен.

Схема 2:

Рис. 19.2. Схема 2:

Правила:

Правило 1:

Если IP-адрес источника = IP-адресам из диапазона с 10.1.1.1 по 10.1.1.63 — разрешить.

Правило 2:

Если MAC-адрес назначения = MAC-адресу Интернет-шлюза — запретить.

Правило 3:

Иначе — по умолчанию разрешить доступ всем узлам.

Перед выполнением настройки удалите последний профиль из предыдущего задания

delete access_profile profile_id 4

Убедитесь, что больше не осталось профилей

show access_profile

Правило 1.

Создайте профиль доступа с номером 3, разрешающий доступ для подсети 10.1.1.0/26 (узлам с 1 по 63)

create access_profile profile_id 3 profile _name 3 ip source_ip_mask 255.255.255.192 

Сконфигурируйте правило для профиля доступа 3

config access_profile profile_id 3 add access_id  1 ip source_ip 10.1.1.0 port 1-28 permit
Внимание!

Созданное правило разрешает прохождение трафика IP-подсети 10.1.1.0/26 на всех портах коммутатора. Если данное правило необходимо применить на одном из портов, в конфигурации указывается определенный порт, к которому подключена станция, чей трафик необходимо разрешить.

Правило 2.

Создайте профиль доступа с номером 4

create access_profile profile_id 4 profiel_name 4 ethernet destination_mac FF-FF-FF-FF-FF-FF 

Сконфигурируйте правило для профиля 4, запрещающее остальным станциям подключаться к Интернет-шлюзу

config access_profile profile_id 4 add access_id  1 ethernet destination_mac 00-50-ba-99-99-99port 1-28 deny

Правило 3.

Разрешите все остальное Выполняется по умолчанию

Проверьте созданные профили

show access_profile

Упражнения

Подключите станции ПК1 (IP-адрес из диапазона 10.1.1.1-63/24) и ПК2 (10.1.1.64-253/24) к коммутатору и протестируйте соединение до Интернет-шлюза (IP-адрес 10.1.1.254/24) командой ping

ping 10.1.1.254

Что вы наблюдаете? Запишите:

Удалите правило из профиля 3

config access_profile profile_id 3 delete access_id  1

Проверьте профили доступа

show access_profile

Что вы наблюдаете? Запишите:

Протестируйте соединение до Интернет-шлюза от РС1 и РС2 командой ping

ping 10.1.1.254

Что вы наблюдаете? Запишите:

Сергей Некрасов
Сергей Некрасов

Вы уверены, что строка верна?

config vlan v2 add untagged 9-16

Как в таком случае пользователи v2 получат доступ к разделяемым ресурсам? По-моему, должно быть

config vlan v2 add untagged 9-24

Антон Донсков
Антон Донсков

Есть ли какой-либо эмулятор  DES-3200-28 т.к. читать то это читать, а практика оно лучше, а за неимением железки, которая для простого смертного все таки денег стоит, как то тоскливо....