Московский государственный технический университет им. Н.Э. Баумана
Опубликован: 25.06.2013 | Доступ: свободный | Студентов: 3840 / 815 | Длительность: 18:32:00
Практическая работа 14:

Списки управления доступом (Access Control List)

Настройка функции CPU Interface Filtering

Схема 3

Рис. 19.3. Схема 3

Правила:

Правило 1:

Если IP-адрес источника = 10.1.1.250 — разрешить доступ к CPU коммутатора по протоколу ICMP.

Правило 2:

Другим станциям запретить доступ по протоколу ICMP к коммутатору.

Правило 3:

Иначе — по умолчанию разрешить доступ всем узлам.

Перед выполнением настройки удалите последний профиль из предыдущего задания

delete access_profile profile_id 4

Настройте IP-адрес интерфейса управления коммутатора

config ipif System ip_address  10.1.1.10/8

Включите функцию CPU Interface Filtering

enable cpu_interface_filtering

Правило 1.

Создайте профиль доступа 1

create cpu access_profile ip profile_id 1 ip source_ip_mask 255.255.255.255 icmp 

Сконфигурируйте правила для профиля доступа 1

config cpu access_profile profile_id 1 add access_id 1 ip source_ip 10.1.1.250 icmp permit

Правило 2.

Создайте профиль доступа 2

create cpu access_profile ip source_ip_mask 255.0.0.0 icmp profile_id 2

Сконфигурируйте правила для профиля доступа 2

config cpu access_profile profile_id 2 add access_id 1 ip source_ip 10.0.0.0 icmp deny

Правило 3.

Разрешите все остальное Выполняется по умолчанию

Упражнения

Подключите станции ПК1 и ПК2 и протестируйте соединение до CPU коммутатора (IP-адрес 10.1.1.10) командой ping

ping 10.1.1.10 

Что вы наблюдаете? Запишите:

Проверьте список стандартных профилей ACL

show access_profile

Проверьте правила в списке фильтров CPU

show cpu access_profile

Удалите правило 1 из профиля 1

config cpu access_profile profile_id 1 delete access_id 1

Что вы наблюдаете? Запишите:

Удалите профиль CPU ACL

delete cpu access_profile profile_id 1

Протестируйте соединение до CPU коммутатора командой ping.

Что вы наблюдаете? Запишите:

Сергей Некрасов
Сергей Некрасов

Вы уверены, что строка верна?

config vlan v2 add untagged 9-16

Как в таком случае пользователи v2 получат доступ к разделяемым ресурсам? По-моему, должно быть

config vlan v2 add untagged 9-24

Антон Донсков
Антон Донсков

Есть ли какой-либо эмулятор  DES-3200-28 т.к. читать то это читать, а практика оно лучше, а за неимением железки, которая для простого смертного все таки денег стоит, как то тоскливо....