Il seguente lab ha lo scopo di mostrare posibili discriminazioni negli accessi alle risorse condivisea livello di network.Nel nostro caso applicheremo 2 acl una per isolare un server dal network, l'altra per scludere una landa una stampate, e la costruzione dei comandi.
Aspetto fisico del network:
R0, router che instrada la lan1 e contiene
un srv di backup che sarà accessibile
solo agli utenti della rete.
R2, router che instrada la lan2 la quale
non potrà accedere alla stampante.
R3, router che instrada le lan dei servizi,
verranno impostate le interfacce(fa0/0.1,...)
per la connessione del trunking.
switch, conterrà le vlan e il trunk su fa0/1 per connettere e separare le reti.
Impostazione del network:
R3 impostiamo la rete dei servizi:
nello switch vanno configurate le vlan: 10,20,30
Switch()# conf tSwitch(config)#vlan 10
Switch(config-vlan)#name mio10
poi assegnare le vlan alle porte:
Switch(config)#interface GigabitEthernet1/1
Switch(config-if)#switchport access vlan 30
poi configuriamo il trunk sulla porte dove arriva i cavo(he,he,he,..)
S2(config)#interface fastEthernet 0/1
S2(config-if)#switchport mode trunk
S2(config-if)#switchport trunk allowed vlan 1-1001
poi andiamo sul router R3 e configuriamole interfacce logiche
col protocolo dotq1 più la vlan a cui riferirsi:
R3(config)#interface FastEthernet0/0.3
R3(config-subif)#encapsulation dot1Q 10
R3(config-subif)#ip address 172.18.1.17 255.255.255.252
abilitiamo la scheda fa0/0
R3(config)#interface FastEthernet0/0
R3(config-if)#no shutdown
e impostiamo un po' di routing statico:
R3(config)#ip route 0.0.0.0 0.0.0.0 FastEthernet0/1
R3(config)#ip route 192.168.1.0 255.255.255.0 192.168.1.1
R2 abbiamo detto che lan2 non accede alla stampante e che il resto e tutto permesso.
Impostiamo la acl:
R2(config)#ip access-list extended FW1
R2(config-ext-nacl)#deny ip 10.0.0.0 0.0.0.127 host 172.18.1.2
R2(config-ext-nacl)#permit ip any any
la assegnamo alla scheda in questo caso in ingresso:
R2(config-if)#ip access-group FW1 in
e anche qui un po' di routing:
R2(config)#ip route 10.0.0.0 255.255.255.248 193.0.0.1
R2(config)#ip route 172.18.0.0 255.255.0.0 FastEthernet0/1
per la lan 172.18.0.0 255.255.0.0 ho sommarizzato tutti gli indirizzi
172.18 sarebbe sufficiente 172.18.1.0/31 nel nostro caso.
R0 contiene la lan1 con un srv di backup,non accessibile dall'esterno quindi:
R0(config)#ip access-list extended FW1
R0(config-ext-nacl)#deny ip any host 10.0.0.9
R0(config-ext-nacl)#permit ip any any
assegnamo alla scheda in uscita:
R0(config-if)#ip access-group FW1 out
e la solita route per le risorse:
R0(config-if)#ip route 0.0.0.0 0.0.0.0 Serial0/0
Nessun commento:
Posta un commento
Nota. Solo i membri di questo blog possono postare un commento.