Tämä on jatkoa harjoitukselle: Cisco Packet Tracer – Dynaaminen reititys (RIPv2)
Vaihe 3
• Avaa vaiheessa 2 tallennettu kokonaisuus
• Lisää konfiguraatioon access-listat joiden ansiosta kytkinten ylläpito-osoitteeseen pääsevät kiinni vain VLAN 10 verkossa olevat PC:t
• Testaa että access-listat toimivat halutulla tavalla
• Tallenna tämä Packet Tracer kokonaisuus (nimellä xxx-vaihe3)
Access control listat:
Access control listat toimivat palomuurin tavoin; ne joko sallivat tai estävät sisään- tai ulosmenevää liikennettä määritetyssä kohdassa verkkoa.
Jos tarkastellaan tämän harjoituksen verkkotopologiaa:
Ainoastaan PC11 ja PC14 ovat VLAN verkossa 10. Ohjeiden mukaisesti ainoastaan niiden kahden tulee kyetä ottamaan yhteys kytkinten virtuaaliseen interfaceen (SVI). Tämä voidaan toteuttaa muutamallakin tavalla.
Liikenne VLAN-verkkojen 10, 20, 30, 40, 50 ja 99 tapahtuu reitittimien R1 ja R2 kautta. Näin ollen ACL voidaan laittaa noiden kahden reitittimien ali-interfaceen, jonka kautta IP-paketit reititetään sitten VLAN 99:n kytkimille. Halutaan siis sallia ainoastaan verkon 150.10.10.0 koneiden liikenne tuota ali-interfacea käyttäen, jolloin kaikista muista lähteistä tulevat paketit pudotetaan.
Reitittimet R1 ja R2:
Standard access-list halutaan laittaa reitittimen R1 ali-interfaceen GigabitEthernet 0/0.99 suodattamaan ulosmenevää liikennettä.
R1(config)# access-list 10 permit 150.10.10.0 0.0.0.255
Access-listojen perään tulee automaattisesti ehdoton deny-all -sääntö, joten mitään muuta ei tarvitse erikseen kieltää. Riittää, että sallitaan liikenne kaikista verkon 150.10.10.0 hosteista. Tämän takia wildcard-mask on 0.0.0.255, jolloin IP-paketin lähdeosoitteen kaikkien bittien tulee täsmätä, paitsi kahdeksan viimeistä.
Nyt ACL pitää vielä laittaa interfacelle suodattamaan ulosmenevää liikennettä:
R1(config-if)# ip access-group 10 out
Nyt ainoastaan VLAN 10-verkkojen liikenne pääsee läpi VLAN 99-verkon kytkimille reitittimen R1 kautta.
Operaatio on täysin identtinen reitittimellä R2.
Reititin R3
Toinen tapa millä tuo voitaisiin toteuttaa olisi laittaa access control list suoraan kytkimen VTY-linjoille, joilla etäyhteyttä (esimerkiksi SSH) käytetään.
Reitittimen R3 takana olevan verkon kohdalla tämä onkin ehkä paras tapa, sillä kytkin SW5 on samassa oletus VLAN-verkossa 1, kuin siihen kytketyt tietokoneetkin. Jos tekisin samalla tavalla, kuin R1 ja R2 kohdalla, niin ainoastaan VLAN 10-verkon koneet voisivat kommunikoida tietokoneiden PC20 ja PC21 kanssa.
Käytännössä reitittimille R1 ja R2 voitaisiin määritellä extended-ACL, jolloin myös kohde IP-osoite on määritetty. Tällöin kohteen wildcard-mask olisi 0.0.0.0, eli kaikkien bittien pitäisi täsmätä kytkimen ylläpito-osoitteeseen. Tätä on kuitenkin turhaa alkaa säätämään useammalle laitteelle, kun se kerran onnistuu tavallisella standard ACL:llä VTY-linjoilla suodattamaan sisääntulevaa liikennettä.
SSH:n käyttöönotto ja access control list kytkimellä SW5:
SW5# configure terminal SW5(config)# crypto key generate rsa ... How many bits in the modulus [512]: 1024 ... SW5(config)# username admin secret cisco SW5(config)# line vty 0 4 SW5(config-line)# transport input ssh SW5(config-line)# login local SW5(config-line)# exit SW5(config)# ip ssh version 2
SW5(config)# access-list 10 permit 150.10.10.0 0.0.0.255 SW5(config)# line vty 0 4 SW5(config-line)# access-class 10 in SW5(config-line)# exit
Nyt ainoastaan VLAN 10-verkon koneilla pitäisi olla pääsy kytkinten SVI:n IP-osoitteeseen.
TÄTÄ DOKUMENTTIA SAA KOPIOIDA JA MUOKATA GNU GENERAL PUBLIC LICENSE (VERSIO 3 TAI UUDEMPI) MUKAISESTI. HTTP://WWW.GNU.ORG/LICENSES/GPL.HTML”
MARKUS PYHÄRANTA