September 20, 2019
  • 6:30 pm Office 365 – Yksittäisten tai useiden käyttäjätilien luominen | Office 365 Admin Center & PowerShell
  • 10:09 pm Office 365 – Yhdistäminen tenanttiin PowerShellillä
  • 2:15 pm NameCheap – Kaupallisen SSL-sertifikaatin uusiminen
  • 9:48 pm Ubuntu Server 18.04.3 – Tietoturvapäivitysten automatisointi
  • 1:54 am Tuotantopalvelimen päivitys – Ubuntu Server 16.04 -> 18.04

Tämä on jatkoa harjoitukselle: Cisco Packet Tracer – Dynaaminen reititys (RIPv2)


Vaihe 3
• Avaa vaiheessa 2 tallennettu kokonaisuus
• Lisää konfiguraatioon access-listat joiden ansiosta kytkinten ylläpito-osoitteeseen pääsevät kiinni vain VLAN 10 verkossa olevat PC:t
• Testaa että access-listat toimivat halutulla tavalla
• Tallenna tämä Packet Tracer kokonaisuus (nimellä xxx-vaihe3)

Access control listat:

Access control listat toimivat palomuurin tavoin; ne joko sallivat tai estävät sisään- tai ulosmenevää liikennettä määritetyssä kohdassa verkkoa.
Jos tarkastellaan tämän harjoituksen verkkotopologiaa:
topology1
Ainoastaan PC11 ja PC14 ovat VLAN verkossa 10. Ohjeiden mukaisesti ainoastaan niiden kahden tulee kyetä ottamaan yhteys kytkinten virtuaaliseen interfaceen (SVI). Tämä voidaan toteuttaa muutamallakin tavalla.
Liikenne VLAN-verkkojen 10, 20, 30, 40, 50 ja 99 tapahtuu reitittimien R1 ja R2 kautta. Näin ollen ACL voidaan laittaa noiden kahden reitittimien ali-interfaceen, jonka kautta IP-paketit reititetään sitten VLAN 99:n kytkimille. Halutaan siis sallia ainoastaan verkon 150.10.10.0 koneiden liikenne tuota ali-interfacea käyttäen, jolloin kaikista muista lähteistä tulevat paketit pudotetaan.

Reitittimet R1 ja R2:

Standard access-list halutaan laittaa reitittimen R1 ali-interfaceen GigabitEthernet 0/0.99 suodattamaan ulosmenevää liikennettä.

R1(config)# access-list 10 permit 150.10.10.0 0.0.0.255

Access-listojen perään tulee automaattisesti ehdoton deny-all -sääntö, joten mitään muuta ei tarvitse erikseen kieltää. Riittää, että sallitaan liikenne kaikista verkon 150.10.10.0 hosteista. Tämän takia wildcard-mask on 0.0.0.255, jolloin IP-paketin lähdeosoitteen kaikkien bittien tulee täsmätä, paitsi kahdeksan viimeistä.
Nyt ACL pitää vielä laittaa interfacelle suodattamaan ulosmenevää liikennettä:

R1(config-if)# ip access-group 10 out

Nyt ainoastaan VLAN 10-verkkojen liikenne pääsee läpi VLAN 99-verkon kytkimille reitittimen R1 kautta.
Operaatio on täysin identtinen reitittimellä R2.

Reititin R3

Toinen tapa millä tuo voitaisiin toteuttaa olisi laittaa access control list suoraan kytkimen VTY-linjoille, joilla etäyhteyttä (esimerkiksi SSH) käytetään.
Reitittimen R3 takana olevan verkon kohdalla tämä onkin ehkä paras tapa, sillä kytkin SW5 on samassa oletus VLAN-verkossa 1, kuin siihen kytketyt tietokoneetkin. Jos tekisin samalla tavalla, kuin R1 ja R2 kohdalla, niin ainoastaan VLAN 10-verkon koneet voisivat kommunikoida tietokoneiden PC20 ja PC21 kanssa.
Käytännössä reitittimille R1 ja R2 voitaisiin määritellä extended-ACL, jolloin myös kohde IP-osoite on määritetty. Tällöin kohteen wildcard-mask olisi 0.0.0.0, eli kaikkien bittien pitäisi täsmätä kytkimen ylläpito-osoitteeseen. Tätä on kuitenkin turhaa alkaa säätämään useammalle laitteelle, kun se kerran onnistuu tavallisella standard ACL:llä VTY-linjoilla suodattamaan sisääntulevaa liikennettä.
SSH:n käyttöönotto ja access control list kytkimellä SW5:

SW5# configure terminal
SW5(config)# crypto key generate rsa
...
How many bits in the modulus [512]: 1024
...
SW5(config)# username admin secret cisco
SW5(config)# line vty 0 4
SW5(config-line)# transport input ssh
SW5(config-line)# login local
SW5(config-line)# exit
SW5(config)# ip ssh version 2
SW5(config)# access-list 10 permit 150.10.10.0 0.0.0.255
SW5(config)# line vty 0 4
SW5(config-line)# access-class 10 in
SW5(config-line)# exit

Nyt ainoastaan VLAN 10-verkon koneilla pitäisi olla pääsy kytkinten SVI:n IP-osoitteeseen.


TÄTÄ DOKUMENTTIA SAA KOPIOIDA JA MUOKATA GNU GENERAL PUBLIC LICENSE (VERSIO 3 TAI UUDEMPI) MUKAISESTI. HTTP://WWW.GNU.ORG/LICENSES/GPL.HTML
MARKUS PYHÄRANTA

 

Markus Pyhäranta

RELATED ARTICLES
LEAVE A COMMENT