Списки доступа ACL. Настройка статического и динамического NAT

Расширенные списки доступа ACL

Стандартные права не так гибки, как хотелось бы. В отличие от стандартных списков, расширенные списки фильтруют трафик более "тонко". При создании расширенных списков в правилах доступа можно включать фильтрацию трафика по протоколам и портам. Для указания портов в правиле доступа указываются следующие обозначения ():

Практическая работа 9-2-1. Расширенные списки доступа ACL

Соберите схему сети, показанную на рис. 9.10.

Рис. 9.10. Схема сети

Задача: разрешить доступ к FTP серверу 10.0.1.3 для узла 192.168.1.2 и запретить для узла 192.168.1.3.

Создаем расширенные списки доступа и запрещаем FTP трафик

Постановка задачи графически изображена на рис. 9.11.

Рис. 9.11. Стрелками показана цель нашей работы

Изначально на сервере 10.0.1.3 FTP сервис поднят по умолчанию со значениями имя пользователя Cisco, пароль Cisco. Убедимся, что узел S0 доступен и FTP работает, для этого заходим на PC1 и связываемся с сервером ( рис. 9.12). Выполняем какие-либо команды, например, DIR – чтение директории.

Рис. 9.12. FTPсервер доступен

Теперь создадим список правил с номером 101 в котором укажем 2 разрешающих и по 2 запрещающих правила для портов сервера 21 и 20 (Эти порты служат для FTP - передачи команд и данных) – рис. 9.13.

Рис. 9.13. Составляем расширенные списки доступа

А теперь применяем наш список с номером 101 на вход (in) Fa0/1 потому, что трафик входит на этот порт роутера со стороны сети 192.168.1.0 ( рис. 9.14).

Рис. 9.14. Применяем правило с номером 101 к порту 0/1 роутера

Проверяем связь сервера с PC2 ( рис. 9.15).

Рис. 9.15. Для PC2 FTP сервер не доступен

Проверяем связь сервера с PC1 ( рис. 9.16).

Рис. 9.16. Для PC1 FTP сервер доступен

Рабочая сеть данного примера представлена файлом task-9-2.pkt.