Tischplattenbeißpotential:
1. ACL 10 auf allen Routern soll nur PC3 den Konfigurierungs-Zugang (remote access) erlauben
-> bei ACLs gibt es immer mehrere Varianten; folgende sind hier richtig:
R1(config)#acc 10 permit 192.168.3.3 0.0.0.0
R1(config)#acc 10 permit host 192.168.3.3
2. Die ACL an den VTY-Zugang legen für hineingehende Anfragen (ingress traffic)
R1(config)#line vty 0 4
-> Man hat im Cisco-Lehrgang mal so festgelegt, dass man nur die Zugänge 0 bis 4 konfiguriert
R1(config-line)#access-class 10 in
2. ACL 100 auf R3 soll Traffic von folgenden Quell-Adressen sperren: 127.0.0.0/8, any RFC 1918 private addresses, and any IP multicast address
a) 127.0.0.0er Bereich:
R3(config)#acc 100 deny ip 127.0.0.0 0.255.255.255 any
-> 127.0.0.0/8; /8 bedeutet eine Subnetzmaske von 255.0.0.0, woraus die Wildcardmaske 0.255.255.255 resultiert
b) RFC 1918 private Adressen:
Class A: 10.0.0.0 - 10.255.255.255
Class B: 172.16.0.0 - 172.31.255.255
Class C: 192.168.0.0 - 192.168.255.255
R3(config)#acc 100 deny ip 10.0.0.0 0.255.255.255 any
R3(config)#acc 100 deny ip 172.16.0.0 0.15.255.255 any
R3(config)#acc 100 deny ip 192.168.0.0 0.0.255.255 any
c) Multicast-Adressbereich 224.0.0.0/4
R3(config)#acc 100 deny ip 224.0.0.0 15.255.255.255 any
-> Die Wildcard-Maske setzt sich so zusammen: /4 bedeutet eine Subnetzmaske von 240.0.0.0, daraus folgt die wildcardmaske 15.255.255.255 (weil 255 minus 240 15 ist)
d) Jeder andere Traffic wird zugelassen, sonst greift die implizite Sperrung (implicit deny) von allem, was in der ACL nicht beschrieben wurde
R3(config)#acc 100 permit ip any any
access-list 100 deny ip 10.0.0.0 0.255.255.255 any
access-list 100 deny ip 172.16.0.0 0.15.255.255 any
access-list 100 deny ip 192.168.0.0 0.0.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 deny ip 224.0.0.0 15.255.255.255 any
access-list 100 permit ip any any
e) Angebracht wird die Liste an Serial 0/0/1, incoming traffic
R3(config)#int s0/0/1
R3(config-if)#ip access-group 100 in
3. ACL 110 auf R3 soll nur Traffic des internen Netzwerks zulassen; angebracht an fa0/1 inbound
R3(config)#acc 110 permit ip 192.168.3.0 0.0.0.255 any
R3(config)#int fa0/1
R3(config-if)#ip access-group 110 in
4. ACL 120 auf R1 soll DNS, SMTP und FTP von außen auf Server "PC-A" zulassen, aber nicht auf HTTPS; außerdem darf PC-C mit SSH auf R1 zugreifen.
a) DNS, SMTP und FTP zulassen
-> Man könnte Portnummern verwenden, aber meistens wird der Dienstname als richtig gewertet, und die Dienstnamen-Variante ist sogar einfacher, weil FTP zwei Ports verwendet.
R1(config)#acc 120 permit udp any host 192.168.1.3 eq domain
R1(config)#acc 120 permit tcp any host 192.168.1.3 eq smtp
R1(config)#acc 120 permit tcp any host 192.168.1.3 eq ftp
b) HTTP sperren (default port 443)
R1(config)#acc 120 deny tcp any host 192.168.1.3 eq 443
c) SSH von PC-C (192.168.3.3) auf Router (10.1.1.1, ist die Adresse des PC-C zugewandten Interfaces)
R1(config)#acc 120 permit tcp host 192.168.3.3 host 10.1.1.1 eq 22
d) ACL 120 so modifizieren, dass "ICMP echo replies" und "destination unreachable messages" erlaubt sind und alle anderen ICMP-Pakete geblockt werden:
R1(config)#acc 120 permit icmp any any echo-reply
R1(config)#acc 120 permit icmp any any unreachable
R1(config)#acc 120 deny icmp any any
e) Den restlichen Traffic erlauben
R1(config)#acc 120 permit ip any any
-> erst mit diesem Eintrag wird die ganze Liste 120 als richtig gewertet
f) Anbringen der ACL an S0/0/0 (incoming)
R1(config)#int s0/0/0
R1(config-if)#ip acc 120 in
1. ACL 10 auf allen Routern soll nur PC3 den Konfigurierungs-Zugang (remote access) erlauben
-> bei ACLs gibt es immer mehrere Varianten; folgende sind hier richtig:
R1(config)#acc 10 permit 192.168.3.3 0.0.0.0
R1(config)#acc 10 permit host 192.168.3.3
2. Die ACL an den VTY-Zugang legen für hineingehende Anfragen (ingress traffic)
R1(config)#line vty 0 4
-> Man hat im Cisco-Lehrgang mal so festgelegt, dass man nur die Zugänge 0 bis 4 konfiguriert
R1(config-line)#access-class 10 in
2. ACL 100 auf R3 soll Traffic von folgenden Quell-Adressen sperren: 127.0.0.0/8, any RFC 1918 private addresses, and any IP multicast address
a) 127.0.0.0er Bereich:
R3(config)#acc 100 deny ip 127.0.0.0 0.255.255.255 any
-> 127.0.0.0/8; /8 bedeutet eine Subnetzmaske von 255.0.0.0, woraus die Wildcardmaske 0.255.255.255 resultiert
b) RFC 1918 private Adressen:
Class A: 10.0.0.0 - 10.255.255.255
Class B: 172.16.0.0 - 172.31.255.255
Class C: 192.168.0.0 - 192.168.255.255
R3(config)#acc 100 deny ip 10.0.0.0 0.255.255.255 any
R3(config)#acc 100 deny ip 172.16.0.0 0.15.255.255 any
R3(config)#acc 100 deny ip 192.168.0.0 0.0.255.255 any
c) Multicast-Adressbereich 224.0.0.0/4
R3(config)#acc 100 deny ip 224.0.0.0 15.255.255.255 any
-> Die Wildcard-Maske setzt sich so zusammen: /4 bedeutet eine Subnetzmaske von 240.0.0.0, daraus folgt die wildcardmaske 15.255.255.255 (weil 255 minus 240 15 ist)
d) Jeder andere Traffic wird zugelassen, sonst greift die implizite Sperrung (implicit deny) von allem, was in der ACL nicht beschrieben wurde
R3(config)#acc 100 permit ip any any
Aber: Es reicht in dieser Aufgabe nicht, alle Adressbereiche korrekt zu definieren, auch die Reihenfolge muss genau mit der vordefinierten Reihenfolge überein stimmen - wobei es NICHT die Reihenfolge ist, die in der Aufgabenstellung angegeben wurde. Eine typische Tischbeiß-Aufgabe eben. Die als richtig gewertete Reihenfolge ist: Erst die 1918er-Adressen, dann der 127er Bereich, dann der Multicast-Bereich.
Der Einfachheit halber zum Reinkopieren für euch:access-list 100 deny ip 10.0.0.0 0.255.255.255 any
access-list 100 deny ip 172.16.0.0 0.15.255.255 any
access-list 100 deny ip 192.168.0.0 0.0.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 deny ip 224.0.0.0 15.255.255.255 any
access-list 100 permit ip any any
e) Angebracht wird die Liste an Serial 0/0/1, incoming traffic
R3(config)#int s0/0/1
R3(config-if)#ip access-group 100 in
3. ACL 110 auf R3 soll nur Traffic des internen Netzwerks zulassen; angebracht an fa0/1 inbound
R3(config)#acc 110 permit ip 192.168.3.0 0.0.0.255 any
R3(config)#int fa0/1
R3(config-if)#ip access-group 110 in
4. ACL 120 auf R1 soll DNS, SMTP und FTP von außen auf Server "PC-A" zulassen, aber nicht auf HTTPS; außerdem darf PC-C mit SSH auf R1 zugreifen.
a) DNS, SMTP und FTP zulassen
-> Man könnte Portnummern verwenden, aber meistens wird der Dienstname als richtig gewertet, und die Dienstnamen-Variante ist sogar einfacher, weil FTP zwei Ports verwendet.
R1(config)#acc 120 permit udp any host 192.168.1.3 eq domain
R1(config)#acc 120 permit tcp any host 192.168.1.3 eq smtp
R1(config)#acc 120 permit tcp any host 192.168.1.3 eq ftp
b) HTTP sperren (default port 443)
R1(config)#acc 120 deny tcp any host 192.168.1.3 eq 443
c) SSH von PC-C (192.168.3.3) auf Router (10.1.1.1, ist die Adresse des PC-C zugewandten Interfaces)
R1(config)#acc 120 permit tcp host 192.168.3.3 host 10.1.1.1 eq 22
d) ACL 120 so modifizieren, dass "ICMP echo replies" und "destination unreachable messages" erlaubt sind und alle anderen ICMP-Pakete geblockt werden:
R1(config)#acc 120 permit icmp any any echo-reply
R1(config)#acc 120 permit icmp any any unreachable
R1(config)#acc 120 deny icmp any any
e) Den restlichen Traffic erlauben
R1(config)#acc 120 permit ip any any
-> erst mit diesem Eintrag wird die ganze Liste 120 als richtig gewertet
f) Anbringen der ACL an S0/0/0 (incoming)
R1(config)#int s0/0/0
R1(config-if)#ip acc 120 in
Keine Kommentare:
Kommentar veröffentlichen