top of page

Cilj vježbe:


Uvježbati postupke konfiguracije dinamičkog rutinga. Naučiti primjenu standardne
liste pristupa.

Priprema za vježbu:

Zadatak 1: Koji slojevi OSI modela omogućavaju filtriranje prometa?
Odgovor: Filtriranje prometa se odvija na mrežnom, transportnom ili aplikacijskom sloju, a samo filtriranje nam omogućava Firewall.

Zadatak 2: Koje su mogući kriteriji za propuštanje (ili zabranu) prolaska paketima?
Odgovor: Kriteriji mogu biti točnost izvorišne i odredišne IP adrese, protokol ili po podacima u paketu.

Zadatak 3: Kako funkcionira standardna lista pristupa?

Odgovor:  Funkcionira tako što filtira promet na temelju izvorišne IP adrese.

Zadatak 4: Kako se dobiva wildcard maska? Primjer.

Odgovor:  Wildcard se dobiva tako što se invertira subnet maska u binarnom obliku te se pretvori natrag u decimalni oblik.

Na primjer mrežna maska 255.255.255.252 je u binarnom 11111111.11111111.11111111.11111100. Kad se to invertira (jedinice u nule, nule u jedinice) dobije se sljedeće: 00000000.00000000.00000000.00000011 što je u decimalnom zapisu: 0.0.0.3 i to je wildcard maska.

Zadatak 5: Koje elemente sadrži proširena ACL?

Odgovor:  Sadrži dodatno filtriranje i to prema izvorišnoj IP adresi, odredišnoj IP adresi, protokolu (IP, ICMP, OSPF, TCP, UDP i drugi) i podacima (brojevi TCP i UDP portova, TCP zastavice i ICMP poruke)
 

Priprema.jpeg

Situacija:


Uprava tvrtke je odlučila primjeniti određena ograničenja unutar svoje mreže kako bi se
povećao stupanj sigurnosti i zaštite podataka. Administrator je prepustio tehničarima da
konfiguriraju liste pristupa ACL te da konfiguraciju prethodno isprobaju na simulatoru.
Zahtjevi su slijedeći:


Konfigurirati ACL prema slijedećim zahtjevima:
        a) Računalima na mreži 192.168.10.0/24 je dozvoljen pristup mreži na izdvojenoj lokaciji

             ali ne na mrežu 192.168.20.0/24
        b) Računalima sa mreže 192.168.30.0/24 omogućen je pristup svim mrežama.Izuzetak je

             računalo sa IP adresom 192.168.30.128 (PC3) koje nema dozvolu izlaska iz mreže

Topologija.PNG

Vježba:

Zabilješke, skice i topologije, te odgovore na postavljena pitanja zapisati u bilježnicu.

konf tablica.PNG

1. Spoji uređaje prema zadanoj topologiji i izvrši temeljnu konfiguraciju usmjernika. Preklopnici su u defaultnoj konfiguraciji te ih nije potrebno konfigurirati.

konf.PNG

2. Izvrši konfiguraciju sučelja usmjernika i računala prema podacima iz tablice.

PC1:

PC1.PNG

PC2:

PC2.PNG

PC3:

PC3.PNG

PC4:

PC4.PNG

R1:

R1.PNG

R2:

R2.PNG
nakon konf adresa.PNG

3. Konfiguriraj RIPv1 protokol na usmjernicima.


    Što bi se dogodilo kada ovaj (ili neki drugi) ruting protokol ne bi bio konfiguriran?

    Kad nebi konfiguirali niti jedan protokol u tom slučaju računala nebi bila međusobno

    povezana.

RIP R1.PNG

R1:

R2:

RIP R2.PNG
provjera povezanosti.PNG

4. Izvrši provjeru povezanosti između računala PC1 do PC4.

5. Ukoliko je provjera bila uspješna, pristupi konfiguriranju liste pristupa na usmjerniku R1, na slijedeći način:

   a) Listom pristupa pod rednim brojem 10, na usmjerniku R1 onemogući promet sa mreže 192.168.10.0 na mrežu 192.168.20.0 :

 

R1(config)#access-list 10 deny 192.168.10.0 0.0.0.255

   b) Istom listom omogući promet na mrežu 192.168.20.0 sa bilo koje druge mreže:


R1(config)#access-list 10 permit any

  

   c) Odredi da se promet filtrira na portu koji je najbliži odredištu


R1(config)#interface fa 0/1

  

   d) Definiraj da će se filtriranje provesti na izlazu toga porta


R1(config-if)#ip access-group 10 out


- Što u instrukciji pod a) predstavlja dio 0.0.0.255?
- Koja je oznaka porta koji je najbliži mreži 192.168.20.0?
- Kojim je rednim brojevima numeriraju standardne ACL?
 

lista na R1.PNG

- Dio 0.0.0.255 je wildcard maska.

- Oznaka porta koji je nabliži mreži 192.168.20.0 je FastEthernet 1/0.

- Standardne ACL se numeriraju brojevima 1-99 i 1300-1999.
 

6. Provjeri učinkovitost liste pristupa koju si konfigurirao, slanjem ICMP paketa.


- Da li ACL odrađuje funkciju na način kako si očekivao?
- Ako se javio problem, opiši kako se on očituje.
- Kod traženja odgovora iskoristi slanje ICMP paketa sa računala uz pomoć naredbenog retka, ali isto tako iz Simulacijskog moda, korak po korak

Promet s mreže 192.168.10.0 na mrežu 192.168.20.0 je zabranjen:

provjera povezanosti.PNG

Promet s mreže 192.168.30.0 na mrežu 192.168.20.0 je omugućen što znači da sve mreže osim ove prve komuniciraju s mrežom 192.168.20.0:

PC3 na 20.0.PNG

7. Konfiguracija druge liste pristupa na usmjerniku R2.

  

   a) Listom pristupa pod rednim brojem 20 onemogući da računalo sa IP adresom 192.168.30.128 šalje podatke izvan LAN-a:


R2(config)#access-list 20 deny 192.168.30.128

  

   b) Istom listom pristupa omogući da ostala računala u toj mreži mogu slobodno prometovati izvan LAN-a:


R2(config)#access-list 20 permit any

  

   c) Odredi da se promet filtrira na portu koji je najbliži polazištu:


R2(config)#interface fa 0/0

  

   d) Definiraj da će se filtriranje provesti na ulazu toga porta


R2(config-if)#ip access-group 20 in
 

- Konfiguirana lista radi očekivano

- Nije se javio problem i sva provjera je bila uspješna.

lista na R2.PNG

8. Provjeri učinkovitost liste pristupa koju si konfigurirao, slanjem ICMP paketa.


- Radi li konfigurirana lista pristupa na očekivani način?
- Provjeri može li se ova ACL primijeniti tako da filtrira promet na izlaznom portu.
- Koji je način bolji i zašto?

Promet s računala 192.168.30.128 je onemugućen:
 

PC4 ne radi.PNG

- Konfiguirana lista radi očekivano

- Može se primijeniti tako da ACL filtrira promet na izlaznom portu, ali je bolje na ulaznom, jer mu je bitnije što ulazi nego što izlazi.

© 2021 Ivan Zavorka All rights reserved. Proudly created with Wix.com

  • Facebook
  • YouTube
  • Instagram
bottom of page