コンピュータネットワーク学習

Cisco Lab4.2.2.12-パケットトレーサ-拡張ACLの設定-シナリオ3



Cisco Lab 4 2 2 12 Packet Tracer Configure Extended Acl Scenario 3



パケットトレーサー-拡張ACLの設定-シナリオ3
アドレス割り当てテーブル

装置

インターフェース



IPアドレス

サブネットマスク



デフォルトゲートウェイ

RT1
G0 / 0
172.31.1.126
255,255,255,224
適用できません
S0 / 0/0
209.165.1.2
255.255.255.252
適用できません
PC1

172.31.1.101
255,255,255,224
172.31.1.126
PC2

172.31.1.102
255,255,255,224
172.31.1.126
PC3

172.31.1.103
255,255,255,224
172.31.1.126
Server1

64,101,255,254


Server2

64,103,255,254


目標

パート1:拡張名前付きACLの構成



パート2:拡張ACLを適用して検証する

背景/シーン

このシナリオでは、LAN上の特定のデバイスが、インターネット上のサーバー上のさまざまなサービスにアクセスできます。

パート1:拡張ネーミングACLの構成
名前付きACLを使用して、次の戦略を実装します。

・PC1がHTTPおよびHTTPS経由でServer1およびServer2にアクセスできないようにします。サーバーはクラウド内にあり、あなたはそれらのIPアドレスしか知りません。

・PC2がFTP経由でServer1およびServer2にアクセスできないようにします。

・PC3がICMPを介してServer1およびServer2にアクセスするのを防ぎます。

注:スコアを付けるには、次の手順で指定された順序で文を構成する必要があります。

手順1:PC1がServer1およびServer2のHTTPおよびHTTPSサービスにアクセスすることを拒否します。

a。 Server1およびServer2のHTTPおよびHTTPSサービスへのPC1アクセスを拒否する拡張IPネーミングACLを作成します。インターネット上のサーバーのサブネットを直接監視することはできないため、4つのルールを使用する必要があります。

名前付きACLを開始するには、どのコマンドを使用する必要がありますか?
b。 PC1からServer1のHTTP(ポート80)へのアクセスを拒否するステートメントを記録します。

c。 PC1からServer1のHTTPS(ポート443)へのアクセスを拒否するステートメントを記録します。

d。 PC1からServer2へのアクセスを拒否するHTTPステートメントを記録します。

e。 PC1からServer2へのアクセスを拒否するHTTPSステートメントを記録します。

手順2:Server1およびServer2上のFTPサービスへのPC2アクセスを拒否します。

a。 PC2からServer1のFTP(ポート21のみ)へのアクセスを拒否するステートメントを記録します。

b。 PC2からServer2のFTP(ポート21のみ)へのアクセスを拒否するステートメントを記録します。

手順3:PC3がServer1とServer2にpingを実行することを拒否します。

a。 ICMPを介したServer1へのPC3アクセスを拒否するステートメントを記録します。

b。 ICMPを介したServer2へのPC3アクセスを拒否するステートメントを記録します。

手順4:他のすべてのIPトラフィックを許可します。

デフォルトでは、アクセスリストはリスト内のどのルールにも一致しないすべてのトラフィックを拒否します。他のすべてのトラフィックを許可するコマンドはどれですか?

パート2:拡張ACLを適用して検証する
フィルタリングされるトラフィックはネットワーク172.31.1.96/27からのものであり、その宛先はリモートネットワークです。適切なACLの配置は、トラフィックとRT1の関係にも依存します。

ステップ1:ACLを正しいインターフェイスと方向に適用します。

a。 ACLを正しいインターフェイスと方向に適用するには、どのコマンドを使用する必要がありますか?

ステップ2:各PCへのアクセスをテストします。

a。 PC1のWebブラウザーを使用して、HTTPおよびHTTPSプロトコルを介してServer1およびServer2のWebサイトにアクセスします。

b。 PC1を​​使用して、Server1とServer2のFTPにアクセスします。ユーザー名とパスワードはどちらも「cisco」です。

c。 PC1からServer1とServer2にpingを実行します。

D. PC2とPC3に対して手順2aから2cを繰り返して、アクセスリストが正しく実行されていることを確認します。

次のコードをコピーして、最初のインターフェイスに直接貼り付けます

en conf t ip access-list extended ACL deny tcp host 172.31.1.101 64.101.255.254 0.0.0.0 eq 80 deny tcp host 172.31.1.101 64.101.255.254 0.0.0.0 eq 443 deny tcp host 172.31.1.101 64.103.255.254 0.0.0.0 eq 80 deny tcp host 172.31.1.101 64.103.255.254 0.0.0.0 eq 443 deny tcp host 172.31.1.102 64.101.255.254 0.0.0.0 eq 21 deny tcp host 172.31.1.102 64.103.255.254 0.0.0.0 eq 21 deny icmp host 172.31.1.103 64.101.255.254 0.0.0.0 deny icmp host 172.31.1.103 64.103.255.254 0.0.0.0 permit ip any any interface g0/0 ip access-group ACL in