Практическая работа №12
Стандартные списки контроля доступа (ACL)
Цель работы: Научиться работать "охранником" (фейс-контролем) на роутере и запрещать вход плохим парням.
Что такое ACL?
ACL (Access Control List) — это список правил для фейс-контроля.
Когда пакет данных приходит на роутер, охранник смотрит в список:
- "Ты кто? 192.168.1.5? Тебе нельзя. До свидания." (DENY)
- "А ты кто? 192.168.1.10? Проходи." (PERMIT)
Стандартные ACL (номера 1-99) — самые простые. Они смотрят ТОЛЬКО на адрес отправителя (откуда пришел пакет).
Схема сети
[PC_Boss] (192.168.1.10) --- [Router] --- [Server_Secret] (192.168.2.100)
[PC_Guest] (192.168.1.20) подключен туда же.
Задача: Боссу МОЖНО на сервер, а Гостю — НЕЛЬЗЯ.
Создаем список правил
Мы создадим список под номером 10.
Правило 1: Запретить Гостя (192.168.1.20).
Правило 2: Разрешить всех остальных.
Router# configure terminal
(Создаем правило: ЗАПРЕТИТЬ хост 192.168.1.20)
Router(config)# access-list 10 deny host 192.168.1.20
(ОБЯЗАТЕЛЬНО: Разрешить остальных. Иначе ACL заблокирует ВСЕХ по умолчанию!)
Router(config)# access-list 10 permit any
Нанимаем охранника (Применяем ACL)
Список мы написали, но он пока лежит в столе. Нужно "поставить охранника" на конкретную дверь (интерфейс).
Лучше всего ставить проверку на ВХОДЕ в роутер (со стороны компьютеров).
(Это порт, куда подключены компьютеры)
Router(config-if)# ip access-group 10 in
(Проверять входящих людей по списку №10)
Router(config-if)# exit
Проверка
1. С компьютера PC_Boss сделайте пинг на Сервер (ping 192.168.2.100). Должен работать.
2. С компьютера PC_Guest сделайте пинг на Сервер.
Вы увидите сообщение: Destination host unreachable (Ответ от Роутера: "Проход закрыт").