سناریو تست ACL extended

Inbound

روتر ژرف z1 در سه ارتباط Ethernet با host 1، روتر cisco و روتر ژرف z2 است و روتینگ از طریق پروتکل ospf برقرار است.

هدف از تست :

Host 1 قادر به دسترسی به آدرس اینترفیس loopback روتر Z2 نباشد و بررسی عملکرد اعمال ACL در حالت inbound اینترفیس روتر ژرف z1 که مستقیمآ به مبدآ و مقصد دسترسی دارد.

(آدرس ۲.۲.۲.۲ قابل ping کردن نباشد.)

تنظیمات مربوط به Z1 :

Z1(config) # interface gigbethernet 0

Z1 (config-if) # ip address 192.‎250.‎250.‎221/24

Z1 (config-if) # no shutdown

Z1 (config-if) # ip access-group 110 in

Z1 (config-if) # exit

Z1 (config) # interface gigbethernet 1

Z1 (config-if) # ip address 192.‎100.‎100.‎221/24

Z1 (config-if) # no shutdown

Z1 (config-if) # exit

Z1 (config) # interface gigbethernet 2

Z1 (config-if) # ip address 192.‎200.‎200.‎221/24

Z1 (config-if) # no shutdown

Z1 (config-if) # exit

 

Z1(config) #access-list 110 deny icmp host 192.‎250.‎250.‎1 host 2.‎2.‎2.‎2

Z1(config) #access-list 110 permit ip any any

Z1(config) #router ospf

Z1(config-router)#network 192.‎100.‎100.‎0/24 area 0.‎0.‎0.‎0

Z1(config-router)#network 192.‎200.‎200.‎0/24 area 0.‎0.‎0.‎0

Z1(config-router)#network 192.‎250.‎250.‎0/24 area 0.‎0.‎0.‎0

تنظیمات مربوط به Z2 :

Z2(config) # interface gigbethernet 2

Z2(config-if) # ip address 192.‎100.‎100.‎235/24

Z2(config-if) # no shutdown

Z2(config-if) # exit

Z2(config) # interface lo1

Z2(config-if) # ip address 2.‎2.‎2.‎2/24

Z2(config-if) # no shutdown

Z2(config) #router ospf

Z2(config-router)#network 192.‎100.‎100.‎0/24 area 0.‎0.‎0.‎0

Z2(config-router)#network 2.‎2.‎2.‎0/24 area 0.‎0.‎0.‎0

تنظیمات مربوط به Cisco :

R1(config) # interface Loopback1

R1(config-if) # ip address 1.‎1.‎1.‎1 255.‎255.‎255.‎0

R1(config) # interface GigabitEthernet0/1

R1(config-if) # ip address 192.‎200.‎200.‎234 255.‎255.‎255.‎0

R1(config) # router ospf 1

R1(config-router)# network 1.‎1.‎1.‎0 0.‎0.‎0.‎255 area 0

R1(config-router)#network 192.‎200.‎200.‎0 0.‎0.‎0.‎255 area 0

تنظیمات مربوط به host :

Ip address: 192.‎250.‎250.‎1 255.‎255.‎255.‎0

gatway: 192.‎250.‎250.‎221

 

outbound

روتر ژرف z1 در سه ارتباط Ethernet با host 1، روتر cisco و روتر ژرف z2 است و روتینگ از طریق پروتکل ospf برقرار است.

هدف از تست :

Host 1 قادر به دسترسی به آدرس اینترفیس loopback روتر Z2 نباشد و بررسی عملکرد اعمال ACL در حالت outbound اینترفیس روتر ژرف z1 که مستقیمآ به مبدآ و مقصد دسترسی دارد.

(آدرس ۲.۲.۲.۲ قابل ping کردن نباشد.)

تنظیمات مربوط به Z1 :

Z1(config) # interface gigbethernet 0

Z1(config-if) # ip address 192.‎250.‎250.‎221/24

Z1(config-if) # no shutdown

Z1(config-if) # ip access-group 110 in

Z1(config-if) # exit

Z1(config) # interface gigbethernet 1

Z1(config-if) # ip address 192.‎100.‎100.‎221/24

Z1(config-if) # no shutdown

Z1(config-if) # ip access-group 110 out

Z1(config-if) # exit

Z1(config) # interface gigbethernet 2

Z1(config-if) # ip address 192.‎200.‎200.‎221/24

Z1(config-if) # no shutdown

Z1(config-if) # exit

Z1(config) #access-list 110 deny icmp host 192.‎250.‎250.‎1 host 2.‎2.‎2.‎2

Z1(config) #access-list 110 permit ip any any

Z1(config) #router ospf

Z1(config-router)#network 192.‎100.‎100.‎0/24 area 0.‎0.‎0.‎0

Z1(config-router)#network 192.‎200.‎200.‎0/24 area 0.‎0.‎0.‎0

Z1(config-router)#network 192.‎250.‎250.‎0/24 area 0.‎0.‎0.‎0

تنظیمات مربوط به Z2 :

Z2(config) # interface gigbethernet 0

Z2(config-if) # ip address 192.‎168.‎0.‎235/24

Z2(config-if) # no shutdown

Z2(config-if) # exit

Z2(config) # interface gigbethernet 2

Z2(config-if) # ip address 192.‎100.‎100.‎235/24

Z2(config-if) # no shutdown

Z2(config-if) # exit

Z2(config) # interface lo1

Z2(config-if) # ip address 2.‎2.‎2.‎2/24

Z2(config-if) # no shutdown

Z2(config) #router ospf

Z2(config-router)#network 192.‎100.‎100.‎0/24 area 0.‎0.‎0.‎0

Z2(config-router)#network 2.‎2.‎2.‎0/24 area 0.‎0.‎0.‎0

تنظیمات مربوط به Cisco :

R1(config) # interface Loopback1

R1(config-if) # ip address 1.‎1.‎1.‎1 255.‎255.‎255.‎0

R1(config) # interface GigabitEthernet0/1

R1(config-if) # ip address 192.‎200.‎200.‎234 255.‎255.‎255.‎0

R1(config) # router ospf 1

R1(config-router)# network 1.‎1.‎1.‎0 0.‎0.‎0.‎255 area 0

R1(config-router)#network 192.‎200.‎200.‎0 0.‎0.‎0.‎255 area 0

تنظیمات مربوط به host :

Ip address: 192.‎250.‎250.‎1 255.‎255.‎255.‎0

gatway: 192.‎250.‎250.‎221

 

سناریو host to host

برای اینکه کامپیوتر hostA نتواند به hostB فقط Telnet بزند باید تنظیمات زیر را در روتر انجام دهیم (یعنی فقط مسیر ارتباطی Telnet از Host A به Host B بسته باشد):

Zharf-router (config) #access-list 100 deny tcp 192.‎168.‎100.‎0 0.‎0.‎0.‎255 192.‎168.‎200.‎0 0.‎0.‎0.‎255 eq 23

Zharf-router (config) #access-list 100 permit ip any any

Zharf-router (config) #interface gigbethernet 0

Zharf-router (config-if) # ip address 192.‎168.‎200.‎1 255.‎255.‎255.‎0

Zharf-router (config-if) # no shutdown

Zharf-router (config-if) # exit

Zharf-router (config) #interface gigbethernet 1

Zharf-router (config-if) # ip address 192.‎168.‎100.‎1 255.‎255.‎255.‎0

Zharf-router (config-if) # no shutdown

Zharf-router (config-if) # exit

برای اعمال فیلتر بر روی اینترفیس دستور زیر را در نود اینترفیس وارد می‌کنیم (اینترفیس gigbethernet0/0 اینترفیسی است که به Host B متصل است):

Zharf-router (config) # interface gigbethernet 0

Zharf-router (config-if) #ip access-group 100 in

کانفیگ Host A :

IP Address Host A: 192.‎168.‎100.‎100

Subnet mask: 255.‎255.‎255.‎0

Gateway: 192.‎168.‎100.‎1

کانفیگ Host B :

IP Address Host A: 192.‎168.‎200.‎200

Subnet mask: 255.‎255.‎255.‎0

Gateway: 192.‎168.‎200.‎1

برای مشاهده فیلترهای اعمال شده دستور نمایشی زیر را وارد می‌کنیم:

Zharf-router#show access-list