سناریو تست ACL standard

هدف از تست:

اعمال سه access-list در یک روتر

اعمال access-list در inbound و outbound همزمان

روتر R2 فقط به آدرس ۱۶.۱۰.۱۰.۱ دسترسی داشته باشد.

دسترسی به آدرس ۱۱.۱۱.۱۱.۱۱ فقط از طریق zharf1 امکان پذیر باشد.

Zharf2 به هیچ IP دسترسی نداشته باشد.

R1 به آدرس ۱۱.۱۱.۱۱.۱۱ دسترسی نداشته باشد.

Zharf1:

Z1(config)# interface gbeth1

Z1(config-if)# ip address 16.‎10.‎10.‎1/24

Z1(config)# interface lo1

Z1(config-if)# ip address 11.‎11.‎11.‎11/24

Z1(config)# ip route 1.‎1.‎1.‎0/24 16.‎10.‎10.‎222

Z1(config)# ip route 16.‎20.‎20.‎0/24 16.‎10.‎10.‎222

Z1(config)# ip route 16.‎30.‎30.‎0/24 16.‎10.‎10.‎222

Z1(config)# ip route 21.‎21.‎21.‎0/24 16.‎10.‎10.‎222

Z1(config)# ip route 22.‎22.‎22.‎0/24 16.‎10.‎10.‎222

Z1(config)# ip route 111.‎111.‎111.‎0/24 16.‎10.‎10.‎222

Z1(config)# ip route 192.‎168.‎0.‎0/24 16.‎10.‎10.‎222

Zharf2:

Z2(config)# interface gbeth0

Z2(config-if)# ip address 192.‎168.‎0.‎221/24

Z2(config)# interface lo1

Z2(config-if)# ip address 21.‎21.‎21.‎21/24

Z2(config)# ip route 1.‎1.‎1.‎0/24 192.‎168.‎0.‎222

Z2(config)# ip route 11.‎11.‎11.‎0/24 192.‎168.‎0.‎222

Z2(config)# ip route 16.‎10.‎10.‎0/24 192.‎168.‎0.‎222

Z2(config)# ip route 16.‎20.‎20.‎0/24 192.‎168.‎0.‎222

Z2(config)# ip route 16.‎30.‎30.‎0/24 192.‎168.‎0.‎222

Z2(config)# ip route 22.‎22.‎22.‎0/24 192.‎168.‎0.‎222

Z2(config)# ip route 111.‎111.‎111.‎0/24 192.‎168.‎0.‎222

Zharf3

Z3(config)# controller e1 4

Z3(config-e1)# channel-group 1 timeslots 1-31

Z3(config)# interface gbeth0

Z3(config-if)# ip access-group 10 in

Z3(config-if)# ip address 192.‎168.‎0.‎222/24

Z3(config)# interface gbeth1

Z3(config-if)# ip access-group 30 out

Z3(config-if)# ip address 16.‎10.‎10.‎222/24

Z3 (config)# interface gbeth2

Z3(config-if)# ip address 16.‎20.‎20.‎222/24

Z3(config)# interface lo1

Z3(config-if)# ip address 22.‎22.‎22.‎22/24

Z3(config)# interface serial4/1

Z3(config-if)# ip address local 16.‎30.‎30.‎222 peer 16.‎30.‎30.‎234 net-mask 255.‎255.‎255.‎0

Z3(config-if)# encapsulation hdlc

Z3(config-if)# ip access-group 20 out

Z3(config)# access-list 10 deny host 192.‎168.‎0.‎221

Z3(config)# access-list 10 permit any

Z3(config)# access-list 20 permit host 16.‎10.‎10.‎1

Z3(config)# access-list 20 deny any

Z3(config)# access-list 30 deny host 16.‎20.‎20.‎1

Z3(config)# access-list 30 permit any

Z3(config)# ip route 1.‎1.‎1.‎0/24 16.‎20.‎20.‎1

Z3(config)# ip route 11.‎11.‎11.‎0/24 16.‎10.‎10.‎1

Z3(config)# ip route 21.‎21.‎21.‎0/24 192.‎168.‎0.‎221

Z3(config)# ip route 111.‎111.‎111.‎0/24 16.‎30.‎30.‎234

Cisco R1:

R1(config)# interface Loopback1

R1(config-if)# ip address 1.‎1.‎1.‎1 255.‎255.‎255.‎0

R1(config)# interface FastEthernet0/0

R1(config-if)# ip address 16.‎20.‎20.‎1 255.‎255.‎255.‎0

R1(config)# ip route 11.‎11.‎11.‎0 255.‎255.‎255.‎0 16.‎20.‎20.‎222

R1(config)# ip route 16.‎10.‎10.‎0 255.‎255.‎255.‎0 16.‎20.‎20.‎222

R1(config)# ip route 16.‎30.‎30.‎0 255.‎255.‎255.‎0 16.‎20.‎20.‎222

R1(config)# ip route 21.‎21.‎21.‎0 255.‎255.‎255.‎0 16.‎20.‎20.‎222

R1(config)# ip route 22.‎22.‎22.‎0 255.‎255.‎255.‎0 16.‎20.‎20.‎222

R1(config)# ip route 111.‎111.‎111.‎0 255.‎255.‎255.‎0 16.‎20.‎20.‎222

R1(config)# ip route 192.‎168.‎0.‎0 255.‎255.‎255.‎0 16.‎20.‎20.‎222

Cisco R2:

R2(config)# interface Loopback1

R2(config)# ip address 111.‎111.‎111.‎111 255.‎255.‎255.‎0

R2(config)# interface Serial0/2/0:1

R2(config)# ip address 16.‎30.‎30.‎234 255.‎255.‎255.‎0

R2(config)# ip route 1.‎1.‎1.‎0 255.‎255.‎255.‎0 16.‎30.‎30.‎222

R2(config)# ip route 11.‎11.‎11.‎0 255.‎255.‎255.‎0 16.‎30.‎30.‎222

R2(config)# ip route 16.‎10.‎10.‎0 255.‎255.‎255.‎0 16.‎30.‎30.‎222

R2(config)# ip route 16.‎20.‎20.‎0 255.‎255.‎255.‎0 16.‎30.‎30.‎222

R2(config)# ip route 21.‎21.‎21.‎0 255.‎255.‎255.‎0 16.‎30.‎30.‎222

R2(config)# ip route 22.‎22.‎22.‎0 255.‎255.‎255.‎0 16.‎30.‎30.‎222

R2(config)# ip route 192.‎168.‎0.‎0 255.‎255.‎255.‎0 16.‎30.‎30.‎222

رفع مشکل در فایروال:

¨ در سناریو تعریف شده باید بتوان از Host A ،Host B را ping کرد و یا مثلا به پورت ۸۰ آن دسترسی داشت و برعکس. ولی نمی‌توان از Host A به Host B ،Telnet زد.

¨ در صورتی که موارد ذکر شده قابل اجرا نباشند و مشکل در ارتباط بوجود آمده باشد باید موارد زیر چک شود تا مشکل در ارتباط حل شود:

¨ در صورتی که دو PC نتوانند همدیگر را Ping کنند باید با در روتر با استفاده از دستور show ip interface brief چک شود که ip اینترفیس‌های متصل به PCها UP باشد و همچنین بررسی شود که ip اینترفیس‌ها در رنج PCهای متصل به آن باشد.

¨ همچنین در هر دو PC بررسی شود که Ipها در رنج اینترفیس متصل به روتر باشند و Gateway در PC همان IP اینترفیس متصل روتر باشد.

¨ در صورتی که در هنگام Ping کردن خطای duplicate ip صادر شود، بررسی شود ipهایی که برای روتر و PCها تعریف شده است، در جای دیگر از شبکه مورد استفاده قرار نگرفته باشد.

¨ در صورتی که ارتباط بین دو PC از طریق پورت دیگری از TCP امکان پذیر نباشد، باید در روتر چک شود که در تعریف ACL، حتما دستور Access-list 100 permit tcp any any اعمال شده باشد. عدم تعریف این دستور باعث می‌شود که همه پورت‌های TCP غیر قابل دسترس باشند. برای مشاهده این دستور می‌توان از show access-list استفاده کرد.

¨ در صورتی که امکان Telnet زدن از Host A به Host B باشد و ACL مورد نظر به درستی تعریف شده باشد، باید چک شود که ACL در مسیری که ترافیک مورد نظر عبور می‌کند اعمال شده باشد.