Сети д/з ACL:

# Сети д/з ACL: Задание: Создать следующие списки контроля доступа и применить их на роутере: 1. Программисты имеют доступ до контроллера домена (windows server 2012) (без ограничений по портам), VLAN серверов и сети интернет. 2. VIP имеют доступ до контроллера домена (без ограничений по портам) и сети интернет. 3. Админы имеют неограниченный доступ. 4. Адрес 8.8.4.4 в черном списке (недоступен для всех сетей компании) 5. Технологи имеют доступ только до домен-контроллера по необходимым портам (базовые порты для доменного взаимодействия) и с помощью icmp, а также своего шлюза по умолчанию. 6. Предусмотреть, что все ПК во всех сетях могут получать адрес по DHCP. Проверка: приложить скрин вывода команды роутера show access-lists и команды ping у следующих ПК: PC5 -> PC4 PC4 -> DC-winserver12 PC17 -> PC4 PC14 -> 8.8.4.4 PC15 -> PC6 DC-winserver12 -> 8.8.8.8 Выполнено: 1. Настройка ACL на int e0/1(Доступ в интрнет и запрет 8.8.4.4): ip access-list extended to-Internet deny ip any host 8.8.4.4 permit ip any any reflect back-Internet int e0/1 ip access-group to-Internet out 2. Настройка ACL на int e0/0.10(Сеть Программистов Vlan 10): ip access-list extended Progr-to-LAN permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255 evaluate back-Admin deny ip 10.0.1.0 0.0.0.255 10.0.0.0 0.0.3.255 permit ip any any int e0/0.10 ip access-group Progr-to-LAN in 3. Настройка ACL на int e0/0.24(Сеть Технологов Vlan 24): ip access-list extended Tech-to-LAN permit udp any any eq bootps 15 permit tcp 10.0.0.128 0.0.0.127 host 10.0.2.200 eq 3389 permit udp any any eq bootpc permit udp 10.0.0.128 0.0.0.127 host 10.0.2.200 eq domain 88 135 netbios- dgm 389 445 464 permit tcp 10.0.0.128 0.0.0.127 host 10.0.2.200 eq domain 135 139 445 464 3268 326 permit icmp 10.0.0.128 0.0.0.127 host 10.0.2.200 echo evaluate back-Admin deny ip any any int e0/0.24 ip access-group Tech-to-LAN in ip access-list extended LAN-to-Tech permit ip 10.0.0.0 0.0.0.15 10.0.0.128 0.0.0.127 15 permit tcp host 10.0.2.200 10.0.0.0 0.0.0.127 eq 3389 permit udp host 10.0.2.200 10.0.0.128 0.0.0.127 eq domain 88 135 netbios- dgm 389 445 464 permit tcp host 10.0.2.200 10.0.0.128 0.0.0.127 eq domain 135 139 445 464 3268 3269 permit icmp host 10.0.2.200 10.0.0.128 0.0.0.127 echo-reply deny ip any any int e0/0.24 ip access-group LAN-to-Tech out 4. Настройка ACL на int e0/0.55(Сеть Серверов Vlan 55): ip access-list extended LAN-to-Servers evaluate back-Internet permit ip 10.0.0.0 0.0.0.15 10.0.2.0 0.0.0.255 permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255 permit ip 10.0.0.32 0.0.0.31 host 10.0.2.200 permit udp 10.0.0.128 0.0.0.127 host 10.0.2.200 eq domain 88 135 netbios- dgm 389 445 464 permit tcp 10.0.0.128 0.0.0.127 host 10.0.2.200 eq domain 135 139 445 464 3268 3269 3389 permit icmp 10.0.0.128 0.0.0.127 host 10.0.2.200 echo deny ip any any int e0/0.55 ip access-group LAN-to-Servers out 5. Настройка ACL на int e0/0.17(Сеть Админов Vlan 17): ip access-list extended Admin-to-LAN permit ip any any reflect back-Admin ip access-list extended LAN-to-Admin evaluate back-Admin int e0/0.17 ip access-group Admin-to-LAN in ip access-group LAN-to-Admin out 5. Настройка ACL на int e0/0.777(Сеть VIP Vlan 777): ip access-list extended VIP-to-LAN permit ip 10.0.0.32 0.0.0.31 host 10.0.2.200 evaluate back-Admin deny ip 10.0.1.0 0.0.0.255 10.0.0.0 0.0.3.255 permit ip any any Reflexive IP access list back-Admin Reflexive IP access list back-Internet int e0/0.777 ip access-group VIP-to-LAN in Проверяем: 1. Программисты имеют доступ до контроллера домена (windows server 2012) (без ограничений по портам), VLAN серверов и сети интернет: PC7 ![](https://i.imgur.com/85w4Jva.jpg) 2. VIP имеют доступ до контроллера домена (без ограничений по портам) и сети интернет: PC17 ![](https://i.imgur.com/RF1gjWg.jpg) 3. Админы имеют неограниченный доступ: PC13_15 ![](https://i.imgur.com/J6yY10j.jpg) 4. Адрес 8.8.4.4 в черном списке (недоступен для всех сетей компании): ![](https://i.imgur.com/73mytAr.jpg) 5. Технологи имеют доступ только до домен-контроллера по необходимым портам (базовые порты для доменного взаимодействия) и с помощью icmp, а также своего шлюза по умолчанию: Kali ![](https://i.imgur.com/9NLOERZ.jpg) 6. Предусмотреть, что все ПК во всех сетях могут получать адрес по DHCP: ![](https://i.imgur.com/H8HKT2d.jpg) Проверка: приложить скрин вывода команды роутера show access-lists и команды ping у следующих ПК: PC5 -> PC4 ![](https://i.imgur.com/xctdCaI.jpg) PC4 -> DC-winserver12 ![](https://i.imgur.com/ERgc0Vs.jpg) PC17 -> PC4 ![](https://i.imgur.com/VglfpfE.jpg) PC14 -> 8.8.4.4 ![](https://i.imgur.com/0lKow71.jpg) PC15 -> PC6 ![](https://i.imgur.com/Gc820i4.jpg) DC-winserver12 -> 8.8.8.8 ![](https://i.imgur.com/Gv9q8l2.jpg) # Скрин вывода команды роутера show access-lists: ![](https://i.imgur.com/6DVoE0F.jpg)