Übung b Einfache erweiterte Access-Listen (ACLs)

Transkript

1 Übung b Einfache erweiterte Access-Listen (ACLs) 1-9 CCNA 2: Allgemeines zum Thema Routing Version 3.1 Übung b Copyright 2003, Cisco Systems, Inc.

2 Lernziel Konfigurieren erweiterter Access-Listen mit den Filtern Netz-Netz, Host-Netz und Netz-Hostverkehr. Beispielszenario Eine Marketingfirma verfügt über zwei Firmensitze. Der Hauptsitz ist in Birmingham (BHM) und die Zweigstelle in Gadsden (GAD). Der Telekommunikationsadministrator für beide Firmensitze muss Access-Listen für die Sicherheit und Leistungsfähigkeit des Netzes planen und implementieren. In der Zentrale in Birmingham gibt es zwei Gruppen von Netzbenutzern. Bei diesen Gruppen handelt es sich um eine Verwaltungs- und eine Produktionsgruppe, wobei jede ein separates Netz nutzt. Beide Netze sind untereinander durch einen Router verbunden. Die Zweigstelle verfügt über ein Stub-Netz und ist nur mit einem LAN verbunden. Schritt 1 Grundlegende Router- und Hostkonfigurationen a. Verbinden Sie die Router und die Hosts untereinander wie im Schaubild gezeigt. Nehmen Sie alle grundlegenden Router-Konfigurationen in Bezug auf den Hostnamen, das Enable-Kennwort, den Telnet-Zugang und die Router-Schnittstellen vor. Verwenden Sie das Schaubild und die Tabellen als Referenz. Hinweis: Der BMH-Router benötigt zwei Ethernet-Schnittstellen. b. Die Konfigurationen auf jedem Router sollten wie folgt lauten: BHM#show running-config <Ausgabedaten ausgelassen> hostname BHM enable secret class interface FastEthernet0/0 ip address interface Serial0 ip address clock rate interface FastEthernet0/1 ip address router rip network network line vty 0 4 password cisco login end BHM# GAD#show running-config <Ausgabedaten ausgelassen> 2-9 CCNA 2: Allgemeines zum Thema Routing Version 3.1 Übung b Copyright 2003, Cisco Systems, Inc.

3 hostname GAD enable password class interface FastEthernet0 ip address interface Serial0 ip address router rip network line vty 0 4 password cisco login no scheduler allocate end GAD# c. Konfigurieren Sie die Hosts anhand der zuvor gemachten Angaben. Vor dem Anwenden einer Access-Liste muss unbedingt die Erreichbarkeit zwischen den Systemen überprüft werden. Überprüfen Sie die Erreichbarkeit, indem Sie den Ping-Test mit allen Systemen und Routern der einzelnen Systeme durchführen. d. Der Ping-Test sollte bei allen Hosts untereinander und zwischen den Hosts und den Router- Schnittstellen erfolgreich sein. Führt der Test bei einigen Schnittstellen nicht zum Erfolg, muss das Problem lokalisiert und behoben werden. Prüfen Sie stets die Verbindungen der Bitübertragungsschichten, da sie die häufigste Quelle für Konnektivitätsprobleme darstellen. Überprüfen Sie als Nächstes die Router-Schnittstellen. Stellen Sie sicher, dass sie nicht abgeschaltet und dass sowohl sie als auch das RIP richtig konfiguriert sind. Denken Sie zudem daran, dass die Hosts nicht nur über gültige IP-Adressen verfügen müssen, sondern dass darüber hinaus Standard-Gateways für sie angegeben werden müssen. e. Jetzt ist die Infrastruktur erstellt und wir können damit beginnen, das Internetwork zu sichern. Schritt 2 Unterbinden des Zugriffs durch die Produktionsbenutzer auf das Gadsden-Netz a. Gemäß den Unternehmensrichtlinien soll lediglich die Verwaltungsgruppe das Zugriffsrecht für das Gadsden-Netz besitzen. Die Produktionsgruppe soll nicht auf das Netz zugreifen können. b. Konfigurieren Sie eine erweiterte Access-Liste, um den Zugriff auf das Gadsden-Netz durch die Verwaltungsgruppe zu ermöglichen. Die Produktionsgruppe sollte keinen Zugang zum Gadsden- Netz haben. c. Nach einer sorgfältigen Analyse wird beschlossen, dass eine erweiterte Access-Liste verwendet und auf die Ausgangsschnittstelle S0 auf dem BHM-Router angewendet werden soll. Hinweis: Denken Sie bei der Konfiguration der Access-Liste daran, dass jede Anweisung in der Liste in der Reihenfolge verarbeitet wird, in der sie erstellt wurde. Eine nummerierte Access- Liste kann weder neu geordnet noch können Anweisungen übersprungen, geändert oder gelöscht werden. Aus diesem Grund kann es hilfreich sein, die Access-Liste in einem Texteditor wie beispielsweise dem Windows-Editor zu erstellen und die Befehle anschließend im Router einzufügen, anstatt sie direkt im Router einzugeben. 3-9 CCNA 2: Allgemeines zum Thema Routing Version 3.1 Übung b Copyright 2003, Cisco Systems, Inc.

4 d. Geben Sie Folgendes ein: BHM#conf terminal Enter configuration commands, one per line. End with CNTL/Z. BHM(config)#access-list 100 deny ip e. Diese Anweisung definiert eine erweiterte Access-Liste mit dem Namen 100. Sie verwehrt den Benutzern im Netz den IP-Zugriff auf das Netz Wenngleich eine weniger spezifische Access-Liste definiert werden könnte, würden die Produktionsgruppenbenutzer über die Schnittstelle S0 eventuell Zugriff auf andere Netze (sofern verfügbar) erhalten. f. Denken Sie daran, dass jede Access-Liste eine implizite deny all -Anweisung (alle abweisen) enthält. Nun müssen wir sicherstellen, dass die Verwaltungsgruppe auf das Gadsden-Netz zugreifen kann. Obwohl wir den Datenverkehr weiter beschränken könnten, werden wir einfach jeden anderen Datenverkehr zulassen. Geben Sie die folgende Anweisung ein: BHM(config)#access-list 100 permit ip any any g. Jetzt müssen wir die Access-Liste auf eine Schnittstelle anwenden. Wir könnten die Liste auf eingehende Daten anwenden, die an die Schnittstelle Fa0/1 des Produktionsnetzes gerichtet sind. Bei starkem Datenverkehr zwischen dem Verwaltungsnetz und dem Produktionsnetz müsst der Router jedoch jedes Datenpaket überprüfen. Es besteht jedoch die Befürchtung, dass der Router dadurch übermäßig beansprucht werden könnte. Die Access-Liste wird daher auf den abgehenden Datenverkehr angewendet, der die Schnittstelle S0 des BHM-Routers passiert. Geben Sie Folgendes ein: BHM(config)#interface s0 BHM(config-if)#ip access-group 100 out h. Prüfen Sie die Syntax der Access-Liste mit dem Befehl show running-config. Nachfolgend sind die gültigen Anweisungen aufgeführt, die in der Konfiguration enthalten sein sollten. interface Serial0 ip access-group 100 out <Ausgabedaten ausgelassen> access-list 100 deny ip access-list 100 permit ip any any i. Ein anderer nützlicher Befehl lautet show access-lists. Es folgt eine Beispielausgabe: BHM#show access-lists Extended IP access list 100 deny ip permit ip any any j. Der Befehl show access-lists zeigt zudem Zähler an, die angeben, wie oft die Liste verwendet wurde. Hier werden keine Zähler aufgeführt, da wir die Liste noch nicht überprüft haben. 4-9 CCNA 2: Allgemeines zum Thema Routing Version 3.1 Übung b Copyright 2003, Cisco Systems, Inc.

5 Hinweis: Verwenden Sie den Befehl clear access-list counters, um die Access- Listenzähler zurückzusetzen. k. Testen Sie die Access-Liste jetzt, indem Sie die Erreichbarkeit des Gadsden-Netzes durch den Verwaltungs- und den Produktions-Host nachweisen. Kann der Produktions-Host (B) einen Ping-Test zum Gadsden-Host (D) durchführen? Kann der Produktions-Host (C) einen Ping-Test zum Gadsden-Host (D) durchführen? Kann der Verwaltungs-Host (A) einen Ping-Test zum Gadsden-Host (D) durchführen? Kann der Produktions-Host (B) einen Ping-Test zum Verwaltungs-Host (A) durchführen? Kann der Produktions-Host (B) einen Ping-Test zur seriellen Schnittstelle des Gadsden-Routers durchführen? l. Die Produktions-Hosts (B) und (C) sollten einen Ping-Test zu Verwaltungs-Host (A) und zur seriellen Schnittstelle des Gadsden-Routers durchführen können. Jedoch sollte der Ping-Test zum Gadsden-Host (D) fehlschlagen. Der Router sollte die folgende Antwortmeldung an den Host zurückgeben: Destination net unreachable. Geben Sie den Befehl show access-lists ein. Wie viele Übereinstimmungen sind vorhanden? Hinweis: Der Befehl show access-lists zeigt die Anzahl der Übereinstimmungen pro Zeile an. Die Anzahl der deny -Übereinstimmungen erklärt sich dadurch, dass die Anzahl der Ping- Tests den deny -Anweisungen und den permit -Anweisungen entspricht. m. Um die Funktionsweise der Access-Liste besser verstehen zu können, geben Sie von Zeit zu Zeit den Befehl show access-lists ein. Schritt 3 Ermöglichen des Zugriffs auf das Gadsden-Netz durch einen Produktionsgruppenbenutzer a. Ein Anruf von einem Benutzer der Produktionsgruppe (B) geht ein. Diese ist für den Austausch bestimmter Dateien zwischen dem Produktionsnetz und dem Gadsden-Netz verantwortlich. Die erweiterte Access-Liste muss verändert werden, um dem Benutzer Zugriff auf das Gadsden- Netz zu gewähren, während alle anderen Produktionsgruppenbenutzer abgewiesen werden. b. Konfigurieren Sie eine erweiterte Access-Liste, um diesem Benutzer Zugriff auf das Gadsden- Netz zu gewähren. c. Eine nummerierte Access-Liste kann leider weder neu geordnet noch können Anweisungen übersprungen, geändert oder gelöscht werden. Bei nummerierten Access-Listen wird beim Löschen einer einzelnen Anweisung die gesamte Liste gelöscht. d. Daher muss die ursprüngliche erweiterte Access-Liste gelöscht und eine neue erstellt werden. Um die Access-Liste 100 zu löschen, geben Sie Folgendes ein: BHM#conf t Enter configuration commands, one per line. End with CNTL/Z. BHM(config)#no access-list 100 Prüfen Sie anhand des Befehls show access-lists, ob die Access-Liste gelöscht wurde. 5-9 CCNA 2: Allgemeines zum Thema Routing Version 3.1 Übung b Copyright 2003, Cisco Systems, Inc.

6 e. Erstellen Sie jetzt eine neue erweiterte Access-Liste. Filtern Sie stets vom Spezifischsten zum Allgemeinsten. Die erste Zeile der Access-Liste sollte daher dem Produktions-Host (B) Zugang zum Gadsden-Netz gewähren. Der verbleibende Teil der Access-Liste sollte mit der zuvor eingegebenen identisch sein. f. Um den Produktions-Host (B) zu filtern, muss die erste Zeile der Access-Liste wie folgt lauten: BHM(config)#access-list 100 permit ip host Die Access-Liste gewährt somit dem Produktions-Host (B) Zugang zum Gadsden-Netz. g. Weisen Sie nun den Zugriff auf das Gadsden-Netz durch die verbleibenden Produktions-Hosts ab, und gewähren Sie allen anderen Zugang. Die nächsten beiden Zeilen der Konfiguration finden Sie im vorherigen Schritt. Der Befehl show access-list würde ungefähr Folgendes ausgeben: BHM#show access-lists Extended IP access list 100 permit ip host deny ip permit ip any any BHM# h. Testen Sie die Access-Liste jetzt, indem Sie die Erreichbarkeit des Gadsden-Netzes durch den Verwaltungs- und den Produktions-Host nachweisen. Kann der Produktions-Host (B) den Ping-Test zum Gadsden-Host (D) durchführen? Kann der Produktions-Host (C) den Ping-Test zum Gadsden-Host (D) durchführen? Der Produktions-Host (B) sollte jetzt den Ping-Test zum Gadsden-Host (D) durchführen können. Bei allen anderen Produktions-Hosts (C) sollte der Ping-Test zum Gadsden-Host (D) fehlschlagen. Der Router sollte wieder die folgende Antwortmeldung an den Host zurückgeben (für Host C): Destination net unreachable. Schritt 4 Ermöglichen des Zugriffs durch die Gadsden-Benutzer auf den Lohnabrechnungsserver (Payroll Server) der Verwaltung a. Die Verwaltungsgruppe ist für den Lohnabrechnungsserver zuständig. Benutzer aus dem Gadsden-Büro benötigen von Zeit zu Zeit FTP- und HTTP-Zugang zum Lohnabrechnungsserver, um Lohnabrechnungen herunterzuladen oder auf den Server zu übertragen. b. Konfigurieren Sie eine erweiterte Access-Liste, um Benutzern aus dem Gadsden-Büro FTP- und HTTP-Zugriffsrechte für den Lohnabrechnungsserver (und nur für diesen) einzuräumen. Ebenso erhalten sie ICMP-Zugang, um den Ping-Test zum Server durchzuführen. Gadsden-Benutzer sollten nicht über die Möglichkeit verfügen, Ping-Tests zu anderen Hosts des Verwaltungsnetzes durchzuführen. c. Unnötiger Datenverkehr zwischen den Geschäftsstellen ist nicht erwünscht, weshalb beschlossen wird, eine erweiterte Access-Liste auf dem Gadsden-Router zu konfigurieren. 6-9 CCNA 2: Allgemeines zum Thema Routing Version 3.1 Übung b Copyright 2003, Cisco Systems, Inc.

7 d. d. Planen Sie ein, dass von Zeit zu Zeit der privilegierter EXEC-Zugriff zum Gadsden-Büro erforderlich sein wird. Aus diesem Grund wird eine Telnet-Verbindung konfiguriert. Anderenfalls wäre eine Konfiguration vor Ort in Gadsden notwendig. e. Stellen Sie eine Telnet-Verbindung vom Birmingham-Router zum Gadsden-Router her, und rufen Sie den Enable-Modus auf. Beheben Sie eventuelle Fehler. Hinweis: Ein häufig auftretendes Problem beim Konfigurieren von Access-Listen auf entfernten Routern besteht darin, sich selbst auszusperren. Das stellt kein großes Problem dar, wenn es sich um einen lokalen Router vor Ort handelt. Es kann jedoch ein großes Problem bedeuten, wenn der Router sich an einem entfernten Standort befindet. f. Aus diesem Grund wird dringend empfohlen, den Befehl reload in 30 auf dem entfernten Router einzugeben. Dadurch wird der entfernte Router innerhalb von 30 Minuten nach Eingabe des Befehls automatisch neu geladen. Wenn sich der Administrator also aussperrt, wird der Zugriff auf den Router wieder möglich, nachdem dieser die vorherige Konfiguration erneut geladen hat. Verwenden Sie den Befehl reload cancel, um das bevorstehende Neuladen zu deaktivieren. g. Konfigurieren Sie eine erweiterte Access-Liste, um FTP-Zugriff auf den Lohnabrechnungsserver zu gewähren. Die Anweisung der Access-Liste sollte in etwa wie folgt lauten: GAD(config)#access-list 110 permit tcp any host eq ftp Diese Zeile gewährt jedem Host des Gadsden-Netzes FTP-Zugriff auf den Lohnabrechnungsserver unter der Adresse Was hätten wir statt des Schlüsselwortes any auch schreiben können? Was hätten wir statt des Schlüsselwortes host auch schreiben können? Was hätten wir statt des Schlüsselwortes ftp auch schreiben können? h. Konfigurieren Sie jetzt die nächste Zeile der Access-Liste, um HTTP-Zugriff auf den Lohnabrechnungsserver zu gewähren. Die Anweisung der Access-Liste sollte in etwa wie folgt lauten: GAD(config)#access-list 110 permit tcp any host eq http Diese Zeile gewährt jedem Host des Gadsden-Netzes HTTP-Zugriff auf den Lohnabrechnungsserver unter der Adresse Was hätten wir statt des Schlüsselwortes http auch schreiben können? 7-9 CCNA 2: Allgemeines zum Thema Routing Version 3.1 Übung b Copyright 2003, Cisco Systems, Inc.

8 i. Konfigurieren Sie jetzt die nächste Zeile der Access-Liste, um ICMP-Zugriff auf den Lohnabrechnungsserver zu gewähren. Die Anweisung der Access-Liste sollte in etwa wie folgt lauten: GAD(config)#access-list 110 permit icmp any host Diese Zeile ermöglicht es jedem Host des Gadsden-Netzes, den Lohnabrechnungsserver unter der Adresse über ping anzurufen. j. Zuletzt sollen die Gadsden-Benutzer nicht über die Möglichkeit verfügen, andere Hosts des Verwaltungsnetzes aufzurufen. Es ist immer empfehlenswert, eine deny -Anweisung einzufügen, wenngleich das nicht zwingend erforderlich ist. Das Hinzufügen der Anweisung dient als Erinnerungshilfe und erleichtert das Lesen der Access-Liste. Die Anweisung der Access- Liste sollte in etwa wie folgt lauten: GAD(config)#access-list 110 deny ip any k. Jetzt müssen wir die Access-Liste auf eine Schnittstelle anwenden. Um unerwünschten WAN- Datenverkehr zu vermindern, wird beschlossen, die Access-Liste auf die gesamten abgehenden Datenpakete anzuwenden, die die Schnittstelle S0 des Gadsden-Routers passieren. Geben Sie Folgendes ein: GAD(config)#interface s0 GAD(config-if)#ip access-group 110 out l. Testen Sie die Access-Liste jetzt, indem Sie die Erreichbarkeit des Lohnabrechnungsservers durch einen Gadsden-Host (D) nachweisen. Kann der Gadsden-Host (D) den Ping-Test zum Lohnabrechnungsserver durchführen? Kann der Gadsden-Host (D) den Ping-Test zum Host (A) durchführen? Der Gadsden-Host sollte lediglich in der Lage sein, den Ping-Test zum Lohnabrechnungsserver durchzuführen. Der Router sollte beim Versuch, den Ping-Test zum Verwaltungs-Host (D) durchzuführen, die Antwort Destination net unreachable ausgeben. Schritt 5 Dokumentieren der ACL a. Zum Netzmanagement gehört es immer auch, Dokumentationen zu erstellen. Verwenden Sie die für die Konfiguration erstellte Textdatei, und fügen Sie zusätzliche Kommentare an. Diese Datei sollte auch die Ergebnisse der Befehle show access-lists und show ip interface enthalten. b. Die Datei sollte zusammen mit anderer Netzdokumentation gespeichert werden. Die Konvention für die Dateibenennung sollte die Funktion der Datei und das Datum der Implementierung wiedergeben. c. Damit ist die Übung zu erweiterten Access-Listen abgeschlossen. 8-9 CCNA 2: Allgemeines zum Thema Routing Version 3.1 Übung b Copyright 2003, Cisco Systems, Inc.

9 d. Wenn Sie fertig sind, löschen Sie die Startkonfiguration auf den Routern, entfernen und verstauen Sie die Kabel und den Adapter. Melden Sie sich zudem ab und schalten den Router aus. 9-9 CCNA 2: Allgemeines zum Thema Routing Version 3.1 Übung b Copyright 2003, Cisco Systems, Inc.