retele lab 9
DESCRIPTION
retele lab 9TRANSCRIPT
Laborator 9 - ACL, NAT, GRE
Motivație
Fiind în continuă creștere a numărului de angajați, compania noastră se vede în situația de a angaja lucrători la distanță pentru departamentele de Marketing și Finanțe (clădirea C). Acest lucru ridică însă o serie de probleme, fiind necesară construcția unei infrastructuri care să suporte acest tip de muncitori.
Pe lângă acestea, mai trebuie de asemenea implementată o serie de reguli de filtrare a traficului în anumite zone din reţeaua extinsă a companiei.
Topologie
Cerințe
Atenție: pe topologiile imprimate este folosită rețeaua 172.39.167.0/30. Această rețea nu este privată. În fișierele de laborator au fost corectate adresele ca fiind parte din 172.29.167.0/30
Rezolvarea următoarelor taskuri va asigura configurarea corectă a echipamentelor pentru a permite accesul lucrătorilor la distanță și implementarea regulilor de filtrare a traficului.
Ruterul ForeverAlone este folosit pentru testare. Configurațiile din zona teleworker se vor face pe ruterul InsanityWolf.
1. [20p] Lucrătorul la distanţă se află într-un spaţiu de adrese privat, neputând accesa Internetul. Rezolvați această problemă pentru întreaga zonă Teleworker.RezolvarePe InsanityWolf, configuăm PAT:
InsanityWolf(config)#ip access standard 1 InsanityWolf(config-std-nacl)#permit 172.29.167.0 0.0.0.3 InsanityWolf(config-std-nacl)#permit 192.168.254.0 0.0.0.255 InsanityWolf(config)#ip nat inside source list 1 interface fa1/0 overload InsanityWolf(config)#int fa0/0 InsanityWolf(config-if)#ip nat inside InsanityWolf(config-if)#int fa0/1 InsanityWolf(config-if)#ip nat outside
◾ Porniti comanda de debug pentru solutia pe care ati gasit-o. Cum sunt transmise pachetele din zona Teleworker catre Internet? Rezolvare
InsanityWolf#debug ip nat InsanityWolf#ping 191.105.157.1 source FastEthernet0/0
[...] Packet sent with a source address of 172.29.167.1 !!!!! [...] InsanityWolf# *Mar 1 03:37:38.075: NAT: s=172.29.167.1->191.105.157.2, d=191.105.157.1 [10] *Mar 1 03:37:38.151: NAT*: s=191.105.157.1, d=191.105.157.2->172.29.167.1 [10]
2. [10p] Asigurați conectivitatea end-to-end pentru întreaga rețea, folosind cât mai puține rute. Ruterul Derpinanu se află sub autoritatea Dvs., deci nu îl veți configura. El este deja configurat cu toate rutele necesare.Rezolvare
ForeverAlone(config)#ip route 0.0.0.0 0.0.0.0 172.29.167.1 InsanityWolf(config)#ip route 0.0.0.0 0.0.0.0 191.105.157.1 FUUUUU(config)#ip route 0.0.0.0 0.0.0.0 66.218.168.6
◾ Cum va cunoaste ruter-ul FUUUUU pachetele din zona Teleworker? Incercati comanda de debug pentru a verifica.Rezolvare
FUUUUU#debug ip packet ForeverAlone(config)#do ping 66.218.168.5 [...] !!!!! [...] FUUUUU# *Mar 1 04:14:10.606: IP: s=191.105.157.2 (FastEthernet2/0), d=66.218.168.5 (FastEthernet2/0), len 100, rcvd 3
3. [10p] Pe ruterul FUUUUU există definit Loopback 0 pe care trebuie să îl aceseze doar angajaţii din zona teleworker. Filtraţi restul traficului. Rezolvare
FUUUUU(config)#ip access-list extended task3 FUUUUU(config-ext-nacl)#permit ip host 191.105.157.2 host 155.17.23.1 FUUUUU(config-ext-nacl)#deny ip any host 155.17.23.1 FUUUUU(config-ext-nacl)#permit ip any any FUUUUU(config-ext-nacl)#int fa2/0 FUUUUU(config-if)#ip access task3 in
◾ Testați folosind L0 de pe InsanityWolf funcționarea ACL-ului. In timpul acestui test, porniti comanda de debug pe ruter-ul pe care ati plasat ACL-ul. Rezolvare
FUUUUU(config-if)#do debug ip packet IP packet debugging is on InsanityWolf#ping 155.17.23.1 source 20.20.20.20 FUUUUU(config-if)# *Mar 1 04:26:14.610: IP: s=20.20.20.20 (FastEthernet2/0), d=155.17.23.1, len 100, access denied
4. [15p] Lucrătorii din zona teleworker nu au dreptul de a accesa o serie de site-uri web:◾ 208.69.127.83◾ 77.73.36.99◾ 74.125.39.0/24
Filtraţi accesul HTTP la aceste IP-uri. Rezolvare
InsanityWolf(config)#ip access-list extended task4 InsanityWolf(config-ext-nacl)#deny tcp any host 208.69.127.83 eq www InsanityWolf(config-ext-nacl)#deny tcp any host 77.73.36.99 eq www InsanityWolf(config-ext-nacl)#deny tcp any 74.125.39.0 0.0.0.255 eq www InsanityWolf(config-ext-nacl)#permit ip any any
InsanityWolf(config-ext-nacl)#int fa0/0 InsanityWolf(config-if)#ip access-group task4 in
Obs. Acest task POATE fi testat. .
Rezolvare
ForeverAlone#telnet 77.73.36.99 www Trying 77.73.36.99, 80 ... *Mar 1 04:26:38.274: %SYS-5-CONFIG_I: Configured from console by console % Destination unreachable; gateway or host down
5. [15p] Permiteți accesul Telnet către FUUUU numai pe interfața Loopback 0 a acestuia. Blocați accesul Telnet din zona Teleworker. Rezolvați acest task fără să mai creați un nou ACL. Rezolvare
FUUUUU(config)#ip access-list extended task3 FUUUUU(config-ext-nacl)#2 deny tcp host 191.105.157.2 host 155.17.23.1 eq teln FUUUUU(config-ext-nacl)#3 permit tcp any host 155.17.23.1 eq teln FUUUUU(config-ext-nacl)#[4-9] deny tcp any host [IP_FUUUUU mai puțin Lo0] eq telnet
6. [10p] Datorită riscurilor de securitate, s-a luat decizia ca nici un server al companiei să nu se afle în clădirea C. De aceea, se poate implementa o regulă ce specifică blocarea tuturor pachetelor cu destinația clădirea C ce inițiază o conexiune TCP nouă. Rezolvare
FUUUUU(config)#ip access-list extended task6 FUUUUU(config-ext-nacl)#permit tcp any any established FUUUUU(config-ext-nacl)#deny tcp any any FUUUUU(config-ext-nacl)#int e1/0 FUUUUU(config-if)#description "catre cladirea C" FUUUUU(config-if)#ip access task6 out
7. [20p] Pentru a accesa intranet-ul companiei într-o metodă mai sigură, s-a luat decizia ca traficul lucrătorului la distanţă să treacă printr-un tunel GRE între FUUUUU şi InsanityWolf. Implementați acest tunel folosind adrese din subnetul 103.13.0.0/24. RezolvareInsanityWolf:
FUUUUU(config)#int Tunnel0 FUUUUU(config-if)#ip addr 103.13.0.2 255.255.255.0 FUUUUU(config-if)#tunnel source Fa2/0 FUUUUU(config-if)#tunnel dest 191.105.157.2 InsanityWolf(config)#interface Tunnel0 InsanityWolf(config-if)#ip addr 103.13.0.1 255.255.255.0 InsanityWolf(config-if)#tunnel source Fa1/0 InsanityWolf(config-if)#tunnel dest 66.218.168.5 InsanityWolf(config)#ip route 10.10.10.16 255.255.255.240 Tunnel0 InsanityWolf(config)#ip route 10.10.10.32 255.255.255.224 Tunnel0 InsanityWolf(config)#ip route 172.2.0.0 255.255.255.0 Tunnel0
8. [10p] S-a luat decizia ca traficul ICMP generat de către lucrătorul la distanță să ajungă translatat la ruter-ul FUUUUU prin Tunel, cu una din adresele subnetului 80.75.0.0/29.
◾ Testați această configurare prin comenzi de debug, atat pe ruter-ul InsanityWolf, cat si pe FUUUUU.
Rezolvare
InsanityWolf(config)#ip access-list extended gre-nat InsanityWolf(config-ext-nacl)#permit icmp any 10.10.10.16 0.0.0.15 InsanityWolf(config-ext-nacl)#permit icmp any 10.10.10.32 0.0.0.31 InsanityWolf(config-ext-nacl)#permit icmp any 172.2.0.0 0.0.0.255 InsanityWolf(config)#ip nat pool task8 80.75.0.0 80.75.0.7 netmask 255.255.255.248 InsanityWolf(config)#ip nat inside source list gre-nat pool task8