Министерство образования и науки Российской Федерации
федеральное государственное бюджетное образовательное учреждение высшего образования
"Российский экономический университет имени Г.В.Плеханова"
МОСКОВСКИЙ ПРИБОРОСТРОИТЕЛЬНЫЙ ТЕХНИКУМ
 
ЛАБОРАТОРНАЯ РАБОТА № 16 
 
“
Настройка рефлексивных ACL списков
”
(2 часа)
ПМ.03 «Эксплуатация объектов сетевой инфраструктуры» 
МДК.03.02 Безопасность компьютерных сетей 
Составители(авторы) Вилков А.Н. преподаватель ФГБОУ ВО "РЭУ им. Г.В.Плеханова"

 
Рис.1. Топология сети 
Настройка: 
Создаем сначала исходящий список OUT, правила из которого будут отражать информацию 
об исходящих пакетах: 
Router(config)# ip access-list extended OUT 
Router(config-ext-nacl)# permit ip any any reflect MIRROR 
Router(config-ext-nacl)# interface fa0/0 
Router(config-if)# ip access-group OUT out 
Каждый пакет, по которому сработало правило из списка OUT, будет отзеркален в наш 
рефлексивный акцесс-лист по имени MIRROR. Поскольку в OUT разрешается весь IP-
трафик, зеркалиться будут записи для TCP, UDP и ICMP. Если необходимо, можно указать, 
например, только TCP. TCP-сессии достаточно просто отследить, но IOS также может 
следить за "сессиями" UDP или ICMP, хотя это на самом деле не настоящие сессионные 
протоколы. 
После того, как клиент из сети 192.168.0.0/24 инициировал TCP-сессию с сервером в
Интернете, мы можем посмотреть, какие правила были отражены в список доступа MIRROR: 
Router# show ip access-lists MIRROR 
Reflexive IP access list MIRROR 
permit tcp host 213.180.111.4 eq www host 192.168.0.1 eq 54321 (7 matches) (time left 294) 
Пора подключать наш рефлексивный ACL. Создаём акцесс-лист IN для входящего трафика, 
который будет сверяться со списком MIRROR, и цепляем его на вход FastEthernet0/0: 
Router(config)# ip access-list extended IN 
Router(config-ext-nacl)# evaluate MIRROR 
Router(config-ext-nacl)# interface f0/0 
Router(config-if)# ip access-group IN in 
Теперь пакеты, прилетающие в FastEthernet0/0, пропускаются внутрь, только если они 
разрешены списком IN, который, по сути, является всего лишь ссылкой на список MIRROR. 
Хотя следует отметить, что вы вольны добавлять обычные записи в IN как до, так и после 
команды evaluate.
Router# show ip access-lists
Extended IP access list OUT 
10 permit ip any any reflect MIRROR (76 matches) 
Extended IP access list IN 
10 evaluate MIRROR 
Reflexive IP access list MIRROR 
permit tcp host 213.180.111.4 eq www host 192.168.0.1 eq 54321 (7 matches) (time left 248) 

Что ещё стоит отметить, так это таймер в правилах MIRROR. Каждый новый пакет, 
отраженный в рефлексивный список, инициирует таймер в 300 секунд. Если за это время не 
будет трафика, соответствующего этому правилу, запись удаляется. В добавок, если 
маршрутизатор определяет окончание сессии (например, по флагу FIN в TCP), таймер сразу 
уменьшается и запись также быстро удаляется. 
Контрольные вопросы:
1. Описание технологии ACL 
2. Принцип работы Рефлексивных ACL 

Министерство образования и науки Российской Федерации
федеральное государственное бюджетное образовательное учреждение высшего образования

Download 3.15 Mb.

Do'stlaringiz bilan baham: