Cisco Packet Tracer.

Настройка расширенных списков контроля

доступа. Сценарий 2
Топология

Таблица адресации

Шлюз по
Устройство Интерфейс IP-адрес Маска подсети умолчанию

G0/0 10.101.117.49 255.255.255.248 Н/Д (недоступно)

RTA G0/1 10.101.117.33 255.255.255.240 Н/Д (недоступно)
G0/2 10.101.117.1 255.255.255.224 Н/Д (недоступно)
PCA NIC 10.101.117.51 255.255.255.248 10.101.117.49
PCB NIC 10.101.117.35 255.255.255.240 10.101.117.33
SWC VLAN1 10.101.117.2 255.255.255.224 10.101.117.1

Задачи
Часть 1. Настройка, применение и проверка расширенного нумерованного списка контроля
доступа
Часть 2. Вопросы для повторения

Общие сведения/сценарий
В этом сценарии устройствам в одной локальной сети разрешается удаленный доступ к устройствам
другой локальной сети по протоколу Telnet. За исключением ICMP, все виды трафика от других сетей
запрещены.

© Компания Cisco и/или ее аффилированные компании, 2017 г. Все права защищены. В этом документе
содержится общедоступная информация компании Cisco. Страница 1 из 3
Cisco Packet Tracer. Настройка расширенных списков контроля доступа. Сценарий 2

Часть 1: Настройка, применение и проверка расширенного

нумерованного списка контроля доступа
Настройте, примените и проверьте список контроля доступа для выполнения следующей политики.
• Трафик по протоколу Telnet в сети 10.101.117.32/28 разрешен для передачи на устройства
в сетях 10.101.117.0/27.
• Трафик ICMP допускается между любыми исходным и целевым устройствами.
• Весь прочий трафик к 10.101.117.0/27 блокируется.

Шаг 1: Настройте расширенный список контроля доступа.

a. В соответствующем режиме конфигурации на RTA используйте последний действительный номер
расширенного списка контроля доступа, чтобы настроить список. Для составления первой записи
списка контроля доступа выполните следующие действия:
1) Номер последнего расширенного списка — 199.
2) Протокол — TCP.
3) Сеть источника — 10.101.117.32.
4) Шаблонную маску можно определить путем вычитания 255.255.255.240 из 255.255.255.255.
5) Сеть назначения — 10.101.117.0.
6) Шаблонную маску можно определить путем вычитания 255.255.255.224 из 255.255.255.255.
7) Протокол — Telnet.
Какова первая запись списка контроля доступа?
access-list 199 permit tcp 10.101.117.32 0.0.0.15 10.101.117.0 0.0.0.31 eq telnet.
____________________________________________________________________________________
____________________________________________________________________________________
b. Трафик ICMP разрешен, и требуется вторая запись списка контроля доступа. Используйте один
и тот же номер списка контроля доступа, чтобы разрешить весь трафик ICMP, независимо от
исходного и целевого адреса. Какова вторая запись списка контроля доступа? (Подсказка.
Используйте любые ключевые слова.)
access-list 199 permit icmp any any
____________________________________________________________________________________
c. Весь остальной трафик IP отклоняется по умолчанию.

Шаг 2: Примените расширенный список контроля доступа.

Как правило, следует размещать расширенные списки контроля доступа ближе к источнику. Однако,
поскольку список контроля доступа 199 влияет на трафик, поступающий из сетей 10.101.117.48/29
и 10.101.117.32/28, лучше всего разместить этот список контроля доступа в интерфейсе Gigabit
Ethernet 0/2 в исходящем направлении. С помощью какой команды можно применить список контроля
доступа 199 к интерфейсу Gigabit Ethernet 0/2?
ip_______________________________________________________________________________________
access-group 199 out

Шаг 3: Проверьте реализацию расширенного списка контроля доступа.

a. Ping-запрос от PCB ко всем другим IP-адресам в сети. Если ответов на ping-запросы нет,
проверьте IP-адреса перед тем, как продолжить.
b. Подключитесь по Telnet от PCB к SWC. Пароль: cisco.

© Компания Cisco и/или ее аффилированные компании, 2017 г. Все права защищены. В этом документе
содержится общедоступная информация компании Cisco. Страница 2 из 3
Cisco Packet Tracer. Настройка расширенных списков контроля доступа. Сценарий 2

c. Выйдите из службы Telnet на SWC.

d. Отправьте ping-запрос от PCA ко всем другим IP-адресам в сети. Если ответов на ping-запросы
нет, проверьте IP-адреса перед тем, как продолжить.
e. Подключитесь по Telnet от PCA к SWC. Список контроля доступа заставляет маршрутизатор
отклонить соединение.
f. Подключитесь по Telnet от PCA к SWB Список контроля доступа размещается в G0/2 и не влияет
на это соединение.
g. Войдите в систему SWB и оставайтесь в ней. Подключитесь к SWC по Telnet.

Часть 2: Вопросы для повторения

1. Как PCA смог обойти список контроля доступа 199 и получить доступ к SWC по протоколу Telnet?
Были использованы два шага: во-первых, PCA использовала Telnet для доступа к SWB. От SWB
_______________________________________________________________________________________
Telnet был разрешен
2. Что можно к SWC.
было бы предпринять, чтобы предотвратить непрямой доступ PCA к SWC и разрешить
доступ PCB к SWC по протоколу Telnet?
_______________________________________________________________________________________
писок доступа 199 должен был быть написан для запрета трафика Telnet из сети 10.101.117.48 / 29 при
разрешении ICMP. Он должен был быть размещен на G0 / 0 RTA.
_______________________________________________________________________________________

Предлагаемый способ подсчета баллов

Максимальное
количество Заработанные
Раздел упражнений Вопрос баллов баллы

Часть 1. Настройка, Шаг 1a 4

применение
и проверка Шаг 1b 4
расширенного
нумерованного списка Шаг 2 4
контроля доступа
Часть 1. Итоговый 12
Часть 2. Вопросы для Вопрос 1 4
повторения
Вопрос 2 4
Часть 2. Итоговый 8
Балл Cisco Packet Tracer 80
Общее число баллов 100

© Компания Cisco и/или ее аффилированные компании, 2017 г. Все права защищены. В этом документе
содержится общедоступная информация компании Cisco. Страница 3 из 3