CCNA Discovery

Szmtgp-hlzatok tervezse s tmogatsa

1.3.4 Laborgyakorlat: Egy ACL ltrehozsa

Kszlk

llomsnv

Cm

Alhlzati maszk

Discovery Server

Server

172.17.1.1

255.255.0.0

R1

FC-CPE-1

Fa0/1 172.17.0.1
Fa0/0 10.0.0.1

255.255.0.0
255.255.255.0

S1

FC-ASW-1

1. lloms

PC1

10.0.0.10

255.255.255.0

2. lloms

PC2

10.0.0.201

255.255.255.0

Clkitzsek

A forgalom biztonsgi clbl trtn szrst s felgyelett vgz hozzfrsi listk (ACL-ek)
ltrehozsa.

A 640-802 CCNA vizsga tmakrei

A laborgyakorlat a kvetkez CCNA vizsga tmakrkhz kapcsold feladatokat tartalmazza:

ACL-ek belltsa s alkalmazsa hlzatszrsi felttelek alapjn (parancssoros felletrl, illetve

SDM-bl)

A forgalomirnythoz trtn telnet s SSH hozzfrst korltoz ACL-ek belltsa s alkalmazsa

(parancssoros felletrl, illetve SDM-bl)

Az ACL-ek ellenrzse s megfigyelse hlzati krnyezetben

All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Oldal 1 - 8

CCNA Discovery
Szmtgp-hlzatok tervezse s tmogatsa
Vrhat eredmnyek s ennek felttelei
A laborgyakorlat megkezdse eltt olvassa el a vgrehajtand feladatokat! n szerint mi lesz a feladatok
vgrehajtsnak eredmnye?
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
Hogyan hasznosthat az ACL-ek ismerete a rendszergazdai feladatok sorn?
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
Honnan tudhatja a hlzati rendszergazda, hogy az ACL mkdse megfelel-e?
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________

Httrismeretek s elkszletek
A laborgyakorlat sorn nnek vgig kell gondolnia a hlzati adatforgalom vezrlsnek s szrsnek
szksgessgt, s meg kell terveznie az ezt megvalst hzirendet!
Ezt kveten a forgalom biztonsgi tervt ACL-ek segtsgvel alkalmazni kell egy pldahlzatra!
Az ACL-ek hasznlata az elosztsi rtegben jellemz. A laborgyakorlat sorn egy hlzati
pldaalkalmazsokat biztost kiszolglhoz csatlakoztatott forgalomirnyt alkotja a hlzatot, amellyel
szemlltethet az ACL elhelyezse s mkdse.

1. lps: A forgalomszrsi felttelek elemzse

a. Hatrozza meg a hozzfrsi s szrsi feltteleket!
A laborgyakorlathoz:
1) A PC1 a hlzati rendszergazda munkallomsa, amely szmra engedlyezni kell a hlzati
kiszolglhoz trtn FTP s HTTP elrst, valamint telnetkapcsolat ltestst az FC-CPE-1
forgalomirnytval.
2) A PC2 egy ltalnos munkalloms, amely szmra kizrlag a HTTP elrs engedlyezett. Az
FTP szolgltats s a telnetkapcsolat ltestse a forgalomirnytval nem engedlyezett.
b. A konkrt felttelek meghatrozst kveten dntse el, hogy minden egyb forgalom engedlyezve
vagy tiltva legyen!
Sorolja fel az albbi szrsi helyzetek elnyeit s lehetsges problmit:
Minden egyb forgalom engedlyezsvel kapcsolatos elnyk
_______________________________________________________________
Minden egyb forgalom engedlyezsvel kapcsolatos lehetsges problmk:
_______________________________________________________________
Minden egyb forgalom tiltsval kapcsolatos elnyk:
_______________________________________________________________
Minden egyb forgalom tiltsval kapcsolatos lehetsges problmk:
All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Oldal 2 - 8

CCNA Discovery
Szmtgp-hlzatok tervezse s tmogatsa
_______________________________________________________________

2. lps: Az ACL megtervezse s ltrehozsa

a. Nzze t majd alkalmazza az ACL kszts jl bevlt gyakorlatait!

A megvalsts eltt mindig vgezzen alapos tervezst!

Az utastsok sorrendje lnyeges. A konkrtabb utastsokat tegye az elejre, az

ltalnosabbakat pedig a vgre!

A bert utastsok mindig az ACL vgre kerlnek.

Szvegszerkeszt segtsgvel hozza ltre s szerkessze az ACL-eket, majd mentse el a fjlt!

Hasznljon nevestett ACL-eket, amikor csak lehetsges!

Az utastsok cljnak dokumentlshoz hasznljon megjegyzseket (remark lehetsg) az

ACL-en bell!

Az ACL-eket egy interfszre kell alkalmazni ahhoz, hogy mkdsbe lpjenek,!

Egy interfszhez protokollonknt s irnyonknt egy-egy ACL adhat meg.

Habr minden ACL vgn ott van az implicit deny any utasts, mgis rdemes explicit mdon
megadni! Ezzel biztosthat, hogy ne feledkezznk el a hatsrl, valamint lehetv vlik az erre
az utastsra trtn illeszkedsek naplzsa.

A tbb utastsbl ll ACL-ek feldolgozsa hosszabb ideig tart, ami hatssal lehet a
forgalomirnyt teljestmnyre.

Az ACL-ek elhelyezse:
o

Norml: a clhoz legkzelebb (amennyiben van rendszergazdai jogosultsg az adott

forgalomirnytn)

Kiterjesztett: a forrshoz legkzelebb (amennyiben van rendszergazdai jogosultsg az

adott forgalomirnytn)

b. ACL-ek rsnl vegye figyelembe az albbi kt megkzeltsmdot:

a konkrt forgalom engedlyezse elszr, majd az ltalnos forgalom tiltsa

a konkrt forgalom tiltsa elszr, majd az ltalnos forgalom engedlyezse

Mikor legclszerbb az elszr a konkrt forgalom engedlyezse, majd az ltalnos forgalom tiltsa
mdszert alkalmazni?
_______________________________________________________________________________
_______________________________________________________________________________
Mikor legclszerbb az elszr a konkrt forgalom tiltsa, majd az ltalnos forgalom engedlyezse
mdszert alkalmazni?
_______________________________________________________________________________
_______________________________________________________________________________
c.

Vlassza ki az egyik megkzeltsmdot, s rja meg a laborgyakorlat kvetelmnyeinek megfelel

ACL utastsokat!
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________

All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Oldal 3 - 8

CCNA Discovery
Szmtgp-hlzatok tervezse s tmogatsa
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
Mirt fontos tudni, hogy hnyszor voltak elutastva az egy adott ACL utastsra illeszked csomagok?
_______________________________________________________________________________
_______________________________________________________________________________

3. lps: Az adott hlzat kbelezse s belltsa

Megjegyzs: Amennyiben a hasznlt PC-k az Akadmia LAN-jhoz, vagy az internethez is kapcsoldnak,
akkor figyelje meg a kbelezst s jegyezze fel a TCP/IP belltsokat, hogy azok a labor vgn
visszallthatk legyenek!
a. A topolgia diagramnak megfelelen csatlakoztassa a konzolkbel egyik vgt a forgalomirnyt
konzolportjhoz s a msik vgt egy DB-9 vagy DB-25-s adapter segtsgvel a szmtgp COM
1-es portjhoz! A forgalomirnyt s a szmtgp szmra is biztostson ramelltst!
b. Csatlakoztassa s konfigurlja az eszkzket a megadott topolginak s adatoknak megfelelen!
Lehet, hogy az oktat a Discovery kiszolglt egy msik kiszolglval helyettesti.
c.

HyperTerminal vagy ms terminlemulcis program segtsgvel ltestsen sszekttetst a PC1 s

az R1 forgalomirnyt kztt!

d. Globlis konfigurcis mdban adja ki a kvetkez parancsokat:

Router(config)#hostname FC-CPE-1
FC-CPE-1(config)#interface FastEthernet0/0
FC-CPE-1(config-if)#ip address 10.0.0.1 255.255.255.0
FC-CPE-1(config-if)#no shutdown
FC-CPE-1(config-if)#exit
FC-CPE-1(config)#interface FastEthernet0/1
FC-CPE-1(config-if)#ip address 172.17.0.1 255.255.0.0
FC-CPE-1(config-if)#no shutdown
FC-CPE-1(config-if)#exit
FC-CPE-1(config)#line vty 0 4
FC-CPE-1(config-line)#password telnet
FC-CPE-1(config-line)#login
FC-CPE-1(config-line)#end
e. Pingeljen a PC1 s a Discovery kiszolgl kztt a hlzati sszekttetsek ellenrzshez!
Sikertelen ping esetn keresse meg s hrtsa el a hibt!

4. lps: A hlzati szolgltatsok ellenrzse az ACL-ek nlkl

Vgezze el az albbi ellenrzseket a PC1-en:
a. Nyisson meg egy webbngszt a PC1-en, s gpelje be a cmsorba a http://172.17.1.1 URL-t!
Milyen weboldal jelent meg?
_________________________________________
b. Nyisson meg egy webbngszt a PC1-en, s gpelje be a cmsorba az ftp://172.17.1.1 URL-t!
Milyen weboldal jelent meg?
All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Oldal 4 - 8

CCNA Discovery
Szmtgp-hlzatok tervezse s tmogatsa
_________________________________________
c.

A Discovery kiszolgl FTP gykrknyvtrbl nyissa meg a Discovery 1 alknyvtrat! Kattintson a

Chapter fjlra, s hzza a helyi Asztalra!
Sikerlt a fjl msolsa? _________

d. A forgalomirnytval trtn telnetkapcsolat ltestshez a PC1 parancssorbl adja ki a telnet

10.0.0.1 parancsot vagy hasznljon (pl.: HyperTerminal vagy TeraTerm) terminlemulcis
programot!
Milyen vlasz rkezett a forgalomirnyttl?
______________________________________________
e. Szaktsa meg a telnetkapcsolatot!
Vgezze el az albbi ellenrzseket a PC2-n:
a. Nyisson meg egy webbngszt a PC2-en, s gpelje be a cmsorba a http://172.17.1.1 URL-t!
Milyen weboldal jelent meg?
______________________________________________
b. Nyisson meg egy webbngszt a PC2-en, s gpelje be a cmsorba az ftp://172.17.1.1 URL-t!
Milyen weboldal jelent meg?
______________________________________________
c.

A Discovery kiszolgl FTP gykrknyvtrbl nyissa meg a Discovery 1 alknyvtrat! Kattintson a

Chapter fjlra, s hzza a helyi Asztalra!
Sikerlt a fjl msolsa? _____________

d. A forgalomirnytval trtn telnetkapcsolat ltestshez a PC2 parancssorbl adja ki a telnet

10.0.0.1 parancsot vagy hasznljon (pl.: HyperTerminal vagy TeraTerm) terminlemulcis
programot!
Milyen vlasz rkezett a forgalomirnyttl?
______________________________________________
e. Szaktsa meg a telnetkapcsolatot!
Mirt volt a fenti kapcsolatok mindegyike sikeres?
___________________________________________________________________
___________________________________________________________________
Amennyiben a fenti kapcsolatok brmelyike sikertelen, keresse meg a hibt a hlzatban s a belltsokban,
majd minden llomsrl prblja ltrehozni az sszes kapcsolattpust!

5. lps: A hlzati szolgltatsokkal kapcsolatos ACL belltsa

Globlis konfigurcis mdban adja ki a kvetkez parancsokat:
a. Engedlyezze a PC1 szmra a webkiszolgl elrst!
FC-CPE-1(config)#ip access-list extended Server-Access
FC-CPE-1(config-ext-nacl)#remark Allow PC1 access to server
FC-CPE-1(config-ext-nacl)#permit tcp host 10.0.0.10 host 172.17.1.1 eq
www log
b. Engedlyezze a PC2 szmra a webkiszolgl elrst!
All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Oldal 5 - 8

CCNA Discovery
Szmtgp-hlzatok tervezse s tmogatsa
FC-CPE-1(config-ext-nacl)#remark Allow PC2 to access web server
FC-CPE-1(config-ext-nacl)#permit tcp host 10.0.0.201 host 172.17.1.1 eq
www log
c.

A PC1 szmra engedlyezni a telnetkapcsolat ltestst a forgalomirnyt interfszre

FC-CPE-1(config-ext-nacl)#remark Allow PC1 to telnet router
FC-CPE-1(config-ext-nacl)#permit tcp host 10.0.0.10 host 10.0.0.1 eq telnet log

d. Tiltson le minden egyb forgalmat!

FC-CPE-1(config-ext-nacl)#remark Deny all other traffic
FC-CPE-1(config-ext-nacl)#deny ip any any log
FC-CPE-1(config-ext-nacl)#exit

6. lps: Az ACL-ek alkalmazsa

a. Alkalmazza a kiterjesztett ACL-t a forgalomirnyt forrshoz legkzelebbi interfszre!
FC-CPE-1(config)#interface FastEthernet0/0
FC-CPE-1(config-if)#ip access-group Server-Access in
FC-CPE-1(config-if)#end
b. A privilegizlt mdbl kiadott show running-configuration parancs segtsgvel
bizonyosodjon meg arrl, hogy az ACL-ek belltsa s alkalmazsa a feltteleknek megfelelen
trtnt!
Hiba esetn vgezze el ismt a konfigurcit!

7. lps: A hlzati szolgltatsok ellenrzse az ACL-ekkel

Vgezze el az albbi ellenrzseket a PC1-en:
a. Nyisson meg egy webbngszt a PC1-en, s gpelje be a cmsorba a http://172.17.1.1 URL-t!
Milyen weboldal jelent meg?
______________________________________________
b. Nyisson meg egy webbngszt a PC1-en, s gpelje be a cmsorba az ftp://172.17.1.1 URL-t!
Milyen weboldal jelent meg?
______________________________________________
c.

A Discovery kiszolgl FTP gykrknyvtrbl nyissa meg a Discovery 1 alknyvtrat! Kattintson a

Chapter fjlra, s hzza a helyi Asztalra!
Sikerlt a fjl msolsa? _________
Mirt ez a vgeredmny?
______________________________________________

d. A forgalomirnytval trtn telnetkapcsolat ltestshez a PC1 parancssorbl adja ki a telnet

10.0.0.1 parancsot vagy hasznljon (pl.: HyperTerminal vagy TeraTerm) terminlemulcis
programot!
Milyen vlasz rkezett a forgalomirnyttl?
______________________________________________
Mirt ez a vgeredmny?
______________________________________________
All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Oldal 6 - 8

CCNA Discovery
Szmtgp-hlzatok tervezse s tmogatsa
e. Szaktsa meg a telnetkapcsolatot!
Vgezze el az albbi ellenrzseket a PC2-n:
a. Nyisson meg egy webbngszt a PC2-en, s gpelje be a cmsorba a http://172.17.1.1 URL-t!
Milyen weboldal jelent meg?
______________________________________________
Mirt ez a vgeredmny?
______________________________________________
b. Nyisson meg egy webbngszt a PC2-en, s gpelje be a cmsorba az ftp://172.17.1.1 URL-t!
Milyen weboldal jelent meg?
______________________________________________
Mirt ez a vgeredmny?
______________________________________________
c.

A forgalomirnytval trtn telnetkapcsolat ltestshez a PC2 parancssorbl adja ki a telnet

10.0.0.1 parancsot vagy hasznljon (pl.: HyperTerminal vagy TeraTerm) terminlemulcis
programot!
Milyen vlasz rkezett a forgalomirnyttl?
______________________________________________
Mirt ez a vgeredmny?
______________________________________________

Amennyiben a fenti tranzakcik brmelyike nem az elvrsoknak megfelelen alakult, keresse meg a hibt a
hlzatban s a belltsokban, majd vizsglja meg az ACL-eket jra minden llomsrl!

8. lps: Az egyezsek szmnak megfigyelse

a. A privilegizlt EXEC mdbl adja ki az albbi parancsot:
FC-CPE-1#show access-list Server-Access
Sorolja fel az egyes ACL utastsok feltteleire illeszked, naplzott csomagok szmt!
______________________________________________
______________________________________________

9. lps: Rendraks
Trlje ki a konfigurcikat s indtsa jra a forgalomirnytkat, kapcsolkat! A kbeleket hzza ki s rakja a
helykre! A ms hlzatokhoz is (iskolai hlzat vagy internet) csatlakoztatott szmtgpeken helyezze
vissza az eredeti kbeleket s lltsa helyre a TCP/IP belltsokat!

Kihvs
rja jra a laborgyakorlat sorn hasznlt kiszolgl-elrsi ACL-t az albbi mdon:
1) A rendszergazdai munkallomsok a 10.0.0.10 /24 s 10.0.0.15 /24 kztti cmtartomnyba
tartoznak; nem csupn egyetlen llomsrl van sz.
2) Az ltalnos munkallomsok a 10.0.0.16 /24 s 10.0.0.254 /24 kztti cmtartomnyba
tartoznak; nem csupn egyetlen llomsrl van sz.

All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Oldal 7 - 8

CCNA Discovery
Szmtgp-hlzatok tervezse s tmogatsa
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________

All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.

Oldal 8 - 8