Na koniec naszym zadaniem będzie uruchomienie usługi FTP na serwerze firmowym, który będzie dostępny tylko dla komputerów sieci firmowej. Komputery sieci firmowej będą miały dostęp do serwera ale nie będą mogły komunikować się między sobą. Komputer z sieci domowej będzie miał dostęp do usługi WWW ale będzie miał zablokowany dostęp do usługi FTP. Dodatkowo jeden z przełączników zostanie zabezpieczony w taki sposób aby po rozpoznaniu nowego urządzenia podłączonego do aktywnego portu automatycznie go wyłączał. Przed rozpoczęciem zadania sprawdźcie wybierając opcje symulacji czy wszystkie urządzenia przesyłają pomiędzy sobą pakiety ICMP.
Teraz uruchamiamy usługę FTP na naszym serwerze. Po kliknięciu wybieramy zakładkę „Services” i z lewej strony „FTP„. W okienku zaznaczamy opcje „On„, poniżej możecie utworzyć nowego użytkownika. Standardowo Cisco Packet Tracer ma wgranego użytkownika cisco/cisco oraz kilka plików na wirtualnym serwerze.
Na routerze w sieci domowej musicie stworzyć listę rozszerzoną ACL, która będzie blokowała ruch pomiędzy komputerami sieci firmowej i domowej oraz umożliwiała ruch pomiędzy komputerem domowym, a serwerem w firmie. W tym celu należy wykonać następującą konfiguracje:
- en
- conf t
- access-list extended home
- permit ip host 192.168.1.10 host 10.0.30.10 – celowo dodany adres bez znaczenia 🙂
- permit ip host 192.168.1.10 host 10.0.0.10 – adres serwera
- deny ip host 192.168.1.10 host 10.0.20.10 – adres komputera w sieci biurowej
- deny ip host 192.168.1.10 host 10.0.10.10 – adres komputera w sieci biurowej
- permit ip any any – zezwolenie na pozostały ruch w sieci
- exit
Teraz należy skonfigurowaną listę dodać do portu przez, który będzie przechodził ruch, w naszym przypadku GigabithEthernet 0/0/0
- interface GigabithEthernet 0/0/0
- ip access-group home in – ruch przychodzący z sieci domowej do routera
- exit
Przed rozpoczęciem testów możecie podejrzeć konfiguracje ACL wpisując komendę sh ip access-lists
Przetestujcie działanie Waszej listy próbując wysłać PING do komputerów oraz serwera w sieci firmowej. Efekt powinien być podobny do tego poniżej:
Podobną listę musimy utworzyć na routerze firmowym aby odseparować komputery z dwóch różnych sieci VLAN. Na urządzeniu R-Office konfiguracja:
- en
- conf t
- access-list extended office
- deny ip host 10.0.20.10 host 10.0.10.10 – adres komputera w sieci biurowej
- deny ip host 10.0.10.10 host 10.0.20.10 – adres komputera w sieci biurowej
- permit ip any any – zezwolenie na pozostały ruch w sieci
- exit
Przypisujemy listę do odpowiedniego portu
- interface GigabithEthernet 0/0/0
- ip access-group office in – ruch przychodzący z sieci firmowej do routera
- exit
Przed rozpoczęciem testów podobnie jak poprzednio możecie podejrzeć konfiguracje ACL wpisując komendę sh ip access-lists
Test PING w sieci firmowej
Sprawdźmy jeszcze czy działa nasz serwer FTP, na komputerze firmowym w konsoli CMD wpisujemy ftp 10.0.0.10. Po naciśnięciu klawisza ENTER, powinniście zostać poproszeni o nazwę użytkownika i hasło, standardowo cisco/cisco chyba, że tworzyliście swojego własnego użytkownika.
Niestety użytkownik domowy również będzie się mógł zalogować, my chcielibyśmy aby miał dostęp tylko do serwera WWW. W tym celu musimy do istniejącej listy na routerze domowym dodać dodatkową regułę. Na urządzeniu R-Home wpisujemy:
- conf t
- access-list extended home
- deny tcp host 192.168.1.10 host 10.0.0.10 eq 21 – wskazaliśmy serwer z usługą na porcie 21 czyli FTP
- end
Przed rozpoczęciem testów podobnie jak poprzednio możecie podejrzeć konfiguracje ACL wpisując komendę sh ip access-lists
Reguła dodana, test nie dał pozytywnego rezultatu, z domu dalej możemy zalogować się do serwera FTP. Reguły na listach ACL odczytywane są przez router od góry do dołu, w kolejności od najmniejszej przypisanej liczby do największej. Ponieważ na początku zezwalamy na całkowity ruch z komputera domowego do serwera to późniejszy zakaz jest ignorowany. Aby to naprawić musimy edytować listę ACL i wprowadzić nową regułę, tym razem z przypisanym numerem.
- conf t
- access-list extended home
- no permit ip host 192.168.1.10 host 10.0.30.10 – usuwamy celowo dodany adres bez znaczenia 🙂
- no permit ip host 192.168.1.10 host 10.0.0.10 – usuwamy adres serwera
- 10 deny tcp host 192.168.1.10 host 10.0.0.10 eq 21 – wskazujemy serwer z usługą na porcie 21 czyli FTP tym razem z numerem 10 na liście
Wynikiem tej konfiguracji będzie zmiana na liście ACL, a przy próbie połączenia z serwerem FTP pojawi się komunikat jak poniżej.
Jeszcze na koniec pokażemy Wam jak zastosować port-security na przełączniku. Do naszej sieci wrzućmy dodatkowy komputer, który po odpowiedniej konfiguracji podepniemy do przełącznika w miejsce komputera PCB. Na urządzeniu S-B wprowadzamy następującą konfiguracje:
- en
- conf t
- interface FastEthernet 0/1
- switchport port-security – uruchomienie port security
- switchport port-security mac-address sticky – przypisanie obecnego adresu MAC urządzenia podpiętego do interfejsu
- switchport port-security maximum 1 – możliwe przypisanie tylko 1 adresu MAC do interfejsu
- switchport port-security violation shutdown – przełącznik wyłączy interfejs po naruszeniu wcześniej ustalonej zasady
- end
Aby w symulatorze Packet Tracer ustawiony port-security przypisał adres MAC komputera PCB zalecamy przed testem zmusić podpięty komputer do stworzenia ruchu np. wysłać ping do serwera. Poleceniem sh port-security interface FastEthernet 0/1 zobaczycie status przed i po wymuszonym ruchu.
Teraz po podpięciu nowego komputera do interfejsu FastEthernet 0/1 zobaczycie, że port przestanie działać
Wpisując ponownie na przełączniku polecenie sh port-security interface FastEthernet 0/1 będziecie widzieli aktualny status interfejsu oraz zmianę adresu MAC widzianego przez przełącznik
Tym rozdziałem zakończymy przygodę z symulatorem Cisco Packet Tracer. To co zostało do tej pory pokazane to oczywiście uproszczona konfiguracja, sam symulator pozwala mimo niektórych opinii na naprawdę dużo więcej i według nas jest to bardzo dobre narzędzie do nauki. Następnym tematem jest uruchomienie Mikrotik-a na emulatorze 🙂
