BTEGITIM REMOTE LAB

ACCESS LIST SENARYOSU

 

 

1. SENARYO: ACME Ltd – Erişim Politikası

 

Amaç: Bu laboratuarın amacı aşağıdaki Cisco Networking Academy Program konuları hakkında pratik bilgilerinizi arttırmaktır:

 

• Standart Access List’ler
• Extended Access List’ler

 

 

Açıklama: Acme Ltd. Merkezi İstanbul’da bulunan uluslararası bir şirkettir.  İstanbul merkez ofisi üç ayrı departmandan oluşmaktadır

 

• Yonetim Departmanı
• Satış Departmanı
• TeknikServis Departmanı

 

Şirket ağının büyümesine parallel olarak karşılaşılan trafik yoğunluğu ve güvenlik sorunlarına çözüm bulmak amacıyla bir erişim politikasının belirlenip uygulanmasına karar verilmiştir. Böylece ağın verimliliğinin ve güvenliğinin iyileştirilmesi sağlanacaktır. Erişim politikasının temel hedefi, birbirleriyle teması az olan Satış ve Teknik Servis departmanları arasındaki trafiğe kısıtlamalar getirmektir. Bununla birlikte diğer departmanlarla yoğun iletişim içinde olan Yönetim Departmanın trafiğinin ağda herhangi bir kısıtlama olmaksızın ilerlemesi istenmektedir.

 

 

Görev: Yonetim, TeknikServis ve Satis Router’ları üzerinde temel konfigürasyon adımlarını tamamlayın. Sonra Şirket Ağı içinde uçtan uca bağlantıyı sağlayın. Routing protokolü olarak RIP kullanılacaktır. Bağlantı sağlandıktan sonra aşağıda ayrıntılı olarak açıklanan erişim politikalarını şirket ağına uygulayın.

 

 

Adımlar:

1. Router’lar üzerindeki konfigürasyonları silin. Yonetim, TeknikServis ve Satis Router’ları üzerinde temel konfigürasyon adımlarını tamamlayın.

                                                                                                                                                                                        

2. Aşağıda özetlenen erişim politikasını Standard access-list’ler kullanarak şirket ağına uygulayın (bkz, Departman Şeması):

 

• Tüm kullanıcılar Yönetim Domain’ine erişebilirler
• Sadece Teknik Servis ve Yönetim Departmanları Teknik Servis Domain’ine erişebilirler
• Sadece Satış ve Yönetim Departmanları Satış Domain’ine erişebilirler.

 

 

3. Access-list konfigürasyonlarınızı test edin.

 

Not: Yukarıda açıklanan temel erişim politikasını uyguladıktan sonra kullanıcılar koyduğunuz sıkı kurallardan şikayet etmeye başladılar. Satış ve Teknik Servis departmanları arasındaki tüm trafiği kesmeniz ağın kullanılabilirliğini ve verimini önemli ölçüde düşürmekle birlikte şirket içi iletişimin de aksamasına neden oldu. Bu durumda iki departman arasındaki tüm trafiği kesmek yerine belli servisleri bloke etmek daha uygun bir çözüm olacaktır.

 

Bu nedenle aşağıda açıklanan ayrıntılı erişim politikasını uygulamaya karar verdiniz:

 

4. Aşağıda özetlenen erişim politikasını Extended access-list’ler kullanarak şirket ağına uygulayın lists (bkz, Sunucu Şeması):

 

• Tüm kullanıcılar DNS ve Central Application Sunucularına erişebilirler.
• Teknik Servis IRC Sunucusuna ve Teknik Servis Application Sunucusuna sadece Teknik Servis ve Yönetim Departmanları erişebilirler.
• Satış Application Sunucusuna sadece  Satış ve Yönetim Departmanları erişebilirler
• Yönetim Application Sunucusuna sadece Yönetim Departmanı erişebilir.

 

5. Access-list konfigürasyonlarınızı test edin.

 

 

 

2. TOPOLOJİ

 

1. Başlangıç Topolojisi

 

 

 

 

2. Departman Şeması

 

 

 

 

 

3. Sunucu Şeması

 

 

 

 

 

3. KONFİGÜRASYON

 

!!! Önemli Not: Bu laboratuar üzerinde çalışırken istenen çözümleri üretebilecek birden fazla konfigürasyon seçeneği olduğunu unutmayın. İstediğiniz takdirde soruları farklı access-list kombinasyonları kullanarak da çözebilirsiniz.

 

Not: Laboratuara başlamadan önce aşağıda listelenen komutların işlevlerini biliyor olmanız yerinde olacaktır.

 

Basic Commands	Line Commands	Interface Commands	Routing protocol configuration commands	Show Commands	Debug Commands
erase start	line vty	interface	router rip	show controllers	Debug ip rip
copy run start	line console	ip address	network	show ip route
reload	login	shutdown		show access-lists
enable	password	clock rate		show ip access-lists
conf t		access-group
hostname
end
ping
telnet
access-list

 

Görev: Router’lar üzerindeki konfigürasyonları silin. Yonetim, TeknikServis ve Satis Router’ları üzerinde temel konfigürasyon adımlarını tamamlayın:

 

• enable, console and vty line password’larını btegitim olarak ayarlayın.
• Başlangıç Topolojisi’ni kullanarak Interface konfigürasyonlarını yapın.
• RIP konfigürasyonunu yapıp uçtan uca bağlantıyı test edin.
• Konfigürasyonlarınızı kaydedin.

 

Not: Bu laboratuarda yukarıda açıklanan temel konfigürasyon adımları konusunda bilgi sahibi olduğunuz varsayılmıştır, bu konular laboratuarın kapsamı dışındadır. Eğer temel konfigürasyon adımları konusunda probleminiz varsa bu laboratuardan once BTEgitim CCNA Senaryosu’nu tamamlamanızı öneririz. Bununla birlikte sorunun çözümünde Router’lara copy&paste edebileceğiniz hazır konfigürasyonlar verilmiştir.

 

Çözüm için tıklayın

 

 

 

Görev: Standart Access-list’ler kullanarak şirket ağına aşağıdaki matriste özetlenen erişim politikasını uygulayın. Access-list numarası olarak 10 kullanın ve listeleri Ethernet0 interface’lerine inbound olarak uygulayın.

                                                                                                                                                                                          

	Yönetim	Teknik Servis	Satış
Yönetim	­	R	R
Teknik Servis	R	­	T
Satış	R	T	­

 

Çözüm için tıklayın

 

 

 

Görev: Access-list konfigürasyonlarınızı test edin.

 

• Yönetim Router’ı tüm ağlara ping atabilmeli
• Satış Router’ı Yönetim ağına ping atabilmeli, fakat Teknik Servis ağına ping atamamalı.
• Teknik Servis Router’ı Yönetim ağına ping atabilmeli, fakat Satış ağına ping atamamalı.

 

Çözüm için tıklayın

 

 

 

Görev: Extended Access-list’ler kullanarak şirket ağına aşağıdaki matriste özetlenen erişim politikasını uygulayın. Access-list numarası olarak 110 kullanın ve listeleri Ethernet0 interface’lerine inbound olarak uygulayın.

 

	TeknikServis	Yönetim	Satış
TeknikServis Uygulama Sunucusu	R	R	T
TeknikServis IRC Sunucusu	R	R	T
Satış Uygulama Sunucusu	T	R	R
Yönetim Dosya Sunucusu	T	R	T
Merkezi Uygulama Sunucusu	R	R	R
DNS Sunucusu	R	R	R

 

Not: Uygulama Sunucuları TCP port 23’ü, Dosya Sunucuları TCP port 20&21’i , IRC Sunucuları TCP port 194’ü ve DNS Sunucuları TCP Port 53’ü kullanmaktadırlar.

 

Çözüm için tıklayın

 

 

 

Görev: Uygulama Sunucularına telnet yaparak access-list konfigürasyonlarınızı test edin.

 

• Tüm kullanıcılar Merkezi Uygulama Sunucusu’na telnet yapabilmeli
• Sadece Teknik Servis ve Yönetim Departmanları Teknik Servis Uygulama Sunucusu’na telnet yapabilmeli
• Sadece Satış ve Yönetim Departmanları Satış Uygulama Sunucusu’na telnet yapabilmeli.

 

Çözüm için tıklayın

 

 

 

4. ÇÖZÜMLER

 

 

Not: Eğer Adım 1’i atlayıp doğrudan access-list konfigürasyonuna geçmek isterseniz şağıdaki hazır konfigürasyanları Router’lara yükleyerek uçtan uca bağlantıyı sağlayabilirsiniz.

 

1.    Aşağıdaki konfigürasyonları kopyalayın.

2.     Global config modunda Konfigürasyonları routerlara paste edin.

 

TeknikServis

 

!

version 12.0

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname TeknikServis

!

enable secret 5 $1$56AM$rhB5dH1DVpK7/UnDPiyTj1

!

ip subnet-zero

!

!

!

interface Ethernet0

 ip address 192.168.11.1 255.255.255.0

 no ip directed-broadcast

 no shutdown

!

interface Serial0

 ip address 192.168.1.2 255.255.255.0

 no ip directed-broadcast

 clockrate 64000

 no shutdown

!        

interface Serial1

 no ip address

 no ip directed-broadcast

 shutdown

!

interface Ethernet0/0

 ip address 192.168.11.1 255.255.255.0

 no ip directed-broadcast

 no shutdown

!

interface Serial0/0

 ip address 192.168.1.2 255.255.255.0

 no ip directed-broadcast

 no ip mroute-cache

 no fair-queue

 clockrate 64000

 no shutdown

!

router rip

 network 192.168.1.0

 network 192.168.11.0

!

ip classless

!

!

line con 0

 password btegitim

 login

 transport input none

line aux 0

line vty 0 4

 password btegitim

 login

!

end

 

 

Yonetim

 

!

version 12.0

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname Yonetim

!

enable secret 5 $1$4ooN$glNetx..6d9C5mfbJ9bnB0

!

ip subnet-zero

!

!

!

interface Ethernet0/0

 ip address 192.168.12.1 255.255.255.0

 no ip directed-broadcast

 no shutdown

!

interface Serial0/0

 ip address 192.168.1.1 255.255.255.0

 no ip directed-broadcast

 no ip mroute-cache

 no fair-queue

 clockrate 64000

 no shutdown

!

interface Serial0/1

 ip address 192.168.2.1 255.255.255.0

 no ip directed-broadcast

 clockrate 64000

 no shutdown

!

interface Ethernet0

 ip address 192.168.12.1 255.255.255.0

 no ip directed-broadcast

 no shutdown

!

interface Serial0

 ip address 192.168.1.1 255.255.255.0

 no ip directed-broadcast

 clockrate 64000

 no shutdown

!        

interface Serial1

 ip address 192.168.2.1 255.255.255.0

 no ip directed-broadcast

 clockrate 64000

 no shutdown

!

router rip

 network 192.168.2.0

 network 192.168.1.0

 network 192.168.12.0

!

ip classless

!

!

line con 0

 exec-timeout 0 0

 password btegitim

 login

 transport input none

line aux 0

line vty 0 4

 password btegitim

 login

!

no scheduler allocate

end

 

Satis

 

!

version 11.2

no service udp-small-servers

no service tcp-small-servers

!

hostname Satis

!

enable secret 5 $1$6ANr$Djd42V4hYo82DMCA/0eKE1<