FunctionSys
01-01-2013, 10:51
بسم الله الرحمن الرحيم
اللهم صل على محمد وآل محمد
بصراحة انا عجبني هذا الشرح في موقع اجنبي وقلت بنفسي احاول احله وافهمه وابادر بنشر المعرفة للناس ربما احد يتستفيد منه
حل مسائل في الأكسس لست
السؤال كالتالي
Question
A network associate is adding security to the configuration of the Corp1 router. The user on host C should be able to use a web browser to access financial information from the Finance Web Server. No other hosts from the LAN nor the Core should be able to use a web browser to access this server. Since there are multiple resources for the corporation at this location including other resources on the Finance Web Server, all other traffic should be allowed.
The task is to create and apply a numbered access-list with no more than three statements that will allow ONLY host C web access to the Finance Web Server. No other hosts will have web access to the Finance Web Server. All other traffic is permitted.
Access to the router CLI can be gained by clicking on the appropriate host.
All passwords have been temporarily set to “cisco”.
The Core connection uses an IP address of 198.18.196.65
The computers in the Hosts LAN have been assigned addresses of 192.168.33.1 – 192.168.33.254
Host A 192.168.33.1
Host B 192.168.33.2
Host C 192.168.33.3
Host D 192.168.33.4
The servers in the Server LAN have been assigned addresses of 172.22.242.17 – 172.22.242.30
The Finance Web Server is assigned an IP address of 172.22.242.23.
The Public Web Server is assigned an IP address of 172.22.242.17
https://www.iptut.com/images/ccna/labsim/access_list_sim2.jpg
حمل التبولوجي من هنا لكي تطبق السؤال
https://www.9tut.com/download/9tut.com_Access-list_sim2.pkt
المطلوب هو :
السماح للهوست
C
Host C 192.168.33.3
بالاتصال بسيرفر المالية واستعراض صفحات الويب
اي بي السيرفر 172.22.242.23
كذلك غير مسموح لباقي الاجهزة في الشبكة ومن خارج الشبكة بالاتصال بسيرفر المالية باستخدام المتصفح اي مسموح لهم باستخدام الاشياء الاخرى غير التصفح
فحل هذي المسئلة اولا قم بتحميل التبولوجي التالية لكي تقوم بتطبيق الحل عليه
172.22.242.16 طبعا سيرفر المالية موجود على الشبكة
Core ف البيانات تجي من الشبكة 192.168.33.0 وكذلك تجي البيانات من الـ
الشبكة الخارجية ..
ولذا البيانات داخله من الشبكة السابقة مع الكور وطالعه على الشبكة
172.22.242.16
اذا عرفنا انه البيانات راح تمر على الفاست ايثر نت 0/1
طريقة الحل ندخل على الراوتر ونعمل له اينيبل لكي ندخل على البروفيلج مود
Privileged EXEC Mode
Corp1>enable (you may enter “cisco” as it passwords here)
ثم ندخل على القوبال بريفيلج
Global Configuration Mode
Corp1#configure terminal
عن طريق الامر كونفق تيرمنال لكي نكتب الأعدادات
المطلوب الان هو السماح للهوست سي بالاتصال مع سيرفر المالية واستخدام المتصفح
نكتب الامر التالي
Corp1(config)#access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
ثم نمنع اي هوست اخر يتصل بهذا السيرفر من خلال المتصفح فقط
Corp1(config)#access-list 100 deny tcp any host 172.22.242.23 eq 80
يعني ممكن اي جهاز يتصل به باستخدام مثلا بروتوكول الاف تي بي .. فمسموح له الاتصال
وآخر شيء نكتب امر للسماح للبقية بالاتصال
Corp1(config)#access-list 100 permit ip any any
فـ بهذي الطريقة سمحنا للهوست سي الاتصال بسيرفر المالية واستخدام الويب ومنعنا استخدام الويب من سيرفر المالية للباقين من الاجهزة مع سماح لهم بالاتصال به ولكن من دون استخدم المتصفح
نجيب بعد مسئلة اخرى ..
permit host B from accessing finance server
deny host B from accessing the OTHER server (not the whole network)
permit everything else
مطلوب السماح للهوست بي بالاتصال بسيرفر المالية
منع الهوست بي من الاتصال بالسيرفرات الاخرى الموجودة في الشبكة
السماح للباقين بالاتصال
امر السماح للهوست بي
B
بالاتصال بسيرفر المالية ولم نحدد استخدام اي بروتوكول ولذا كن حذر لبعض المسائل
فـ الطريقة هي
access-list 100 permit ip host 192.168.33.2 host 172.22.242.23
منع الهوست بي من الاتصال بالسيرفرات الاخرى الموجودة في الشبكة
access-list 100 deny ip host 192.168.33.2 172.22.242.16 0.0.0.15
172.22.242.16 ممكن يي ببالك سؤال كيف جات الـ
مو اصلا احنا في الشبكة .16
لو تلاحظ في
interface FastEthernet0/1
ip address 172.22.242.30 255.255.255.240
الاي بي والسب نت
الاي بي التالي 172.22.242.30 هو احد الاي بيات الي تنتمي للشبكة 16.
طيب كيف طلعنا الـ 16
بكل بساطة نرجع لقوانين السبنتنق
نقوم بالعملية التالية
256 – 240 = 16
ولذا اول شبكة هي 16
الشيء الاخر هو الماسك
255.255.255.240
لكي نظهر الوايلد كارد نقوم بالتالي
15 نطرح 240 من 255 ويطلع لنا
ولذا الوايلد كارد بيكون
0.0.0.15
ولذا احنا منعنا الهوست بي من الاتصال بباقي السيرفرات وسمحنا له بالاتصال بسيرفر المالية فقط
وآخر شيء هو السماح بالباقين بالامر
permit ip any any
مسئلة اخرى
Only allow Host C to to access the financial server
Not allow anyone else in any way communicate with the financial server
Allow all other traffic
وهو السماح للهوست سي الاتصال بسيرفر المالية
كذلك غير مسموح للباقين بالاتصال بسيرفر المالية
وباقي الترافك مسموح به
الحل هو
امر سماح الهوست سي الاتصال بسيرفر المالية
access-list 100 permit ip host 192.168.33.3 host 172.22.242.23
منع الكل من اتصال من سيرفر المالية
access-list 100 deny ip any host 172.22.242.23
طبعا معروف انه كلمه
any تعني اي هوست
ثم اخر شيء سماح للباقين
permit ip any any
مسئلة اخرى
- Host C should be able to use a web browser(HTTP)to access the Finance Web Server
- Other types of access from host C to the Finance Web Server should be blocked
– All access from hosts in the Core or local LAN to the Finance Web Server should be blocked
- All hosts in the Core and local LAN should be able to access the Public Web Server *
سماح للهوست سي بالأتصال بسيرفر المالية باستخدام الويب
اي نوع آخر غير الويب يجيب منعه من الهوست سي
منع كل هوست سواء من الآآن او الكور بالاتصال بسيرفر المالية
كل الهوست مسموح لها بالاتصال بـ البابلك ويب سيرفر
الحل !
نسمح للهوست سي بالاتصال بسيرفر المالية باستخدام الانترنت
access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
كما هو معروف الـ
eq 80
هو منفذ التصفح بالانترنت
HTTP
اي نوع آخر من الاتصال من الهوست سي غير التصفح يكون بلوك ممنوع الاستخدام
كذلك كل الهوست الباقين غير مسموح لهم بالاتصال بسيرفر المالية
الامر
access-list 100 deny ip any host 172.22.242.23
استخدمنا منع اي هوست بالاتصال بسيرفر المالية
باقي الهوست مسموح لهم بالاتصال بالبابلك سيرفر ويب
access-list 100 permit ip any host
طبعا بعد كلمه هوست مفترض نضع الاي يبي للهوست
Public Web Server
لكن يفضل كتابة الامر بهذي الطريقة
access-list 100 permit ip any any
مسئلة اخرى
Host C should be able to use a web browser to access the financial web server
Other types of access from host C to the finance web server should be blocked
All hosts in the core and on the local LAN should be able to access the Public web server *
السماح للهوست سي بالاتصال بسيرفر المالية باستخدام المتصفح
منع الهوست سي من الاتصال باي بروتوكول آخر غير التصفح
باقي الهوست مسموح لهم باالاتصال بسيرفر المالية وكذلك البابلك ويب سيرفر
الحل
نسمح بالهوست سي بالاتصال بسيرفر المالية من خلال الويب
access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
نمنع الهوست سي من الاتصال ببروتوكول غير التصفح
access-list 100 deny ip host 192.168.33.3 host 172.22.242.23
اخر شيء
السماح بالبقية بالاتصال
access-list 100 permit ip any any
وﻻ ننسى اخر شيء نطبق الاكسس لست على الانترفيس بالامر التالي
interface fa0/1
ip access-group 100 out
واذا شيء مو واضح ان شاء الله نتناقش فيها ونتشارك المعلومات
ربي أني لمّاّ انزلت اليّ من خير فقير
وهذا والله اعلم..
تحياتي لكم
Functionsys
ALI JASSIM
:)
اللهم صل على محمد وآل محمد
بصراحة انا عجبني هذا الشرح في موقع اجنبي وقلت بنفسي احاول احله وافهمه وابادر بنشر المعرفة للناس ربما احد يتستفيد منه
حل مسائل في الأكسس لست
السؤال كالتالي
Question
A network associate is adding security to the configuration of the Corp1 router. The user on host C should be able to use a web browser to access financial information from the Finance Web Server. No other hosts from the LAN nor the Core should be able to use a web browser to access this server. Since there are multiple resources for the corporation at this location including other resources on the Finance Web Server, all other traffic should be allowed.
The task is to create and apply a numbered access-list with no more than three statements that will allow ONLY host C web access to the Finance Web Server. No other hosts will have web access to the Finance Web Server. All other traffic is permitted.
Access to the router CLI can be gained by clicking on the appropriate host.
All passwords have been temporarily set to “cisco”.
The Core connection uses an IP address of 198.18.196.65
The computers in the Hosts LAN have been assigned addresses of 192.168.33.1 – 192.168.33.254
Host A 192.168.33.1
Host B 192.168.33.2
Host C 192.168.33.3
Host D 192.168.33.4
The servers in the Server LAN have been assigned addresses of 172.22.242.17 – 172.22.242.30
The Finance Web Server is assigned an IP address of 172.22.242.23.
The Public Web Server is assigned an IP address of 172.22.242.17
https://www.iptut.com/images/ccna/labsim/access_list_sim2.jpg
حمل التبولوجي من هنا لكي تطبق السؤال
https://www.9tut.com/download/9tut.com_Access-list_sim2.pkt
المطلوب هو :
السماح للهوست
C
Host C 192.168.33.3
بالاتصال بسيرفر المالية واستعراض صفحات الويب
اي بي السيرفر 172.22.242.23
كذلك غير مسموح لباقي الاجهزة في الشبكة ومن خارج الشبكة بالاتصال بسيرفر المالية باستخدام المتصفح اي مسموح لهم باستخدام الاشياء الاخرى غير التصفح
فحل هذي المسئلة اولا قم بتحميل التبولوجي التالية لكي تقوم بتطبيق الحل عليه
172.22.242.16 طبعا سيرفر المالية موجود على الشبكة
Core ف البيانات تجي من الشبكة 192.168.33.0 وكذلك تجي البيانات من الـ
الشبكة الخارجية ..
ولذا البيانات داخله من الشبكة السابقة مع الكور وطالعه على الشبكة
172.22.242.16
اذا عرفنا انه البيانات راح تمر على الفاست ايثر نت 0/1
طريقة الحل ندخل على الراوتر ونعمل له اينيبل لكي ندخل على البروفيلج مود
Privileged EXEC Mode
Corp1>enable (you may enter “cisco” as it passwords here)
ثم ندخل على القوبال بريفيلج
Global Configuration Mode
Corp1#configure terminal
عن طريق الامر كونفق تيرمنال لكي نكتب الأعدادات
المطلوب الان هو السماح للهوست سي بالاتصال مع سيرفر المالية واستخدام المتصفح
نكتب الامر التالي
Corp1(config)#access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
ثم نمنع اي هوست اخر يتصل بهذا السيرفر من خلال المتصفح فقط
Corp1(config)#access-list 100 deny tcp any host 172.22.242.23 eq 80
يعني ممكن اي جهاز يتصل به باستخدام مثلا بروتوكول الاف تي بي .. فمسموح له الاتصال
وآخر شيء نكتب امر للسماح للبقية بالاتصال
Corp1(config)#access-list 100 permit ip any any
فـ بهذي الطريقة سمحنا للهوست سي الاتصال بسيرفر المالية واستخدام الويب ومنعنا استخدام الويب من سيرفر المالية للباقين من الاجهزة مع سماح لهم بالاتصال به ولكن من دون استخدم المتصفح
نجيب بعد مسئلة اخرى ..
permit host B from accessing finance server
deny host B from accessing the OTHER server (not the whole network)
permit everything else
مطلوب السماح للهوست بي بالاتصال بسيرفر المالية
منع الهوست بي من الاتصال بالسيرفرات الاخرى الموجودة في الشبكة
السماح للباقين بالاتصال
امر السماح للهوست بي
B
بالاتصال بسيرفر المالية ولم نحدد استخدام اي بروتوكول ولذا كن حذر لبعض المسائل
فـ الطريقة هي
access-list 100 permit ip host 192.168.33.2 host 172.22.242.23
منع الهوست بي من الاتصال بالسيرفرات الاخرى الموجودة في الشبكة
access-list 100 deny ip host 192.168.33.2 172.22.242.16 0.0.0.15
172.22.242.16 ممكن يي ببالك سؤال كيف جات الـ
مو اصلا احنا في الشبكة .16
لو تلاحظ في
interface FastEthernet0/1
ip address 172.22.242.30 255.255.255.240
الاي بي والسب نت
الاي بي التالي 172.22.242.30 هو احد الاي بيات الي تنتمي للشبكة 16.
طيب كيف طلعنا الـ 16
بكل بساطة نرجع لقوانين السبنتنق
نقوم بالعملية التالية
256 – 240 = 16
ولذا اول شبكة هي 16
الشيء الاخر هو الماسك
255.255.255.240
لكي نظهر الوايلد كارد نقوم بالتالي
15 نطرح 240 من 255 ويطلع لنا
ولذا الوايلد كارد بيكون
0.0.0.15
ولذا احنا منعنا الهوست بي من الاتصال بباقي السيرفرات وسمحنا له بالاتصال بسيرفر المالية فقط
وآخر شيء هو السماح بالباقين بالامر
permit ip any any
مسئلة اخرى
Only allow Host C to to access the financial server
Not allow anyone else in any way communicate with the financial server
Allow all other traffic
وهو السماح للهوست سي الاتصال بسيرفر المالية
كذلك غير مسموح للباقين بالاتصال بسيرفر المالية
وباقي الترافك مسموح به
الحل هو
امر سماح الهوست سي الاتصال بسيرفر المالية
access-list 100 permit ip host 192.168.33.3 host 172.22.242.23
منع الكل من اتصال من سيرفر المالية
access-list 100 deny ip any host 172.22.242.23
طبعا معروف انه كلمه
any تعني اي هوست
ثم اخر شيء سماح للباقين
permit ip any any
مسئلة اخرى
- Host C should be able to use a web browser(HTTP)to access the Finance Web Server
- Other types of access from host C to the Finance Web Server should be blocked
– All access from hosts in the Core or local LAN to the Finance Web Server should be blocked
- All hosts in the Core and local LAN should be able to access the Public Web Server *
سماح للهوست سي بالأتصال بسيرفر المالية باستخدام الويب
اي نوع آخر غير الويب يجيب منعه من الهوست سي
منع كل هوست سواء من الآآن او الكور بالاتصال بسيرفر المالية
كل الهوست مسموح لها بالاتصال بـ البابلك ويب سيرفر
الحل !
نسمح للهوست سي بالاتصال بسيرفر المالية باستخدام الانترنت
access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
كما هو معروف الـ
eq 80
هو منفذ التصفح بالانترنت
HTTP
اي نوع آخر من الاتصال من الهوست سي غير التصفح يكون بلوك ممنوع الاستخدام
كذلك كل الهوست الباقين غير مسموح لهم بالاتصال بسيرفر المالية
الامر
access-list 100 deny ip any host 172.22.242.23
استخدمنا منع اي هوست بالاتصال بسيرفر المالية
باقي الهوست مسموح لهم بالاتصال بالبابلك سيرفر ويب
access-list 100 permit ip any host
طبعا بعد كلمه هوست مفترض نضع الاي يبي للهوست
Public Web Server
لكن يفضل كتابة الامر بهذي الطريقة
access-list 100 permit ip any any
مسئلة اخرى
Host C should be able to use a web browser to access the financial web server
Other types of access from host C to the finance web server should be blocked
All hosts in the core and on the local LAN should be able to access the Public web server *
السماح للهوست سي بالاتصال بسيرفر المالية باستخدام المتصفح
منع الهوست سي من الاتصال باي بروتوكول آخر غير التصفح
باقي الهوست مسموح لهم باالاتصال بسيرفر المالية وكذلك البابلك ويب سيرفر
الحل
نسمح بالهوست سي بالاتصال بسيرفر المالية من خلال الويب
access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
نمنع الهوست سي من الاتصال ببروتوكول غير التصفح
access-list 100 deny ip host 192.168.33.3 host 172.22.242.23
اخر شيء
السماح بالبقية بالاتصال
access-list 100 permit ip any any
وﻻ ننسى اخر شيء نطبق الاكسس لست على الانترفيس بالامر التالي
interface fa0/1
ip access-group 100 out
واذا شيء مو واضح ان شاء الله نتناقش فيها ونتشارك المعلومات
ربي أني لمّاّ انزلت اليّ من خير فقير
وهذا والله اعلم..
تحياتي لكم
Functionsys
ALI JASSIM
:)