Nog een ding wat ek vergeet het om te noem, is dat ACL nie net verkeer filter op 'n toelaat/weier basis nie, dit verrig baie meer funksies. Byvoorbeeld, 'n ACL word gebruik om VPN-verkeer te enkripteer, maar om die CCNA-eksamen te slaag, hoef jy net te weet hoe dit gebruik word om verkeer te filter. Kom ons keer terug na Probleem nr. 1.
Ons het uitgevind dat die rekeningkundige en verkoopsafdelingverkeer op die R2-uitsetkoppelvlak geblokkeer kan word deur die volgende ACL-lys te gebruik.
Moenie bekommerd wees oor die formaat van hierdie lys nie, dit is net bedoel as 'n voorbeeld om jou te help verstaan wat 'n ACL is. Ons sal by die korrekte formaat uitkom sodra ons met Packet Tracer begin het.
Taak nr. 2 klink so: die bedienerkamer kan met enige gashere kommunikeer, behalwe vir die gashere van die bestuursafdeling. Dit wil sê, die bedienerkamerrekenaars kan toegang hê tot enige rekenaars in die verkoops- en rekeningkundige afdelings, maar behoort nie toegang tot die rekenaars in die bestuursafdeling te hê nie. Dit beteken dat die IT-personeel van die bedienerkamer nie afstandtoegang tot die rekenaar van die hoof van die bestuursafdeling moet hê nie, maar in geval van probleme na sy kantoor moet kom en die probleem ter plaatse regstel. Let daarop dat hierdie taak nie prakties is nie, want ek weet nie van enige rede waarom die bedienerkamer nie oor die netwerk met die bestuursafdeling sal kan kommunikeer nie, so in hierdie geval kyk ons net na 'n gevallestudie.
Om hierdie probleem op te los, moet jy eers die verkeerspad bepaal. Data van die bedienerkamer kom by die invoerkoppelvlak G0/1 van roeteerder R1 aan en word deur die afvoerkoppelvlak G0/0 na die bestuursafdeling gestuur.
As ons die Deny 192.168.1.192/27 voorwaarde toepas op die invoerkoppelvlak G0/1, en soos jy onthou, word die standaard ACL nader aan die verkeersbron geplaas, sal ons alle verkeer blokkeer, insluitend na die verkoops- en rekeningkundige afdeling.
Aangesien ons slegs verkeer wil blokkeer wat na die bestuursafdeling gerig word, moet ons 'n ACL toepas op die afvoerkoppelvlak G0/0. Hierdie probleem kan slegs opgelos word deur die ACL nader aan die bestemming te plaas. Terselfdertyd moet verkeer van die rekeningkundige en verkoopsafdeling se netwerk vrylik die bestuursafdeling bereik, so die laaste reël van die lys sal die Permit any-opdrag wees - om enige verkeer toe te laat, behalwe vir die verkeer wat in die vorige toestand gespesifiseer is.
Kom ons gaan aan na Taak No. 3: die Skootrekenaar 3-skootrekenaar van die verkoopsafdeling behoort nie toegang te hê tot enige ander toestelle as dié wat op die plaaslike netwerk van die verkoopsafdeling geleë is nie. Kom ons neem aan dat 'n leerling op hierdie rekenaar werk en nie verder as sy LAN moet gaan nie.
In hierdie geval moet jy 'n ACL op die invoerkoppelvlak G0/1 van router R2 toepas. As ons die IP-adres 192.168.1.3/25 aan hierdie rekenaar toewys, moet daar aan die Weer 192.168.1.3/25-voorwaarde voldoen word, en verkeer vanaf enige ander IP-adres moet nie geblokkeer word nie, dus sal die laaste reël van die lys Permit wees enige.
Die blokkering van verkeer sal egter geen effek op Laptop2 hê nie.
Die volgende taak sal Taak No. 4 wees: slegs rekenaar PC0 van die finansiële afdeling kan toegang tot die bedienernetwerk hê, maar nie die bestuursafdeling nie.
As jy onthou, blokkeer die ACL van Taak #1 alle uitgaande verkeer op die S0/1/0-koppelvlak van router R2, maar Taak #4 sê dat ons moet verseker dat slegs PC0-verkeer deurgaan, so ons moet 'n uitsondering maak.
Al die take wat ons nou oplos, behoort jou in 'n werklike situasie te help wanneer jy ACL's vir 'n kantoornetwerk opstel. Ek het gerieflikheidshalwe die klassieke tipe inskrywing gebruik, maar ek raai jou aan om al die reëls met die hand op papier neer te skryf of op 'n rekenaar te tik sodat jy regstellings aan die inskrywings kan maak. In ons geval, volgens die voorwaardes van Taak No. 1, is 'n klassieke ACL-lys saamgestel. As ons 'n uitsondering daarby wil byvoeg vir PC0 van tipe Permit , dan kan ons hierdie reël slegs vierde in die lys plaas, na die Permit Any-reël. Aangesien die adres van hierdie rekenaar egter ingesluit is in die reeks adresse om die Weer-voorwaarde 0/192.168.1.128 na te gaan, sal die verkeer daarvan onmiddellik geblokkeer word nadat aan hierdie voorwaarde voldoen is en die router sal eenvoudig nie die vierde lynkontrole bereik nie, wat dit moontlik maak. verkeer vanaf hierdie IP-adres.
Daarom sal ek die ACL-lys van Taak No. 1 heeltemal moet oordoen, die eerste reël moet uitvee en dit vervang met die reël Permit 192.168.1.130/26, wat verkeer vanaf PC0 toelaat, en dan weer die lyne ingaan wat alle verkeer verbied van die rekeningkundige en verkoopsafdelings.
Dus, in die eerste reël het ons 'n opdrag vir 'n spesifieke adres, en in die tweede - 'n algemene een vir die hele netwerk waarin hierdie adres geleë is. As jy 'n moderne tipe ACL gebruik, kan jy maklik veranderinge daaraan maak deur die reël Permit 192.168.1.130/26 as die eerste opdrag te plaas. As jy 'n klassieke ACL het, sal jy dit heeltemal moet verwyder en dan weer die opdragte in die korrekte volgorde invoer.
Die oplossing vir Probleem No. 4 is om die lyn Permit 192.168.1.130/26 aan die begin van die ACL-lys vanaf Probleem No. 1 te plaas, want slegs in hierdie geval sal verkeer vanaf PC0 vrylik die uitsetkoppelvlak van router R2 verlaat. PC1 se verkeer sal heeltemal geblokkeer word omdat sy IP-adres onderhewig is aan die verbod vervat in die tweede reël van die lys.
Ons sal nou aanbeweeg na Packet Tracer om die nodige instellings te maak. Ek het reeds die IP-adresse van alle toestelle opgestel omdat die vereenvoudigde vorige diagramme 'n bietjie moeilik was om te verstaan. Daarbenewens het ek RIP tussen die twee routers gekonfigureer. Op die gegewe netwerktopologie is kommunikasie tussen alle toestelle van 4 subnette moontlik sonder enige beperkings. Maar sodra ons die ACL toepas, sal die verkeer begin gefiltreer word.
Ek sal begin met die finansiële afdeling PC1 en probeer om die IP-adres 192.168.1.194, wat aan Server0 behoort, in die bedienerkamer te ping, te ping. Soos u kan sien, is ping suksesvol sonder enige probleme. Ek ping ook Laptop0 suksesvol van die bestuursafdeling af. Die eerste pakkie word weggegooi as gevolg van ARP, die oorblywende 3 word vrylik geping.
Om verkeersfiltrering te organiseer, gaan ek na die instellings van die R2-roeteerder, aktiveer die globale konfigurasiemodus en gaan 'n moderne ACL-lys skep. Ons het ook die klassieke ACL 10. Om die eerste lys te skep, voer ek 'n opdrag in waarin jy dieselfde lysnaam moet spesifiseer wat ons op papier neergeskryf het: ip access-list standard ACL Secure_Ma_And_Se. Hierna vra die stelsel vir moontlike parameters: Ek kan weier, verlaat, nee, toelaat of merk, en voer ook 'n Volgnommer van 1 tot 2147483647 in. As ek dit nie doen nie, sal die stelsel dit outomaties toewys.
Daarom voer ek nie hierdie nommer in nie, maar gaan dadelik na die permit gasheer 192.168.1.130 opdrag, aangesien hierdie toestemming geldig is vir 'n spesifieke PC0 toestel. Ek kan ook 'n omgekeerde Wildcard-masker gebruik, nou sal ek jou wys hoe om dit te doen.
Vervolgens voer ek die opdrag ontken 192.168.1.128 in. Aangesien ons /26 het, gebruik ek die omgekeerde masker en vul die opdrag daarmee aan: ontken 192.168.1.128 0.0.0.63. Dus, ek weier verkeer na die netwerk 192.168.1.128/26.
Net so blokkeer ek verkeer vanaf die volgende netwerk: weier 192.168.1.0 0.0.0.127. Alle ander verkeer word toegelaat, so ek voer die bevelpermit enige in. Volgende moet ek hierdie lys op die koppelvlak toepas, so ek gebruik die opdrag int s0/1/0. Dan tik ek ip access-group Secure_Ma_And_Se, en die stelsel vra my om 'n koppelvlak te kies - in vir inkomende pakkies en uit vir uitgaande. Ons moet die ACL op die uitvoerkoppelvlak toepas, so ek gebruik die ip-toegangsgroep Secure_Ma_And_Se out-opdrag.
Kom ons gaan na die PC0-opdragreël en ping die IP-adres 192.168.1.194, wat aan die Server0-bediener behoort. Die ping is suksesvol omdat ons 'n spesiale ACL-toestand vir PC0-verkeer gebruik het. As ek dieselfde vanaf PC1 doen, sal die stelsel 'n fout genereer: "bestemmingsgasheer is nie beskikbaar nie", aangesien verkeer vanaf die oorblywende IP-adresse van die rekeningkundige afdeling geblokkeer word om toegang tot die bedienerkamer te kry.
Deur by die CLI van die R2-roeteerder aan te meld en die wys ip-adres-lyste-opdrag in te tik, kan jy sien hoe die finansiële afdeling se netwerkverkeer herlei is - dit wys hoeveel keer die ping volgens die toestemming geslaag is en hoeveel keer dit was geblokkeer volgens die verbod.
Ons kan altyd na die router-instellings gaan en die toegangslys sien. Daar word dus voldoen aan die voorwaardes van Take No. 1 en No. Kom ek wys jou nog een ding. As ek iets wil regmaak, kan ek na die globale konfigurasiemodus van R4-instellings gaan, die opdrag ip access-list standaard Secure_Ma_And_Se invoer en dan die opdrag "gasheer 2 is nie toegelaat nie" - geen permit gasheer 192.168.1.130.
As ons weer na die toegangslys kyk, sal ons sien dat reël 10 verdwyn het, ons het net reëls 20,30, 40 en XNUMX oor. U kan dus die ACL-toegangslys in die router-instellings wysig, maar slegs as dit nie saamgestel is nie in die klassieke vorm.
Kom ons gaan nou oor na die derde ACL, want dit gaan ook oor die R2 router. Dit bepaal dat enige verkeer vanaf die Laptop3 nie die verkoopsafdeling se netwerk moet verlaat nie. In hierdie geval behoort Laptop2 sonder probleme met die rekenaars van die finansiële afdeling te kommunikeer. Om dit te toets, ping ek die IP-adres 192.168.1.130 vanaf hierdie skootrekenaar en maak seker alles werk.
Nou gaan ek na die opdragreël van Laptop3 en ping die adres 192.168.1.130. Ping is suksesvol, maar ons het dit nie nodig nie, want volgens die voorwaardes van die taak kan Laptop3 slegs met Laptop2 kommunikeer, wat in dieselfde verkoopsafdelingsnetwerk geleë is. Om dit te doen, moet jy nog 'n ACL skep met die klassieke metode.
Ek sal teruggaan na R2-instellings en probeer om verwyderde inskrywing 10 te herstel deur die permit host 192.168.1.130 opdrag te gebruik. Jy sien dat hierdie inskrywing aan die einde van die lys by nommer 50 verskyn. Toegang sal egter steeds nie werk nie, want die lyn wat 'n spesifieke gasheer toelaat, is aan die einde van die lys, en die lyn wat alle netwerkverkeer verbied, is boaan van die lys. As ons probeer om die bestuursafdeling se skootrekenaar0 vanaf PC0 te ping, sal ons die boodskap "bestemmingsgasheer is nie toeganklik nie" ontvang, ten spyte van die feit dat daar 'n toelaat-inskrywing by nommer 50 in die ACL is.
Daarom, as jy 'n bestaande ACL wil wysig, moet jy die opdrag geen permit host 2 in R192.168.1.130-modus (config-std-nacl) invoer, kontroleer dat reël 50 van die lys verdwyn het en die opdrag 10 permit invoer gasheer 192.168.1.130. Ons sien dat die lys nou na sy oorspronklike vorm teruggekeer het, met hierdie inskrywing eerste. Volgordenommers help om die lys in enige vorm te wysig, so die moderne vorm van ACL is baie geriefliker as die klassieke een.
Nou sal ek wys hoe die klassieke vorm van die ACL 10 lys werk.Om die klassieke lys te gebruik, moet jy die opdrag access–list 10? invoer, en, na aanleiding van die prompt, kies die verlangde aksie: weier, permit of opmerking. Dan gaan ek die lyn toegang–lys 10 weier gasheer in, waarna ek die opdrag toegang–lys 10 weier 192.168.1.3 tik en die omgekeerde masker byvoeg. Aangesien ons 'n gasheer het, is die voorwaartse subnetmasker 255.255.255.255, en die omgekeerde is 0.0.0.0. As gevolg hiervan, om gasheerverkeer te weier, moet ek die opdrag toegang-lys 10 weier 192.168.1.3 0.0.0.0 invoer. Hierna moet u toestemmings spesifiseer, waarvoor ek die opdrag tik toegang-lys 10 permit any. Hierdie lys moet toegepas word op die G0/1-koppelvlak van router R2, so ek voer die opdragte opeenvolgend in g0/1, ip-toegangsgroep 10 in. Ongeag watter lys gebruik word, klassiek of modern, dieselfde opdragte word gebruik om hierdie lys op die koppelvlak toe te pas.
Om te kyk of die instellings korrek is, gaan ek na die Laptop3 command line terminal en probeer om die IP adres 192.168.1.130 te ping - soos jy kan sien, rapporteer die stelsel dat die bestemmingsgasheer onbereikbaar is.
Laat ek jou daaraan herinner dat jy beide die wys ip-toegangslyste en wys toegangslyste-opdragte kan gebruik om die lys na te gaan. Ons moet nog een probleem oplos, wat verband hou met die R1-roeteerder. Om dit te doen, gaan ek na die CLI van hierdie router en gaan na globale konfigurasiemodus en voer die opdrag ip access-list standard Secure_Ma_From_Se in. Aangesien ons 'n netwerk 192.168.1.192/27 het, sal sy subnetmasker 255.255.255.224 wees, wat beteken dat die omgekeerde masker 0.0.0.31 sal wees en ons moet die opdrag ontken 192.168.1.192 0.0.0.31 invoer. Aangesien alle ander verkeer toegelaat word, eindig die lys met die opdrag permit any. Om 'n ACL op die router se uitsetkoppelvlak toe te pas, gebruik die ip-toegangsgroep Secure_Ma_From_Se out-opdrag.
Nou gaan ek na die opdragreëlterminal van Server0 en probeer om Laptop0 van die bestuursafdeling te ping by die IP-adres 192.168.1.226. Die poging was onsuksesvol, maar as ek 192.168.1.130 geping het, is die verbinding sonder probleme tot stand gebring, dit wil sê, ons het die bedienerrekenaar verbied om met die bestuursafdeling te kommunikeer, maar kommunikasie met alle ander toestelle in ander departemente toegelaat. Ons het dus al 4 probleme suksesvol opgelos.
Kom ek wys jou nog iets. Ons gaan na die instellings van die R2-roeteerder, waar ons 2 tipes ACL het - klassiek en modern. Kom ons sê ek wil ACL 10, Standaard IP-toegangslys 10 wysig, wat in sy klassieke vorm uit twee inskrywings 10 en 20 bestaan. As ek die doen show run-opdrag gebruik, kan ek sien dat ons eers 'n moderne toegangslys van 4 het inskrywings sonder nommers onder die algemene opskrif Secure_Ma_And_Se, en hieronder is twee ACL 10-inskrywings van die klassieke vorm wat die naam van dieselfde toegangslys 10 herhaal.
As ek 'n paar veranderinge wil maak, soos die verwydering van die weier gasheer 192.168.1.3-inskrywing en die bekendstelling van 'n inskrywing vir 'n toestel op 'n ander netwerk, moet ek die delete-opdrag slegs vir daardie inskrywing gebruik: geen toegangslys 10 weier gasheer 192.168.1.3 .10. Maar sodra ek hierdie opdrag invoer, verdwyn alle ACL XNUMX-inskrywings heeltemal. Dit is hoekom die klassieke aansig van die ACL baie ongerieflik is om te redigeer. Die moderne opnamemetode is baie geriefliker om te gebruik, aangesien dit gratis redigering moontlik maak.
Om die materiaal in hierdie videoles te leer, raai ek jou aan om dit weer te kyk en probeer om die probleme wat bespreek is op jou eie op te los sonder enige wenke. ACL is 'n belangrike onderwerp in die CCNA-kursus, en baie word verwar deur byvoorbeeld die prosedure om 'n omgekeerde Wildcard-masker te skep. Ek verseker jou, verstaan net die konsep van maskertransformasie, en alles sal baie makliker word. Onthou dat die belangrikste ding om die CCNA-kursusonderwerpe te verstaan praktiese opleiding is, want slegs oefening sal jou help om hierdie of daardie Cisco-konsep te verstaan. Oefening is nie om my spanne te copy-paste nie, maar om probleme op jou eie manier op te los. Vra jouself vrae: wat moet gedoen word om die vloei van verkeer van hier na daar te blokkeer, waar om voorwaardes toe te pas, ens., en probeer om dit te beantwoord.
Dankie dat jy by ons gebly het. Hou jy van ons artikels? Wil jy meer interessante inhoud sien? Ondersteun ons deur 'n bestelling te plaas of by vriende aan te beveel, 30% afslag vir Habr-gebruikers op 'n unieke analoog van intreevlakbedieners, wat deur ons vir jou uitgevind is: (beskikbaar met RAID1 en RAID10, tot 24 kerne en tot 40 GB DDR4).
Dell R730xd 2 keer goedkoper? Net hier in Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - vanaf $99! Lees van
Bron: will.com