Qeyd etməyi unutduğum daha bir şey odur ki, ACL yalnız icazə/inkar əsasında trafiki süzgəcdən keçirmir, daha çox funksiyaları yerinə yetirir. Məsələn, bir ACL VPN trafikini şifrələmək üçün istifadə olunur, lakin CCNA imtahanından keçmək üçün yalnız onun trafiki süzmək üçün necə istifadə edildiyini bilmək lazımdır. 1 nömrəli məsələyə qayıdaq.
Mühasibat və satış departamentinin trafikinin R2 çıxış interfeysində aşağıdakı ACL siyahısından istifadə edərək bloklana biləcəyini öyrəndik.
Bu siyahının formatı barədə narahat olmayın, sadəcə olaraq ACL-nin nə olduğunu başa düşməyə kömək etmək üçün bir nümunə kimi nəzərdə tutulub. Packet Tracer ilə işə başladıqdan sonra düzgün formata keçəcəyik.
Tapşırıq №2 belə səslənir: server otağı idarəetmə şöbəsinin hostlarından başqa istənilən hostlarla əlaqə saxlaya bilər. Yəni server otağının kompüterləri satış və mühasibat departamentlərindəki istənilən kompüterə çıxış əldə edə bilər, lakin idarəetmə şöbəsindəki kompüterlərə çıxışı olmamalıdır. Bu o deməkdir ki, server otağının İT işçiləri idarəetmə şöbəsi rəhbərinin kompüterinə uzaqdan giriş imkanına malik olmamalı, problem yarandıqda onun kabinetinə gəlib problemi yerindəcə həll etməlidir. Nəzərə alın ki, bu tapşırıq praktiki deyil, çünki server otağının idarəetmə şöbəsi ilə niyə şəbəkə üzərindən əlaqə saxlaya bilməyəcəyini bilmirəm, ona görə də bu halda biz sadəcə dərslik nümunəsinə baxırıq.
Bu problemi həll etmək üçün ilk növbədə nəqliyyat yolunu müəyyən etməlisiniz. Server otağından verilənlər R0 marşrutlaşdırıcısının G1/1 giriş interfeysinə daxil olur və G0/0 çıxış interfeysi vasitəsilə idarəetmə şöbəsinə göndərilir.
G192.168.1.192/27 giriş interfeysinə Deny 0/1 şərtini tətbiq etsək və xatırladığınız kimi, standart ACL trafik mənbəyinə daha yaxın yerləşdirilsə, biz bütün trafiki, o cümlədən satış və mühasibat departamentini bloklayacağıq.
Yalnız idarəetmə şöbəsinə yönəldilmiş trafiki bloklamaq istədiyimiz üçün G0/0 çıxış interfeysinə ACL tətbiq etməliyik. Bu problem yalnız ACL-ni təyinat yerinə yaxınlaşdırmaqla həll edilə bilər. Eyni zamanda, mühasibat və satış departamenti şəbəkəsindən gələn trafik sərbəst şəkildə idarəetmə şöbəsinə çatmalıdır, buna görə də siyahının sonuncu sətri əvvəlki vəziyyətdə göstərilən trafik istisna olmaqla, istənilən trafikə icazə vermək üçün hər hansı bir icazə əmri olacaqdır.
Gəlin 3 nömrəli tapşırığa keçək: satış departamentindən olan “Laptop 3” noutbukunun satış şöbəsinin lokal şəbəkəsində yerləşən qurğulardan başqa heç bir qurğuya çıxışı olmamalıdır. Fərz edək ki, stajçı bu kompüterdə işləyir və öz LAN-dan kənara çıxmamalıdır.
Bu halda, siz R0 marşrutlaşdırıcısının G1/2 giriş interfeysində ACL tətbiq etməlisiniz. Əgər biz bu kompüterə 192.168.1.3/25 IP ünvanını təyin etsək, o zaman İnkar etmə 192.168.1.3/25 şərti yerinə yetirilməli və hər hansı digər İP ünvandan gələn trafik bloklanmamalıdır, ona görə də siyahının son sətri İcazə olacaq. hər hansı.
Bununla belə, trafikin bloklanması Laptop2-yə heç bir təsir göstərməyəcək.
Növbəti tapşırıq 4 nömrəli tapşırıq olacaq: yalnız maliyyə departamentinin PC0 kompüteri server şəbəkəsinə daxil ola bilər, idarəetmə şöbəsi isə yox.
Xatırlayırsınızsa, Tapşırıq №1-dən ACL R0 marşrutlaşdırıcısının S1/0/2 interfeysində bütün gedən trafiki bloklayır, lakin 4-cü tapşırıq deyir ki, biz yalnız PC0 trafikinin keçdiyinə əmin olmalıyıq, buna görə də istisna etməliyik.
İndi həll etdiyimiz bütün vəzifələr ofis şəbəkəsi üçün ACL qurarkən real vəziyyətdə sizə kömək etməlidir. Rahatlıq üçün mən klassik giriş növündən istifadə etdim, amma sizə məsləhət görürəm ki, bütün sətirləri əl ilə kağıza yaza və ya kompüterə yazasan ki, qeydlərdə düzəlişlər edə biləsən. Bizim vəziyyətimizdə 1 nömrəli tapşırığın şərtlərinə uyğun olaraq klassik ACL siyahısı tərtib edilmişdir. İcazə tipli PC0 üçün buna istisna əlavə etmək istəsək , onda biz bu sətri hər hansı icazə sətirindən sonra siyahıda yalnız dördüncü yerə qoya bilərik. Bununla belə, bu kompüterin ünvanı 0/192.168.1.128 inkar şərtinin yoxlanılması üçün ünvanlar sırasına daxil olduğundan, bu şərt yerinə yetirildikdən dərhal sonra onun trafiki bloklanacaq və marşrutlaşdırıcı sadəcə olaraq dördüncü sətir yoxlanışına çata bilməyəcək. bu IP ünvanından trafik.
Buna görə də, mən birinci sətri silərək və PC1-dan trafikə icazə verən 192.168.1.130/26 sətri ilə əvəz edərək, 0 nömrəli Tapşırıqın ACL siyahısını tamamilə yenidən etməli olacağam və sonra bütün trafiki qadağan edən xətləri yenidən daxil etməliyəm. mühasibatlıq və satış şöbələrindən.
Beləliklə, birinci sətirdə müəyyən bir ünvan üçün əmrimiz var, ikincidə isə bu ünvanın yerləşdiyi bütün şəbəkə üçün ümumi bir əmr var. Əgər siz müasir ACL növündən istifadə edirsinizsə, ilk əmr olaraq İcazə 192.168.1.130/26 sətrini yerləşdirməklə ona asanlıqla dəyişikliklər edə bilərsiniz. Klassik ACL-iniz varsa, onu tamamilə silməli və sonra əmrləri düzgün ardıcıllıqla yenidən daxil etməlisiniz.
4-cü məsələnin həlli 192.168.1.130-ci məsələdən ACL siyahısının əvvəlinə 26/1 icazə sətrini yerləşdirməkdir, çünki yalnız bu halda PC0-dan gələn trafik R2 marşrutlaşdırıcının çıxış interfeysini sərbəst tərk edəcək. PC1-in trafiki tamamilə bloklanacaq, çünki onun IP ünvanı siyahının ikinci sətirində olan qadağaya tabedir.
İndi lazımi parametrləri etmək üçün Packet Tracer-ə keçəcəyik. Mən artıq bütün cihazların IP ünvanlarını konfiqurasiya etmişəm, çünki sadələşdirilmiş əvvəlki diaqramları başa düşmək bir az çətin idi. Bundan əlavə, iki marşrutlaşdırıcı arasında RIP konfiqurasiya etdim. Verilmiş şəbəkə topologiyasında 4 alt şəbəkənin bütün cihazları arasında heç bir məhdudiyyət olmadan əlaqə mümkündür. Lakin biz ACL tətbiq edən kimi trafik filtrlənməyə başlayacaq.
Mən PC1 maliyyə şöbəsindən başlayacağam və server otağında yerləşən Server192.168.1.194-a aid olan 0 IP ünvanını pingləməyə çalışacağam. Gördüyünüz kimi, ping heç bir problem olmadan uğurla həyata keçirilir. Mən də idarəetmə şöbəsindən Laptop0-a uğurla ping atıram. Birinci paket ARP səbəbiylə atılır, qalan 3 paket sərbəst şəkildə pinglənir.
Trafik filtrasiyasını təşkil etmək üçün R2 marşrutlaşdırıcısının parametrlərinə daxil oluram, qlobal konfiqurasiya rejimini aktivləşdirirəm və müasir ACL siyahısı yaratmağa hazırlaşıram. Bizdə klassik görünüşlü ACL 10 da var. İlk siyahını yaratmaq üçün kağıza yazdığımız eyni siyahı adını göstərməli olduğunuz bir əmr daxil edirəm: ip giriş siyahısı standart ACL Secure_Ma_And_Se. Bundan sonra sistem mümkün parametrləri soruşur: Mən inkar, çıx, yox, icazə və ya qeyd seçə bilərəm, həmçinin 1-dən 2147483647-ə qədər Sıra Nömrəsini daxil edə bilərəm. Bunu etməsəm, sistem onu avtomatik təyin edəcək.
Buna görə də, mən bu nömrəni daxil etmirəm, amma dərhal icazə host 192.168.1.130 əmrinə keçin, çünki bu icazə müəyyən bir PC0 cihazı üçün etibarlıdır. Mən də tərs Joker Maskadan istifadə edə bilərəm, indi bunu necə edəcəyinizi sizə göstərəcəyəm.
Sonra 192.168.1.128 inkar əmrini daxil edirəm. Bizdə /26 olduğundan, mən əks maskadan istifadə edirəm və əmri onunla tamamlayıram: deny 192.168.1.128 0.0.0.63. Beləliklə, 192.168.1.128/26 şəbəkəsinə trafiki rədd edirəm.
Eynilə, mən aşağıdakı şəbəkədən gələn trafiki bloklayıram: rədd et 192.168.1.0 0.0.0.127. Bütün digər trafikə icazə verilir, buna görə də hər hansı bir icazə əmrini daxil edirəm. Sonra mən bu siyahını interfeysə tətbiq etməliyəm, ona görə də int s0/1/0 əmrindən istifadə edirəm. Sonra mən ip access-group Secure_Ma_And_Se yazıram və sistem mənə interfeys seçməyi təklif edir - daxil olan paketlər üçün daxil və gedən paketlər üçün. Çıxış interfeysinə ACL tətbiq etməliyik, ona görə də mən ip access-group Secure_Ma_And_Se out əmrindən istifadə edirəm.
PC0 komanda xəttinə keçək və Server192.168.1.194 serverinə aid olan 0 IP ünvanını ping edək. Ping uğurlu oldu, çünki biz PC0 trafiki üçün xüsusi ACL şərtindən istifadə etdik. Eyni şeyi PC1-dən etsəm, sistem bir xəta yaradacaq: "təyinat hostu mövcud deyil", çünki mühasibat departamentinin qalan IP ünvanlarından gələn trafikin server otağına daxil olması bloklanır.
R2 marşrutlaşdırıcısının CLI-yə daxil olaraq və show ip address-lists əmrini yazmaqla siz maliyyə departamentinin şəbəkə trafikinin necə yönləndirildiyini görə bilərsiniz - bu, icazəyə əsasən pingin neçə dəfə ötürüldüyünü və neçə dəfə olduğunu göstərir. qadağaya uyğun olaraq bloklanır.
Biz həmişə marşrutlaşdırıcının parametrlərinə gedə və giriş siyahısına baxa bilərik. Beləliklə, 1 və 4 nömrəli tapşırıqların şərtləri yerinə yetirilir. İcazə verin sizə bir şey daha göstərim. Nəyisə düzəltmək istəsəm, R2 parametrlərinin qlobal konfiqurasiya rejiminə keçə bilərəm, ip giriş siyahısı standart Secure_Ma_And_Se əmrini və sonra “192.168.1.130 hostuna icazə verilmir” əmrini daxil edə bilərəm - 192.168.1.130 icazəsi yoxdur.
Yenidən giriş siyahısına baxsaq görərik ki, 10-cu sətir itib, bizdə yalnız 20,30, 40 və XNUMX-cı sətirlər qalıb.Beləliklə, siz marşrutlaşdırıcının parametrlərində ACL giriş siyahısını redaktə edə bilərsiniz, ancaq tərtib edilmədikdə. klassik formada.
İndi üçüncü ACL-ə keçək, çünki bu, R2 marşrutlaşdırıcısına da aiddir. Orada bildirilir ki, Laptop3-dən gələn hər hansı trafik satış şöbəsinin şəbəkəsini tərk etməməlidir. Bu halda, Laptop2 maliyyə şöbəsinin kompüterləri ilə problemsiz əlaqə saxlamalıdır. Bunu yoxlamaq üçün mən bu noutbukdan 192.168.1.130 IP ünvanını pingləyirəm və hər şeyin işlədiyinə əmin oluram.
İndi Laptop3-ün komanda xəttinə keçib 192.168.1.130 ünvanına ping atacağam. Ping uğurludur, lakin buna ehtiyacımız yoxdur, çünki tapşırığın şərtlərinə görə, Laptop3 yalnız eyni satış departamenti şəbəkəsində yerləşən Laptop2 ilə əlaqə saxlaya bilər. Bunun üçün klassik metoddan istifadə edərək başqa bir ACL yaratmalısınız.
Mən R2 parametrlərinə qayıdacağam və icazə host 10 əmrindən istifadə edərək silinmiş giriş 192.168.1.130-u bərpa etməyə çalışacağam. Siz görürsünüz ki, bu giriş siyahının sonunda 50 nömrədə görünür. Bununla belə, giriş hələ də işləməyəcək, çünki konkret hosta icazə verən xətt siyahının sonunda, bütün şəbəkə trafikini qadağan edən xətt isə yuxarıdadır. siyahıdan. İdarəetmə departamentinin Laptop0-a PC0-dan ping atmağa çalışsaq, ACL-də 50 nömrəli icazə girişinin olmasına baxmayaraq, “təyinat hostu əlçatan deyil” mesajını alacağıq.
Buna görə də, mövcud ACL-i redaktə etmək istəyirsinizsə, R2 rejimində (config-std-nacl) 192.168.1.130 icazəsiz host əmrini daxil etməli, 50-ci sətirin siyahıdan itdiyini yoxlamalı və 10 icazə əmrini daxil etməlisiniz. host 192.168.1.130. Biz görürük ki, siyahı indi ilkin formasına qayıdıb, bu giriş birinci yerdədir. Sıra nömrələri siyahını istənilən formada redaktə etməyə kömək edir, ona görə də ACL-nin müasir forması klassikdən daha rahatdır.
İndi mən ACL 10 siyahısının klassik formasının necə işlədiyini göstərəcəyəm.Klassik siyahıdan istifadə etmək üçün siz access–list 10? əmrini daxil etməlisiniz və əmrdən sonra istədiyiniz hərəkəti seçin: rədd et, icazə ver və ya qeyd et. Sonra giriş xəttinə daxil oluram–list 10 deny host, bundan sonra access–list 10 deny 192.168.1.3 əmrini yazıram və əks maska əlavə edirəm. Bir hostumuz olduğundan, irəli alt şəbəkə maskası 255.255.255.255, əksi isə 0.0.0.0-dır. Nəticə olaraq, host trafikini rədd etmək üçün giriş-siyahısına 10 rədd 192.168.1.3 0.0.0.0 əmrini daxil etməliyəm. Bundan sonra, icazələri təyin etməlisiniz, bunun üçün giriş əmrini yazıram - siyahı 10 icazə hər hansı. Bu siyahı R0 marşrutlaşdırıcısının G1/2 interfeysinə tətbiq edilməlidir, ona görə də mən ardıcıl olaraq g0/1, ip giriş-qrupu 10-da əmrləri daxil edirəm. Hansı siyahıdan istifadə olunmasından asılı olmayaraq, klassik və ya müasir, bu siyahını interfeysə tətbiq etmək üçün eyni əmrlərdən istifadə olunur.
Parametrlərin düzgün olub olmadığını yoxlamaq üçün Laptop3 komanda xətti terminalına gedirəm və 192.168.1.130 IP ünvanını pingləməyə çalışıram - gördüyünüz kimi, sistem təyinat hostunun əlçatmaz olduğunu bildirir.
Nəzərinizə çatdırım ki, siyahını yoxlamaq üçün həm show ip access-lists, həm də show access-lists əmrlərindən istifadə edə bilərsiniz. R1 marşrutlaşdırıcısı ilə əlaqəli daha bir problemi həll etməliyik. Bunu etmək üçün mən bu marşrutlaşdırıcının CLI-yə daxil oluram və qlobal konfiqurasiya rejiminə keçirəm və ip access-list standart Secure_Ma_From_Se əmrini daxil edirəm. 192.168.1.192/27 şəbəkəmiz olduğundan onun alt şəbəkə maskası 255.255.255.224 olacaq, yəni əks maska 0.0.0.31 olacaq və biz 192.168.1.192 0.0.0.31 deny əmrini daxil etməliyik. Bütün digər trafikə icazə verildiyi üçün siyahı istənilən icazə əmri ilə bitir. Routerin çıxış interfeysinə ACL tətbiq etmək üçün ip giriş qrupunun Secure_Ma_From_Se out əmrindən istifadə edin.
İndi mən Server0-nin komanda xətti terminalına keçəcəyəm və 0 IP ünvanında idarəetmə şöbəsinin Laptop192.168.1.226-a ping atmağa çalışacağam. Cəhd uğursuz oldu, amma 192.168.1.130 ünvanına ping atsam, əlaqə problemsiz quruldu, yəni server kompüterinin idarəetmə şöbəsi ilə əlaqə saxlamasını qadağan etdik, lakin digər şöbələrdəki bütün digər cihazlarla əlaqə saxlamağa icazə verdik. Beləliklə, biz 4 problemin hamısını uğurla həll etdik.
Gəl sənə başqa bir şey göstərim. R2 marşrutlaşdırıcısının parametrlərinə daxil oluruq, burada 2 növ ACL var - klassik və müasir. Tutaq ki, mən klassik formada iki girişdən 10 və 10-dən ibarət olan ACL 10, Standart IP giriş siyahısı 20-u redaktə etmək istəyirəm. Əgər mən do show run əmrindən istifadə etsəm, görə bilərəm ki, əvvəlcə bizdə 4-dən ibarət müasir giriş siyahısı var. Secure_Ma_And_Se ümumi başlığı altında nömrələri olmayan girişlər və aşağıda eyni giriş siyahısı 10-un adını təkrarlayan klassik formada iki ACL 10 girişi var.
Əgər mən 192.168.1.3 inkar edən host girişini silmək və başqa şəbəkədəki cihaz üçün giriş təqdim etmək kimi bəzi dəyişikliklər etmək istəsəm, mən yalnız həmin giriş üçün sil əmrindən istifadə etməliyəm: giriş siyahısı yoxdur 10 host 192.168.1.3. .10. Amma mən bu əmri daxil edən kimi bütün ACL XNUMX qeydləri tamamilə yox olur.Bu səbəbdən ACL-nin klassik görünüşü redaktə etmək üçün çox əlverişsizdir. Müasir qeyd üsulu istifadə etmək üçün daha rahatdır, çünki pulsuz redaktə etməyə imkan verir.
Bu video dərsdəki materialı öyrənmək üçün sizə onu yenidən izləməyi və müzakirə olunan problemləri heç bir eyham olmadan özünüz həll etməyə çalışmağı məsləhət görürəm. ACL CCNA kursunda vacib bir mövzudur və bir çoxları, məsələn, əks Wildcard Maskasının yaradılması proseduru ilə çaşqındırlar. Sizi inandırıram, sadəcə maskanın çevrilməsi anlayışını anlayın və hər şey daha asan olacaq. Unutmayın ki, CCNA kursunun mövzularını başa düşmək üçün ən vacib şey praktiki təlimdir, çünki yalnız təcrübə bu və ya digər Cisco konsepsiyasını başa düşməyə kömək edəcəkdir. Təcrübə mənim komandalarımı kopyalayıb yapışdırmaq deyil, problemləri öz qaydasında həll etməkdir. Özünüzə suallar verin: buradan oraya nəqliyyat axınının qarşısını almaq üçün nə etmək lazımdır, şərtləri harada tətbiq etmək lazımdır və s. və onlara cavab verməyə çalışın.
Bizimlə qaldığınız üçün təşəkkür edirik. Məqalələrimizi bəyənirsinizmi? Daha maraqlı məzmun görmək istəyirsiniz? Sifariş verməklə və ya dostlarınıza tövsiyə etməklə bizə dəstək olun, Bizim tərəfimizdən sizin üçün ixtira edilmiş giriş səviyyəli serverlərin unikal analoquna Habr istifadəçiləri üçün 30% endirim: (RAID1 və RAID10, 24 nüvəyə qədər və 40 GB DDR4 ilə mövcuddur).
Dell R730xd 2 dəfə ucuzdur? Yalnız burada Hollandiyada! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 dollardan! haqqında oxuyun
Mənbə: www.habr.com