Обучение на Cisco 200-125 CCNA v3.0. Ден 27. Въведение в ACL. Част 2

Още нещо, което забравих да спомена е, че ACL не само филтрира трафика на база разрешаване/отказ, но изпълнява много повече функции. Например ACL се използва за криптиране на VPN трафик, но за да издържите изпита CCNA, трябва само да знаете как се използва за филтриране на трафик. Да се ​​върнем на проблем No1.

Открихме, че трафикът на отдела за счетоводство и продажби може да бъде блокиран на изходния интерфейс на R2, като се използва следният ACL списък.

Не се притеснявайте за формата на този списък, той е предназначен само като пример, за да ви помогне да разберете какво е ACL. Ще стигнем до правилния формат, след като започнем с Packet Tracer.

Задача № 2 звучи така: сървърната стая може да комуникира с всякакви хостове, с изключение на хостовете на отдела за управление. Тоест компютрите в сървърната стая могат да имат достъп до всякакви компютри в отделите продажби и счетоводство, но не трябва да имат достъп до компютрите в отдела за управление. Това означава, че ИТ персоналът на сървърното помещение не трябва да има дистанционен достъп до компютъра на ръководителя на отдела за управление, а при проблеми да идва в неговия офис и да отстранява проблема на място. Обърнете внимание, че тази задача не е практична, защото не знам защо сървърната стая не би могла да комуникира по мрежата с отдела за управление, така че в този случай ние просто разглеждаме примерен урок.

За да разрешите този проблем, първо трябва да определите пътя на трафика. Данните от сървърното помещение пристигат на входния интерфейс G0/1 на рутера R1 и се изпращат към отдела за управление през изходния интерфейс G0/0.

Ако приложим условието Deny 192.168.1.192/27 към входния интерфейс G0/1 и както си спомняте, стандартният ACL е поставен по-близо до източника на трафик, ние ще блокираме целия трафик, включително към отдела за продажби и счетоводство.

Тъй като искаме да блокираме само трафика, насочен към отдела за управление, трябва да приложим ACL към изходния интерфейс G0/0. Този проблем може да бъде разрешен само чрез поставяне на ACL по-близо до дестинацията. В същото време трафикът от мрежата на отдела за счетоводство и продажби трябва свободно да достига до отдела за управление, така че последният ред от списъка ще бъде командата Разреши всякакъв - за разрешаване на всякакъв трафик, с изключение на трафика, посочен в предишното условие.

Да преминем към задача No3: лаптопът Laptop 3 от търговския отдел не трябва да има достъп до други устройства освен тези, които се намират в локалната мрежа на търговския отдел. Да приемем, че обучаемият работи на този компютър и не трябва да излиза извън своята локална мрежа.
В този случай трябва да приложите ACL на входния интерфейс G0/1 на рутера R2. Ако присвоим IP адрес 192.168.1.3/25 на този компютър, тогава условието Deny 192.168.1.3/25 трябва да бъде изпълнено и трафикът от който и да е друг IP адрес не трябва да бъде блокиран, така че последният ред от списъка ще бъде Разрешение всякакви.

Блокирането на трафика обаче няма да има ефект върху Laptop2.

Следващата задача ще бъде Задача № 4: само компютър PC0 на финансовия отдел може да има достъп до сървърната мрежа, но не и на отдела за управление.

Ако си спомняте, ACL от Задача #1 блокира целия изходящ трафик на интерфейса S0/1/0 на рутер R2, но Задача #4 казва, че трябва да гарантираме, че преминава само PC0 трафик, така че трябва да направим изключение.

Всички задачи, които сега решаваме, трябва да ви помогнат в реална ситуация, когато настройвате ACL за офис мрежа. За удобство използвах класическия тип въвеждане, но ви съветвам да запишете всички редове ръчно на хартия или да ги въведете на компютър, за да можете да правите корекции на записите. В нашия случай, съгласно условията на Задача № 1, беше съставен класически ACL списък. Ако искаме да добавим изключение към него за PC0 от тип Permit , тогава можем да поставим този ред едва четвърти в списъка, след реда Permit Any. Въпреки това, тъй като адресът на този компютър е включен в диапазона от адреси за проверка на условието за отказ 0/192.168.1.128, неговият трафик ще бъде блокиран веднага след като това условие е изпълнено и рутерът просто няма да достигне проверката на четвъртата линия, позволявайки трафик от този IP адрес.
Следователно ще трябва напълно да преработя ACL списъка на задача № 1, като изтрия първия ред и го заменя с реда Permit 192.168.1.130/26, който позволява трафик от PC0, и след това отново да въведа редовете, забраняващи целия трафик от отделите счетоводство и продажби.

Така в първия ред имаме команда за определен адрес, а във втория – обща за цялата мрежа, в която се намира този адрес. Ако използвате модерен тип ACL, можете лесно да правите промени в него, като поставите реда Permit 192.168.1.130/26 като първа команда. Ако имате класически ACL, ще трябва да го премахнете напълно и след това да въведете отново командите в правилния ред.

Решението на Проблем № 4 е да поставите реда Permit 192.168.1.130/26 в началото на ACL от Проблем № 1, тъй като само в този случай трафикът от PC0 ще напуска свободно изходния интерфейс на рутера R2. Трафикът на PC1 ще бъде напълно блокиран, тъй като неговият IP адрес е обект на забраната, съдържаща се във втория ред на списъка.

Сега ще преминем към Packet Tracer, за да направим необходимите настройки. Вече конфигурирах IP адресите на всички устройства, защото опростените предишни диаграми бяха малко трудни за разбиране. Освен това конфигурирах RIP между двата рутера. При дадената мрежова топология комуникацията между всички устройства от 4 подмрежи е възможна без никакви ограничения. Но веднага щом приложим ACL, трафикът ще започне да се филтрира.

Ще започна с финансовия отдел PC1 и ще се опитам да пингвам IP адреса 192.168.1.194, който принадлежи на Server0, разположен в сървърната зала. Както можете да видите, ping е успешен без никакви проблеми. Също така успешно пингвам Laptop0 от отдела за управление. Първият пакет е отхвърлен поради ARP, останалите 3 са свободно пингвани.

За да организирам филтриране на трафика, влизам в настройките на рутера R2, активирам режима на глобална конфигурация и ще създам модерен ACL списък. Имаме и класически изглеждащия ACL 10. За да създам първия списък, въвеждам команда, в която трябва да посочите същото име на списък, което записахме на хартия: ip access-list standard ACL Secure_Ma_And_Se. След това системата подканва за възможни параметри: мога да избера deny, exit, no, permit или remark, както и да въведа пореден номер от 1 до 2147483647. Ако не направя това, системата ще го присвои автоматично.

Затова не въвеждам този номер, но веднага преминавам към командата permit host 192.168.1.130, тъй като това разрешение е валидно за конкретно PC0 устройство. Мога да използвам и обратна заместваща маска, сега ще ви покажа как да го направите.

След това въвеждам командата deny 192.168.1.128. Тъй като имаме /26, използвам обратната маска и допълвам командата с нея: deny 192.168.1.128 0.0.0.63. Така отказвам трафик към мрежата 192.168.1.128/26.

По същия начин блокирам трафика от следната мрежа: deny 192.168.1.0 0.0.0.127. Целият друг трафик е разрешен, така че въвеждам командата permit any. След това трябва да приложа този списък към интерфейса, така че използвам командата int s0/1/0. След това изписвам ip access-group Secure_Ma_And_Se и системата ме подканва да избера интерфейс - in за входящи пакети и out за изходящи. Трябва да приложим ACL към изходния интерфейс, така че използвам командата ip access-group Secure_Ma_And_Se out.

Нека отидем на командния ред на PC0 и пингваме IP адреса 192.168.1.194, който принадлежи на сървъра Server0. Пингът е успешен, защото използвахме специално ACL условие за PC0 трафик. Ако направя същото от PC1, системата ще генерира грешка: „дестинационният хост не е достъпен“, тъй като трафикът от останалите IP адреси на счетоводния отдел е блокиран за достъп до сървърната зала.

Като влезете в CLI на рутера R2 и напишете командата show ip address-lists, можете да видите как е маршрутизиран мрежовият трафик на финансовия отдел - показва колко пъти е преминал ping според разрешението и колко пъти е бил блокиран съгласно забраната.

Винаги можем да отидем в настройките на рутера и да видим списъка за достъп. Така условията на Задача No1 и No4 са изпълнени. Нека ви покажа още нещо. Ако искам да поправя нещо, мога да отида в режима на глобална конфигурация на настройките на R2, да въведа командата ip access-list standard Secure_Ma_And_Se и след това командата „хост 192.168.1.130 не е разрешен“ - няма разрешение хост 192.168.1.130.

Ако погледнем отново списъка за достъп, ще видим, че ред 10 е изчезнал, остават ни само редове 20,30, 40 и XNUMX. По този начин можете да редактирате списъка за достъп ACL в настройките на рутера, но само ако не е компилиран в класическа форма.

Сега да преминем към третия ACL, защото той също се отнася за рутера R2. В него се посочва, че трафикът от Laptop3 не трябва да напуска мрежата на отдела за продажби. В този случай Laptop2 трябва да комуникира без проблеми с компютрите на финансовия отдел. За да тествам това, пингвам IP адреса 192.168.1.130 от този лаптоп и се уверявам, че всичко работи.

Сега ще отида в командния ред на Laptop3 и ще пингвам адреса 192.168.1.130. Pinging е успешен, но не ни трябва, тъй като според условията на задачата Laptop3 може да комуникира само с Laptop2, който се намира в същата мрежа на отдела за продажби. За да направите това, трябва да създадете друг ACL, като използвате класическия метод.

Ще се върна към настройките на R2 и ще се опитам да възстановя изтрития запис 10 с помощта на командата permit host 192.168.1.130. Виждате, че този запис се появява в края на списъка под номер 50. Достъпът обаче все още няма да работи, тъй като редът, позволяващ конкретен хост, е в края на списъка, а редът, забраняващ целия мрежов трафик, е в горната част от списъка. Ако се опитаме да пингваме Laptop0 на отдела за управление от PC0, ще получим съобщението „дестинационният хост не е достъпен,” въпреки факта, че има запис за разрешаване на номер 50 в ACL.

Следователно, ако искате да редактирате съществуващ ACL, трябва да въведете командата no permit host 2 в режим R192.168.1.130 (config-std-nacl), проверете дали ред 50 е изчезнал от списъка и въведете командата 10 permit хост 192.168.1.130. Виждаме, че списъкът вече се е върнал към първоначалната си форма, като този запис е класиран на първо място. Поредните номера помагат за редактиране на списъка във всякаква форма, така че съвременната форма на ACL е много по-удобна от класическата.

Сега ще покажа как работи класическата форма на списъка ACL 10. За да използвате класическия списък, трябва да въведете командата access–list 10?, и следвайки подканата, изберете желаното действие: отказ, разрешение или забележка. След това въвеждам реда access–list 10 deny host, след което въвеждам командата access–list 10 deny 192.168.1.3 и добавям обратната маска. Тъй като имаме хост, предната подмрежова маска е 255.255.255.255, а обратната е 0.0.0.0. В резултат на това, за да откажа хост трафик, трябва да въведа командата access–list 10 deny 192.168.1.3 0.0.0.0. След това трябва да посочите разрешения, за което въвеждам командата access–list 10 permit any. Този списък трябва да се приложи към интерфейса G0/1 на рутер R2, така че последователно въвеждам командите в g0/1, ip access-group 10 in. Независимо кой списък се използва, класически или модерен, същите команди се използват за прилагане на този списък към интерфейса.

За да проверя дали настройките са правилни, отивам на терминала на командния ред на Laptop3 и се опитвам да пингвам IP адреса 192.168.1.130 - както можете да видите, системата съобщава, че целевият хост е недостъпен.

Нека ви напомня, че за да проверите списъка, можете да използвате както командите show ip access-lists, така и show access-lists. Трябва да решим още един проблем, който се отнася до рутера R1. За да направя това, отивам в CLI на този рутер и отивам в режим на глобална конфигурация и въвеждам командата ip access-list standard Secure_Ma_From_Se. Тъй като имаме мрежа 192.168.1.192/27, нейната подмрежова маска ще бъде 255.255.255.224, което означава, че обратната маска ще бъде 0.0.0.31 и трябва да въведем командата deny 192.168.1.192 0.0.0.31. Тъй като целият друг трафик е разрешен, списъкът завършва с командата permit any. За да приложите ACL към изходния интерфейс на рутера, използвайте командата ip access-group Secure_Ma_From_Se out.

Сега ще отида до терминала на командния ред на Server0 и ще се опитам да пингвам Laptop0 на отдела за управление на IP адрес 192.168.1.226. Опитът беше неуспешен, но ако пингнах адреса 192.168.1.130, връзката беше установена без проблеми, тоест забранихме на сървърния компютър да комуникира с отдела за управление, но позволихме комуникация с всички други устройства в други отдели. Така успешно решихме всичките 4 проблема.

Нека ти покажа нещо друго. Влизаме в настройките на рутера R2, където имаме 2 вида ACL - класически и модерен. Да кажем, че искам да редактирам ACL 10, стандартен IP списък за достъп 10, който в класическата си форма се състои от два записа 10 и 20. Ако използвам командата do show run, мога да видя, че първо имаме модерен списък за достъп от 4 записи без номера под общото заглавие Secure_Ma_And_Se, а по-долу има два ACL 10 записа в класическата форма, повтарящи името на същия списък за достъп 10.

Ако искам да направя някои промени, като премахване на записа deny host 192.168.1.3 и въвеждане на запис за устройство в друга мрежа, трябва да използвам командата delete само за този запис: no access-list 10 deny host 192.168.1.3 .10. Но веднага щом въведа тази команда, всички записи в ACL XNUMX изчезват напълно. Ето защо класическият изглед на ACL е много неудобен за редактиране. Съвременният метод на запис е много по-удобен за използване, тъй като позволява свободно редактиране.

За да научите материала в този видео урок, ви съветвам да го изгледате отново и да се опитате да решите обсъжданите проблеми сами без никакви подсказки. ACL е важна тема в курса на CCNA и мнозина са объркани от, например, процедурата за създаване на обратна заместваща маска. Уверявам ви, просто разберете концепцията за трансформация на маската и всичко ще стане много по-лесно. Не забравяйте, че най-важното нещо при разбирането на темите на курса на CCNA е практическото обучение, защото само практиката ще ви помогне да разберете тази или онази концепция на Cisco. Практиката не е копиране на моите екипи, а решаване на проблеми по свой начин. Задайте си въпроси: какво трябва да се направи, за да се блокира движението от тук до там, къде да се прилагат условия и т.н., и се опитайте да им отговорите.

Благодарим ви, че останахте с нас. Харесвате ли нашите статии? Искате ли да видите още интересно съдържание? Подкрепете ни, като направите поръчка или препоръчате на приятели, 30% отстъпка за потребителите на Habr за уникален аналог на сървъри от начално ниво, който беше измислен от нас за вас: Цялата истина за VPS (KVM) E5-2650 v4 (6 ядра) 10GB DDR4 240GB SSD 1Gbps от $20 или как да споделите сървър? (предлага се с RAID1 и RAID10, до 24 ядра и до 40GB DDR4).

Dell R730xd 2 пъти по-евтин? Само тук 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV от $199 в Холандия! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - от $99! Прочети за Как да изградим инфраструктура Corp. клас с използване на сървъри Dell R730xd E5-2650 v4 на стойност 9000 евро за стотинка?

Източник: www.habr.com