Još jedna stvar koju sam zaboravio spomenuti je da ACL ne samo da filtrira promet na osnovi dopuštenja/odbijanja, već obavlja mnogo više funkcija. Na primjer, ACL se koristi za šifriranje VPN prometa, ali da biste položili CCNA ispit, trebate samo znati kako se koristi za filtriranje prometa. Vratimo se na problem broj 1.
Saznali smo da se promet odjela računovodstva i prodaje može blokirati na R2 izlaznom sučelju korištenjem sljedeće ACL liste.
Ne brinite o formatu ove liste, ona je samo zamišljena kao primjer koji će vam pomoći da shvatite šta je ACL. Doći ćemo do ispravnog formata kada počnemo s Packet Tracer.
Zadatak br. 2 zvuči ovako: server soba može komunicirati sa bilo kojim domaćinom, osim sa domaćinima odjela za upravljanje. Odnosno, računari serverske sobe mogu imati pristup bilo kojem računaru u odjelima prodaje i računovodstva, ali ne bi trebali imati pristup računarima u odjelu upravljanja. To znači da IT osoblje server sobe ne bi trebalo da ima daljinski pristup računaru šefa menadžmenta, već da u slučaju problema dođe u njegovu kancelariju i otkloni problem na licu mesta. Imajte na umu da ovaj zadatak nije praktičan jer ne znam zašto serverska soba ne bi mogla komunicirati preko mreže sa odjelom za upravljanje, tako da u ovom slučaju gledamo samo u tutorial primjer.
Da biste riješili ovaj problem, prvo morate odrediti prometnu putanju. Podaci iz server sobe stižu na ulazni interfejs G0/1 rutera R1 i šalju se u odeljenje upravljanja preko izlaznog interfejsa G0/0.
Ako primijenimo uslov Deny 192.168.1.192/27 na ulazni interfejs G0/1, a kao što se sjećate, standardni ACL je postavljen bliže izvoru prometa, blokirat ćemo sav promet, uključujući i odjel prodaje i računovodstva.
Budući da želimo blokirati samo promet usmjeren na odjel za upravljanje, moramo primijeniti ACL na izlazno sučelje G0/0. Ovaj problem se može riješiti samo postavljanjem ACL-a bliže odredištu. Istovremeno, saobraćaj iz mreže računovodstva i odeljenja prodaje mora nesmetano stizati do odeljenja menadžmenta, tako da će poslednji red liste biti naredba Dozvoli bilo koji - dozvoliti bilo kakav saobraćaj, osim saobraćaja koji je naveden u prethodnom uslovu.
Pređimo na zadatak br. 3: Laptop 3 laptop iz odjela prodaje ne bi trebao imati pristup nijednom uređaju osim onih koji se nalaze na lokalnoj mreži odjela prodaje. Pretpostavimo da pripravnik radi na ovom računaru i ne bi trebalo da ide dalje od svog LAN-a.
U ovom slučaju, trebate primijeniti ACL na ulaznom sučelju G0/1 rutera R2. Ako ovom računaru dodelimo IP adresu 192.168.1.3/25, onda mora biti ispunjen uslov Deny 192.168.1.3/25, a saobraćaj sa bilo koje druge IP adrese ne sme biti blokiran, tako da će poslednji red liste biti Dozvola bilo koji.
Međutim, blokiranje saobraćaja neće imati nikakav uticaj na Laptop2.
Sljedeći zadatak će biti Zadatak br. 4: samo računar PC0 finansijskog odjela može imati pristup mreži servera, ali ne i odjel za upravljanje.
Ako se sećate, ACL iz Zadatka #1 blokira sav odlazni saobraćaj na S0/1/0 interfejsu rutera R2, ali Zadatak #4 kaže da moramo osigurati da samo PC0 saobraćaj prolazi, tako da moramo napraviti izuzetak.
Svi zadaci koje sada rješavamo trebali bi vam pomoći u stvarnoj situaciji pri postavljanju ACL-ova za uredsku mrežu. Radi praktičnosti, koristio sam klasičnu vrstu unosa, ali savjetujem da sve redove zapišete ručno na papir ili ih ukucate u kompjuter kako biste mogli ispraviti unose. U našem slučaju, prema uslovima zadatka br. 1, sastavljena je klasična ACL lista. Ako želimo da mu dodamo izuzetak za PC0 tipa Dozvola , onda ovaj red možemo postaviti tek na četvrto mjesto na listi, nakon reda Dozvoli bilo koje. Međutim, pošto je adresa ovog računara uključena u opseg adresa za proveru uslova zabrane 0/192.168.1.128, njegov saobraćaj će biti blokiran odmah nakon što se ovaj uslov ispuni i ruter jednostavno neće doći do provere četvrte linije, dozvoljavajući saobraćaj sa ove IP adrese.
Zbog toga ću morati u potpunosti da ponovim ACL listu zadatka br. 1, brišući prvi red i zamjenjujući ga linijom Dozvola 192.168.1.130/26, koja dozvoljava promet sa PC0, a zatim ponovo ulazim u linije koje zabranjuju sav promet iz računovodstva i odjela prodaje.
Dakle, u prvom redu imamo naredbu za određenu adresu, au drugom - opštu za cijelu mrežu u kojoj se ova adresa nalazi. Ako koristite moderan tip ACL-a, lako možete napraviti promjene u njemu tako što ćete postaviti red Dozvola 192.168.1.130/26 kao prvu naredbu. Ako imate klasični ACL, morat ćete ga u potpunosti ukloniti, a zatim ponovo unijeti naredbe ispravnim redoslijedom.
Rješenje problema br. 4 je postavljanje linije Dozvola 192.168.1.130/26 na početak ACL-a iz Problema br. 1, jer će samo u tom slučaju saobraćaj sa PC0 slobodno napustiti izlazni interfejs rutera R2. Saobraćaj PC1 će biti potpuno blokiran jer njegova IP adresa podliježe zabrani koja se nalazi u drugom redu liste.
Sada ćemo prijeći na Packet Tracer da izvršimo potrebna podešavanja. Već sam konfigurirao IP adrese svih uređaja jer su pojednostavljeni prethodni dijagrami bili malo teški za razumjeti. Osim toga, konfigurirao sam RIP između dva rutera. Na zadatoj topologiji mreže komunikacija između svih uređaja 4 podmreže je moguća bez ikakvih ograničenja. Ali čim primenimo ACL, saobraćaj će početi da se filtrira.
Počeću sa odeljenjem finansija PC1 i pokušati da pingujem IP adresu 192.168.1.194, koja pripada Server0, koja se nalazi u serverskoj sobi. Kao što vidite, ping je uspješan bez ikakvih problema. Također sam uspješno pingovao Laptop0 iz odjela za upravljanje. Prvi paket se odbacuje zbog ARP-a, preostala 3 se slobodno pinguju.
Kako bih organizirao filtriranje prometa, ulazim u postavke R2 rutera, aktiviram globalni mod konfiguracije i kreiram modernu ACL listu. Imamo i ACL 10 klasičnog izgleda. Za kreiranje prve liste unosim naredbu u kojoj morate navesti isto ime liste koje smo zapisali na papiru: ip access-list standard ACL Secure_Ma_And_Se. Nakon ovoga, sistem traži moguće parametre: mogu odabrati zabranu, izlaz, ne, dozvolu ili primjedbu, a također i unijeti redni broj od 1 do 2147483647. Ako to ne učinim, sistem će ga automatski dodijeliti.
Stoga ne unosim ovaj broj, već odmah idem na naredbu permit host 192.168.1.130, pošto ova dozvola vrijedi za određeni PC0 uređaj. Mogu koristiti i obrnutu masku džokera, sada ću vam pokazati kako to učiniti.
Zatim unosim naredbu deny 192.168.1.128. Pošto imamo /26, koristim obrnutu masku i njome dopunjavam komandu: deny 192.168.1.128 0.0.0.63. Dakle, odbijam promet na mrežu 192.168.1.128/26.
Slično, blokiram saobraćaj sa sljedeće mreže: deny 192.168.1.0 0.0.0.127. Sav ostali promet je dozvoljen, pa upisujem komandu dozvola bilo koju. Zatim moram primijeniti ovu listu na sučelje, pa koristim naredbu int s0/1/0. Zatim ukucam ip access-group Secure_Ma_And_Se, i sistem me pita da odaberem interfejs - ulaz za dolazne pakete i izlaz za odlazne. Moramo primijeniti ACL na izlazno sučelje, tako da koristim ip pristupnu grupu Secure_Ma_And_Se out naredbu.
Idemo na PC0 komandnu liniju i pingujemo IP adresu 192.168.1.194, koja pripada serveru Server0. Ping je uspješan jer smo koristili poseban ACL uvjet za PC0 promet. Ako isto uradim sa PC1, sistem će generisati grešku: „odredišni host nije dostupan“, pošto je saobraćaju sa preostalih IP adresa računovodstvenog odeljenja blokiran pristup serverskoj sobi.
Ako se prijavite u CLI rutera R2 i upišete naredbu show ip address-lists, možete vidjeti kako je usmjeravan mrežni promet finansijskog odjela - pokazuje koliko je puta ping proslijeđen prema dozvoli i koliko puta je bio blokiran prema zabrani.
Uvijek možemo otići do postavki rutera i vidjeti pristupnu listu. Time su ispunjeni uslovi zadataka br. 1 i br. Dozvolite mi da vam pokažem još jednu stvar. Ako želim nešto da popravim, mogu da uđem u režim globalne konfiguracije R4 postavki, unesem komandu ip access-list standard Secure_Ma_And_Se i onda naredbu “host 2 nije dozvoljen” - nema dozvole host 192.168.1.130.
Ako ponovo pogledamo pristupnu listu, vidjet ćemo da je red 10 nestao, ostali su nam samo redovi 20,30, 40 i XNUMX. Dakle, ACL pristupnu listu možete uređivati u postavkama rutera, ali samo ako nije kompajlirana u klasičnom obliku.
Sada pređimo na treći ACL, jer se i on tiče R2 rutera. U njemu se navodi da bilo kakav promet sa Laptop3 ne bi trebao napustiti mrežu odjela prodaje. U ovom slučaju, Laptop2 bi trebao bez problema komunicirati sa računarima finansijskog odjela. Da bih ovo testirao, pingujem IP adresu 192.168.1.130 sa ovog laptopa i uvjerim se da sve radi.
Sada ću otići na komandnu liniju Laptop3 i pingovati adresu 192.168.1.130. Ping je uspješan, ali nam nije potreban, jer prema uvjetima zadatka Laptop3 može komunicirati samo sa Laptop2, koji se nalazi u istoj mreži prodajnog odjela. Da biste to učinili, morate kreirati drugi ACL koristeći klasičnu metodu.
Vratit ću se na postavke R2 i pokušati oporaviti izbrisani unos 10 koristeći naredbu permit host 192.168.1.130. Vidite da se ovaj unos pojavljuje na kraju liste pod brojem 50. Međutim, pristup i dalje neće raditi, jer je linija koja dozvoljava određenom hostu na kraju liste, a linija koja zabranjuje sav mrežni promet je na vrhu sa liste. Ako pokušamo da pingujemo Laptop0 odeljenja za upravljanje sa PC0, dobićemo poruku „odredišni host nije dostupan“, uprkos činjenici da postoji dozvoljen unos na broju 50 u ACL-u.
Stoga, ako želite urediti postojeći ACL, morate unijeti naredbu no permit host 2 u R192.168.1.130 modu (config-std-nacl), provjeriti da li je red 50 nestao sa liste i uneti naredbu 10 permit host 192.168.1.130. Vidimo da se lista sada vratila u prvobitni oblik, sa ovim unosom na prvom mjestu. Brojevi sekvence pomažu u uređivanju liste u bilo kojem obliku, tako da je moderni oblik ACL-a mnogo praktičniji od klasičnog.
Sada ću pokazati kako funkcioniše klasična forma liste ACL 10. Da biste koristili klasičnu listu, potrebno je da unesete naredbu access–list 10? i, prateći prompt, izaberete željenu akciju: odbiti, dozvoliti ili primetiti. Zatim unosim liniju access–list 10 deny host, nakon čega ukucam naredbu access–list 10 deny 192.168.1.3 i dodam obrnutu masku. Pošto imamo host, prednja maska podmreže je 255.255.255.255, a obrnuto 0.0.0.0. Kao rezultat toga, da odbijem host promet, moram unijeti naredbu access–list 10 deny 192.168.1.3 0.0.0.0. Nakon ovoga, trebate navesti dozvole, za koje ukucavam naredbu access–list 10 permit any. Ova lista treba da se primeni na G0/1 interfejs rutera R2, tako da uzastopno unosim komande u g0/1, ip pristupna grupa 10 in. Bez obzira koja se lista koristi, klasična ili moderna, iste komande se koriste za primjenu ove liste na sučelje.
Da provjerim da li su postavke ispravne, idem na terminal komandne linije Laptop3 i pokušavam pingovati IP adresu 192.168.1.130 - kao što vidite, sistem javlja da je odredišni host nedostupan.
Dozvolite mi da vas podsjetim da za provjeru liste možete koristiti i naredbe show ip access-lists i show access-lists. Moramo riješiti još jedan problem, koji se odnosi na R1 ruter. Da to uradim, idem na CLI ovog rutera i idem u režim globalne konfiguracije i unosim komandu ip access-list standard Secure_Ma_From_Se. Pošto imamo mrežu 192.168.1.192/27, njena podmrežna maska će biti 255.255.255.224, što znači da će obrnuta maska biti 0.0.0.31 i treba da unesemo naredbu deny 192.168.1.192 0.0.0.31. Pošto je sav drugi promet dozvoljen, lista se završava naredbom permit any. Da biste primijenili ACL na izlazno sučelje rutera, koristite naredbu ip pristupne grupe Secure_Ma_From_Se out.
Sada ću otići na terminal komandne linije Server0 i pokušati da pingujem Laptop0 odeljenja za upravljanje na IP adresi 192.168.1.226. Pokušaj je bio neuspešan, ali ako sam pingovao adresu 192.168.1.130, veza je uspostavljena bez problema, odnosno zabranili smo serverskom računaru da komunicira sa odeljenjem za upravljanje, ali dozvolili komunikaciju sa svim ostalim uređajima u drugim odeljenjima. Tako smo uspješno riješili sva 4 problema.
Dozvolite da vam pokažem još nešto. Ulazimo u postavke R2 rutera, gdje imamo 2 vrste ACL-a - klasični i moderni. Recimo da želim urediti ACL 10, standardnu IP pristupnu listu 10, koja se u svom klasičnom obliku sastoji od dva unosa 10 i 20. Ako koristim naredbu do show run, mogu vidjeti da prvo imamo modernu pristupnu listu od 4 unosi bez brojeva pod opštim naslovom Secure_Ma_And_Se, a ispod su dva ACL 10 unosa klasičnog oblika koji ponavljaju ime iste pristupne liste 10.
Ako želim napraviti neke promjene, kao što je uklanjanje unosa deny host 192.168.1.3 i uvođenje unosa za uređaj na drugoj mreži, moram koristiti naredbu za brisanje samo za taj unos: bez liste pristupa 10 deny host 192.168.1.3 .10. Ali čim unesem ovu naredbu, svi unosi ACL XNUMX potpuno nestaju. Zbog toga je klasični prikaz ACL-a vrlo nezgodno uređivati. Moderna metoda snimanja je mnogo praktičnija za korištenje, jer omogućava besplatno uređivanje.
Kako biste naučili materijal u ovoj video lekciji, savjetujem vam da je pogledate ponovo i pokušate sami riješiti probleme o kojima se raspravljalo bez ikakvih savjeta. ACL je važna tema u CCNA kursu i mnogi su zbunjeni, na primjer, procedurom za kreiranje obrnute maske zamjenskih znakova. Uvjeravam vas, samo shvatite koncept transformacije maske i sve će postati mnogo lakše. Zapamtite da je najvažnija stvar u razumijevanju tema CCNA kursa praktična obuka, jer će vam samo praksa pomoći da shvatite ovaj ili onaj Cisco koncept. Vježba nije copy-pasting mojih timova, već rješavanje problema na svoj način. Postavite sebi pitanja: šta treba učiniti da se blokira protok saobraćaja odavde do tamo, gdje primijeniti uslove itd. i pokušajte odgovoriti na njih.
Hvala vam što ste ostali s nama. Da li vam se sviđaju naši članci? Želite li vidjeti još zanimljivijeg sadržaja? Podržite nas naručivanjem ili preporukom prijateljima, 30% popusta za korisnike Habra na jedinstveni analog početnih servera, koji smo mi osmislili za vas: (dostupno sa RAID1 i RAID10, do 24 jezgra i do 40GB DDR4).
Dell R730xd 2 puta jeftiniji? Samo ovdje u Holandiji! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - od 99 USD! Pročitajte o
izvor: www.habr.com