Una cosa més que em vaig oblidar d'esmentar és que ACL no només filtra el trànsit per permetre/negar, sinó que realitza moltes més funcions. Per exemple, s'utilitza una ACL per xifrar el trànsit VPN, però per aprovar l'examen CCNA només cal saber com s'utilitza per filtrar el trànsit. Tornem al problema número 1.
Hem descobert que el trànsit del departament de comptabilitat i vendes es pot bloquejar a la interfície de sortida R2 mitjançant la llista ACL següent.
No us preocupeu pel format d'aquesta llista, només està pensada com a exemple per ajudar-vos a entendre què és una ACL. Arribarem al format correcte un cop comencem amb Packet Tracer.
La tasca núm. 2 sona així: la sala de servidors es pot comunicar amb qualsevol amfitrió, excepte amb els amfitrions del departament de gestió. És a dir, els ordinadors de la sala de servidors poden tenir accés a qualsevol ordinador dels departaments de vendes i comptabilitat, però no haurien de tenir accés als ordinadors del departament de gestió. Això vol dir que el personal informàtic de la sala de servidors no ha de tenir accés remot a l'ordinador del cap del departament de gestió, sinó que en cas de problemes, acudeix al seu despatx i arregla el problema al moment. Tingueu en compte que aquesta tasca no és pràctica perquè no conec cap raó per la qual la sala de servidors no es podria comunicar a través de la xarxa amb el departament de gestió, de manera que en aquest cas només estem mirant un cas pràctic.
Per resoldre aquest problema, primer heu de determinar la ruta del trànsit. Les dades de la sala de servidors arriben a la interfície d'entrada G0/1 de l'encaminador R1 i s'envien al departament de gestió a través de la interfície de sortida G0/0.
Si apliquem la condició Deny 192.168.1.192/27 a la interfície d'entrada G0/1 i, com recordeu, l'ACL estàndard es col·loca més a prop de la font de trànsit, bloquejarem tot el trànsit, inclòs el departament de vendes i comptabilitat.
Com que volem bloquejar només el trànsit dirigit al departament de gestió, hem d'aplicar una ACL a la interfície de sortida G0/0. Aquest problema només es pot resoldre col·locant l'ACL més a prop de la destinació. Al mateix temps, el trànsit de la xarxa del departament de comptabilitat i vendes ha d'arribar lliurement al departament de gestió, de manera que l'última línia de la llista serà l'ordre Permetre qualsevol - per permetre qualsevol trànsit, excepte el trànsit especificat a la condició anterior.
Passem a la tasca núm. 3: el portàtil Laptop 3 del departament de vendes no hauria de tenir accés a cap altre dispositiu que no sigui els que es troben a la xarxa local del departament comercial. Suposem que un estudiant està treballant en aquest ordinador i no hauria d'anar més enllà de la seva LAN.
En aquest cas, cal aplicar una ACL a la interfície d'entrada G0/1 de l'encaminador R2. Si assignem l'adreça IP 192.168.1.3/25 a aquest ordinador, s'ha de complir la condició Deny 192.168.1.3/25 i no s'ha de bloquejar el trànsit de cap altra adreça IP, per tant l'última línia de la llista serà Permís. cap.
Tanmateix, bloquejar el trànsit no tindrà cap efecte a Laptop2.
La següent tasca serà la tasca núm. 4: només l'ordinador PC0 del departament financer pot tenir accés a la xarxa de servidors, però no el departament de gestió.
Si recordeu, l'ACL de la tasca núm. 1 bloqueja tot el trànsit de sortida a la interfície S0/1/0 de l'encaminador R2, però la tasca núm. 4 diu que ens hem d'assegurar que només hi passi el trànsit de PC0, per la qual cosa hem de fer una excepció.
Totes les tasques que estem resolent ara us haurien d'ajudar en una situació real a l'hora de configurar ACL per a una xarxa d'oficines. Per comoditat, he utilitzat el tipus d'entrada clàssic, però us aconsello que anoteu totes les línies manualment en paper o que les introduïu a l'ordinador per poder fer correccions a les entrades. En el nostre cas, segons les condicions de la tasca núm. 1, es va compilar una llista clàssica d'ACL. Si volem afegir-hi una excepció per a PC0 de tipus Permís , llavors podem col·locar aquesta línia només en quart lloc de la llista, després de la línia Permet qualsevol. Tanmateix, com que l'adreça d'aquest ordinador s'inclou a l'interval d'adreces per comprovar la condició Deny 0/192.168.1.128, el seu trànsit es bloquejarà immediatament després que es compleixi aquesta condició i l'encaminador simplement no arribarà a la quarta línia de verificació, la qual cosa permetrà trànsit des d'aquesta adreça IP.
Per tant, hauré de refer completament la llista ACL de la tasca núm. 1, esborrant la primera línia i substituint-la per la línia Permís 192.168.1.130/26, que permet el trànsit des de PC0, i després tornar a entrar a les línies que prohibeixen tot el trànsit. dels departaments de comptabilitat i vendes.
Així, a la primera línia tenim una ordre per a una adreça específica i, a la segona, una general per a tota la xarxa on es troba aquesta adreça. Si utilitzeu un tipus modern d'ACL, podeu fer-hi canvis fàcilment col·locant la línia Permís 192.168.1.130/26 com a primera ordre. Si teniu una ACL clàssica, haureu d'eliminar-la completament i, a continuació, tornar a introduir les ordres en l'ordre correcte.
La solució al problema núm. 4 és col·locar la línia Permís 192.168.1.130/26 al començament de l'ACL del problema núm. 1, perquè només en aquest cas el trànsit des de la PC0 sortirà lliurement de la interfície de sortida de l'encaminador R2. El trànsit de PC1 es bloquejarà completament perquè la seva adreça IP està subjecta a la prohibició continguda a la segona línia de la llista.
Ara passarem a Packet Tracer per fer la configuració necessària. Ja he configurat les adreces IP de tots els dispositius perquè els diagrames anteriors simplificats eren una mica difícils d'entendre. A més, he configurat RIP entre els dos encaminadors. A la topologia de xarxa determinada, la comunicació entre tots els dispositius de 4 subxarxes és possible sense cap restricció. Però tan bon punt apliquem l'ACL, el trànsit començarà a filtrar-se.
Començaré pel departament de finances PC1 i intentaré fer ping a l'adreça IP 192.168.1.194, que pertany a Server0, situada a la sala del servidor. Com podeu veure, el ping té èxit sense cap problema. També faig ping amb èxit a Laptop0 des del departament de gestió. El primer paquet es descarta a causa de l'ARP, els 3 restants es fan ping lliurement.
Per organitzar el filtratge del trànsit, entro a la configuració de l'encaminador R2, active el mode de configuració global i vaig a crear una llista ACL moderna. També tenim l'ACL 10 d'aspecte clàssic. Per crear la primera llista, introdueixo una ordre en la qual heu d'especificar el mateix nom de llista que vam anotar al paper: ip access-list standard ACL Secure_Ma_And_Se. Després d'això, el sistema demana possibles paràmetres: puc seleccionar denegar, sortir, no, autoritzar o comentar, i també introduir un número de seqüència de l'1 al 2147483647. Si no ho faig, el sistema l'assignarà automàticament.
Per tant, no introdueixo aquest número, sinó que vaig immediatament a l'ordre host de permisos 192.168.1.130, ja que aquest permís és vàlid per a un dispositiu PC0 específic. També puc utilitzar una màscara de comodí inversa, ara us mostraré com fer-ho.
A continuació, introdueixo l'ordre deny 192.168.1.128. Com que tenim /26, faig servir la màscara inversa i complemento l'ordre amb ella: deny 192.168.1.128 0.0.0.63. Per tant, nego el trànsit a la xarxa 192.168.1.128/26.
De la mateixa manera, bloquejo el trànsit de la xarxa següent: deny 192.168.1.0 0.0.0.127. Tota la resta de trànsit està permès, així que introdueixo l'ordre per permetre qualsevol. A continuació, he d'aplicar aquesta llista a la interfície, així que faig servir l'ordre int s0/1/0. A continuació, escric ip access-group Secure_Ma_And_Se i el sistema em demana que seleccioni una interfície: entra per als paquets entrants i sortint per a sortints. Hem d'aplicar l'ACL a la interfície de sortida, així que faig servir l'ordre ip access-group Secure_Ma_And_Se out.
Anem a la línia d'ordres PC0 i fem ping a l'adreça IP 192.168.1.194, que pertany al servidor Server0. El ping té èxit perquè hem utilitzat una condició ACL especial per al trànsit PC0. Si faig el mateix des del PC1, el sistema generarà un error: "l'amfitrió de destinació no està disponible", ja que el trànsit de les adreces IP restants del departament de comptabilitat està bloquejat per accedir a la sala de servidors.
Si inicieu sessió a la CLI de l'encaminador R2 i escriviu l'ordre show ip address-lists, podeu veure com s'ha encaminat el trànsit de la xarxa del departament financer: mostra quantes vegades s'ha passat el ping segons el permís i quantes vegades ho ha estat. bloquejat segons la prohibició.
Sempre podem anar a la configuració de l'encaminador i veure la llista d'accés. Així, es compleixen les condicions de les tasques núm. 1 i núm. 4. Permeteu-me que us mostri una cosa més. Si vull arreglar alguna cosa, puc entrar al mode de configuració global de la configuració R2, introduir l'ordre ip access-list estàndard Secure_Ma_And_Se i després l'ordre "host 192.168.1.130 no està permès" - sense permís host 192.168.1.130.
Si tornem a mirar la llista d'accés, veurem que la línia 10 ha desaparegut, només ens queden les línies 20,30, 40 i XNUMX. Així, podeu editar la llista d'accés ACL a la configuració del router, però només si no està compilada. en la forma clàssica.
Ara passem a la tercera ACL, perquè també es refereix a l'encaminador R2. Afirma que cap trànsit del Laptop3 no hauria de sortir de la xarxa del departament de vendes. En aquest cas, Laptop2 hauria de comunicar-se sense problemes amb els ordinadors del departament financer. Per provar-ho, faig ping a l'adreça IP 192.168.1.130 des d'aquest ordinador portàtil i m'asseguro que tot funciona.
Ara aniré a la línia d'ordres de Laptop3 i faré ping a l'adreça 192.168.1.130. El ping té èxit, però no ho necessitem, ja que segons les condicions de la tasca, Laptop3 només es pot comunicar amb Laptop2, que es troba a la mateixa xarxa de departaments comercials. Per fer-ho, heu de crear una altra ACL mitjançant el mètode clàssic.
Tornaré a la configuració R2 i intentaré recuperar l'entrada 10 suprimida mitjançant l'ordre host 192.168.1.130 de permís. Veu que aquesta entrada apareix al final de la llista al número 50. Tanmateix, l'accés encara no funcionarà, perquè la línia que permet un host específic es troba al final de la llista i la línia que prohibeix tot el trànsit de la xarxa es troba a la part superior. de la llista. Si intentem fer ping al Laptop0 del departament de gestió des del PC0, rebrem el missatge "l'amfitrió de destinació no és accessible", malgrat que hi ha una entrada de permís al número 50 de l'ACL.
Per tant, si voleu editar una ACL existent, heu d'introduir l'ordre no permet host 2 en mode R192.168.1.130 (config-std-nacl), comproveu que la línia 50 hagi desaparegut de la llista i introduïu l'ordre 10 permit amfitrió 192.168.1.130. Veiem que la llista ha tornat a la seva forma original, amb aquesta entrada en primer lloc. Els números de seqüència ajuden a editar la llista en qualsevol forma, de manera que la forma moderna d'ACL és molt més convenient que la clàssica.
Ara mostraré com funciona la forma clàssica de la llista ACL 10. Per utilitzar la llista clàssica, heu d'introduir l'ordre access–list 10?, i, seguint la sol·licitud, seleccioneu l'acció desitjada: denegar, permetre o comentar. A continuació, introdueixo la línia access-list 10 deny host, després de la qual escric l'ordre access-list 10 deny 192.168.1.3 i afegeixo la màscara inversa. Com que tenim un host, la màscara de subxarxa directa és 255.255.255.255 i la inversa és 0.0.0.0. Com a resultat, per denegar el trànsit de l'amfitrió, he d'introduir l'ordre access–list 10 deny 192.168.1.3 0.0.0.0. Després d'això, heu d'especificar els permisos, per als quals escric l'ordre d'accés-lista 10 permetre qualsevol. Aquesta llista s'ha d'aplicar a la interfície G0/1 de l'encaminador R2, de manera que introdueixo seqüencialment les ordres a g0/1, grup d'accés ip 10 in. Independentment de quina llista s'utilitzi, clàssica o moderna, s'utilitzen les mateixes ordres per aplicar aquesta llista a la interfície.
Per comprovar si la configuració és correcta, vaig al terminal de línia d'ordres Laptop3 i intento fer ping a l'adreça IP 192.168.1.130; com podeu veure, el sistema informa que l'amfitrió de destinació no és accessible.
Permeteu-me que us recordi que per comprovar la llista podeu utilitzar tant les ordres show ip access-lists com show access-lists. Hem de resoldre un problema més, que es refereix al router R1. Per fer-ho, vaig a la CLI d'aquest encaminador i vaig al mode de configuració global i introdueixo l'ordre ip access-list estàndard Secure_Ma_From_Se. Com que tenim una xarxa 192.168.1.192/27, la seva màscara de subxarxa serà 255.255.255.224, el que significa que la màscara inversa serà 0.0.0.31 i hem d'introduir l'ordre deny 192.168.1.192 0.0.0.31. Com que tot el trànsit està permès, la llista acaba amb l'ordre permet qualsevol. Per aplicar una ACL a la interfície de sortida de l'encaminador, utilitzeu l'ordre ip access-group Secure_Ma_From_Se out.
Ara aniré al terminal de línia d'ordres del Servidor0 i intentaré fer ping a Laptop0 del departament de gestió a l'adreça IP 192.168.1.226. L'intent no va tenir èxit, però si feia ping a l'adreça 192.168.1.130, la connexió es va establir sense problemes, és a dir, vam prohibir que l'ordinador servidor es comuniqués amb el departament de gestió, però vam permetre la comunicació amb tots els altres dispositius d'altres departaments. Així, hem resolt amb èxit els 4 problemes.
Deixa'm mostrar-te una altra cosa. Entrem a la configuració de l'encaminador R2, on tenim 2 tipus d'ACL: clàssic i modern. Suposem que vull editar ACL 10, llista d'accés IP estàndard 10, que en la seva forma clàssica consta de dues entrades 10 i 20. Si faig servir l'ordre do show run, puc veure que primer tenim una llista d'accés moderna de 4 entrades sense números sota l'encapçalament general Secure_Ma_And_Se, i a continuació hi ha dues entrades ACL 10 de la forma clàssica que repeteixen el nom de la mateixa llista d'accés 10.
Si vull fer alguns canvis, com ara eliminar l'entrada deny host 192.168.1.3 i introduir una entrada per a un dispositiu en una xarxa diferent, he d'utilitzar l'ordre delete només per a aquesta entrada: no access-list 10 deny host 192.168.1.3 .10. Però tan bon punt introduc aquesta ordre, totes les entrades de l'ACL XNUMX desapareixen completament, per això la vista clàssica de l'ACL és molt incòmode d'editar. El mètode d'enregistrament modern és molt més còmode d'utilitzar, ja que permet l'edició gratuïta.
Per tal d'aprendre el material d'aquesta lliçó en vídeo, us aconsello que el torneu a veure i intenteu resoldre els problemes tractats pel vostre compte sense cap indicació. L'ACL és un tema important al curs CCNA, i molts es confonen per, per exemple, el procediment per crear una màscara de comodí inversa. Us asseguro que només heu d'entendre el concepte de transformació de màscara i tot serà molt més fàcil. Recordeu que el més important per entendre els temes del curs CCNA és la formació pràctica, perquè només la pràctica us ajudarà a entendre aquest o aquell concepte de Cisco. La pràctica no és copiar i enganxar els meus equips, sinó resoldre problemes a la teva manera. Fes-te preguntes: què s'ha de fer per bloquejar el flux de trànsit d'aquí cap allà, on aplicar condicions, etc., i intenta respondre-les.
Gràcies per quedar-te amb nosaltres. T'agraden els nostres articles? Vols veure més contingut interessant? Doneu-nos suport fent una comanda o recomanant als amics, 30% de descompte per als usuaris d'Habr en un únic anàleg de servidors d'entrada, que hem inventat per a tu: (disponible amb RAID1 i RAID10, fins a 24 nuclis i fins a 40 GB DDR4).
Dell R730xd 2 vegades més barat? Només aquí als Països Baixos! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbps 100 TB - a partir de 99 $! Llegeix sobre
Font: www.habr.com