Usa pa ka butang nga nakalimtan nako nga hisgutan mao nga ang ACL dili lamang nagsala sa trapiko sa gitugotan / pagdumili nga basehan, kini naghimo sa daghang mga gimbuhaton. Pananglitan, ang usa ka ACL gigamit sa pag-encrypt sa trapiko sa VPN, apan aron makapasar sa eksaminasyon sa CCNA, kinahanglan ra nimo mahibal-an kung giunsa kini gigamit sa pagsala sa trapiko. Balikan nato ang Problema Num.
Among nahibal-an nga ang trapiko sa departamento sa accounting ug sales mahimong babagan sa R2 output interface gamit ang mosunod nga listahan sa ACL.
Ayaw kabalaka bahin sa pormat niini nga lista, gipasabot lang kini nga pananglitan aron matabangan ka nga masabtan kung unsa ang ACL. Moadto kami sa husto nga pormat kung magsugod kami sa Packet Tracer.
Ang buluhaton No. 2 ingon niini: ang lawak sa server mahimong makigkomunikar sa bisan unsang mga host, gawas sa mga host sa departamento sa pagdumala. Kana mao, ang mga kompyuter sa lawak sa server mahimong adunay access sa bisan unsang mga kompyuter sa mga departamento sa pagbaligya ug accounting, apan dili kinahanglan nga adunay access sa mga kompyuter sa departamento sa pagdumala. Kini nagpasabot nga ang IT staff sa server room dili kinahanglan nga adunay hilit nga access sa computer sa ulo sa departamento sa pagdumala, apan sa kaso sa mga problema, adto sa iyang opisina ug ayuhon ang problema sa dapit. Timan-i nga kini nga buluhaton dili praktikal tungod kay wala ko mahibal-an kung ngano nga ang lawak sa server dili makahimo sa pagpakigsulti sa network sa departamento sa pagdumala, mao nga sa kini nga kaso nagtan-aw lang kami sa usa ka pananglitan sa panudlo.
Aron masulbad kini nga problema, kinahanglan nimo una nga mahibal-an ang agianan sa trapiko. Ang datos gikan sa lawak sa server moabot sa input interface G0/1 sa router R1 ug gipadala ngadto sa management department pinaagi sa output interface G0/0.
Kung atong i-apply ang Deny 192.168.1.192/27 nga kondisyon sa input interface G0/1, ug ingon sa imong nahinumduman, ang standard ACL gibutang nga mas duol sa tinubdan sa trapiko, atong babagan ang tanan nga trapiko, lakip na ang sales ug accounting department.
Tungod kay gusto namon nga babagan lamang ang trapiko nga gitumong sa departamento sa pagdumala, kinahanglan namon nga i-apply ang ACL sa output interface G0/0. Kini nga problema masulbad lamang pinaagi sa pagbutang sa ACL nga mas duol sa destinasyon. Sa parehas nga oras, ang trapiko gikan sa network sa accounting ug sales department kinahanglan nga gawasnon nga makaabot sa departamento sa pagdumala, mao nga ang katapusan nga linya sa lista mao ang Permit bisan unsang mando - aron tugutan ang bisan unsang trapiko, gawas sa trapiko nga gitakda sa miaging kahimtang.
Mopadayon kita sa Buluhaton No. 3: ang Laptop 3 nga laptop gikan sa departamento sa pagpamaligya kinahanglan nga wala’y access sa bisan unsang mga aparato gawas sa nahimutang sa lokal nga network sa departamento sa pagpamaligya. Ibutang nato nga ang usa ka trainee nagtrabaho niini nga kompyuter ug dili kinahanglan nga molapas sa iyang LAN.
Sa kini nga kaso, kinahanglan nimo nga magamit ang usa ka ACL sa input interface G0/1 sa router R2. Kung among i-assign ang IP address nga 192.168.1.3/25 sa kini nga kompyuter, nan ang Deny 192.168.1.3/25 nga kondisyon kinahanglan matuman, ug ang trapiko gikan sa bisan unsang ubang IP address kinahanglan dili babagan, mao nga ang katapusan nga linya sa lista mao ang Permit bisan unsa.
Bisan pa, ang pagbabag sa trapiko wala’y epekto sa Laptop2.
Ang sunod nga buluhaton mao ang Buluhaton No. 4: ang computer PC0 lamang sa departamento sa pinansya ang adunay access sa network sa server, apan dili ang departamento sa pagdumala.
Kung nahinumduman nimo, ang ACL gikan sa Task #1 nag-block sa tanan nga paggawas nga trapiko sa S0/1/0 interface sa router R2, apan ang Task #4 nag-ingon nga kinahanglan naton sigurohon nga ang trapiko sa PC0 ra ang moagi, busa kinahanglan naton maghimo usa ka eksepsiyon.
Ang tanan nga mga buluhaton nga among gisulbad karon kinahanglan nga makatabang kanimo sa usa ka tinuod nga sitwasyon kung mag-set up sa mga ACL alang sa usa ka network sa opisina. Alang sa kasayon, gigamit nako ang klasiko nga tipo sa pagsulod, apan gitambagan ko ikaw nga isulat ang tanan nga mga linya nga mano-mano sa papel o i-type kini sa usa ka kompyuter aron makahimo ka mga pagtul-id sa mga entri. Sa among kaso, sumala sa mga kondisyon sa Task No. 1, usa ka classic nga listahan sa ACL ang gihugpong. Kung gusto namon nga magdugang usa ka eksepsiyon niini alang sa PC0 nga tipo nga Permit , unya mahimo natong ibutang kini nga linya sa ikaupat lamang sa listahan, human sa Permit Bisan unsang linya. Apan, tungod kay ang adres niini nga kompyuter gilakip sa han-ay sa mga adres alang sa pagsusi sa Deny nga kondisyon 0/192.168.1.128, ang trapiko niini ma-block dayon human matuman kini nga kondisyon ug ang router dili na makaabot sa ikaupat nga linya sa pagsusi, nga nagtugot trapiko gikan niini nga IP address.
Busa, kinahanglan nakong bug-os nga buhaton pag-usab ang listahan sa ACL sa Task No. 1, pagtangtang sa unang linya ug pulihan kini sa linya Permit 192.168.1.130/26, nga nagtugot sa trapiko gikan sa PC0, ug dayon pagsulod sa mga linya nga nagdili sa tanang trapiko. gikan sa mga departamento sa accounting ug sales.
Busa, sa unang linya kita adunay usa ka sugo alang sa usa ka piho nga adres, ug sa ikaduha - usa ka kinatibuk-an alang sa tibuok network diin kini nga address nahimutang. Kung naggamit ka usa ka moderno nga tipo sa ACL, dali ka makahimo mga pagbag-o niini pinaagi sa pagbutang sa linya nga Permit 192.168.1.130/26 ingon ang una nga mando. Kung ikaw adunay usa ka klasiko nga ACL, kinahanglan nimo nga tangtangon kini sa hingpit ug dayon isulod pag-usab ang mga mando sa husto nga pagkasunod-sunod.
Ang solusyon sa Problema No. 4 mao ang pagbutang sa linya Permit 192.168.1.130/26 sa sinugdanan sa ACL gikan sa Problema No. 1, tungod kay sa niini nga kaso ang trapiko gikan sa PC0 gawasnon nga mobiya sa output interface sa router R2. Ang trapiko sa PC1 hingpit nga mabara tungod kay ang IP address niini gipailalom sa pagdili nga anaa sa ikaduhang linya sa listahan.
Mopadayon kami karon sa Packet Tracer aron mahimo ang kinahanglan nga mga setting. Na-configure na nako ang mga IP address sa tanan nga mga aparato tungod kay ang gipasimple nga nangaging mga diagram medyo lisud sabton. Dugang pa, gi-configure nako ang RIP tali sa duha nga mga router. Sa gihatag nga topology sa network, ang komunikasyon tali sa tanan nga mga aparato sa 4 nga mga subnet posible nga wala’y mga pagdili. Apan sa diha nga atong i-apply ang ACL, ang trapiko magsugod sa pagsala.
Magsugod ko sa departamento sa pinansya PC1 ug mosulay sa pag-ping sa IP address 192.168.1.194, nga iya sa Server0, nga nahimutang sa lawak sa server. Sama sa imong nakita, ang ping malampuson nga wala’y mga problema. Nagmalampuson usab ako nga nag-ping sa Laptop0 gikan sa departamento sa pagdumala. Ang una nga pakete gilabay tungod sa ARP, ang nahabilin nga 3 libre nga gi-ping.
Aron ma-organisar ang pagsala sa trapiko, moadto ako sa mga setting sa R2 router, i-aktibo ang global configuration mode ug maghimo ako usa ka modernong lista sa ACL. Adunay usab kami nga klasiko nga hitsura nga ACL 10. Aron mahimo ang una nga lista, nagsulod ako usa ka mando diin kinahanglan nimo nga ipiho ang parehas nga ngalan sa lista nga among gisulat sa papel: ip access-list standard ACL Secure_Ma_And_Se. Pagkahuman niini, ang sistema nag-aghat alang sa posible nga mga parameter: Mahimo nakong pilion ang pagdumili, paggawas, dili, pagtugot o pagsulti, ug usab pagsulod sa usa ka Sequence Number gikan sa 1 hangtod 2147483647. Kung dili nako kini buhaton, awtomatiko nga i-assign kini sa sistema.
Busa, dili ko mosulod niini nga numero, apan diha-diha dayon moadto sa permit host 192.168.1.130 sugo, tungod kay kini nga pagtugot balido alang sa usa ka piho nga PC0 device. Mahimo usab ako mogamit usa ka reverse Wildcard Mask, karon ipakita ko kanimo kung giunsa kini buhaton.
Sunod, akong gisulod ang command deny 192.168.1.128. Tungod kay kami adunay /26, gigamit nako ang reverse mask ug gidugangan ang mando niini: ilimod ang 192.168.1.128 0.0.0.63. Busa, gilimud nako ang trapiko sa network 192.168.1.128/26.
Sa susama, akong gibabagan ang trapiko gikan sa mosunod nga network: ilimod 192.168.1.0 0.0.0.127. Gitugotan ang tanan nga ubang trapiko, mao nga gisulod nako ang permiso sa mando bisan unsa. Sunod kinahanglan nako nga i-apply kini nga lista sa interface, mao nga gigamit nako ang command int s0/1/0. Dayon akong i-type ang ip access-group Secure_Ma_And_Se, ug ang sistema nag-aghat kanako sa pagpili og interface - in para sa umaabot nga mga packet ug out para sa outgoing. Kinahanglan natong i-apply ang ACL sa output interface, mao nga gigamit nako ang ip access-group Secure_Ma_And_Se out command.
Adto ta sa PC0 command line ug i-ping ang IP address 192.168.1.194, nga iya sa Server0 server. Ang ping malampuson tungod kay migamit kami og espesyal nga kondisyon sa ACL alang sa trapiko sa PC0. Kung buhaton nako ang parehas gikan sa PC1, ang sistema maghimo usa ka sayup: "dili magamit ang host sa destinasyon", tungod kay ang trapiko gikan sa nahabilin nga mga adres sa IP sa departamento sa accounting gibabagan sa pag-access sa kwarto sa server.
Pinaagi sa pag-log in sa CLI sa R2 router ug pag-type sa show ip address-lists command, imong makita kung giunsa ang trapiko sa network sa departamento sa pinansya gi-ruta - kini nagpakita kung pila ka beses nga gipasa ang ping sumala sa pagtugot ug kung pila kini ka beses gibabagan sumala sa gidili.
Kanunay kaming makaadto sa mga setting sa router ug makita ang lista sa pag-access. Busa, ang mga kondisyon sa Buluhaton No. 1 ug No. 4 natuman. Tugoti ako nga ipakita kanimo ang usa pa ka butang. Kung gusto nako ayohon ang usa ka butang, makaadto ako sa global configuration mode sa R2 settings, isulod ang command ip access-list standard Secure_Ma_And_Se ug dayon ang command "host 192.168.1.130 is not allowed" - walay permit host 192.168.1.130.
Kung atong tan-awon pag-usab ang listahan sa pag-access, atong makita nga ang linya 10 nawala na, aduna na lang kitay nahabilin nga mga linya 20,30, 40 ug XNUMX. Busa, mahimo nimong usbon ang listahan sa access sa ACL sa mga setting sa router, apan kung wala kini gihugpong. sa klasiko nga porma.
Karon magpadayon kita sa ikatulo nga ACL, tungod kay nabalaka usab kini sa R2 router. Kini nag-ingon nga ang bisan unsang trapiko gikan sa Laptop3 kinahanglan dili mobiya sa network sa sales department. Sa kini nga kaso, ang Laptop2 kinahanglan nga makigsulti nga wala’y mga problema sa mga kompyuter sa departamento sa pinansya. Aron masulayan kini, akong gi-ping ang IP address 192.168.1.130 gikan niini nga laptop ug siguruha nga ang tanan molihok.
Karon moadto ko sa command line sa Laptop3 ug i-ping ang address 192.168.1.130. Malampuson ang pinging, apan wala namo kini kinahanglana, tungod kay sumala sa mga kondisyon sa buluhaton, ang Laptop3 mahimo lamang nga makigkomunikar sa Laptop2, nga nahimutang sa samang sales department network. Aron mahimo kini, kinahanglan nimo nga maghimo usa ka lain nga ACL gamit ang klasiko nga pamaagi.
Mobalik ko sa R2 settings ug maningkamot nga mabawi ang natangtang nga entry 10 gamit ang permit host 192.168.1.130 command. Nakita nimo nga kini nga entry makita sa katapusan sa listahan sa numero 50. Bisan pa, ang pag-access dili gihapon molihok, tungod kay ang linya nga nagtugot sa usa ka piho nga host anaa sa katapusan sa listahan, ug ang linya nga nagdili sa tanan nga trapiko sa network anaa sa ibabaw. sa listahan. Kung sulayan namon nga i-ping ang Laptop0 sa departamento sa pagdumala gikan sa PC0, makadawat kami sa mensahe nga "dili ma-access ang host sa destinasyon," bisan pa sa kamatuoran nga adunay gitugotan nga pagsulod sa numero 50 sa ACL.
Busa, kung gusto nimo i-edit ang usa ka kasamtangan nga ACL, kinahanglan nimo nga mosulod sa command no permit host 2 sa R192.168.1.130 mode (config-std-nacl), susiha nga ang linya 50 nawala gikan sa listahan, ug isulod ang command 10 permit host 192.168.1.130. Among nakita nga ang listahan mibalik na sa orihinal nga porma niini, nga kini nga entry nag-una sa ranggo. Ang mga numero sa han-ay makatabang sa pag-edit sa lista sa bisan unsang porma, mao nga ang modernong porma sa ACL labi ka kombenyente kaysa sa klasiko.
Karon ipakita nako kung giunsa ang klasiko nga porma sa lista sa ACL 10. Aron magamit ang klasiko nga lista, kinahanglan nimo nga mosulod sa command access–list 10?, ug, pagkahuman sa prompt, pilia ang gusto nga aksyon: pagdumili, pagtugot o komento. Dayon mosulod ko sa line access–list 10 deny host, human niana akong type ang command access–list 10 deny 192.168.1.3 ug idugang ang reverse mask. Tungod kay kita adunay usa ka host, ang forward subnet mask mao ang 255.255.255.255, ug ang reverse mao ang 0.0.0.0. Ingon nga resulta, aron malimud ang trapiko sa host, kinahanglan kong mosulod sa command access–list 10 deny 192.168.1.3 0.0.0.0. Pagkahuman niini, kinahanglan nimo nga ipiho ang mga permiso, diin akong gi-type ang command access–list 10 permit any. Kini nga lista kinahanglan nga i-apply sa G0/1 interface sa router R2, mao nga sunod-sunod nakong gisulod ang mga command sa g0/1, ip access-group 10 in. Bisan unsa nga lista ang gigamit, klasiko o moderno, parehas nga mga mando ang gigamit aron magamit kini nga lista sa interface.
Aron masusi kung husto ba ang mga setting, moadto ako sa terminal sa command line sa Laptop3 ug mosulay sa pag-ping sa IP address 192.168.1.130 - ingon sa imong makita, ang sistema nagtaho nga ang destinasyon nga host dili maabot.
Pahinumdumi ko nimo nga aron masusi ang lista mahimo nimong gamiton ang show ip access-lists ug ipakita ang access-lists nga mga sugo. Kinahanglan natong sulbaron ang usa pa ka problema, nga may kalabutan sa R1 router. Aron mahimo kini, moadto ako sa CLI niini nga router ug moadto sa global configuration mode ug mosulod sa command ip access-list standard Secure_Ma_From_Se. Tungod kay kita adunay network nga 192.168.1.192/27, ang subnet mask niini mahimong 255.255.255.224, nga nagpasabot nga ang reverse mask mahimong 0.0.0.31 ug kinahanglan natong isulod ang deny 192.168.1.192 0.0.0.31 command. Tungod kay gitugotan ang tanan nga ubang trapiko, ang lista natapos sa pagtugot sa bisan unsang mando. Aron magamit ang ACL sa output interface sa router, gamita ang ip access-group Secure_Ma_From_Se out command.
Karon moadto ko sa command line terminal sa Server0 ug mosulay sa pag-ping sa Laptop0 sa management department sa IP address 192.168.1.226. Ang pagsulay wala molampos, apan kung akong gi-ping ang adres nga 192.168.1.130, ang koneksyon natukod nga wala’y mga problema, nga mao, gidid-an namon ang kompyuter sa server sa pagpakigsulti sa departamento sa pagdumala, apan gitugotan ang komunikasyon sa tanan nga uban pang mga aparato sa ubang mga departamento. Sa ingon, malampuson namon nga nasulbad ang tanan nga 4 nga mga problema.
Tugoti ako nga magpakita kanimo og lain. Moadto kami sa mga setting sa R2 router, diin kami adunay 2 nga matang sa ACL - klasiko ug moderno. Ingnon ta nga gusto nakong i-edit ang ACL 10, Standard IP access list 10, nga sa klasiko nga porma niini naglangkob sa duha ka entries 10 ug 20. Kung akong gamiton ang do show run nga sugo, akong makita nga una kita adunay modernong access list sa 4 mga entry nga walay mga numero ubos sa general heading nga Secure_Ma_And_Se, ug sa ubos mao ang duha ka ACL 10 entries sa classical nga porma nga nagsubli sa ngalan sa samang access-list 10.
Kung gusto nako nga maghimo pipila ka mga pagbag-o, sama sa pagtangtang sa deny host 192.168.1.3 entry ug pagpaila sa usa ka entry alang sa usa ka device sa lain nga network, kinahanglan nakong gamiton ang delete command para lang sa entry: walay access-list 10 deny host 192.168.1.3. .10. Apan sa diha nga ako mosulod niini nga sugo, ang tanang ACL XNUMX entries hingpit nga mawala. Ang modernong paagi sa pagrekord mas sayon gamiton, tungod kay kini nagtugot sa libre nga pag-edit.
Aron mahibal-an ang materyal sa kini nga leksyon sa video, gitambagan ko ikaw nga tan-awon kini pag-usab ug sulayan nga sulbaron ang mga problema nga gihisgutan sa imong kaugalingon nga wala’y bisan unsang mga pahiwatig. Ang ACL usa ka importante nga hilisgutan sa CCNA nga kurso, ug daghan ang naglibog sa, pananglitan, ang pamaagi sa paghimo og reverse Wildcard Mask. Gipasaligan ko ikaw, sabta lang ang konsepto sa pagbag-o sa maskara, ug ang tanan mahimong labi kadali. Hinumdumi nga ang labing hinungdanon nga butang sa pagsabut sa mga hilisgutan sa kurso sa CCNA mao ang praktikal nga pagbansay, tungod kay ang pagpraktis ra ang makatabang kanimo nga masabtan kini o kana nga konsepto sa Cisco. Ang praktis dili pagkopya-paste sa akong mga team, apan pagsulbad sa mga problema sa imong kaugalingong paagi. Pangutan-a ang imong kaugalingon sa mga pangutana: unsa ang kinahanglan nga buhaton aron mapugngan ang dagan sa trapiko gikan dinhi hangtod didto, kung asa magamit ang mga kondisyon, ug uban pa, ug pagsulay sa pagtubag niini.
Salamat sa pagpabilin kanamo. Ganahan ka ba sa among mga artikulo? Gusto nga makakita og mas makapaikag nga sulod? Suportahi kami pinaagi sa pag-order o pagrekomenda sa mga higala, 30% nga diskwento alang sa mga tiggamit sa Habr sa usa ka talagsaon nga analogue sa mga entry-level server, nga giimbento namo alang kanimo: (anaa sa RAID1 ug RAID10, hangtod sa 24 ka mga core ug hangtod sa 40GB DDR4).
Dell R730xd 2 ka beses nga mas barato? Dinhi lang sa Netherlands! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - gikan sa $99! Basaha ang mahitungod sa
Source: www.habr.com