Una cosa più chì aghju scurdatu di menziunà hè chì ACL ùn solu filtra u trafficu nantu à una basa di permessu / deni, ma rende assai più funzioni. Per esempiu, un ACL hè utilizatu per criptà u trafficu VPN, ma per passà l'esame CCNA, solu bisognu di sapè cumu si usa per filtrà u trafficu. Riturnemu à u prublema n ° 1.
Avemu scupertu chì u trafficu di u dipartimentu di cuntabilità è di vendita pò esse bluccatu nantu à l'interfaccia di output R2 utilizendu a seguente lista ACL.
Ùn vi preoccupate micca di u furmatu di sta lista, hè solu significatu cum'è un esempiu per aiutà à capisce ciò chì hè un ACL. Andemu à u formatu currettu una volta chì avemu principiatu cù Packet Tracer.
Task No 2 sona cusì: a sala di u servitore pò cumunicà cù qualsiasi òspiti, eccettu per l'ospiti di u dipartimentu di gestione. Questu hè, l'urdinatori di a sala di u servitore ponu accede à qualsiasi computer in i dipartimenti di vendita è di cuntabilità, ma ùn deve micca accessu à l'ordinateur in u dipartimentu di gestione. Questu significa chì u persunale di l'IT di a sala di u servitore ùn deve micca accessu remoto à l'urdinatore di u capu di u dipartimentu di gestione, ma in casu di prublemi, vene à u so uffiziu è risolve u prublema in u locu. Innota chì questu compitu ùn hè micca praticu perchè ùn sò micca sapè perchè a sala di u servitore ùn puderia micca cumunicà nantu à a reta cù u dipartimentu di gestione, per quessa, in questu casu, guardemu solu un esempiu tutoriale.
Per risolve stu prublema, avete prima bisognu di determinà a strada di u trafficu. I dati da a stanza di u servitore ghjunghjenu à l'interfaccia di input G0/1 di u router R1 è sò mandati à u dipartimentu di gestione attraversu l'interfaccia di output G0/0.
Se applicàmu a cundizione Deny 192.168.1.192/27 à l'interfaccia di input G0/1, è cum'è vi ricordate, l'ACL standard hè situatu più vicinu à a fonte di u trafficu, bluccà tuttu u trafficu, cumpresu à u dipartimentu di vendita è di cuntabilità.
Siccomu vulemu bluccà solu u trafficu direttu à u dipartimentu di gestione, avemu da applicà una ACL à l'interfaccia di output G0/0. Stu prublema pò solu esse risolta mettendu l'ACL più vicinu à u destinazione. À u listessu tempu, u trafficu da a reta di u dipartimentu di contabilità è di vendita deve ghjunghje liberamente à u dipartimentu di gestione, cusì l'ultima linea di a lista serà u Permette ogni cumanda - per permette ogni trafficu, salvu u trafficu specificatu in a cundizione precedente.
Passemu à a Task No. 3: u laptop Laptop 3 da u dipartimentu di vendita ùn deve micca accessu à qualsiasi dispositi altru ch'è quelli situati in a reta lucale di u dipartimentu di vendita. Assumimu chì un trainee hè travagliatu annantu à questu computer è ùn deve micca andà oltre a so LAN.
In questu casu, avete bisognu di applicà un ACL in l'interfaccia di input G0/1 di u router R2. Se assignemu l'indirizzu IP 192.168.1.3/25 à questu computer, allora a cundizione Deny 192.168.1.3/25 deve esse cumpletata, è u trafficu da qualsiasi altru indirizzu IP ùn deve esse bluccatu, cusì l'ultima linea di a lista serà Permit. alcunu.
Tuttavia, bluccà u trafficu ùn hà micca effettu nant'à Laptop2.
U prossimu compitu serà Task No 4: solu l'urdinatore PC0 di u dipartimentu finanziariu pò avè accessu à a reta di u servitore, ma micca u dipartimentu di gestione.
Se vi ricordate, l'ACL da Task #1 blucca tuttu u trafficu in uscita nantu à l'interfaccia S0/1/0 di u router R2, ma Task #4 dice chì avemu bisognu di assicurà chì solu u trafficu PC0 passa, cusì avemu da fà una eccezzioni.
Tutti i travaglii chì risolvemu avà duveranu aiutà in una situazione reale quandu stabilisce l'ACL per una rete d'uffiziu. Per a cunvenzione, aghju utilizatu u tipu classicu di entrata, ma vi cunsigliu per scrive tutte e linee manualmente nantu à carta o scrivite in un computer per pudè fà correzioni à l'entrate. In u nostru casu, secondu e cundizioni di Task No 1, una lista ACL classica hè stata compilata. Se vulemu aghjunghje una eccezzioni à questu per PC0 di tipu Permit , Allora pudemu mette sta linea solu quarta in a lista, dopu à a linea Permit Any. In ogni casu, postu chì l'indirizzu di stu computer hè inclusu in a gamma di indirizzi per verificà a cundizione Deny 0/192.168.1.128, u so trafficu serà bluccatu immediatamente dopu chì sta cundizione hè scontru è u router ùn hà micca solu ghjunghje à a quarta linea di cuntrollu, chì permette trafficu da stu indirizzu IP.
Per quessa, avarà da ripiglià cumplettamente a lista ACL di Task No. 1, sguassate a prima linea è rimpiazzà cù a linea Permit 192.168.1.130/26, chì permette u trafficu da PC0, è dopu entre in e linee chì pruibiscenu tuttu u trafficu. da i dipartimenti di contabilità è di vendita.
Cusì, in a prima linea avemu un cumandamentu per un indirizzu specificu, è in u sicondu - un generale per tutta a reta in quale si trova questu indirizzu. Sè vo aduprate un tipu mudernu di ACL, pudete facilmente fà cambiamenti à ellu mettendu a linea Permit 192.168.1.130/26 cum'è u primu cumandamentu. Sè vo avete un ACL classicu, vi tuccherà à caccià lu cumpletamenti e poi rientra i cumandamenti in l 'ordine currettu.
A suluzione à u Prublemu N ° 4 hè di mette a linea Permit 192.168.1.130/26 à l'iniziu di l'ACL da u Problem N ° 1, perchè solu in questu casu, u trafficu da PC0 abbandunà liberamente l'interfaccia di output di u router R2. U trafficu di PC1 serà cumpletamente bluccatu perchè u so indirizzu IP hè sottumessu à a prohibizione contenuta in a seconda linea di a lista.
Andemu avà à Packet Tracer per fà i paràmetri necessarii. Aghju digià cunfiguratu l'indirizzi IP di tutti i dispositi perchè i schemi previ simplificati eranu un pocu difficiuli di capiscenu. Inoltre, aghju cunfiguratu RIP trà i dui routers. Nantu à a topologia di a rete data, a cumunicazione trà tutti i dispositi di 4 subnets hè pussibule senza restrizioni. Ma appena applicà l'ACL, u trafficu cumincià à esse filtratu.
Cumincià cù u dipartimentu finanziariu PC1 è pruvate à ping l'indirizzu IP 192.168.1.194, chì appartene à Server0, situatu in a sala di u servitore. Comu pudete vede, u ping hè successu senza prublemi. Aghju ancu cun successu ping Laptop0 da u dipartimentu di gestione. U primu pacchettu hè scartatu per via di ARP, i 3 restanti sò liberamente ping.
Per urganizà u filtru di u trafficu, entre in i paràmetri di u router R2, attivà u modu di cunfigurazione globale è aghju da creà una lista ACL moderna. Avemu dinò l'aspettu classicu ACL 10. Per creà a prima lista, aghju inseritu un cumandamentu in quale deve specificà u listessu nome di lista chì avemu scrittu nantu à carta: ip access-list standard ACL Secure_Ma_And_Se. Dopu questu, u sistema dumanda per i paràmetri pussibuli: Puderaghju selezziunà deny, exit, no, permessu o rimarca, è ancu entre in un Numeru di Sequenza da 1 à 2147483647. Se ùn aghju micca fà questu, u sistema l'assignarà automaticamente.
Dunque, ùn aghju micca inseritu stu numeru, ma subitu vai à u cumandamentu di l'ospite di permessu 192.168.1.130, postu chì sta permissione hè valida per un dispositivu PC0 specificu. Puderaghju ancu aduprà una maschera Wildcard inversa, avà vi mustraraghju cumu fà.
Dopu, entre in u cumandamentu deny 192.168.1.128. Siccomu avemu /26, aghju utilizatu a maschera inversa è cumplementà u cumandamentu cun ellu: deny 192.168.1.128 0.0.0.63. Cusì, nigà u trafficu à a reta 192.168.1.128/26.
In u listessu modu, bluccà u trafficu da a reta seguente: deny 192.168.1.0 0.0.0.127. Tuttu l'altru trafficu hè permessu, cusì entre in u cumandimu permessu qualsiasi. In seguitu, aghju da applicà sta lista à l'interfaccia, cusì aghju utilizatu u cumandamentu int s0/1/0. Allora scrivite ip access-group Secure_Ma_And_Se, è u sistema m'invita à selezziunà una interfaccia - in per i pacchetti in entrata è fora per u uscita. Avemu bisognu di applicà l'ACL à l'interfaccia di output, cusì aghju utilizatu l'ip access-group Secure_Ma_And_Se out command.
Andemu à a linea di cumanda PC0 è ping l'indirizzu IP 192.168.1.194, chì appartene à u servitore Server0. U ping hè successu perchè avemu usatu una cundizione ACL speciale per u trafficu PC0. Se aghju fattu u stessu da PC1, u sistema generarà un errore: "l'ospite di destinazione ùn hè micca dispunibule", postu chì u trafficu da l'indirizzi IP rimanenti di u dipartimentu di cuntabilità hè bluccatu da accede à a sala di u servitore.
Cunnettendu u CLI di u router R2 è scrivite u cumandimu show ip address-lists, pudete vede cumu u trafficu di a rete di u dipartimentu finanziariu hè statu instradatu - mostra quante volte u ping hè statu passatu secondu u permessu è quante volte hè stata. bluccatu secondu a pruibizione.
Pudemu sempre andà à i paràmetri di u router è vede a lista d'accessu. Cusì, e cundizioni di i Tasks N ° 1 è N ° 4 sò cumpletati. Lasciami mostrà una cosa più. Se vogliu riparà qualcosa, possu andà in u modu di cunfigurazione globale di i paràmetri R2, entre in u cumandimu IP access-list standard Secure_Ma_And_Se è dopu u cumandamentu "host 192.168.1.130 ùn hè micca permessu" - senza permessu host 192.168.1.130.
Se guardemu à a lista d'accessu di novu, vedemu chì a linea 10 hè sparita, avemu solu e linee 20,30, 40 è XNUMX. Cusì, pudete edità a lista d'accessu ACL in i paràmetri di u router, ma solu s'ellu ùn hè micca compilatu. in a forma classica.
Avà andemu à u terzu ACL, perchè ancu cuncerna u router R2. Dice chì ogni trafficu da u Laptop3 ùn deve micca abbandunà a reta di u dipartimentu di vendita. In questu casu, Laptop2 deve cumunicà senza prublemi cù l'urdinatori di u dipartimentu finanziariu. Per pruvà questu, aghju ping l'indirizzu IP 192.168.1.130 da stu laptop è assicuratevi chì tuttu funziona.
Avà andaraghju à a linea di cummanda di Laptop3 è ping l'indirizzu 192.168.1.130. Pinging hè successu, ma ùn avemu micca bisognu, postu chì secondu e cundizioni di u compitu, Laptop3 pò solu cumunicà cù Laptop2, chì si trova in a stessa reta di u dipartimentu di vendita. Per fà questu, avete bisognu di creà un altru ACL cù u metudu classicu.
Torneraghju à i paràmetri R2 è pruvate à ricuperà l'entrata 10 sguassata usendu u cumandimu di permessu host 192.168.1.130. Vede chì sta entrata appare à a fine di a lista à u numeru 50. In ogni casu, l'accessu ùn hà micca travagliatu, perchè a linea chì permette un host specificu hè à a fine di a lista, è a linea chì pruibisce tuttu u trafficu di a rete hè in cima. di a lista. Se pruvemu à ping u Laptop0 di u dipartimentu di gestione da PC0, riceveremu u missaghju "l'ospite di destinazione ùn hè micca accessibile", malgradu u fattu chì ci hè una entrata permessa à u numeru 50 in l'ACL.
Dunque, sè vo vulete edità un ACL esistente, avete bisognu di entre in u cumandimu senza permessu host 2 in modu R192.168.1.130 (config-std-nacl), verificate chì a linea 50 hè sparita da a lista, è entre in u cumandamentu 10 permessu. host 192.168.1.130. Avemu vistu chì a lista hè tornata à a so forma originale, cù questa entrata classificata prima. I numeri di sequenza aiutanu à edità a lista in ogni forma, cusì a forma muderna di ACL hè assai più còmuda di quella classica.
Avà vi mustrarà cumu funziona a forma classica di a lista ACL 10. Per utilizà a lista classica, avete bisognu di entre in u cumandimu access-list 10?, è, dopu à l'invitu, selezziunate l'azzione desiderata: nigà, permessu o rimarca. Allora entre in a linea access-list 10 deny host, dopu à quale scrive u cumandamentu access-list 10 deny 192.168.1.3 è aghjunghje a maschera inversa. Siccomu avemu un òspite, a maschera di subnet in avanti hè 255.255.255.255, è u reversu hè 0.0.0.0. In u risultatu, per nigà u trafficu di l'ospite, deve entre in u cumandimu access-list 10 deny 192.168.1.3 0.0.0.0. Dopu questu, avete bisognu di specificà i permessi, per quale scrivite u cumandimu access-list 10 permette qualsiasi. Questa lista deve esse appiicata à l'interfaccia G0/1 di u router R2, cusì aghju sequentially inseritu i cumandamenti in g0/1, ip access-group 10 in. Indipendentemente da quale lista hè aduprata, classica o muderna, i stessi cumandamenti sò usati per applicà sta lista à l'interfaccia.
Per verificà se i paràmetri sò curretti, vai à u terminal di linea di cumanda Laptop3 è pruvate à ping l'indirizzu IP 192.168.1.130 - cum'è pudete vede, u sistema informa chì l'ospitu di destinazione hè inaccessibile.
Lasciami ricurdà chì per verificà a lista pudete aduprà sia i cumandamenti di u spettaculu di l'access-lists di l'ip sia di l'accessu di u listinu. Avemu da risolve un prublema più, chì riguarda u router R1. Per fà questu, anderaghju à a CLI di stu router è andate à u modu di cunfigurazione globale è entre in u cumandimu IP access-list standard Secure_Ma_From_Se. Siccomu avemu una reta 192.168.1.192/27, a so subnet mask serà 255.255.255.224, chì significa chì a maschera inversa serà 0.0.0.31 è avemu bisognu di entre in u cumandimu deny 192.168.1.192 0.0.0.31. Siccomu tutti l'altri traffici sò permessi, a lista finisci cù u cumandamentu permette qualsiasi. Per applicà una ACL à l'interfaccia di output di u router, aduprate u cumandimu IP Access-group Secure_Ma_From_Se out.
Avà andaraghju à u terminal di linea di cummanda di Server0 è pruvate à ping Laptop0 di u dipartimentu di gestione à l'indirizzu IP 192.168.1.226. U tentativu ùn hè micca successu, ma si aghju pinged l'indirizzu 192.168.1.130, a cunnessione hè stata stabilita senza prublemi, vale à dì, avemu pruibitu l'urdinatore di u servitore di cumunicà cù u dipartimentu di gestione, ma permettenu a cumunicazione cù tutti l'altri dispositi in altri dipartimenti. Cusì, avemu risoltu successu tutti i 4 prublemi.
Lasciami mustrà un altru. Andemu in i paràmetri di u router R2, induve avemu 2 tipi di ACL - classicu è mudernu. Dicemu chì vogliu edità ACL 10, Lista d'accessu IP standard 10, chì in a so forma classica hè custituita da duie entrate 10 è 20. Se aghju utilizatu u cumandamentu di fà mostra, possu vede chì prima avemu una lista d'accessu mudernu di 4. entrate senza numeri sottu à l'intestazione generale Secure_Ma_And_Se, è quì sottu sò duie entrate ACL 10 di a forma classica chì ripetendu u nome di a stessa lista d'accessu 10.
Se vogliu fà alcuni cambiamenti, cum'è caccià l'entrata deny host 192.168.1.3 è introducendu una entrata per un dispositivu in una reta differente, aghju bisognu di usà u cumandamentu di sguassà solu per quella entrata: no access-list 10 deny host 192.168.1.3. .10. Ma appena entre in questu cumandamentu, tutte e voci di l'ACL XNUMX spariscenu cumplettamente. Hè per quessa chì a vista classica di l'ACL hè assai inconveniente per edità. U metudu di arregistramentu mudernu hè assai più còmuda à utilizà, postu chì permette l'editazione libera.
Per amparà u materiale in questa lezione video, vi cunsigliu di guardà di novu è pruvate à risolve i prublemi discututi da u vostru propiu senza alcunu suggerimentu. ACL hè un tema impurtante in u cursu CCNA, è parechji sò cunfunditi da, per esempiu, a prucedura per creà una Mascara Wildcard inversa. Vi assicuru, solu capisce u cuncettu di trasfurmazioni di maschera, è tuttu diventerà assai più faciule. Ricurdativi chì u più impurtante per capiscenu i temi di u cursu CCNA hè a furmazione pratica, perchè solu a pratica vi aiuterà à capisce questu o quellu cuncettu Cisco. A pratica ùn hè micca copià-incolla i mo squadre, ma risolve i prublemi in u vostru modu. Fate dumande: ciò chì deve esse fattu per bluccà u flussu di u trafficu da quì à quì, induve applicà e cundizioni, etc., è pruvate à risponde.
Grazie per stà cun noi. Ti piace i nostri articuli ? Vulete vede più cuntenutu interessante? Supportaci facendu un ordine o ricumandendu à l'amichi, 30% di scontu per l'utilizatori di Habr nantu à un analogu unicu di servitori di livellu d'entrata, chì hè statu inventatu da noi per voi: (dispunibule cù RAID1 è RAID10, finu à 24 core è finu à 40GB DDR4).
Dell R730xd 2 volte più prezzu ? Solu quì in l'Olanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - da $ 99! Leghje circa
Source: www.habr.com