Ještě jedna věc, kterou jsem zapomněl zmínit, je, že ACL nejen filtruje provoz na základě povolení/odmítnutí, ale plní mnohem více funkcí. Například ACL se používá k šifrování provozu VPN, ale k úspěšnému složení zkoušky CCNA stačí vědět, jak se používá k filtrování provozu. Vraťme se k problému č. 1.
Zjistili jsme, že provoz účetního a obchodního oddělení lze blokovat na výstupním rozhraní R2 pomocí následujícího seznamu ACL.
Nedělejte si starosti s formátem tohoto seznamu, je myšlen pouze jako příklad, který vám pomůže pochopit, co je ACL. Ke správnému formátu se dostaneme, jakmile začneme s Packet Tracer.
Úkol č. 2 zní takto: serverovna může komunikovat s libovolnými hostiteli, kromě hostitelů oddělení managementu. To znamená, že počítače v serverovně mohou mít přístup ke všem počítačům v obchodním a účetním oddělení, ale neměly by mít přístup k počítačům v oddělení správy. To znamená, že IT pracovníci serverovny by neměli mít vzdálený přístup k počítači vedoucího oddělení managementu, ale v případě problémů přijít do jeho kanceláře a problém na místě opravit. Všimněte si, že tento úkol není praktický, protože nevím, proč by serverovna nemohla komunikovat přes síť s oddělením správy, takže v tomto případě se díváme pouze na příklad z výukového programu.
Chcete-li tento problém vyřešit, musíte nejprve určit dopravní cestu. Data ze serverovny přicházejí na vstupní rozhraní G0/1 routeru R1 a jsou odesílána do oddělení správy přes výstupní rozhraní G0/0.
Pokud na vstupní rozhraní G192.168.1.192/27 aplikujeme podmínku Deny 0/1 a jak si pamatujete, standardní ACL je umístěn blíže ke zdroji provozu, zablokujeme veškerý provoz, včetně obchodního a účetního oddělení.
Protože chceme blokovat pouze provoz směřující do oddělení managementu, musíme na výstupní rozhraní G0/0 aplikovat ACL. Tento problém lze vyřešit pouze umístěním ACL blíže k cíli. Zároveň se provoz ze sítě účetního a obchodního oddělení musí volně dostávat do oddělení managementu, takže na posledním řádku seznamu bude příkaz Povolit jakýkoli provoz, kromě provozu uvedeného v předchozí podmínce.
Přejděme k úkolu č. 3: notebook Laptop 3 z obchodního oddělení by neměl mít přístup k jiným zařízením než těm, která jsou umístěna v lokální síti obchodního oddělení. Předpokládejme, že na tomto počítači pracuje praktikant a neměl by jít za hranice své LAN.
V tomto případě musíte použít ACL na vstupní rozhraní G0/1 routeru R2. Pokud tomuto počítači přidělíme IP adresu 192.168.1.3/25, pak musí být splněna podmínka Zakázat 192.168.1.3/25 a nesmí být blokován provoz z žádné jiné IP adresy, takže poslední řádek seznamu bude Povolit žádný.
Blokování provozu však nebude mít na Laptop2 žádný vliv.
Dalším úkolem bude úkol č. 4: do sítě serverů může mít přístup pouze počítač PC0 finančního oddělení, nikoli však oddělení managementu.
Pokud si pamatujete, ACL z úlohy #1 blokuje veškerý odchozí provoz na rozhraní S0/1/0 routeru R2, ale úloha #4 říká, že musíme zajistit, aby tudy procházel pouze provoz PC0, takže musíme udělat výjimku.
Všechny úkoly, které nyní řešíme, by vám měly pomoci v reálné situaci při nastavování ACL pro kancelářskou síť. Pro pohodlí jsem použil klasický typ zápisu, ale doporučuji si všechny řádky zapsat ručně na papír nebo je napsat do počítače, abyste mohli zápisy opravit. V našem případě byl podle podmínek úkolu č. 1 sestaven klasický seznam ACL. Pokud do něj chceme přidat výjimku pro PC0 typu Povolit , můžeme tento řádek umístit pouze na čtvrté místo v seznamu, za řádek Povolit libovolný. Jelikož je však adresa tohoto počítače zahrnuta v rozsahu adres pro kontrolu podmínky Zakázat 0/192.168.1.128, bude jeho provoz ihned po splnění této podmínky zablokován a router jednoduše nedosáhne kontroly čtvrtého řádku, což umožní provoz z této IP adresy.
Budu tedy muset kompletně předělat seznam ACL úkolu č. 1, smazat první řádek a nahradit jej řádkem Povolení 192.168.1.130/26, který povoluje provoz z PC0 a poté znovu zadat řádky se zákazem veškerého provozu. z účetního a obchodního oddělení.
V prvním řádku tedy máme příkaz pro konkrétní adresu a ve druhém - obecný pro celou síť, ve které se tato adresa nachází. Pokud používáte moderní typ ACL, můžete v něm snadno provést změny umístěním řádku Povolení 192.168.1.130/26 jako prvního příkazu. Pokud máte klasický ACL, budete ho muset úplně odstranit a poté znovu zadat příkazy ve správném pořadí.
Řešením problému č. 4 je umístění řádku Permit 192.168.1.130/26 na začátek seznamu ACL z problému č. 1, protože pouze v tomto případě bude provoz z PC0 volně opouštět výstupní rozhraní routeru R2. Provoz PC1 bude zcela zablokován, protože jeho IP adresa podléhá zákazu uvedenému na druhém řádku seznamu.
Nyní přejdeme na Packet Tracer, abychom provedli potřebná nastavení. Již jsem nakonfiguroval IP adresy všech zařízení, protože zjednodušené předchozí diagramy byly trochu obtížné pochopit. Navíc jsem nakonfiguroval RIP mezi dvěma routery. Na dané topologii sítě je možná komunikace mezi všemi zařízeními 4 podsítí bez omezení. Jakmile ale aplikujeme ACL, provoz se začne filtrovat.
Začnu s finančním oddělením PC1 a zkusím pingnout IP adresu 192.168.1.194, která patří Server0 umístěnému v serverovně. Jak vidíte, ping je úspěšný bez problémů. Také jsem úspěšně pingl Laptop0 z manažerského oddělení. První paket je zahozen kvůli ARP, zbývající 3 jsou volně pingovány.
Abych organizoval filtrování provozu, jdu do nastavení routeru R2, aktivuji režim globální konfigurace a jdu vytvořit moderní seznam ACL. Máme také klasicky vypadající ACL 10. Pro vytvoření prvního seznamu zadám příkaz, ve kterém musíte zadat stejný název seznamu, jaký jsme si napsali na papír: ip access-list standard ACL Secure_Ma_And_Se. Poté se systém zeptá na možné parametry: Mohu vybrat zakázat, ukončit, ne, povolit nebo poznámku a také zadat pořadové číslo od 1 do 2147483647. Pokud to neudělám, systém je přiřadí automaticky.
Proto toto číslo nezadávám, ale rovnou přejdu na příkaz permit host 192.168.1.130, protože toto oprávnění je platné pro konkrétní zařízení PC0. Můžu použít i reverzní Wildcard Mask, teď vám ukážu, jak na to.
Dále zadám příkaz deny 192.168.1.128. Jelikož máme /26, používám reverzní masku a doplňuji jí příkaz: deny 192.168.1.128 0.0.0.63. Tím pádem zakazuji provoz do sítě 192.168.1.128/26.
Podobně blokuji provoz z následující sítě: zakázat 192.168.1.0 0.0.0.127. Veškerý ostatní provoz je povolen, zadávám tedy příkaz allow any. Dále musím tento seznam aplikovat na rozhraní, takže používám příkaz int s0/1/0. Poté napíšu ip access-group Secure_Ma_And_Se a systém mě vyzve, abych vybral rozhraní – vstup pro příchozí pakety a výstup pro odchozí. Potřebujeme použít ACL na výstupní rozhraní, takže používám příkaz ip access-group Secure_Ma_And_Se out.
Pojďme na příkazový řádek PC0 a ping na IP adresu 192.168.1.194, která patří serveru Server0. Ping je úspěšný, protože jsme použili speciální podmínku ACL pro provoz PC0. Pokud totéž udělám z PC1, systém vygeneruje chybu: „cílový hostitel není k dispozici“, protože provozu ze zbývajících IP adres účetního oddělení je blokován přístup do serverové místnosti.
Po přihlášení do CLI routeru R2 a zadání příkazu show ip address-lists můžete vidět, jak byl směrován síťový provoz finančního oddělení - ukazuje, kolikrát byl ping předán podle oprávnění a kolikrát to bylo blokován podle zákazu.
Vždy můžeme přejít do nastavení routeru a podívat se na přístupový seznam. Tím jsou splněny podmínky úkolů č. 1 a č. 4. Dovolte mi ukázat vám ještě jednu věc. Pokud chci něco opravit, mohu přejít do režimu globální konfigurace nastavení R2, zadat příkaz ip access-list standard Secure_Ma_And_Se a poté příkaz „host 192.168.1.130 is not allow“ - no permit host 192.168.1.130.
Pokud se znovu podíváme na přístupový seznam, uvidíme, že zmizel řádek 10, zbyly nám pouze řádky 20,30, 40 a XNUMX. Přístupový seznam ACL tedy můžete upravit v nastavení routeru, ale pouze pokud není zkompilován v klasické podobě.
Nyní přejděme ke třetímu ACL, protože se také týká routeru R2. Uvádí, že žádný provoz z Laptop3 by neměl opustit síť obchodního oddělení. V tomto případě by měl Laptop2 bez problémů komunikovat s počítači finančního oddělení. Abych to otestoval, pingnu na IP adresu 192.168.1.130 z tohoto notebooku a ujistím se, že vše funguje.
Nyní přejdu na příkazový řádek Laptop3 a pingnu na adresu 192.168.1.130. Ping je úspěšný, ale nepotřebujeme ho, protože podle podmínek úkolu může Laptop3 komunikovat pouze s Laptop2, který se nachází ve stejné síti obchodního oddělení. K tomu je potřeba vytvořit další ACL klasickou metodou.
Vrátím se k nastavení R2 a pokusím se obnovit smazaný záznam 10 pomocí příkazu permit host 192.168.1.130. Vidíte, že tato položka se objeví na konci seznamu pod číslem 50. Přístup však stále nebude fungovat, protože řádek umožňující konkrétního hostitele je na konci seznamu a řádek zakazující veškerý síťový provoz je nahoře seznamu. Pokusíme-li se pingnout na Laptop0 manažerského oddělení z PC0, obdržíme zprávu „cílový hostitel není přístupný“, přestože v seznamu ACL je na čísle 50 položka povolení.
Pokud tedy chcete upravit existující ACL, musíte zadat příkaz no permit host 2 v režimu R192.168.1.130 (config-std-nacl), zkontrolovat, že řádek 50 zmizel ze seznamu, a zadat příkaz 10 permit hostitel 192.168.1.130. Vidíme, že seznam se nyní vrátil do své původní podoby, přičemž tento záznam je na prvním místě. Pořadová čísla pomáhají upravovat seznam v jakékoli podobě, takže moderní forma ACL je mnohem pohodlnější než ta klasická.
Nyní ukážu, jak funguje klasická forma seznamu ACL 10. Pro použití klasického seznamu je třeba zadat příkaz access–list 10? a po výzvě vybrat požadovanou akci: zamítnout, povolit nebo připomenout. Poté vstoupím do řádku access–list 10 deny host, načež napíšu příkaz access–list 10 deny 192.168.1.3 a přidám reverzní masku. Protože máme hostitele, dopředná maska podsítě je 255.255.255.255 a obrácená je 0.0.0.0. V důsledku toho, abych odepřel přenos hostitele, musím zadat příkaz access–list 10 deny 192.168.1.3 0.0.0.0. Poté je třeba zadat oprávnění, pro které zadávám příkaz access–list 10 allow any. Tento seznam je třeba aplikovat na rozhraní G0/1 routeru R2, takže postupně zadávám příkazy v g0/1, ip access-group 10 in. Bez ohledu na použitý seznam, klasický nebo moderní, se k použití tohoto seznamu na rozhraní používají stejné příkazy.
Abych zkontroloval, zda je nastavení správné, jdu na terminál příkazového řádku Laptop3 a zkusím pingnout IP adresu 192.168.1.130 - jak vidíte, systém hlásí, že cílový hostitel je nedostupný.
Dovolte mi připomenout, že ke kontrole seznamu můžete použít příkazy show ip access-lists a show access-lists. Musíme vyřešit ještě jeden problém, který se týká routeru R1. Za tímto účelem přejdu do CLI tohoto routeru a přejdu do režimu globální konfigurace a zadám příkaz ip access-list standard Secure_Ma_From_Se. Protože máme síť 192.168.1.192/27, její maska podsítě bude 255.255.255.224, což znamená, že reverzní maska bude 0.0.0.31 a musíme zadat příkaz deny 192.168.1.192 0.0.0.31. Protože je povolen veškerý další provoz, seznam končí příkazem allow any. Chcete-li použít ACL na výstupní rozhraní routeru, použijte příkaz ip access-group Secure_Ma_From_Se out.
Nyní přejdu na terminál příkazového řádku Server0 a zkusím pingnout Laptop0 oddělení správy na IP adrese 192.168.1.226. Pokus byl neúspěšný, ale pokud jsem odeslal ping na 192.168.1.130, spojení bylo navázáno bez problémů, to znamená, že jsme zakázali počítači serveru komunikovat s oddělením správy, ale povolili komunikaci se všemi ostatními zařízeními v jiných odděleních. Tím jsme úspěšně vyřešili všechny 4 problémy.
Dovolte mi ukázat vám něco jiného. Jdeme do nastavení routeru R2, kde máme 2 typy ACL – klasický a moderní. Řekněme, že chci upravit ACL 10, standardní přístupový seznam IP 10, který se ve své klasické podobě skládá ze dvou položek 10 a 20. Pokud použiji příkaz do show run, vidím, že nejprve máme moderní přístupový seznam 4 položky bez čísel pod obecným záhlavím Secure_Ma_And_Se a níže jsou dvě položky ACL 10 klasického tvaru opakující název stejného přístupového seznamu 10.
Pokud chci provést nějaké změny, jako je odstranění položky deny host 192.168.1.3 a zavedení položky pro zařízení v jiné síti, musím použít příkaz delete pouze pro tuto položku: no access-list 10 deny host 192.168.1.3 .10. Jakmile ale tento příkaz zadám, všechny položky ACL XNUMX úplně zmizí.To je důvod, proč je klasické zobrazení ACL velmi nepohodlné na úpravu. Moderní způsob nahrávání je mnohem pohodlnější, protože umožňuje volné úpravy.
Abyste se naučili látku v této video lekci, doporučuji vám ji znovu zhlédnout a pokusit se vyřešit diskutované problémy sami bez jakýchkoli nápověd. ACL je důležitým tématem v kurzu CCNA a mnozí jsou zmateni například postupem pro vytvoření reverzní masky zástupných znaků. Ujišťuji vás, že stačí pochopit koncept transformace masky a všechno bude mnohem jednodušší. Pamatujte, že nejdůležitější věcí pro pochopení témat kurzu CCNA je praktický výcvik, protože jedině praxe vám pomůže pochopit ten či onen koncept Cisco. Cvičení není kopírování a vkládání mých týmů, ale řešení problémů svým vlastním způsobem. Položte si otázky: co je třeba udělat pro zablokování plynulosti dopravy odsud tam, kde uplatnit podmínky atd., a pokuste se na ně odpovědět.
Děkujeme, že s námi zůstáváte. Líbí se vám naše články? Chcete vidět více zajímavého obsahu? Podpořte nás objednávkou nebo doporučením přátelům, 30% sleva pro uživatele Habr na unikátní obdobu entry-level serverů, kterou jsme pro vás vymysleli: (k dispozici s RAID1 a RAID10, až 24 jader a až 40 GB DDR4).
Dell R730xd 2x levnější? Pouze zde V Nizozemsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 $! Číst o
Zdroj: www.habr.com