Un peth arall yr anghofiais ei grybwyll yw bod ACL nid yn unig yn hidlo traffig ar sail caniatáu / gwadu, mae'n cyflawni llawer mwy o swyddogaethau. Er enghraifft, defnyddir ACL i amgryptio traffig VPN, ond i basio'r arholiad CCNA, does ond angen i chi wybod sut mae'n cael ei ddefnyddio i hidlo traffig. Gadewch i ni ddychwelyd i Broblem Rhif 1.
Canfuom y gellir rhwystro traffig yr adran gyfrifo a gwerthu ar ryngwyneb allbwn R2 gan ddefnyddio'r rhestr ACL ganlynol.
Peidiwch â phoeni am fformat y rhestr hon, mae wedi'i olygu fel enghraifft i'ch helpu chi i ddeall beth yw ACL. Byddwn yn cyrraedd y fformat cywir ar ôl i ni ddechrau gyda Packet Tracer.
Mae Tasg Rhif 2 yn swnio fel hyn: gall yr ystafell weinydd gyfathrebu ag unrhyw westeion, ac eithrio gwesteiwyr yr adran reoli. Hynny yw, gall cyfrifiaduron yr ystafell weinydd gael mynediad i unrhyw gyfrifiaduron yn yr adrannau gwerthu a chyfrifyddu, ond ni ddylent gael mynediad at y cyfrifiaduron yn yr adran reoli. Mae hyn yn golygu na ddylai staff TG yr ystafell weinydd gael mynediad o bell i gyfrifiadur pennaeth yr adran reoli, ond rhag ofn y bydd problemau, dewch i'w swyddfa a thrwsiwch y broblem yn y fan a'r lle. Sylwch nad yw'r dasg hon yn ymarferol oherwydd nid wyf yn gwybod pam na fyddai'r ystafell weinydd yn gallu cyfathrebu dros y rhwydwaith gyda'r adran reoli, felly yn yr achos hwn rydym yn edrych ar enghraifft tiwtorial yn unig.
I ddatrys y broblem hon, yn gyntaf mae angen i chi benderfynu ar y llwybr traffig. Mae data o'r ystafell weinydd yn cyrraedd y rhyngwyneb mewnbwn G0/1 o'r llwybrydd R1 ac yn cael ei anfon at yr adran reoli trwy'r rhyngwyneb allbwn G0/0.
Os byddwn yn cymhwyso'r amod Deny 192.168.1.192/27 i'r rhyngwyneb mewnbwn G0/1, ac fel y cofiwch, mae'r ACL safonol yn cael ei osod yn agosach at y ffynhonnell draffig, byddwn yn rhwystro'r holl draffig, gan gynnwys yr adran gwerthu a chyfrifyddu.
Gan ein bod am rwystro traffig a gyfeirir at yr adran reoli yn unig, rhaid inni gymhwyso ACL i'r rhyngwyneb allbwn G0/0. Dim ond trwy osod yr ACL yn agosach at y gyrchfan y gellir datrys y broblem hon. Ar yr un pryd, mae'n rhaid i draffig o rwydwaith yr adran gyfrifo a gwerthu gyrraedd yr adran reoli yn rhydd, felly llinell olaf y rhestr fydd y Caniatáu unrhyw orchymyn - i ganiatáu unrhyw draffig, ac eithrio'r traffig a nodir yn y cyflwr blaenorol.
Gadewch i ni symud ymlaen i Dasg Rhif 3: ni ddylai gliniadur Laptop 3 o'r adran werthu gael mynediad i unrhyw ddyfeisiau heblaw'r rhai sydd wedi'u lleoli ar rwydwaith lleol yr adran werthu. Gadewch i ni dybio bod hyfforddai yn gweithio ar y cyfrifiadur hwn ac na ddylai fynd y tu hwnt i'w LAN.
Yn yr achos hwn, mae angen i chi gymhwyso ACL ar y rhyngwyneb mewnbwn G0/1 o'r llwybrydd R2. Os byddwn yn aseinio'r cyfeiriad IP 192.168.1.3/25 i'r cyfrifiadur hwn, yna rhaid bodloni'r amod Gwrthod 192.168.1.3/25, ac ni ddylid rhwystro traffig o unrhyw gyfeiriad IP arall, felly bydd llinell olaf y rhestr yn Ganiatâd. unrhyw.
Fodd bynnag, ni fydd rhwystro traffig yn cael unrhyw effaith ar Laptop2.
Tasg Rhif 4 fydd y dasg nesaf: dim ond cyfrifiadur PC0 yr adran ariannol all gael mynediad i'r rhwydwaith gweinyddwyr, ond nid yr adran reoli.
Os cofiwch, mae'r ACL o Dasg #1 yn blocio'r holl draffig sy'n mynd allan ar ryngwyneb S0/1/0 y llwybrydd R2, ond mae Tasg #4 yn dweud bod angen i ni sicrhau mai dim ond traffig PC0 sy'n mynd drwodd, felly mae'n rhaid i ni wneud eithriad.
Dylai'r holl dasgau rydyn ni'n eu datrys nawr eich helpu chi mewn sefyllfa wirioneddol wrth sefydlu ACLs ar gyfer rhwydwaith swyddfa. Er hwylustod, defnyddiais y math clasurol o gofnod, ond rwy'n eich cynghori i ysgrifennu'r holl linellau â llaw ar bapur neu eu teipio i mewn i gyfrifiadur fel y gallwch wneud cywiriadau i'r cofnodion. Yn ein hachos ni, yn unol ag amodau Tasg Rhif 1, lluniwyd rhestr ACL glasurol. Os ydym am ychwanegu eithriad iddo ar gyfer PC0 o'r math Trwydded , yna gallwn osod y llinell hon yn bedwerydd yn unig yn y rhestr, ar ôl y Caniatâd Unrhyw linell. Fodd bynnag, gan fod cyfeiriad y cyfrifiadur hwn wedi'i gynnwys yn yr ystod o gyfeiriadau ar gyfer gwirio cyflwr Gwadu 0/192.168.1.128, bydd ei draffig yn cael ei rwystro yn syth ar ôl bodloni'r amod hwn ac yn syml ni fydd y llwybrydd yn cyrraedd y pedwerydd gwiriad llinell, gan ganiatáu traffig o'r cyfeiriad IP hwn.
Felly, bydd yn rhaid i mi ail-wneud y rhestr ACL o Dasg Rhif 1 yn llwyr, gan ddileu'r llinell gyntaf a'i disodli gyda'r llinell Drwydded 192.168.1.130/26, sy'n caniatáu traffig o PC0, ac yna ail-fynd i mewn i'r llinellau sy'n gwahardd pob traffig o'r adrannau cyfrifeg a gwerthu.
Felly, yn y llinell gyntaf mae gennym orchymyn ar gyfer cyfeiriad penodol, ac yn yr ail - un cyffredinol ar gyfer y rhwydwaith cyfan y mae'r cyfeiriad hwn wedi'i leoli ynddo. Os ydych chi'n defnyddio math modern o ACL, gallwch chi wneud newidiadau iddo'n hawdd trwy osod y llinell Caniatâd 192.168.1.130/26 fel y gorchymyn cyntaf. Os oes gennych ACL clasurol, bydd angen i chi ei dynnu'n gyfan gwbl ac yna ail-osod y gorchmynion yn y drefn gywir.
Yr ateb i Broblem Rhif 4 yw gosod y Caniatâd llinell 192.168.1.130/26 ar ddechrau'r rhestr ACL o Broblem Rhif 1, oherwydd dim ond yn yr achos hwn y bydd traffig o PC0 yn gadael rhyngwyneb allbwn llwybrydd R2 yn rhydd. Bydd traffig PC1 yn cael ei rwystro'n llwyr oherwydd bod ei gyfeiriad IP yn destun y gwaharddiad sydd yn ail linell y rhestr.
Byddwn nawr yn symud ymlaen i Packet Tracer i wneud y gosodiadau angenrheidiol. Rwyf eisoes wedi ffurfweddu cyfeiriadau IP pob dyfais oherwydd roedd y diagramau blaenorol symlach ychydig yn anodd eu deall. Yn ogystal, fe wnes i ffurfweddu RIP rhwng y ddau lwybrydd. Ar y topoleg rhwydwaith a roddir, mae cyfathrebu rhwng pob dyfais o 4 is-rwydwaith yn bosibl heb unrhyw gyfyngiadau. Ond cyn gynted ag y byddwn yn cymhwyso'r ACL, bydd y traffig yn dechrau cael ei hidlo.
Dechreuaf gyda'r adran gyllid PC1 a cheisio ping y cyfeiriad IP 192.168.1.194, sy'n perthyn i Server0, sydd wedi'i leoli yn ystafell y gweinydd. Fel y gwelwch, mae ping yn llwyddiannus heb unrhyw broblemau. Llwyddais hefyd i ping Laptop0 o'r adran reoli. Mae'r pecyn cyntaf yn cael ei daflu oherwydd ARP, mae'r 3 sy'n weddill yn cael eu pinio'n rhydd.
Er mwyn trefnu hidlo traffig, rwy'n mynd i mewn i osodiadau'r llwybrydd R2, actifadu'r modd cyfluniad byd-eang ac rydw i'n mynd i greu rhestr ACL fodern. Mae gennym hefyd yr ACL 10 sy'n edrych yn glasurol. I greu'r rhestr gyntaf, rwy'n nodi gorchymyn lle mae'n rhaid i chi nodi'r un enw rhestr a ysgrifennwyd gennym ar bapur: ip access-list standard ACL Secure_Ma_And_Se. Ar ôl hyn, mae'r system yn annog paramedrau posibl: Gallaf ddewis gwadu, ymadael, na, caniatáu neu sylw, a hefyd nodi Rhif Dilyniant o 1 i 2147483647. Os na fyddaf yn gwneud hyn, bydd y system yn ei aseinio'n awtomatig.
Felly, nid wyf yn nodi'r rhif hwn, ond yn syth yn mynd i'r gorchymyn gwesteiwr trwydded 192.168.1.130, gan fod y caniatâd hwn yn ddilys ar gyfer dyfais PC0 penodol. Gallaf hefyd ddefnyddio Mwgwd Cerdyn Gwyllt gwrthdro, nawr byddaf yn dangos i chi sut i wneud hynny.
Nesaf, rwy'n nodi'r gorchymyn gwadu 192.168.1.128. Gan fod gennym /26, rwy'n defnyddio'r mwgwd cefn ac yn ategu'r gorchymyn ag ef: gwadu 192.168.1.128 0.0.0.63. Felly, rwy'n gwadu traffig i'r rhwydwaith 192.168.1.128/26.
Yn yr un modd, rwy'n rhwystro traffig o'r rhwydwaith canlynol: gwadu 192.168.1.0 0.0.0.127. Mae pob traffig arall yn cael ei ganiatáu, felly yr wyf yn mynd i mewn i'r gorchymyn trwydded unrhyw. Nesaf mae'n rhaid i mi gymhwyso'r rhestr hon i'r rhyngwyneb, felly rwy'n defnyddio'r gorchymyn int s0/1/0. Yna rwy'n teipio ip access-group Secure_Ma_And_Se, ac mae'r system yn fy annog i ddewis rhyngwyneb - i mewn ar gyfer pecynnau sy'n dod i mewn ac allan ar gyfer mynd allan. Mae angen i ni gymhwyso'r ACL i'r rhyngwyneb allbwn, felly rwy'n defnyddio'r gorchymyn mynediad ip-group Secure_Ma_And_Se allan.
Gadewch i ni fynd i'r llinell orchymyn PC0 a ping y cyfeiriad IP 192.168.1.194, sy'n perthyn i'r gweinydd Server0. Mae'r ping yn llwyddiannus oherwydd i ni ddefnyddio cyflwr ACL arbennig ar gyfer traffig PC0. Os gwnaf yr un peth o PC1, bydd y system yn cynhyrchu gwall: “nid yw gwesteiwr cyrchfan ar gael”, gan fod traffig o gyfeiriadau IP sy'n weddill yn yr adran gyfrifo wedi'i rwystro rhag mynd i ystafell y gweinydd.
Trwy fewngofnodi i CLI y llwybrydd R2 a theipio gorchymyn rhestrau cyfeiriadau ip y sioe, gallwch weld sut y cafodd traffig rhwydwaith yr adran ariannol ei gyfeirio - mae'n dangos sawl gwaith y pasiwyd y ping yn ôl y caniatâd a sawl gwaith y cafodd ei blocio yn ôl y gwaharddiad.
Gallwn bob amser fynd i'r gosodiadau llwybrydd a gweld y rhestr mynediad. Felly, mae amodau Tasgau Rhif 1 a Rhif 4 yn cael eu bodloni. Gadewch imi ddangos un peth arall i chi. Os wyf am drwsio rhywbeth, gallaf fynd i mewn i'r modd cyfluniad byd-eang o osodiadau R2, nodwch y gorchymyn mynediad ip-rhestr safonol Secure_Ma_And_Se ac yna ni chaniateir y gorchymyn "gwesteiwr 192.168.1.130" - dim gwesteiwr trwydded 192.168.1.130.
Os edrychwn ar y rhestr mynediad eto, fe welwn fod llinell 10 wedi diflannu, dim ond llinellau 20,30, 40 a XNUMX sydd gennym ar ôl. Felly, gallwch olygu'r rhestr mynediad ACL yn y gosodiadau llwybrydd, ond dim ond os nad yw wedi'i lunio yn y ffurf glasurol.
Nawr, gadewch i ni symud ymlaen i'r trydydd ACL, oherwydd mae hefyd yn ymwneud â'r llwybrydd R2. Mae'n nodi na ddylai unrhyw draffig o'r Laptop3 adael rhwydwaith yr adran werthu. Yn yr achos hwn, dylai Laptop2 gyfathrebu heb broblemau gyda chyfrifiaduron yr adran ariannol. I brofi hyn, rwy'n pingio'r cyfeiriad IP 192.168.1.130 o'r gliniadur hon ac yn sicrhau bod popeth yn gweithio.
Nawr byddaf yn mynd i linell orchymyn Laptop3 ac yn pingio'r cyfeiriad 192.168.1.130. Mae pinging yn llwyddiannus, ond nid oes ei angen arnom, oherwydd yn unol ag amodau'r dasg, dim ond Laptop3 y gall Laptop2 gyfathrebu â hi, sydd wedi'i leoli yn yr un rhwydwaith adran werthu. I wneud hyn, mae angen i chi greu ACL arall gan ddefnyddio'r dull clasurol.
Byddaf yn mynd yn ôl i osodiadau R2 ac yn ceisio adennill cofnod dileu 10 gan ddefnyddio'r gorchymyn gwesteiwr trwydded 192.168.1.130. Rydych chi'n gweld bod y cofnod hwn yn ymddangos ar ddiwedd y rhestr yn rhif 50. Fodd bynnag, ni fydd mynediad yn gweithio o hyd, oherwydd bod y llinell sy'n caniatáu gwesteiwr penodol ar ddiwedd y rhestr, ac mae'r llinell sy'n gwahardd pob traffig rhwydwaith ar y brig o'r rhestr. Os byddwn yn ceisio ping Laptop0 yr adran reoli o PC0, byddwn yn derbyn y neges “nid yw gwesteiwr cyrchfan yn hygyrch,” er gwaethaf y ffaith bod mynediad caniataol yn rhif 50 yn yr ACL.
Felly, os ydych chi am olygu ACL sy'n bodoli eisoes, mae angen i chi nodi'r gorchymyn dim trwydded gwesteiwr 2 yn y modd R192.168.1.130 (config-std-nacl), gwiriwch fod llinell 50 wedi diflannu o'r rhestr, a nodwch y gorchymyn 10 trwydded gwesteiwr 192.168.1.130. Gwelwn fod y rhestr bellach wedi dychwelyd i'w ffurf wreiddiol, gyda'r cofnod hwn yn y safle cyntaf. Mae rhifau dilyniant yn helpu i olygu'r rhestr mewn unrhyw ffurf, felly mae ffurf fodern ACL yn llawer mwy cyfleus na'r un clasurol.
Nawr byddaf yn dangos sut mae ffurf glasurol rhestr ACL 10 yn gweithio. I ddefnyddio'r rhestr glasurol, mae angen i chi fynd i mewn i'r gorchymyn mynediad - rhestr 10?, ac, yn dilyn yr anogwr, dewiswch y cam a ddymunir: gwadu, caniatáu neu wneud sylw. Yna rwy'n mynd i mewn i'r llinell mynediad - rhestr 10 gwadu gwesteiwr, ac ar ôl hynny rwy'n teipio'r gorchymyn mynediad - rhestr 10 gwadu 192.168.1.3 ac ychwanegu'r mwgwd cefn. Gan fod gennym westeiwr, y mwgwd is-rwydwaith ymlaen yw 255.255.255.255, a'r cefn yw 0.0.0.0. O ganlyniad, i wrthod traffig gwesteiwr, rhaid i mi fynd i mewn i'r gorchymyn mynediad - rhestr 10 gwadu 192.168.1.3 0.0.0.0. Ar ôl hyn, mae angen i chi nodi caniatâd, y byddaf yn teipio'r gorchymyn mynediad - rhestr 10 yn caniatáu unrhyw un. Mae angen cymhwyso'r rhestr hon i ryngwyneb G0/1 llwybrydd R2, felly rwy'n nodi'r gorchmynion yn g0/1 yn olynol, grŵp mynediad ip 10 yn. Waeth pa restr a ddefnyddir, clasurol neu fodern, defnyddir yr un gorchmynion i gymhwyso'r rhestr hon i'r rhyngwyneb.
I wirio a yw'r gosodiadau'n gywir, rwy'n mynd i derfynell llinell orchymyn Laptop3 ac yn ceisio ping y cyfeiriad IP 192.168.1.130 - fel y gwelwch, mae'r system yn adrodd bod y gwesteiwr cyrchfan yn anghyraeddadwy.
Gadewch imi eich atgoffa, i wirio'r rhestr, y gallwch ddefnyddio'r rhestrau mynediad ip sioe a'r gorchmynion rhestrau mynediad dangos. Rhaid inni ddatrys un broblem arall, sy'n ymwneud â'r llwybrydd R1. I wneud hyn, rwy'n mynd i CLI y llwybrydd hwn ac yn mynd i'r modd cyfluniad byd-eang a nodwch y gorchymyn mynediad ip-rhestr safonol Secure_Ma_From_Se. Gan fod gennym rwydwaith 192.168.1.192/27, bydd ei mwgwd subnet yn 255.255.255.224, sy'n golygu y bydd y mwgwd cefn yn 0.0.0.31 ac mae angen inni fynd i mewn i'r gwadu 192.168.1.192 0.0.0.31 gorchymyn. Gan fod pob traffig arall yn cael ei ganiatáu, mae'r rhestr yn gorffen gyda'r drwydded gorchymyn unrhyw. Er mwyn cymhwyso ACL i ryngwyneb allbwn y llwybrydd, defnyddiwch y gorchymyn mynediad ip-group Secure_Ma_From_Se out.
Nawr byddaf yn mynd i derfynell llinell orchymyn Server0 ac yn ceisio ping Laptop0 yr adran reoli yn y cyfeiriad IP 192.168.1.226. Roedd yr ymgais yn aflwyddiannus, ond os byddaf yn pingio'r cyfeiriad 192.168.1.130, sefydlwyd y cysylltiad heb broblemau, hynny yw, rydym yn gwahardd cyfrifiadur y gweinydd rhag cyfathrebu â'r adran reoli, ond yn caniatáu cyfathrebu â phob dyfais arall mewn adrannau eraill. Felly, rydym wedi llwyddo i ddatrys pob un o'r 4 problem.
Gadewch i mi ddangos rhywbeth arall i chi. Rydyn ni'n mynd i mewn i osodiadau'r llwybrydd R2, lle mae gennym ni 2 fath o ACL - clasurol a modern. Gadewch i ni ddweud fy mod am olygu ACL 10, rhestr mynediad IP Safonol 10, sydd yn ei ffurf glasurol yn cynnwys dau gofnod 10 a 20. Os byddaf yn defnyddio'r gorchymyn do show run, gallaf weld yn gyntaf fod gennym restr mynediad modern o 4 cofnodion heb rifau o dan y pennawd cyffredinol Secure_Ma_And_Se, ac isod mae dau gofnod ACL 10 o’r ffurf glasurol yn ailadrodd enw’r un rhestr mynediad 10.
Os wyf am wneud rhai newidiadau, megis dileu'r cofnod gwadu gwesteiwr 192.168.1.3 a chyflwyno cofnod ar gyfer dyfais ar rwydwaith gwahanol, mae angen i mi ddefnyddio'r gorchymyn dileu ar gyfer y cofnod hwnnw yn unig: dim mynediad-rhestr 10 gwadu gwesteiwr 192.168.1.3 .10. Ond cyn gynted ag y byddaf yn mynd i mewn i'r gorchymyn hwn, mae pob cofnod ACL XNUMX yn diflannu'n llwyr.Dyma pam mae golygfa glasurol yr ACL yn anghyfleus iawn i'w olygu. Mae'r dull recordio modern yn llawer mwy cyfleus i'w ddefnyddio, gan ei fod yn caniatáu golygu am ddim.
Er mwyn dysgu'r deunydd yn y wers fideo hon, rwy'n eich cynghori i'w wylio eto a cheisio datrys y problemau a drafodwyd ar eich pen eich hun heb unrhyw awgrymiadau. Mae ACL yn bwnc pwysig yn y cwrs CCNA, ac mae llawer yn cael eu drysu gan, er enghraifft, y weithdrefn ar gyfer creu Mwgwd Cerdyn Gwyllt i'r gwrthwyneb. Gallaf eich sicrhau, dim ond deall y cysyniad o drawsnewid mwgwd, a bydd popeth yn dod yn llawer haws. Cofiwch mai'r peth pwysicaf wrth ddeall pynciau cwrs CCNA yw hyfforddiant ymarferol, oherwydd dim ond ymarfer fydd yn eich helpu i ddeall hyn neu'r cysyniad Cisco hwnnw. Nid copi-bastio fy nhimau yw ymarfer, ond datrys problemau yn eich ffordd eich hun. Gofynnwch gwestiynau i chi'ch hun: beth sydd angen ei wneud i rwystro llif y traffig o'r fan hon i'r fan honno, ble i gymhwyso amodau, ac ati, a cheisiwch eu hateb.
Diolch am aros gyda ni. Ydych chi'n hoffi ein herthyglau? Eisiau gweld cynnwys mwy diddorol? Cefnogwch ni trwy osod archeb neu argymell i ffrindiau, Gostyngiad o 30% i ddefnyddwyr Habr ar analog unigryw o weinyddion lefel mynediad, a ddyfeisiwyd gennym ni ar eich cyfer chi: (ar gael gyda RAID1 a RAID10, hyd at 24 craidd a hyd at 40GB DDR4).
Dell R730xd 2 gwaith yn rhatach? Dim ond yma yn yr Iseldiroedd! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - o $99! Darllenwch am
Ffynhonnell: hab.com