En ting mere, som jeg glemte at nævne, er, at ACL ikke kun filtrerer trafik på en tillad/nægt-basis, den udfører mange flere funktioner. For eksempel bruges en ACL til at kryptere VPN-trafik, men for at bestå CCNA-eksamenen behøver du kun at vide, hvordan den bruges til at filtrere trafik. Lad os vende tilbage til opgave nr. 1.
Vi fandt ud af, at trafikken til regnskabs- og salgsafdelingen kan blokeres på R2-outputgrænsefladen ved hjælp af følgende ACL-liste.
Du skal ikke bekymre dig om formatet på denne liste, den er kun ment som et eksempel for at hjælpe dig med at forstå, hvad en ACL er. Vi kommer til det korrekte format, når vi kommer i gang med Packet Tracer.
Opgave nr. 2 lyder således: Serverrummet kan kommunikere med alle værter, undtagen værterne i ledelsesafdelingen. Det vil sige, at serverrumscomputerne kan have adgang til alle computere i salgs- og regnskabsafdelingerne, men ikke skal have adgang til computerne i ledelsesafdelingen. Det betyder, at serverrummets it-medarbejdere ikke skal have fjernadgang til lederen af ledelsesafdelingens computer, men i tilfælde af problemer, komme til hans kontor og løse problemet på stedet. Bemærk, at denne opgave ikke er praktisk, fordi jeg ikke ved, hvorfor serverrummet ikke ville være i stand til at kommunikere over netværket med ledelsesafdelingen, så i dette tilfælde ser vi bare på et vejledningseksempel.
For at løse dette problem skal du først bestemme trafikstien. Data fra serverrummet ankommer til inputgrænsefladen G0/1 på router R1 og sendes til administrationsafdelingen gennem outputgrænsefladen G0/0.
Hvis vi anvender Deny 192.168.1.192/27-betingelsen på inputgrænsefladen G0/1, og som du husker, placeres standard-ACL tættere på trafikkilden, blokerer vi al trafik, herunder til salgs- og regnskabsafdelingen.
Da vi kun ønsker at blokere trafik dirigeret til administrationsafdelingen, skal vi anvende en ACL på outputgrænsefladen G0/0. Dette problem kan kun løses ved at placere ACL tættere på destinationen. Samtidig skal trafik fra regnskabs- og salgsafdelingens netværk frit nå ledelsesafdelingen, så den sidste linje på listen vil være kommandoen Tillad enhver - for at tillade enhver trafik, bortset fra den trafik, der er angivet i den foregående tilstand.
Lad os gå videre til opgave nr. 3: Laptop 3 bærbar fra salgsafdelingen bør ikke have adgang til andre enheder end dem, der er placeret på salgsafdelingens lokale netværk. Lad os antage, at en praktikant arbejder på denne computer og ikke bør gå ud over sit LAN.
I dette tilfælde skal du anvende en ACL på inputgrænsefladen G0/1 på router R2. Hvis vi tildeler IP-adressen 192.168.1.3/25 til denne computer, så skal Deny 192.168.1.3/25-betingelsen være opfyldt, og trafik fra enhver anden IP-adresse må ikke blokeres, så den sidste linje på listen vil være Tillad. nogen.
Blokering af trafik vil dog ikke have nogen effekt på Laptop2.
Næste opgave bliver opgave nr. 4: kun computer PC0 i økonomiafdelingen kan have adgang til servernetværket, men ikke ledelsesafdelingen.
Hvis du husker det, blokerer ACL'en fra opgave #1 al udgående trafik på S0/1/0-grænsefladen på router R2, men opgave #4 siger, at vi skal sikre, at kun PC0-trafik passerer igennem, så vi må gøre en undtagelse.
Alle de opgaver, som vi nu løser, skulle hjælpe dig i en reel situation, når du opretter ACL'er til et kontornetværk. For nemheds skyld brugte jeg den klassiske type indtastning, men jeg råder dig til at skrive alle linjerne ned manuelt på papir eller skrive dem ind på en computer, så du kan foretage rettelser til indtastningerne. I vores tilfælde blev der i henhold til betingelserne i opgave nr. 1 udarbejdet en klassisk ACL-liste. Hvis vi ønsker at tilføje en undtagelse til det for PC0 af typen Tillad , så kan vi kun placere denne linje på fjerdepladsen på listen, efter Permit Any-linjen. Men da adressen på denne computer er inkluderet i rækken af adresser til kontrol af deny-betingelsen 0/192.168.1.128, vil dens trafik blive blokeret umiddelbart efter at denne betingelse er opfyldt, og routeren vil simpelthen ikke nå den fjerde linjekontrol, hvilket tillader trafik fra denne IP-adresse.
Derfor bliver jeg nødt til fuldstændigt at gentage ACL-listen for opgave nr. 1, slette den første linje og erstatte den med linjen Permit 192.168.1.130/26, som tillader trafik fra PC0, og derefter genindtaste linjerne, der forbyder al trafik fra regnskabs- og salgsafdelingen.
Således har vi i den første linje en kommando til en bestemt adresse, og i den anden - en generel for hele netværket, hvor denne adresse er placeret. Hvis du bruger en moderne type ACL, kan du nemt foretage ændringer i den ved at placere linjen Permit 192.168.1.130/26 som den første kommando. Hvis du har en klassisk ACL, skal du fjerne den helt og derefter genindtaste kommandoerne i den rigtige rækkefølge.
Løsningen på problem nr. 4 er at placere linjen Permit 192.168.1.130/26 i begyndelsen af ACL fra problem nr. 1, fordi kun i dette tilfælde vil trafik fra PC0 frit forlade outputgrænsefladen på router R2. PC1's trafik vil blive fuldstændig blokeret, fordi dens IP-adresse er underlagt forbuddet på listens anden linje.
Vi går nu videre til Packet Tracer for at foretage de nødvendige indstillinger. Jeg har allerede konfigureret IP-adresserne på alle enheder, fordi de forenklede tidligere diagrammer var lidt svære at forstå. Derudover konfigurerede jeg RIP mellem de to routere. På den givne netværkstopologi er kommunikation mellem alle enheder af 4 undernet mulig uden nogen begrænsninger. Men så snart vi anvender ACL, vil trafikken begynde at blive filtreret.
Jeg starter med økonomiafdelingen PC1 og prøver at pinge IP-adressen 192.168.1.194, som hører til Server0, der ligger i serverrummet. Som du kan se, er ping vellykket uden problemer. Jeg ping også med succes Laptop0 fra ledelsesafdelingen. Den første pakke kasseres på grund af ARP, de resterende 3 pinges frit.
For at organisere trafikfiltrering går jeg ind i indstillingerne for R2-routeren, aktiverer den globale konfigurationstilstand og vil oprette en moderne ACL-liste. Vi har også den klassiske ACL 10. For at oprette den første liste, indtaster jeg en kommando, hvor du skal angive det samme listenavn, som vi skrev ned på papiret: ip access-list standard ACL Secure_Ma_And_Se. Herefter spørger systemet om mulige parametre: Jeg kan vælge afvise, afslutte, nej, tillade eller bemærk, og også indtaste et sekvensnummer fra 1 til 2147483647. Hvis jeg ikke gør dette, tildeler systemet det automatisk.
Derfor indtaster jeg ikke dette nummer, men går straks til kommandoen tilladelsesvært 192.168.1.130, da denne tilladelse er gyldig for en specifik PC0-enhed. Jeg kan også bruge en omvendt jokertegnmaske, nu skal jeg vise dig, hvordan du gør det.
Dernæst indtaster jeg kommandoen deny 192.168.1.128. Da vi har /26, bruger jeg den omvendte maske og supplerer kommandoen med den: deny 192.168.1.128 0.0.0.63. Jeg nægter således trafik til netværket 192.168.1.128/26.
På samme måde blokerer jeg trafik fra følgende netværk: deny 192.168.1.0 0.0.0.127. Al anden trafik er tilladt, så jeg indtaster kommandoen tillade evt. Dernæst skal jeg anvende denne liste til grænsefladen, så jeg bruger kommandoen int s0/1/0. Så skriver jeg ip access-group Secure_Ma_And_Se, og systemet beder mig om at vælge en grænseflade - ind for indgående pakker og ud for udgående. Vi er nødt til at anvende ACL på outputgrænsefladen, så jeg bruger kommandoen ip access-group Secure_Ma_And_Se out.
Lad os gå til PC0-kommandolinjen og pinge IP-adressen 192.168.1.194, som hører til Server0-serveren. Pingen er vellykket, fordi vi brugte en speciel ACL-betingelse til PC0-trafik. Hvis jeg gør det samme fra PC1, vil systemet generere en fejl: "destinationsvært er ikke tilgængelig", da trafik fra regnskabsafdelingens resterende IP-adresser er blokeret for adgang til serverrummet.
Ved at logge ind på R2-routerens CLI og indtaste kommandoen show ip address-lists, kan du se, hvordan økonomiafdelingens netværkstrafik blev dirigeret - den viser hvor mange gange ping blev sendt i henhold til tilladelsen, og hvor mange gange det var. spærret i henhold til forbuddet.
Vi kan altid gå til routerindstillingerne og se adgangslisten. Dermed er betingelserne i opgave nr. 1 og nr. 4 opfyldt. Lad mig vise dig en ting mere. Hvis jeg vil rette noget, kan jeg gå ind i den globale konfigurationstilstand for R2-indstillinger, indtaste kommandoen ip access-list standard Secure_Ma_And_Se og derefter kommandoen "vært 192.168.1.130 er ikke tilladt" - ingen tilladelse vært 192.168.1.130.
Hvis vi kigger på adgangslisten igen, vil vi se, at linje 10 er forsvundet, vi har kun linje 20,30, 40 og XNUMX. Du kan således redigere ACL-adgangslisten i routerindstillingerne, men kun hvis den ikke er kompileret i den klassiske form.
Lad os nu gå videre til den tredje ACL, for det vedrører også R2-routeren. Der står, at eventuel trafik fra Laptop3 ikke skal forlade salgsafdelingens netværk. I dette tilfælde skal Laptop2 kommunikere uden problemer med økonomiafdelingens computere. For at teste dette pinger jeg IP-adressen 192.168.1.130 fra denne bærbare computer og sørger for, at alt fungerer.
Nu vil jeg gå til kommandolinjen på Laptop3 og pinge adressen 192.168.1.130. Pinging er vellykket, men vi har ikke brug for det, da Laptop3 i henhold til opgavens betingelser kun kan kommunikere med Laptop2, som er placeret i det samme salgsafdelingsnetværk. For at gøre dette skal du oprette en anden ACL ved hjælp af den klassiske metode.
Jeg går tilbage til R2-indstillingerne og prøver at gendanne slettet post 10 ved at bruge kommandoen permit host 192.168.1.130. Du kan se, at denne post vises i slutningen af listen ved nummer 50. Adgang vil dog stadig ikke fungere, fordi linjen, der tillader en bestemt vært, er i slutningen af listen, og linjen, der forbyder al netværkstrafik, er øverst af listen. Hvis vi forsøger at pinge administrationsafdelingens Laptop0 fra PC0, vil vi modtage meddelelsen "destinationsværten er ikke tilgængelig", på trods af at der er en tillad-indgang på nummer 50 i ACL.
Derfor, hvis du vil redigere en eksisterende ACL, skal du indtaste kommandoen no permit host 2 i R192.168.1.130 mode (config-std-nacl), kontrollere at linje 50 er forsvundet fra listen og indtaste kommandoen 10 permit vært 192.168.1.130. Vi ser, at listen nu er vendt tilbage til sin oprindelige form, med denne post placeret først. Sekvensnumre hjælper med at redigere listen i enhver form, så den moderne form for ACL er meget mere praktisk end den klassiske.
Nu vil jeg vise, hvordan den klassiske form af ACL 10-listen fungerer. For at bruge den klassiske liste skal du indtaste kommandoen access–list 10?, og efter prompten vælge den ønskede handling: nægte, tillade eller bemærk. Derefter kommer jeg ind i line access–list 10 deny host, hvorefter jeg skriver kommandoen access–list 10 deny 192.168.1.3 og tilføjer den omvendte maske. Da vi har en vært, er den fremadgående undernetmaske 255.255.255.255, og det omvendte er 0.0.0.0. Som et resultat, for at nægte værtstrafik, skal jeg indtaste kommandoen access–list 10 deny 192.168.1.3 0.0.0.0. Herefter skal du angive tilladelser, som jeg skriver kommandoen access–list 10 tillader for. Denne liste skal anvendes på G0/1-grænsefladen på router R2, så jeg indtaster sekventielt kommandoerne i g0/1, ip-adgangsgruppe 10 tommer. Uanset hvilken liste der bruges, klassisk eller moderne, bruges de samme kommandoer til at anvende denne liste på grænsefladen.
For at tjekke om indstillingerne er korrekte, går jeg til Laptop3 kommandolinjeterminal og prøver at pinge IP-adressen 192.168.1.130 - som du kan se, rapporterer systemet, at destinationsværten ikke kan nås.
Lad mig minde dig om, at du kan bruge både vis ip-adgangslister og vis adgangslister for at kontrollere listen. Vi skal løse endnu et problem, som vedrører R1-routeren. For at gøre dette går jeg til CLI på denne router og går til global konfigurationstilstand og indtaster kommandoen ip access-list standard Secure_Ma_From_Se. Da vi har et netværk 192.168.1.192/27, vil dets undernetmaske være 255.255.255.224, hvilket betyder, at den omvendte maske vil være 0.0.0.31, og vi skal indtaste deny 192.168.1.192 0.0.0.31 kommandoen. Da al anden trafik er tilladt, slutter listen med kommandoen tillad evt. For at anvende en ACL til routerens output-interface, skal du bruge kommandoen ip access-group Secure_Ma_From_Se out.
Nu vil jeg gå til kommandolinjeterminalen på Server0 og prøve at pinge Laptop0 fra administrationsafdelingen på IP-adressen 192.168.1.226. Forsøget mislykkedes, men hvis jeg pingede adressen 192.168.1.130, blev forbindelsen etableret uden problemer, det vil sige, at vi forbød servercomputeren at kommunikere med administrationsafdelingen, men tillod kommunikation med alle andre enheder i andre afdelinger. Således har vi med succes løst alle 4 problemer.
Lad mig vise dig noget andet. Vi går ind i indstillingerne af R2 routeren, hvor vi har 2 typer ACL – klassisk og moderne. Lad os sige, at jeg vil redigere ACL 10, Standard IP-adgangsliste 10, som i sin klassiske form består af to indgange 10 og 20. Hvis jeg bruger kommandoen do show run, kan jeg se, at vi først har en moderne adgangsliste på 4 poster uden numre under den generelle overskrift Secure_Ma_And_Se, og nedenfor er to ACL 10-poster i den klassiske form, der gentager navnet på den samme adgangsliste 10.
Hvis jeg vil foretage nogle ændringer, såsom at fjerne deny host 192.168.1.3 posten og introducere en post for en enhed på et andet netværk, skal jeg kun bruge delete-kommandoen for denne post: ingen adgangsliste 10 deny host 192.168.1.3 .10. Men så snart jeg indtaster denne kommando, forsvinder alle ACL XNUMX-poster fuldstændigt. Derfor er den klassiske visning af ACL meget ubelejlig at redigere. Den moderne optagemetode er meget mere praktisk at bruge, da den tillader gratis redigering.
For at lære materialet i denne videolektion, råder jeg dig til at se det igen og prøve at løse de diskuterede problemer på egen hånd uden hints. ACL er et vigtigt emne i CCNA-kurset, og mange er forvirrede over for eksempel proceduren for at lave en omvendt Wildcard Mask. Jeg forsikrer dig, bare forstå begrebet masketransformation, og alt bliver meget lettere. Husk, at det vigtigste for at forstå CCNA-kursets emner er praktisk træning, fordi kun praksis vil hjælpe dig med at forstå dette eller hint Cisco-koncept. Øvelse er ikke at copy-paste mine hold, men at løse problemer på din egen måde. Stil dig selv spørgsmål: Hvad skal der gøres for at blokere trafikstrømmen herfra til der, hvor man skal anvende betingelser osv., og forsøg at besvare dem.
Tak fordi du blev hos os. Kan du lide vores artikler? Vil du se mere interessant indhold? Støt os ved at afgive en ordre eller anbefale til venner, 30% rabat til Habr-brugere på en unik analog af entry-level servere, som er opfundet af os til dig: (tilgængelig med RAID1 og RAID10, op til 24 kerner og op til 40 GB DDR4).
Dell R730xd 2 gange billigere? Kun her i Holland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fra $99! Læse om
Kilde: www.habr.com