Eine weitere Sache, die ich vergessen habe zu erwähnen, ist, dass ACL nicht nur den Datenverkehr auf der Basis „Zulassen/Verweigern“ filtert, sondern noch viele weitere Funktionen ausführt. Beispielsweise wird eine ACL zum Verschlüsseln des VPN-Verkehrs verwendet. Um die CCNA-Prüfung zu bestehen, müssen Sie jedoch nur wissen, wie sie zum Filtern des Datenverkehrs verwendet wird. Kehren wir zu Problem Nr. 1 zurück.
Wir haben herausgefunden, dass der Datenverkehr der Buchhaltungs- und Vertriebsabteilung auf der R2-Ausgabeschnittstelle mithilfe der folgenden ACL-Liste blockiert werden kann.
Machen Sie sich über das Format dieser Liste keine Sorgen, sie dient nur als Beispiel, um Ihnen zu helfen, zu verstehen, was eine ACL ist. Sobald wir mit Packet Tracer beginnen, werden wir uns mit dem richtigen Format befassen.
Aufgabe Nr. 2 klingt so: Der Serverraum kann mit allen Hosts kommunizieren, mit Ausnahme der Hosts der Verwaltungsabteilung. Das heißt, die Computer im Serverraum können Zugriff auf alle Computer in den Vertriebs- und Buchhaltungsabteilungen haben, sollten jedoch keinen Zugriff auf die Computer in der Verwaltungsabteilung haben. Das bedeutet, dass die IT-Mitarbeiter des Serverraums keinen Fernzugriff auf den Computer des Leiters der Verwaltungsabteilung haben sollten, sondern bei Problemen in sein Büro kommen und das Problem vor Ort beheben sollten. Beachten Sie, dass diese Aufgabe nicht praktikabel ist, da ich nicht weiß, warum der Serverraum nicht über das Netzwerk mit der Verwaltungsabteilung kommunizieren kann. Daher sehen wir uns in diesem Fall nur ein Tutorial-Beispiel an.
Um dieses Problem zu lösen, müssen Sie zunächst den Verkehrspfad bestimmen. Daten aus dem Serverraum kommen an der Eingangsschnittstelle G0/1 des Routers R1 an und werden über die Ausgangsschnittstelle G0/0 an die Verwaltungsabteilung gesendet.
Wenn wir die Bedingung „Deny 192.168.1.192/27“ auf die Eingabeschnittstelle G0/1 anwenden und, wie Sie sich erinnern, die Standard-ACL näher an der Traffic-Quelle platziert wird, blockieren wir den gesamten Traffic, auch zur Vertriebs- und Buchhaltungsabteilung.
Da wir nur den an die Verwaltungsabteilung gerichteten Datenverkehr blockieren möchten, müssen wir eine ACL auf die Ausgabeschnittstelle G0/0 anwenden. Dieses Problem kann nur gelöst werden, indem die ACL näher am Ziel platziert wird. Gleichzeitig muss der Datenverkehr aus dem Netzwerk der Buchhaltungs- und Vertriebsabteilung ungehindert die Verwaltungsabteilung erreichen, daher wird in der letzten Zeile der Liste der Befehl „Alle zulassen“ angezeigt, um jeglichen Datenverkehr zuzulassen, mit Ausnahme des in der vorherigen Bedingung angegebenen Datenverkehrs.
Kommen wir zu Aufgabe Nr. 3: Der Laptop 3 aus der Vertriebsabteilung sollte keinen Zugriff auf andere Geräte als diejenigen haben, die sich im lokalen Netzwerk der Vertriebsabteilung befinden. Nehmen wir an, dass ein Auszubildender an diesem Computer arbeitet und sein LAN nicht verlassen sollte.
In diesem Fall müssen Sie eine ACL auf die Eingangsschnittstelle G0/1 von Router R2 anwenden. Wenn wir diesem Computer die IP-Adresse 192.168.1.3/25 zuweisen, muss die Bedingung „Deny 192.168.1.3/25“ erfüllt sein und der Datenverkehr von anderen IP-Adressen darf nicht blockiert werden, sodass die letzte Zeile der Liste „Zulassen“ lautet beliebig.
Das Blockieren des Datenverkehrs hat jedoch keine Auswirkungen auf Laptop2.
Die nächste Aufgabe ist Aufgabe Nr. 4: Nur der Computer PC0 der Finanzabteilung kann Zugriff auf das Servernetzwerk haben, nicht jedoch die Verwaltungsabteilung.
Wenn Sie sich erinnern, blockiert die ACL von Aufgabe Nr. 1 den gesamten ausgehenden Verkehr auf der S0/1/0-Schnittstelle von Router R2, aber Aufgabe Nr. 4 besagt, dass wir sicherstellen müssen, dass nur PC0-Verkehr durchgelassen wird, also müssen wir eine Ausnahme machen.
Alle Aufgaben, die wir jetzt lösen, sollen Ihnen in einer realen Situation beim Einrichten von ACLs für ein Büronetzwerk helfen. Der Einfachheit halber habe ich die klassische Art der Eingabe verwendet, ich empfehle Ihnen jedoch, alle Zeilen manuell auf Papier aufzuschreiben oder in einen Computer einzutippen, damit Sie Korrekturen an den Eingaben vornehmen können. In unserem Fall wurde gemäß den Bedingungen der Aufgabe Nr. 1 eine klassische ACL-Liste erstellt. Wenn wir eine Ausnahme für PC0 vom Typ Permit hinzufügen möchten , dann können wir diese Zeile erst an vierter Stelle in der Liste platzieren, nach der Zeile „Permit Any“. Da die Adresse dieses Computers jedoch im Adressbereich zur Überprüfung der Deny-Bedingung 0/192.168.1.128 enthalten ist, wird sein Datenverkehr sofort nach Erfüllung dieser Bedingung blockiert und der Router erreicht die vierte Leitungsprüfung einfach nicht, was zulässt Datenverkehr von dieser IP-Adresse.
Daher muss ich die ACL-Liste von Aufgabe Nr. 1 komplett neu erstellen, die erste Zeile löschen und durch die Zeile Permit 192.168.1.130/26 ersetzen, die den Datenverkehr von PC0 zulässt, und dann die Zeilen neu eingeben, die jeglichen Datenverkehr verbieten aus der Buchhaltung und dem Vertrieb.
So haben wir in der ersten Zeile einen Befehl für eine bestimmte Adresse und in der zweiten einen allgemeinen Befehl für das gesamte Netzwerk, in dem sich diese Adresse befindet. Wenn Sie einen modernen ACL-Typ verwenden, können Sie problemlos Änderungen daran vornehmen, indem Sie die Zeile Permit 192.168.1.130/26 als ersten Befehl platzieren. Wenn Sie über eine klassische ACL verfügen, müssen Sie diese vollständig entfernen und dann die Befehle in der richtigen Reihenfolge erneut eingeben.
Die Lösung für Problem Nr. 4 besteht darin, die Zeile Permit 192.168.1.130/26 am Anfang der ACL von Problem Nr. 1 zu platzieren, da nur in diesem Fall der Verkehr von PC0 die Ausgangsschnittstelle des Routers R2 ungehindert verlassen kann. Der Datenverkehr von PC1 wird vollständig blockiert, da seine IP-Adresse dem Verbot in der zweiten Zeile der Liste unterliegt.
Wir gehen nun zum Packet Tracer über, um die notwendigen Einstellungen vorzunehmen. Ich habe bereits die IP-Adressen aller Geräte konfiguriert, da die vereinfachten vorherigen Diagramme etwas schwer zu verstehen waren. Außerdem habe ich RIP zwischen den beiden Routern konfiguriert. Bei der gegebenen Netzwerktopologie ist die Kommunikation zwischen allen Geräten von 4 Subnetzen ohne Einschränkungen möglich. Sobald wir jedoch die ACL anwenden, wird der Datenverkehr gefiltert.
Ich beginne mit PC1 der Finanzabteilung und versuche, die IP-Adresse 192.168.1.194 anzupingen, die zu Server0 gehört und sich im Serverraum befindet. Wie Sie sehen, gelingt der Ping problemlos. Ich habe Laptop0 auch erfolgreich von der Verwaltungsabteilung aus angepingt. Das erste Paket wird aufgrund von ARP verworfen, die restlichen 3 werden frei gepingt.
Um die Traffic-Filterung zu organisieren, gehe ich in die Einstellungen des R2-Routers, aktiviere den globalen Konfigurationsmodus und erstelle eine moderne ACL-Liste. Wir haben auch den klassisch aussehenden ACL 10. Um die erste Liste zu erstellen, gebe ich einen Befehl ein, in dem Sie denselben Listennamen angeben müssen, den wir auf Papier notiert haben: IP Access-List Standard ACL Secure_Ma_And_Se. Danach fragt das System nach möglichen Parametern: Ich kann „Verweigern“, „Beenden“, „Nein“, „Genehmigen“ oder „Bemerken“ auswählen und außerdem eine Sequenznummer von 1 bis 2147483647 eingeben. Wenn ich dies nicht mache, wird das System sie automatisch zuweisen.
Daher gebe ich diese Nummer nicht ein, sondern gehe sofort zum Befehl „permit host 192.168.1.130“, da diese Berechtigung für ein bestimmtes PC0-Gerät gültig ist. Ich kann auch eine umgekehrte Wildcard-Maske verwenden, jetzt zeige ich Ihnen, wie es geht.
Als nächstes gebe ich den Befehl deny 192.168.1.128 ein. Da wir /26 haben, verwende ich die umgekehrte Maske und ergänze den Befehl damit: deny 192.168.1.128 0.0.0.63. Daher verweigere ich den Datenverkehr zum Netzwerk 192.168.1.128/26.
Ebenso blockiere ich den Datenverkehr aus dem folgenden Netzwerk: deny 192.168.1.0 0.0.0.127. Da jeder andere Datenverkehr erlaubt ist, gebe ich den Befehl „permit any“ ein. Als nächstes muss ich diese Liste auf die Schnittstelle anwenden, also verwende ich den Befehl int s0/1/0. Dann gebe ich „ip access-group Secure_Ma_And_Se“ ein und das System fordert mich auf, eine Schnittstelle auszuwählen – „in“ für eingehende Pakete und „out“ für ausgehende. Wir müssen die ACL auf die Ausgabeschnittstelle anwenden, daher verwende ich den Befehl ip access-group Secure_Ma_And_Se out.
Gehen wir zur PC0-Befehlszeile und pingen wir die IP-Adresse 192.168.1.194 an, die zum Server0-Server gehört. Der Ping ist erfolgreich, da wir eine spezielle ACL-Bedingung für PC0-Verkehr verwendet haben. Wenn ich das Gleiche von PC1 aus mache, generiert das System eine Fehlermeldung: „Zielhost ist nicht verfügbar“, da der Verkehr von den verbleibenden IP-Adressen der Buchhaltungsabteilung für den Zugriff auf den Serverraum blockiert ist.
Wenn Sie sich bei der CLI des R2-Routers anmelden und den Befehl „show ip address-lists“ eingeben, können Sie sehen, wie der Netzwerkverkehr der Finanzabteilung weitergeleitet wurde – es wird angezeigt, wie oft der Ping entsprechend der Berechtigung weitergeleitet wurde und wie oft dies der Fall war entsprechend dem Verbot gesperrt.
Wir können jederzeit zu den Router-Einstellungen gehen und die Zugriffsliste einsehen. Damit sind die Bedingungen der Aufgaben Nr. 1 und Nr. 4 erfüllt. Lassen Sie mich Ihnen noch etwas zeigen. Wenn ich etwas reparieren möchte, kann ich in den globalen Konfigurationsmodus der R2-Einstellungen gehen, den Befehl ip access-list standard Secure_Ma_And_Se eingeben und dann den Befehl „Host 192.168.1.130 ist nicht erlaubt“ – Host 192.168.1.130 nicht zulassen.
Wenn wir uns die Zugriffsliste noch einmal ansehen, werden wir feststellen, dass Zeile 10 verschwunden ist, wir haben nur noch die Zeilen 20,30, 40 und XNUMX. Somit können Sie die ACL-Zugriffsliste in den Router-Einstellungen bearbeiten, allerdings nur, wenn sie nicht kompiliert ist in der klassischen Form.
Kommen wir nun zur dritten ACL, denn diese betrifft auch den R2-Router. Darin heißt es, dass jeglicher Datenverkehr vom Laptop3 das Netzwerk der Vertriebsabteilung nicht verlassen darf. In diesem Fall sollte Laptop2 problemlos mit den Computern der Finanzabteilung kommunizieren. Um dies zu testen, pinge ich von diesem Laptop aus die IP-Adresse 192.168.1.130 an und stelle sicher, dass alles funktioniert.
Jetzt gehe ich zur Befehlszeile von Laptop3 und pinge die Adresse 192.168.1.130 an. Das Ping ist erfolgreich, wir brauchen es aber nicht, da Laptop3 je nach Aufgabenstellung nur mit Laptop2 kommunizieren kann, der sich im selben Vertriebsnetz befindet. Dazu müssen Sie mit der klassischen Methode eine weitere ACL erstellen.
Ich gehe zurück zu den R2-Einstellungen und versuche, den gelöschten Eintrag 10 mit dem Befehl „permit host 192.168.1.130“ wiederherzustellen. Sie sehen, dass dieser Eintrag am Ende der Liste unter der Nummer 50 erscheint. Der Zugriff funktioniert jedoch immer noch nicht, da die Zeile, die einen bestimmten Host zulässt, am Ende der Liste steht und die Zeile, die jeglichen Netzwerkverkehr verbietet, ganz oben steht der Liste. Wenn wir versuchen, den Laptop0 der Verwaltungsabteilung von PC0 aus anzupingen, erhalten wir die Meldung „Zielhost ist nicht erreichbar“, obwohl es in der ACL einen Zulassungseintrag unter Nummer 50 gibt.
Wenn Sie also eine vorhandene ACL bearbeiten möchten, müssen Sie im R2-Modus (config-std-nacl) den Befehl no erlauben host 192.168.1.130 eingeben, überprüfen, ob Zeile 50 aus der Liste verschwunden ist, und den Befehl 10 erlauben eingeben Host 192.168.1.130. Wir sehen, dass die Liste nun wieder in ihrer ursprünglichen Form ist und dieser Eintrag an erster Stelle steht. Sequenznummern helfen dabei, die Liste in jeder Form zu bearbeiten, daher ist die moderne Form von ACL viel praktischer als die klassische.
Jetzt zeige ich, wie die klassische Form der ACL 10-Liste funktioniert. Um die klassische Liste zu verwenden, müssen Sie den Befehl access–list 10? eingeben und nach der Eingabeaufforderung die gewünschte Aktion auswählen: verweigern, zulassen oder kommentieren. Dann gebe ich die Zeile „access–list 10 deny host“ ein, tippe anschließend den Befehl „access–list 10 deny 192.168.1.3“ ein und füge die umgekehrte Maske hinzu. Da wir einen Host haben, lautet die Subnetzmaske vorwärts 255.255.255.255 und umgekehrt 0.0.0.0. Um den Host-Verkehr zu verweigern, muss ich daher den Befehl access–list 10 deny 192.168.1.3 0.0.0.0 eingeben. Danach müssen Sie Berechtigungen angeben, wofür ich den Befehl access–list 10 erlauben alle eintippe. Diese Liste muss auf die G0/1-Schnittstelle des Routers R2 angewendet werden, daher gebe ich die Befehle nacheinander in g0/1, IP-Zugriffsgruppe 10 ein. Unabhängig davon, welche Liste verwendet wird, ob klassisch oder modern, werden dieselben Befehle verwendet, um diese Liste auf die Schnittstelle anzuwenden.
Um zu überprüfen, ob die Einstellungen korrekt sind, gehe ich zum Laptop3-Befehlszeilenterminal und versuche, die IP-Adresse 192.168.1.130 anzupingen – wie Sie sehen, meldet das System, dass der Zielhost nicht erreichbar ist.
Ich möchte Sie daran erinnern, dass Sie zum Überprüfen der Liste sowohl die Befehle show ip access-lists als auch show access-lists verwenden können. Wir müssen noch ein weiteres Problem lösen, das den R1-Router betrifft. Dazu gehe ich in die CLI dieses Routers und gehe in den globalen Konfigurationsmodus und gebe den Befehl ip access-list standard Secure_Ma_From_Se ein. Da wir ein Netzwerk mit der Nummer 192.168.1.192/27 haben, lautet seine Subnetzmaske 255.255.255.224, was bedeutet, dass die umgekehrte Maske 0.0.0.31 lautet und wir den Befehl „deny 192.168.1.192 0.0.0.31“ eingeben müssen. Da jeder andere Datenverkehr erlaubt ist, endet die Liste mit dem Befehl „permit any“. Um eine ACL auf die Ausgabeschnittstelle des Routers anzuwenden, verwenden Sie den Befehl ip access-group Secure_Ma_From_Se out.
Jetzt gehe ich zum Befehlszeilenterminal von Server0 und versuche, Laptop0 der Verwaltungsabteilung unter der IP-Adresse 192.168.1.226 anzupingen. Der Versuch war erfolglos, aber wenn ich die Adresse 192.168.1.130 anpingte, wurde die Verbindung problemlos hergestellt, d. h. wir haben dem Servercomputer die Kommunikation mit der Verwaltungsabteilung untersagt, aber die Kommunikation mit allen anderen Geräten in anderen Abteilungen zugelassen. Somit haben wir alle 4 Probleme erfolgreich gelöst.
Lassen Sie mich Ihnen noch etwas zeigen. Wir gehen in die Einstellungen des R2-Routers, wo wir zwei Arten von ACL haben – klassisch und modern. Nehmen wir an, ich möchte ACL 2, Standard-IP-Zugriffsliste 10, bearbeiten, die in ihrer klassischen Form aus zwei Einträgen 10 und 10 besteht. Wenn ich den Befehl „do show run“ verwende, sehe ich, dass wir zunächst eine moderne Zugriffsliste von 20 haben Einträge ohne Nummern unter der allgemeinen Überschrift Secure_Ma_And_Se, und darunter sind zwei ACL 4-Einträge der klassischen Form, die den Namen derselben Access-List 10 wiederholen.
Wenn ich einige Änderungen vornehmen möchte, z. B. das Entfernen des Deny-Host-192.168.1.3-Eintrags und das Einfügen eines Eintrags für ein Gerät in einem anderen Netzwerk, muss ich den Löschbefehl nur für diesen Eintrag verwenden: no access-list 10 deny host 192.168.1.3 .10. Aber sobald ich diesen Befehl eingebe, verschwinden alle ACL XNUMX-Einträge komplett, weshalb die klassische Ansicht der ACL sehr umständlich zu bearbeiten ist. Die moderne Aufnahmemethode ist wesentlich komfortabler in der Anwendung, da sie eine freie Bearbeitung ermöglicht.
Um den Stoff dieser Videolektion zu erlernen, empfehle ich Ihnen, ihn sich noch einmal anzusehen und zu versuchen, die besprochenen Probleme selbst und ohne Hinweise zu lösen. ACL ist ein wichtiges Thema im CCNA-Kurs und viele sind beispielsweise verwirrt über das Verfahren zum Erstellen einer umgekehrten Wildcard-Maske. Ich versichere Ihnen, verstehen Sie einfach das Konzept der Maskentransformation, und alles wird viel einfacher. Denken Sie daran, dass das Wichtigste zum Verständnis der CCNA-Kursthemen die praktische Ausbildung ist, denn nur Übung wird Ihnen helfen, dieses oder jenes Cisco-Konzept zu verstehen. Beim Üben geht es nicht darum, meine Teams zu kopieren, sondern Probleme auf Ihre eigene Art zu lösen. Stellen Sie sich Fragen: Was muss getan werden, um den Verkehrsfluss von hier nach dort zu blockieren, wo gelten Bedingungen usw. und versuchen Sie, diese zu beantworten.
Vielen Dank, dass Sie bei uns geblieben sind. Gefallen Ihnen unsere Artikel? Möchten Sie weitere interessante Inhalte sehen? Unterstützen Sie uns, indem Sie eine Bestellung aufgeben oder an Freunde weiterempfehlen. 30 % Rabatt für Habr-Benutzer auf ein einzigartiges Analogon von Einstiegsservern, das von uns für Sie erfunden wurde: (verfügbar mit RAID1 und RAID10, bis zu 24 Kerne und bis zu 40 GB DDR4).
Dell R730xd 2-mal günstiger? Nur hier in den Niederlanden! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbit/s 100 TB – ab 99 $! Lesen über
Source: habr.com