Unu plia afero, kiun mi forgesis mencii, estas, ke ACL ne nur filtras trafikon laŭ permesi/nei, sed ĝi plenumas multajn pliajn funkciojn. Ekzemple, ACL estas uzata por ĉifri VPN-trafikon, sed por trapasi la CCNA-ekzamenon, vi nur bezonas scii kiel ĝi estas uzata por filtri trafikon. Ni revenu al Problemo n-ro 1.
Ni eksciis, ke la trafiko pri kontado kaj venda fako povas esti blokita sur la eliga interfaco R2 uzante la jenan ACL-liston.
Ne zorgu pri la formato de ĉi tiu listo, ĝi nur celas ekzemplon por helpi vin kompreni, kio estas ACL. Ni atingos la ĝustan formaton post kiam ni komencos kun Packet Tracer.
La tasko n-ro 2 sonas jene: la servila ĉambro povas komuniki kun ajnaj gastigantoj, krom la gastigantoj de la administra fako. Tio estas, la servilĉambraj komputiloj povas havi aliron al iuj komputiloj en la vendaj kaj kontadaj fakoj, sed ne devus havi aliron al la komputiloj en la administra fako. Ĉi tio signifas, ke la IT-kunlaborantaro de la servila ĉambro ne devus havi malproksiman aliron al la komputilo de la estro de la administra fako, sed en kazo de problemoj, venu al sia oficejo kaj riparu la problemon surloke. Rimarku, ke ĉi tiu tasko ne estas praktika ĉar mi ne konas iun kialon, kial la servila ĉambro ne povus komuniki per la reto kun la administra fako, do en ĉi tiu kazo ni nur rigardas kazesploron.
Por solvi ĉi tiun problemon, vi unue devas determini la trafikan vojon. Datumoj de la servila ĉambro alvenas al la eniga interfaco G0/1 de enkursigilo R1 kaj estas senditaj al la administra fako per la eligo-interfaco G0/0.
Se ni aplikas la kondiĉon Deny 192.168.1.192/27 al la eniga interfaco G0/1, kaj kiel vi memoras, la norma ACL estas metita pli proksime al la trafikfonto, ni blokos la tutan trafikon, inkluzive al la vendo kaj kontada fako.
Ĉar ni volas bloki nur trafikon direktitan al la administra fako, ni devas apliki ACL al la eliga interfaco G0/0. Ĉi tiu problemo nur povas esti solvita metante la ACL pli proksime al la celloko. Samtempe, trafiko de la kontada kaj vendofako-reto devas libere atingi la administradan fakon, do la lasta linio de la listo estos la Permesi ajnan komandon - por permesi ajnan trafikon, krom la trafiko specifita en la antaŭa kondiĉo.
Ni transiru al la Tasko n-ro 3: la tekkomputilo Laptop 3 de la venda fako ne havu aliron al iuj aparatoj krom tiuj situantaj en la loka reto de la venda fako. Ni supozu, ke praktikanto laboras sur ĉi tiu komputilo kaj ne devus iri preter sia LAN.
En ĉi tiu kazo, vi devas apliki ACL sur la eniga interfaco G0/1 de enkursigilo R2. Se ni atribuas la IP-adreson 192.168.1.3/25 al ĉi tiu komputilo, tiam la kondiĉo Deny 192.168.1.3/25 devas esti plenumita, kaj trafiko de iu alia IP-adreso ne devas esti blokita, do la lasta linio de la listo estos Permeso. ajna.
Tamen, blokado de trafiko ne havos neniun efikon al Laptop2.
La sekva tasko estos Tasko n-ro 4: nur komputilo PC0 de la financa fako povas havi aliron al la servila reto, sed ne la administra fako.
Se vi memoras, la ACL de Task #1 blokas la tutan elirantan trafikon sur la S0/1/0-interfaco de enkursigilo R2, sed Task #4 diras, ke ni devas certigi, ke nur PC0-trafiko trapasas, do ni devas fari escepton.
Ĉiuj taskoj, kiujn ni nun solvas, devus helpi vin en reala situacio kiam vi agordas ACL-ojn por oficeja reto. Por komforto, mi uzis la klasikan tipon de enskribo, sed mi konsilas al vi noti ĉiujn liniojn permane sur papero aŭ tajpi ilin en komputilon por ke vi povu fari korektojn al la enskriboj. En nia kazo, laŭ la kondiĉoj de Tasko n-ro 1, klasika ACL-listo estis kompilita. Se ni volas aldoni al ĝi escepton por PC0 de tipo Permeso , tiam ni povas meti ĉi tiun linion nur kvaran en la liston, post la Permesi Ajna linio. Tamen, ĉar la adreso de ĉi tiu komputilo estas inkluzivita en la gamo de adresoj por kontroli la Negi kondiĉon 0/192.168.1.128, ĝia trafiko estos blokita tuj post kiam ĉi tiu kondiĉo estos plenumita kaj la enkursigilo simple ne atingos la kvaran linion kontrolon, permesante. trafiko de ĉi tiu IP-adreso.
Tial, mi devos tute refari la ACL-liston de Tasko n-ro 1, forigante la unuan linion kaj anstataŭigante ĝin per la linio Permeso 192.168.1.130/26, kiu permesas trafikon de PC0, kaj poste reeniri la liniojn malpermesantajn ĉian trafikon. de la kontadaj kaj vendaj fakoj.
Tiel, en la unua linio ni havas komandon por specifa adreso, kaj en la dua - ĝenerala por la tuta reto, en kiu ĉi tiu adreso troviĝas. Se vi uzas modernan tipon de ACL, vi povas facile fari ŝanĝojn al ĝi metante la linion Permeso 192.168.1.130/26 kiel la unuan komandon. Se vi havas klasikan ACL, vi devos forigi ĝin tute kaj poste reenigi la komandojn en la ĝusta ordo.
La solvo de Problemo n-ro 4 estas meti la linion Permeso 192.168.1.130/26 komence de la ACL de Problemo n-ro 1, ĉar nur ĉi-kaze trafiko de PC0 libere forlasos la eliginterfacon de enkursigilo R2. La trafiko de PC1 estos tute blokita ĉar ĝia IP-adreso estas submetita al la malpermeso enhavita en la dua linio de la listo.
Ni nun transiros al Packet Tracer por fari la necesajn agordojn. Mi jam agordis la IP-adresojn de ĉiuj aparatoj ĉar la simpligitaj antaŭaj diagramoj estis iomete malfacile kompreneblaj. Krome, mi agordis RIP inter la du enkursigiloj. Sur la donita retotopologio, komunikado inter ĉiuj aparatoj de 4 subretoj estas ebla sen iuj limigoj. Sed tuj kiam ni aplikas la ACL, la trafiko komencos esti filtrita.
Mi komencos kun la financa fako PC1 kaj provos ping la IP-adreson 192.168.1.194, kiu apartenas al Server0, situanta en la servila ĉambro. Kiel vi povas vidi, ping sukcesas senprobleme. Mi ankaŭ sukcese pingas Laptop0 de la administra fako. La unua pako estas forĵetita pro ARP, la ceteraj 3 estas libere pingitaj.
Por organizi trafikan filtradon, mi eniras la agordojn de la enkursigilo R2, aktivigas la tutmondan agordan reĝimon kaj kreos modernan ACL-liston. Ni ankaŭ havas la klasikan aspekton ACL 10. Por krei la unuan liston, mi enmetas komandon en kiu vi devas specifi la saman liston nomon, kiun ni skribis sur papero: ip access-list standard ACL Secure_Ma_And_Se. Post ĉi tio, la sistemo petas eblajn parametrojn: Mi povas elekti rifuzi, eliri, ne, permesi aŭ rimarki, kaj ankaŭ enigi Sekvencan Numeron de 1 ĝis 2147483647. Se mi ne faras tion, la sistemo asignos ĝin aŭtomate.
Tial mi ne enmetas ĉi tiun numeron, sed tuj iras al la permesila gastiganto 192.168.1.130 komando, ĉar ĉi tiu permeso validas por specifa PC0-aparato. Mi ankaŭ povas uzi inversan Wildcard Maskon, nun mi montros al vi kiel fari ĝin.
Poste, mi enigas la komandon nei 192.168.1.128. Ĉar ni havas /26, mi uzas la inversan maskon kaj kompletigas la komandon per ĝi: nei 192.168.1.128 0.0.0.63. Tiel, mi neas trafikon al la reto 192.168.1.128/26.
Simile, mi blokas trafikon de la sekva reto: nei 192.168.1.0 0.0.0.127. Ĉia alia trafiko estas permesita, do mi enmetas la komandon permesi ajnan. Poste mi devas apliki ĉi tiun liston al la interfaco, do mi uzas la komandon int s0/1/0. Tiam mi tajpas ip access-group Secure_Ma_And_Se, kaj la sistemo instigas min elekti interfacon - enen por envenantaj pakaĵoj kaj eksteren por elirantaj. Ni devas apliki la ACL al la eliga interfaco, do mi uzas la komandon ip access-group Secure_Ma_And_Se out.
Ni iru al la komandlinio PC0 kaj ping la IP-adreson 192.168.1.194, kiu apartenas al la servilo Server0. La ping estas sukcesa ĉar ni uzis specialan ACL-kondiĉon por PC0-trafiko. Se mi faros la samon de PC1, la sistemo generos eraron: "destina gastiganto ne disponeblas", ĉar trafiko de la ceteraj IP-adresoj de la kontada fako estas blokita de aliro al la servila ĉambro.
Ensalutiĝante en la CLI de la R2-enkursigilo kaj tajpante la komandon show ip address-lists, vi povas vidi kiel la financa fako rettrafiko estis direktita - ĝi montras kiomfoje la ping estis pasita laŭ la permeso kaj kiomfoje ĝi estis. blokita laŭ la malpermeso.
Ni ĉiam povas iri al la agordoj de la enkursigilo kaj vidi la alirliston. Tiel, la kondiĉoj de Taskoj n-ro 1 kaj n-ro 4 estas plenumitaj. Lasu min montri al vi ankoraŭ unu aferon. Se mi volas ripari ion, mi povas eniri la tutmondan agordan reĝimon de R2-agordoj, enigi la komandon ip access-list norma Secure_Ma_And_Se kaj poste la komandon "gastiganto 192.168.1.130 ne estas permesita" - neniu permesilo gastiganto 192.168.1.130.
Se ni denove rigardas la alirliston, ni vidos, ke la linio 10 malaperis, ni restas nur linioj 20,30, 40 kaj XNUMX. Tiel, vi povas redakti la alirliston ACL en la agordoj de la enkursigilo, sed nur se ĝi ne estas kompilita. en la klasika formo.
Nun ni transiru al la tria ACL, ĉar ĝi ankaŭ koncernas la R2-enkursigilon. Ĝi deklaras ke ajna trafiko de la Laptop3 ne devus forlasi la reton de la vendosekcio. En ĉi tiu kazo, Laptop2 devus komuniki sen problemoj kun la komputiloj de la financa fako. Por testi tion, mi pingas la IP-adreson 192.168.1.130 de ĉi tiu tekkomputilo kaj certigas, ke ĉio funkcias.
Nun mi iros al la komandlinio de Laptop3 kaj pings la adreson 192.168.1.130. Pingado sukcesas, sed ni ne bezonas ĝin, ĉar laŭ la kondiĉoj de la tasko, Laptop3 nur povas komuniki kun Laptop2, kiu situas en la sama vendosekcia reto. Por fari tion, vi devas krei alian ACL per la klasika metodo.
Mi reiros al R2-agordoj kaj provos reakiri la forigitan eniron 10 per la komando de permesila gastiganto 192.168.1.130. Vi vidas, ke ĉi tiu eniro aperas ĉe la fino de la listo ĉe numero 50. Tamen, aliro ankoraŭ ne funkcios, ĉar la linio permesanta specifan gastiganton estas ĉe la fino de la listo, kaj la linio malpermesanta ĉian retan trafikon estas ĉe la supro. de la listo. Se ni provas ping la Laptop0 de la administra fako de PC0, ni ricevos la mesaĝon "destina gastiganto ne estas alirebla", malgraŭ tio, ke estas permesita eniro ĉe numero 50 en la ACL.
Sekve, se vi volas redakti ekzistantan ACL, vi devas enigi la komandon neniu permesilo gastiganto 2 en R192.168.1.130-reĝimo (config-std-nacl), kontrolu, ke linio 50 malaperis el la listo, kaj enigu la komandon 10 permesilo. gastiganto 192.168.1.130. Ni vidas, ke la listo nun revenis al sia originala formo, kun ĉi tiu eniro unue vicigita. Sekvencaj nombroj helpas redakti la liston en ajna formo, do la moderna formo de ACL estas multe pli oportuna ol la klasika.
Nun mi montros kiel funkcias la klasika formo de la listo ACL 10. Por uzi la klasikan liston, vi devas enigi la komandon alir-liston 10?, kaj, sekvante la inviton, elektu la deziratan agon: nei, permesi aŭ rimarki. Poste mi enigas la linion alir-liston 10 deny host, post kio mi tajpas la komandon access-list 10 deny 192.168.1.3 kaj aldonas la inversan maskon. Ĉar ni havas gastiganton, la antaŭa subreta masko estas 255.255.255.255, kaj la inversa estas 0.0.0.0. Kiel rezulto, por nei gastigan trafikon, mi devas enigi la komandan alirliston 10 deny 192.168.1.3 0.0.0.0. Post ĉi tio, vi devas specifi permesojn, por kiuj mi tajpas la komandon aliro-listo 10 permesas iujn ajn. Ĉi tiu listo devas esti aplikata al la interfaco G0/1 de enkursigilo R2, do mi sinsekve enmetas la komandojn en g0/1, ip alirgrupo 10 in. Sendepende de kiu listo estas uzata, klasika aŭ moderna, la samaj komandoj estas uzataj por apliki ĉi tiun liston al la interfaco.
Por kontroli ĉu la agordoj estas ĝustaj, mi iras al la komandlinia terminalo Laptop3 kaj provas ping la IP-adreson 192.168.1.130 - kiel vi povas vidi, la sistemo raportas, ke la cela gastiganto estas neatingebla.
Mi memorigu vin, ke por kontroli la liston vi povas uzi kaj la komandojn show ip access-lists kaj show access-lists. Ni devas solvi unu plian problemon, kiu rilatas al la enkursigilo R1. Por fari tion, mi iras al la CLI de ĉi tiu enkursigilo kaj iras al tutmonda agorda reĝimo kaj eniras la komandon ip access-list norma Secure_Ma_From_Se. Ĉar ni havas reton 192.168.1.192/27, ĝia subreta masko estos 255.255.255.224, kio signifas, ke la inversa masko estos 0.0.0.31 kaj ni devas enigi la komandon deny 192.168.1.192 0.0.0.31. Ĉar ĉiu alia trafiko estas permesita, la listo finiĝas kun la komando permesi ajnan. Por apliki ACL al la eliginterfaco de la enkursigilo, uzu la komandon ip access-group Secure_Ma_From_Se out.
Nun mi iros al la komandlinia terminalo de Server0 kaj provos ping la Laptop0 de la administra fako ĉe la IP-adreso 192.168.1.226. La provo estis malsukcesa, sed se mi pingis 192.168.1.130, la konekto estis establita senprobleme, tio estas, ni malpermesis al la servila komputilo komuniki kun la administra fako, sed permesis komunikadon kun ĉiuj aliaj aparatoj en aliaj fakoj. Tiel, ni sukcese solvis ĉiujn 4 problemojn.
Lasu min montri al vi ion alian. Ni eniras la agordojn de la enkursigilo R2, kie ni havas 2 specojn de ACL - klasika kaj moderna. Ni diru, ke mi volas redakti ACL 10, Standard IP-alirliston 10, kiu en sia klasika formo konsistas el du enskriboj 10 kaj 20. Se mi uzas la do show run komandon, mi povas vidi, ke unue ni havas modernan alirliston de 4. enskriboj sen nombroj sub la ĝenerala rubriko Secure_Ma_And_Se, kaj malsupre estas du ACL 10 enskriboj de la klasika formo ripetante la nomon de la sama alirlisto 10.
Se mi volas fari kelkajn ŝanĝojn, kiel forigi la eniron de deny host 192.168.1.3 kaj enkonduki eniron por aparato en malsama reto, mi devas uzi la forviŝi komandon nur por tiu eniro: neniu alirlisto 10 deny host 192.168.1.3. .10. Sed tuj kiam mi enigas ĉi tiun komandon, ĉiuj enskriboj de ACL XNUMX malaperas tute. Tial la klasika vido de la ACL estas tre maloportuna redakti. La moderna registra metodo estas multe pli oportuna por uzi, ĉar ĝi permesas senpagan redaktadon.
Por lerni la materialon en ĉi tiu videoleciono, mi konsilas al vi spekti ĝin denove kaj provi solvi la problemojn diskutitajn memstare sen ajna sugesto. ACL estas grava temo en la CCNA-kurso, kaj multaj estas konfuzitaj de, ekzemple, la proceduro por krei inversan Wildcard Mask. Mi certigas al vi, nur komprenu la koncepton de maska transformo, kaj ĉio fariĝos multe pli facila. Memoru, ke la plej grava afero por kompreni la CCNA-kursajn temojn estas praktika trejnado, ĉar nur praktiko helpos vin kompreni ĉi tiun aŭ alian Cisco-koncepton. Praktiko ne estas kopii-alglui miajn teamojn, sed solvi problemojn laŭ via maniero. Demandu vin: kion oni devas fari por bloki la trafikon de ĉi tie al tie, kie apliki kondiĉojn ktp., kaj provu respondi ilin.
Dankon pro restado ĉe ni. Ĉu vi ŝatas niajn artikolojn? Ĉu vi volas vidi pli interesan enhavon? Subtenu nin farante mendon aŭ rekomendante al amikoj, 30% rabato por uzantoj de Habr sur unika analogo de enirnivelaj serviloj, kiu estis inventita de ni por vi: (havebla kun RAID1 kaj RAID10, ĝis 24 kernoj kaj ĝis 40GB DDR4).
Dell R730xd 2 fojojn pli malmultekosta? Nur ĉi tie en Nederlando! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ekde $99! Legu pri
fonto: www.habr.com