Una cosa más que olvidé mencionar es que ACL no solo filtra el tráfico según permitir/denegar, sino que realiza muchas más funciones. Por ejemplo, una ACL se utiliza para cifrar el tráfico VPN, pero para aprobar el examen CCNA, sólo necesita saber cómo se utiliza para filtrar el tráfico. Volvamos al Problema No. 1.
Descubrimos que el tráfico del departamento de contabilidad y ventas se puede bloquear en la interfaz de salida de R2 utilizando la siguiente lista de ACL.
No se preocupe por el formato de esta lista, solo sirve como ejemplo para ayudarle a comprender qué es una ACL. Llegaremos al formato correcto una vez que comencemos con Packet Tracer.
La tarea número 2 suena así: la sala de servidores puede comunicarse con cualquier host, excepto con los hosts del departamento de administración. Es decir, las computadoras de la sala de servidores pueden tener acceso a cualquier computadora de los departamentos de ventas y contabilidad, pero no deberían tener acceso a las computadoras del departamento de administración. Esto significa que el personal de TI de la sala de servidores no debe tener acceso remoto al ordenador del jefe del departamento de gestión, sino que, en caso de problemas, acudir a su oficina y solucionar el problema en el acto. Tenga en cuenta que esta tarea no es práctica porque no sé por qué la sala de servidores no podría comunicarse a través de la red con el departamento de administración, por lo que en este caso solo estamos viendo un ejemplo de tutorial.
Para resolver este problema, primero debe determinar la ruta del tráfico. Los datos de la sala de servidores llegan a la interfaz de entrada G0/1 del enrutador R1 y se envían al departamento de administración a través de la interfaz de salida G0/0.
Si aplicamos la condición Denegar 192.168.1.192/27 a la interfaz de entrada G0/1 y, como recordará, la ACL estándar se coloca más cerca de la fuente de tráfico, bloquearemos todo el tráfico, incluido el departamento de ventas y contabilidad.
Como queremos bloquear sólo el tráfico dirigido al departamento de gestión, debemos aplicar una ACL a la interfaz de salida G0/0. Este problema sólo se puede solucionar colocando la ACL más cerca del destino. Al mismo tiempo, el tráfico de la red del departamento de contabilidad y ventas debe llegar libremente al departamento de gestión, por lo que la última línea de la lista será el comando Permitir cualquier - para permitir cualquier tráfico, excepto el tráfico especificado en la condición anterior.
Pasemos a la Tarea No. 3: la computadora portátil Laptop 3 del departamento de ventas no debe tener acceso a ningún dispositivo que no sea el ubicado en la red local del departamento de ventas. Supongamos que un alumno está trabajando en esta computadora y no debe ir más allá de su LAN.
En este caso, debe aplicar una ACL en la interfaz de entrada G0/1 del enrutador R2. Si asignamos la dirección IP 192.168.1.3/25 a esta computadora, entonces se debe cumplir la condición Denegar 192.168.1.3/25 y no se debe bloquear el tráfico de cualquier otra dirección IP, por lo que la última línea de la lista será Permitir. cualquier.
Sin embargo, bloquear el tráfico no tendrá ningún efecto en Laptop2.
La siguiente tarea será la Tarea No. 4: solo la computadora PC0 del departamento financiero puede tener acceso a la red del servidor, pero no el departamento de administración.
Si recuerda, la ACL de la Tarea n.° 1 bloquea todo el tráfico saliente en la interfaz S0/1/0 del enrutador R2, pero la Tarea n.° 4 dice que debemos asegurarnos de que solo pase el tráfico PC0, por lo que debemos hacer una excepción.
Todas las tareas que estamos resolviendo ahora deberían ayudarle en una situación real a la hora de configurar ACL para una red de oficina. Para mayor comodidad, utilicé el tipo de entrada clásico, pero te aconsejo que escribas todas las líneas manualmente en un papel o las escribas en una computadora para poder hacer correcciones en las entradas. En nuestro caso, de acuerdo con las condiciones de la Tarea No. 1, se compiló una lista de ACL clásica. Si queremos agregarle una excepción para PC0 de tipo Permit , entonces podemos colocar esta línea solo en cuarto lugar en la lista, después de la línea Permitir cualquier. Sin embargo, dado que la dirección de esta computadora está incluida en el rango de direcciones para verificar la condición de denegación 0/192.168.1.128, su tráfico se bloqueará inmediatamente después de que se cumpla esta condición y el enrutador simplemente no alcanzará la verificación de la cuarta línea, lo que permitirá tráfico desde esta dirección IP.
Por lo tanto, tendré que rehacer completamente la lista ACL de la Tarea No. 1, eliminando la primera línea y reemplazándola con la línea Permit 192.168.1.130/26, que permite el tráfico desde la PC0, y luego volver a ingresar las líneas que prohíben todo el tráfico. de los departamentos de contabilidad y ventas.
Así, en la primera línea tenemos un comando para una dirección específica, y en la segunda, uno general para toda la red en la que se encuentra esta dirección. Si está utilizando un tipo moderno de ACL, puede realizar cambios fácilmente colocando la línea Permitir 192.168.1.130/26 como primer comando. Si tiene una ACL clásica, deberá eliminarla por completo y luego volver a ingresar los comandos en el orden correcto.
La solución al Problema No. 4 es colocar la línea Permit 192.168.1.130/26 al comienzo de la ACL del Problema No. 1, porque solo en este caso el tráfico de la PC0 saldrá libremente de la interfaz de salida del enrutador R2. El tráfico de la PC1 quedará completamente bloqueado porque su dirección IP está sujeta a la prohibición contenida en la segunda línea de la lista.
Ahora pasaremos a Packet Tracer para realizar las configuraciones necesarias. Ya configuré las direcciones IP de todos los dispositivos porque los diagramas anteriores simplificados eran un poco difíciles de entender. Además, configuré RIP entre los dos enrutadores. En la topología de red dada, la comunicación entre todos los dispositivos de 4 subredes es posible sin restricciones. Pero en cuanto apliquemos la ACL el tráfico empezará a filtrarse.
Comenzaré con la PC1 del departamento de finanzas e intentaré hacer ping a la dirección IP 192.168.1.194, que pertenece al Servidor0, ubicado en la sala de servidores. Como puede ver, el ping se realiza correctamente sin ningún problema. También hice ping con éxito a Laptop0 desde el departamento de administración. El primer paquete se descarta debido a ARP, a los 3 restantes se les hace ping libremente.
Para organizar el filtrado de tráfico, entro en la configuración del enrutador R2, activo el modo de configuración global y voy a crear una lista ACL moderna. También tenemos el ACL 10 de aspecto clásico. Para crear la primera lista, ingreso un comando en el que debe especificar el mismo nombre de la lista que escribimos en papel: ip access-list standard ACL Secure_Ma_And_Se. Después de esto, el sistema me solicita posibles parámetros: puedo seleccionar denegar, salir, no, permitir o comentar, y también ingresar un Número de secuencia del 1 al 2147483647. Si no hago esto, el sistema lo asignará automáticamente.
Por lo tanto, no ingreso este número, sino que voy inmediatamente al comando permit host 192.168.1.130, ya que este permiso es válido para un dispositivo PC0 específico. También puedo usar una máscara comodín inversa, ahora te mostraré cómo hacerlo.
A continuación, ingreso el comando denegar 192.168.1.128. Como tenemos /26, uso la máscara inversa y complemento el comando con ella: deny 192.168.1.128 0.0.0.63. Por tanto, niego el tráfico a la red 192.168.1.128/26.
De manera similar, bloqueo el tráfico de la siguiente red: deny 192.168.1.0 0.0.0.127. Todo el resto del tráfico está permitido, así que ingreso el comando permitir cualquiera. A continuación tengo que aplicar esta lista a la interfaz, así que uso el comando int s0/1/0. Luego escribo ip access-group Secure_Ma_And_Se y el sistema me solicita que seleccione una interfaz: entrada para paquetes entrantes y salida para paquetes salientes. Necesitamos aplicar la ACL a la interfaz de salida, por eso uso el comando ip access-group Secure_Ma_And_Se out.
Vayamos a la línea de comando de la PC0 y hagamos ping a la dirección IP 192.168.1.194, que pertenece al servidor Server0. El ping es exitoso porque utilizamos una condición ACL especial para el tráfico PC0. Si hago lo mismo desde la PC1, el sistema generará un error: “el host de destino no está disponible”, ya que el tráfico de las direcciones IP restantes del departamento de contabilidad no puede acceder a la sala de servidores.
Al iniciar sesión en la CLI del enrutador R2 y escribir el comando show ip Address-Lists, puede ver cómo se enruta el tráfico de red del departamento financiero: muestra cuántas veces se pasó el ping de acuerdo con el permiso y cuántas veces se realizó. bloqueado según la prohibición.
Siempre podemos ir a los ajustes del router y ver la lista de acceso. Por tanto, se cumplen las condiciones de las Tareas No. 1 y No. 4. Déjame mostrarte una cosa más. Si quiero arreglar algo, puedo ingresar al modo de configuración global de R2, ingresar el comando ip access-list standard Secure_Ma_And_Se y luego el comando "host 192.168.1.130 no está permitido" - sin permiso host 192.168.1.130.
Si volvemos a mirar la lista de acceso, veremos que la línea 10 ha desaparecido, solo nos quedan las líneas 20,30, 40 y XNUMX. Por lo tanto, puedes editar la lista de acceso ACL en la configuración del enrutador, pero solo si no está compilada. en la forma clásica.
Ahora pasemos a la tercera ACL, porque también concierne al enrutador R2. Indica que cualquier tráfico procedente del Laptop3 no debe salir de la red del departamento de ventas. En este caso, Laptop2 debería comunicarse sin problemas con los ordenadores del departamento financiero. Para probar esto, hago ping a la dirección IP 192.168.1.130 desde esta computadora portátil y me aseguro de que todo funcione.
Ahora iré a la línea de comando de Laptop3 y haré ping a la dirección 192.168.1.130. El ping es exitoso, pero no lo necesitamos, ya que según las condiciones de la tarea, Laptop3 solo puede comunicarse con Laptop2, que se encuentra en la misma red del departamento de ventas. Para hacer esto, necesita crear otra ACL usando el método clásico.
Volveré a la configuración de R2 e intentaré recuperar la entrada eliminada 10 usando el comando permit host 192.168.1.130. Verá que esta entrada aparece al final de la lista en el número 50. Sin embargo, el acceso aún no funcionará, porque la línea que permite un host específico está al final de la lista y la línea que prohíbe todo el tráfico de red está en la parte superior. de la lista. Si intentamos hacer ping a la Laptop0 del departamento de administración desde la PC0, recibiremos el mensaje "no se puede acceder al host de destino", a pesar de que hay una entrada permitida en el número 50 en la ACL.
Por lo tanto, si desea editar una ACL existente, debe ingresar el comando no permit host 2 en modo R192.168.1.130 (config-std-nacl), verificar que la línea 50 haya desaparecido de la lista e ingresar el comando 10 permit. anfitrión 192.168.1.130. Vemos que la lista ha vuelto a su forma original, con esta entrada en primer lugar. Los números de secuencia ayudan a editar la lista en cualquier forma, por lo que la forma moderna de ACL es mucho más conveniente que la clásica.
Ahora mostraré cómo funciona la forma clásica de la lista ACL 10. Para usar la lista clásica, debe ingresar el comando acceso–lista 10? y, siguiendo el mensaje, seleccionar la acción deseada: denegar, permitir o comentar. Luego ingreso la línea acceso-lista 10 denegar host, después de lo cual escribo el comando acceso-lista 10 denegar 192.168.1.3 y agrego la máscara inversa. Como tenemos un host, la máscara de subred directa es 255.255.255.255 y la inversa es 0.0.0.0. Como resultado, para denegar el tráfico del host, debo ingresar el comando access–list 10 deny 192.168.1.3 0.0.0.0. Después de esto, debe especificar los permisos, para lo cual escribo el comando acceso-lista 10 permitir cualquiera. Esta lista debe aplicarse a la interfaz G0/1 del enrutador R2, por lo que ingreso secuencialmente los comandos en g0/1, ip access-group 10 in. Independientemente de qué lista se utilice, clásica o moderna, se utilizan los mismos comandos para aplicar esta lista a la interfaz.
Para verificar si la configuración es correcta, voy al terminal de línea de comando de Laptop3 e intento hacer ping a la dirección IP 192.168.1.130; como puede ver, el sistema informa que no se puede acceder al host de destino.
Permítame recordarle que para verificar la lista puede usar los comandos show ip access-lists y show access-lists. Debemos resolver un problema más, que se relaciona con el enrutador R1. Para hacer esto, voy a la CLI de este enrutador, voy al modo de configuración global e ingreso el comando ip access-list standard Secure_Ma_From_Se. Como tenemos una red 192.168.1.192/27, su máscara de subred será 255.255.255.224, lo que significa que la máscara inversa será 0.0.0.31 y debemos ingresar el comando denegar 192.168.1.192 0.0.0.31. Como todo el resto del tráfico está permitido, la lista termina con el comando permitir cualquiera. Para aplicar una ACL a la interfaz de salida del enrutador, use el comando ip access-group Secure_Ma_From_Se out.
Ahora iré a la terminal de línea de comando del Servidor0 e intentaré hacer ping a la Computadora portátil0 del departamento de administración en la dirección IP 192.168.1.226. El intento no tuvo éxito, pero si hice ping a la dirección 192.168.1.130, la conexión se estableció sin problemas, es decir, prohibimos a la computadora servidor comunicarse con el departamento de administración, pero permitimos la comunicación con todos los demás dispositivos en otros departamentos. Así, hemos resuelto con éxito los 4 problemas.
Déjame mostrarte algo más. Entramos en la configuración del enrutador R2, donde tenemos 2 tipos de ACL: clásica y moderna. Digamos que quiero editar ACL 10, lista de acceso IP estándar 10, que en su forma clásica consta de dos entradas 10 y 20. Si uso el comando do show run, puedo ver que primero tenemos una lista de acceso moderna de 4. entradas sin números bajo el título general Secure_Ma_And_Se, y debajo hay dos entradas ACL 10 de la forma clásica que repiten el nombre de la misma lista de acceso 10.
Si quiero hacer algunos cambios, como eliminar la entrada denegar host 192.168.1.3 e introducir una entrada para un dispositivo en una red diferente, necesito usar el comando eliminar solo para esa entrada: no access-list 10 deny host 192.168.1.3 .10. Pero tan pronto como ingreso este comando, todas las entradas de ACL XNUMX desaparecen por completo. Es por eso que la vista clásica de ACL es muy incómoda de editar. El método de grabación moderno es mucho más cómodo de utilizar, ya que permite la edición gratuita.
Para aprender el material de esta videolección, te aconsejo que la mires nuevamente e intentes resolver los problemas discutidos por tu cuenta sin ninguna pista. ACL es un tema importante en el curso CCNA y muchos se confunden, por ejemplo, con el procedimiento para crear una máscara comodín inversa. Te lo aseguro, simplemente comprende el concepto de transformación de máscara y todo será mucho más fácil. Recuerda que lo más importante para entender los temas del curso CCNA es la formación práctica, porque sólo la práctica te ayudará a entender tal o cual concepto de Cisco. Practicar no es copiar y pegar mis equipos, sino resolver problemas a tu manera. Hágase preguntas: qué hay que hacer para bloquear el flujo de tráfico de aquí para allá, dónde aplicar las condiciones, etc., e intente responderlas.
Gracias por estar con nosotros. ¿Te gustan nuestros artículos? ¿Quieres ver más contenido interesante? Apóyanos haciendo un pedido o recomendándonos a amigos, 30% de descuento para usuarios de Habr en un análogo único de servidores de nivel de entrada, que fue inventado por nosotros para usted: (disponible con RAID1 y RAID10, hasta 24 núcleos y hasta 40GB DDR4).
Dell R730xd 2 veces más barato? Solo aqui ¡en los Paises Bajos! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ¡desde $99! Leer acerca de
Fuente: habr.com