Veel üks asi, mida unustasin mainida, on see, et ACL mitte ainult ei filtreeri liiklust lubamise/keelamise alusel, vaid täidab palju rohkem funktsioone. Näiteks kasutatakse ACL-i VPN-liikluse krüptimiseks, kuid CCNA eksami sooritamiseks peate teadma, kuidas seda kasutatakse liikluse filtreerimiseks. Tuleme tagasi ülesande nr 1 juurde.
Saime teada, et raamatupidamis- ja müügiosakonna liiklust saab blokeerida R2 väljundliideses, kasutades järgmist ACL-i loendit.
Ärge muretsege selle loendi vormingu pärast, see on mõeldud lihtsalt näitena, mis aitab teil mõista, mis on ACL. Kui oleme Packet Traceriga alustanud, jõuame õige vorminguni.
Ülesanne nr 2 kõlab nii: serveriruum saab suhelda mis tahes hostidega, välja arvatud haldusosakonna hostidega. See tähendab, et serveriruumi arvutitel on juurdepääs kõikidele müügi- ja raamatupidamisosakonna arvutitele, kuid neil ei tohiks olla juurdepääsu haldusosakonna arvutitele. See tähendab, et serveriruumi IT-töötajatel ei tohiks olla kaugjuurdepääsu haldusosakonna juhataja arvutile, vaid probleemide korral tuleb tulla tema kabinetti ja probleem kohapeal parandada. Pange tähele, et see ülesanne ei ole praktiline, sest ma ei tea, miks serveriruum ei saaks haldusosakonnaga võrgu kaudu suhelda, nii et antud juhul vaatame lihtsalt õpetuse näidet.
Selle probleemi lahendamiseks peate esmalt määrama liiklustee. Andmed serveriruumist jõuavad ruuteri R0 sisendliidesele G1/1 ja saadetakse haldusosakonda läbi väljundliidese G0/0.
Kui rakendame sisendliidesele G192.168.1.192/27 tingimust Keela 0/1 ja nagu mäletate, asetatakse standardne ACL liiklusallikale lähemale, blokeerime kogu liikluse, sealhulgas müügi- ja raamatupidamisosakonna liikluse.
Kuna tahame blokeerida ainult haldusosakonnale suunatud liiklust, peame väljundliidesele G0/0 rakendama ACL-i. Seda probleemi saab lahendada ainult siis, kui asetate ACL-i sihtkohale lähemale. Samas peab liiklus raamatupidamis- ja müügiosakonna võrgust vabalt jõudma haldusosakonda, seega jääb nimekirja viimasele reale käsk Luba mis tahes – lubada igasugust liiklust, välja arvatud eelmises tingimuses määratud liiklus.
Liigume edasi ülesande nr 3 juurde: müügiosakonna sülearvutil Laptop 3 ei tohiks olla juurdepääsu muudele seadmetele peale nende, mis asuvad müügiosakonna kohtvõrgus. Oletame, et praktikant töötab selle arvutiga ja ei tohiks minna kaugemale oma kohtvõrgust.
Sel juhul peate ruuteri R0 sisendliidesele G1/2 rakendama ACL-i. Kui määrame sellele arvutile IP-aadressi 192.168.1.3/25, siis peab olema täidetud tingimus Keela 192.168.1.3/25 ja liiklust üheltki teiselt IP-aadressilt ei tohi blokeerida, mistõttu loendi viimasel real on Luba ükskõik milline.
Liikluse blokeerimine ei mõjuta aga Laptop2-t.
Järgmine ülesanne on ülesanne nr 4: ainult finantsosakonna arvuti PC0 pääseb serverivõrku, kuid mitte haldusosakond.
Kui mäletate, blokeerib ülesande nr 1 ACL kogu väljuva liikluse ruuteri R0 liideses S1/0/2, kuid ülesanne nr 4 ütleb, et peame tagama, et ainult PC0 liiklus läbiks, seega peame tegema erandi.
Kõik ülesanded, mida praegu lahendame, peaksid teid aitama kontorivõrgu ACL-ide seadistamisel reaalses olukorras. Mugavuse huvides kasutasin klassikalist sisestustüüpi, kuid soovitan kõik read käsitsi paberile üles kirjutada või arvutisse trükkida, et saaksite kannetesse parandusi teha. Meie puhul koostati ülesande nr 1 tingimuste kohaselt klassikaline ACL-loend. Kui tahame lisada sellele erandi PC0 jaoks, mille tüüp on Permit , saame selle rea paigutada loendis ainult neljandaks, rea Luba ükskõik milline järel. Kuna aga selle arvuti aadress sisaldub keelamise tingimuse 0/192.168.1.128 kontrollimise aadresside vahemikus, blokeeritakse selle liiklus kohe pärast selle tingimuse täitmist ja ruuter lihtsalt ei jõua neljanda rea kontrollini, võimaldades liiklus sellelt IP-aadressilt.
Seetõttu pean ülesande nr 1 ACL-loendi täielikult uuesti tegema, kustutades esimese rea ja asendades selle reaga Permit 192.168.1.130/26, mis lubab liiklust PC0-st, ning seejärel sisestama uuesti kogu liiklust keelavad read. raamatupidamis- ja müügiosakonnast.
Seega on meil esimesel real käsk konkreetse aadressi jaoks ja teises - üldine kogu võrgu jaoks, milles see aadress asub. Kui kasutate kaasaegset tüüpi ACL-i, saate selles hõlpsasti muudatusi teha, asetades esimese käsuna rea Luba 192.168.1.130/26. Kui teil on klassikaline ACL, peate selle täielikult eemaldama ja seejärel sisestama käsud uuesti õiges järjekorras.
Ülesande nr 4 lahendus on asetada ülesande nr 192.168.1.130 ACL algusesse rida Luba 26/1, sest ainult sel juhul väljub liiklus PC0-lt vabalt ruuteri R2 väljundliidest. PC1 liiklus blokeeritakse täielikult, kuna selle IP-aadressile kehtib loendi teisel real sisalduv keeld.
Nüüd liigume edasi Packet Traceri juurde, et teha vajalikud seadistused. Olen kõikide seadmete IP-aadressid juba konfigureerinud, sest eelmistest lihtsustatud diagrammidest oli veidi raske aru saada. Lisaks seadistasin RIP-i kahe ruuteri vahel. Antud võrgutopoloogias on 4 alamvõrgu kõigi seadmete vaheline suhtlus võimalik ilma piiranguteta. Kuid niipea, kui rakendame ACL-i, hakatakse liiklust filtreerima.
Alustan finantsosakonnast PC1 ja proovin pingida serveriruumis asuvale Server192.168.1.194-le kuuluva IP-aadressi 0. Nagu näete, õnnestub ping ilma probleemideta. Haldusosakonnast pingin edukalt ka Laptop0. Esimene pakett visatakse ARP tõttu ära, ülejäänud 3 pingitakse vabalt.
Liikluse filtreerimise korraldamiseks lähen R2 ruuteri sätetesse, aktiveerin globaalse konfiguratsioonirežiimi ja kavatsen luua kaasaegse ACL-i loendi. Meil on ka klassikalise välimusega ACL 10. Esimese loendi koostamiseks sisestan käsu, milles peate määrama sama loendi nime, mille me paberile kirjutasime: ip access-list standard ACL Secure_Ma_And_Se. Pärast seda küsib süsteem võimalikke parameetreid: saan valida keelamise, väljumise, ei, luba või märkuse ning sisestada ka järjekorranumbri vahemikus 1 kuni 2147483647. Kui ma seda ei tee, määrab süsteem selle automaatselt.
Seetõttu ei sisesta ma seda numbrit, vaid lähen kohe loa hosti käsule 192.168.1.130, kuna see luba kehtib konkreetse PC0 seadme jaoks. Võin kasutada ka pöördmärgi maski, nüüd näitan teile, kuidas seda teha.
Järgmisena sisestan käsu deny 192.168.1.128. Kuna meil on /26, siis kasutan pöördmaski ja täiendan sellega käsku: deny 192.168.1.128 0.0.0.63. Seega keelan liikluse võrku 192.168.1.128/26.
Samamoodi blokeerin liikluse järgmisest võrgust: deny 192.168.1.0 0.0.0.127. Kõik muu liiklus on lubatud, seega sisestan käsuloa mis tahes. Järgmisena pean selle loendi liidesele rakendama, seega kasutan käsku int s0/1/0. Seejärel tippin ip access-group Secure_Ma_And_Se ja süsteem palub mul valida liidese – sissetulevate pakettide jaoks sisse ja väljaminevate pakettide jaoks. Peame väljundliidesele rakendama ACL-i, seega kasutan käsku ip access-group Secure_Ma_And_Se out.
Läheme PC0 käsureale ja pingime serverile Server192.168.1.194 kuuluva IP-aadressi 0. Ping on edukas, kuna kasutasime PC0 liikluse jaoks spetsiaalset ACL-i tingimust. Kui teen sama PC1-st, genereerib süsteem tõrketeate: "sihtkoha host pole saadaval", kuna raamatupidamisosakonna ülejäänud IP-aadresside liiklus on blokeeritud serveriruumi juurde pääsemiseks.
Logides sisse R2 ruuteri CLI-sse ja tippides käsku show ip address-lists, näete, kuidas finantsosakonna võrguliiklust suunati – see näitab, mitu korda ping loa järgi läbiti ja mitu korda läbiti. keelu kohaselt blokeeritud.
Saame alati minna ruuteri seadetesse ja vaadata juurdepääsuloendit. Seega on ülesannete nr 1 ja nr 4 tingimused täidetud. Las ma näitan sulle veel üht asja. Kui ma tahan midagi parandada, võin minna R2 sätete globaalsesse konfiguratsioonirežiimi, sisestada käsk ip access-list standard Secure_Ma_And_Se ja seejärel käsk “host 192.168.1.130 ei ole lubatud” – hosti 192.168.1.130 pole luba.
Kui vaatame juurdepääsuloendit uuesti, näeme, et rida 10 on kadunud, meil on alles read 20,30, 40 ja XNUMX. Seega saate ruuteri seadetes redigeerida ACL-i juurdepääsuloendit, kuid ainult siis, kui see pole kompileeritud klassikalisel kujul.
Liigume nüüd kolmanda ACL-i juurde, sest see puudutab ka R2 ruuterit. Selles öeldakse, et Laptop3-st tulev liiklus ei tohiks müügiosakonna võrgust lahkuda. Sel juhul peaks Laptop2 ilma probleemideta suhtlema finantsosakonna arvutitega. Selle testimiseks pingin selle sülearvuti IP-aadressi 192.168.1.130 ja veendun, et kõik töötab.
Nüüd lähen Laptop3 käsureale ja pingin aadressi 192.168.1.130. Pingimine õnnestub, kuid meil pole seda vaja, kuna vastavalt ülesande tingimustele saab Laptop3 suhelda ainult Laptop2-ga, mis asub samas müügiosakonna võrgus. Selleks peate klassikalise meetodi abil looma teise ACL-i.
Ma lähen tagasi R2 sätete juurde ja proovin taastada kustutatud kirje 10, kasutades käsku luba host 192.168.1.130. Näete, et see kirje kuvatakse loendi lõpus numbriga 50. Juurdepääs siiski ei tööta, kuna konkreetset hosti lubav rida on loendi lõpus ja kogu võrguliiklust keelav rida on ülaosas nimekirjast. Kui proovime pingida haldusosakonna sülearvutit PC0-st, saame teate "sihtkoha host ei ole juurdepääsetav", hoolimata asjaolust, et ACL-is on lubatud sisestus numbril 0.
Seega, kui soovite redigeerida olemasolevat ACL-i, peate R2-režiimis (config-std-nacl) sisestama käsu no author host 192.168.1.130, kontrollima, et rida 50 oleks loendist kadunud ja sisestage käsk 10 luba peremees 192.168.1.130. Näeme, et loend on nüüd naasnud algsele kujule, kusjuures see kirje on esikohal. Järjestusnumbrid aitavad loendit mis tahes kujul redigeerida, seega on ACL-i kaasaegne vorm palju mugavam kui klassikaline.
Nüüd näitan, kuidas toimib ACL 10 loendi klassikaline vorm. Klassikalise loendi kasutamiseks tuleb sisestada käsk access–list 10? ja viipa järgides valida soovitud toiming: keelata, lubada või märkus. Seejärel sisestan real access-list 10 deny host, misjärel sisestan käsu access-list 10 deny 192.168.1.3 ja lisan pöördmaski. Kuna meil on host, on edasisuunas alamvõrgu mask 255.255.255.255 ja vastupidine 0.0.0.0. Selle tulemusena pean hostiliikluse keelamiseks sisestama käsu access–list 10 deny 192.168.1.3 0.0.0.0. Pärast seda peate määrama õigused, mille jaoks sisestan käsu access–list 10 luba mis tahes. Seda loendit tuleb rakendada ruuteri R0 liidesele G1/2, nii et ma sisestan käsud järjestikku g0/1, ip access-group 10 in. Olenemata sellest, millist loendit kasutatakse, klassikalist või kaasaegset, kasutatakse selle loendi liidesele rakendamiseks samu käske.
Sätete õigsuse kontrollimiseks lähen Laptop3 käsurea terminali ja proovin pingida IP-aadressi 192.168.1.130 – nagu näha, teatab süsteem, et sihthostile ei pääse.
Lubage mul teile meelde tuletada, et loendi kontrollimiseks võite kasutada nii käske show ip access-lists kui ka show access-lists. Peame lahendama veel ühe probleemi, mis on seotud R1 ruuteriga. Selleks lähen selle ruuteri CLI-sse ja lähen globaalsesse konfiguratsioonirežiimi ning sisestan käsu ip access-list standard Secure_Ma_From_Se. Kuna meil on võrk 192.168.1.192/27, on selle alamvõrgumask 255.255.255.224, mis tähendab, et pöördmask on 0.0.0.31 ja me peame sisestama käsu deny 192.168.1.192 0.0.0.31. Kuna kogu muu liiklus on lubatud, lõpeb loend käsuga luba mis tahes. ACL-i rakendamiseks ruuteri väljundliidesele kasutage käsku ip access-group Secure_Ma_From_Se out.
Nüüd lähen Server0 käsurea terminali ja proovin pingida haldusosakonna Laptop0 IP-aadressil 192.168.1.226. Katse ei õnnestunud, aga kui pingutasin aadressi 192.168.1.130, siis tekkis ühendus probleemideta ehk keelasime serveriarvutil suhtlemise haldusosakonnaga, aga lubasime side kõigi teiste osakondade seadmetega. Seega oleme kõik 4 probleemi edukalt lahendanud.
Las ma näitan sulle midagi muud. Läheme R2 ruuteri seadetesse, kus meil on kahte tüüpi ACL-i - klassikaline ja kaasaegne. Oletame, et tahan redigeerida ACL 2, standardse IP-juurdepääsuloendi 10, mis oma klassikalisel kujul koosneb kahest kirjest 10 ja 10. Kui kasutan käsku do show run, näen, et kõigepealt on meil moodne juurdepääsuloend 20 numbriteta kirjed üldpealkirja Secure_Ma_And_Se all ja allpool on kaks klassikalisel kujul ACL 4 kirjet, mis kordavad sama juurdepääsuloendi 10 nime.
Kui ma tahan teha mõningaid muudatusi, näiteks eemaldada hosti keelamise kirje 192.168.1.3 ja sisestada kirje teises võrgus oleva seadme jaoks, pean kasutama kustutamiskäsku ainult selle kirje jaoks: juurdepääsuloend puudub 10 keela host 192.168.1.3 .10. Kuid niipea, kui ma selle käsu sisestan, kaovad kõik ACL XNUMX kirjed täielikult. Seetõttu on ACL-i klassikalist vaadet väga ebamugav redigeerida. Kaasaegset salvestusmeetodit on palju mugavam kasutada, kuna see võimaldab tasuta toimetamist.
Selle videotunni materjali õppimiseks soovitan teil seda uuesti vaadata ja proovida käsitletud probleeme iseseisvalt ilma vihjeteta lahendada. ACL on CCNA kursusel oluline teema ja paljudele tekitab segadust näiteks vastupidise metamärgi maski loomise protseduur. Kinnitan teile, lihtsalt mõistke maski teisendamise kontseptsiooni ja kõik muutub palju lihtsamaks. Pidage meeles, et CCNA kursuste teemade mõistmisel on kõige olulisem praktiline koolitus, sest ainult praktika aitab teil mõista seda või teist Cisco kontseptsiooni. Harjutamine ei ole minu meeskondade kopeerimine, vaid probleemide lahendamine omal moel. Küsige endalt küsimusi: mida tuleb teha, et liiklusvoog siit-sinna tõkestada, kuhu tingimusi rakendada jne ning proovige neile vastata.
Täname, et jäite meiega. Kas teile meeldivad meie artiklid? Kas soovite näha huvitavamat sisu? Toeta meid, esitades tellimuse või soovitades sõpradele, Habri kasutajatele 30% allahindlus ainulaadsele algtaseme serverite analoogile, mille me teie jaoks välja mõtlesime: (saadaval RAID1 ja RAID10, kuni 24 tuuma ja kuni 40 GB DDR4-ga).
Dell R730xd 2 korda odavam? Ainult siin Hollandis! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – alates 99 dollarist! Millegi kohta lugema
Allikas: www.habr.com