Aipatzea ahaztu zitzaidan beste gauza bat da ACL-k trafikoa baimendu/ukatzeaz gain, funtzio gehiago betetzen dituela. Adibidez, ACL bat VPN trafikoa enkriptatzeko erabiltzen da, baina CCNA azterketa gainditzeko, trafikoa iragazteko nola erabiltzen den jakin behar duzu soilik. Itzuli gaitezen 1. arazora.
Kontabilitate eta salmenta saileko trafikoa R2 irteerako interfazean blokeatu daitekeela jakin dugu ACL zerrenda hau erabiliz.
Ez kezkatu zerrenda honen formatuaz, adibide gisa besterik ez da ACL bat zer den ulertzen laguntzeko. Packet Tracer-ekin hasten garenean formatu zuzena lortuko dugu.
2. atazak honelako soinua du: zerbitzari-gela edozein ostalarirekin komunika daiteke, kudeaketa saileko ostalariekin izan ezik. Hau da, zerbitzari-gelako ordenagailuek salmenta eta kontabilitate saileko edozein ordenagailutarako sarbidea izan dezakete, baina ez lukete kudeaketa saileko ordenagailuetarako sarbidea izan behar. Horrek esan nahi du zerbitzari gelako informatika-langileek ez dutela urrutiko sarbiderik izan behar kudeaketa-saileko buruaren ordenagailurako, baina arazoak izanez gero, bere bulegora etorri eta arazoa berehala konpondu. Kontuan izan zeregin hau ez dela praktikoa, ez baitakit zerbitzari-gela zergatik ezingo lukeen sarearen bidez komunikatuko kudeaketa sailarekin, beraz, kasu honetan tutoretza-adibide bat ikusten ari gara.
Arazo hau konpontzeko, lehenik eta behin trafiko-bidea zehaztu behar duzu. Zerbitzari-gelako datuak R0 bideratzailearen G1/1 sarrerako interfazera iristen dira eta kudeaketa-sailera bidaltzen dira irteerako G0/0 interfazearen bidez.
Deny 192.168.1.192/27 baldintza G0/1 sarrerako interfazeari aplikatzen badiogu, eta gogoratzen duzunez, ACL estandarra trafiko-iturburutik hurbilago jartzen bada, trafiko guztia blokeatuko dugu, salmenta eta kontabilitate saila barne.
Kudeaketa sailera zuzendutako trafikoa soilik blokeatu nahi dugunez, G0/0 irteerako interfazeari ACL bat aplikatu behar diogu. Arazo hau ACL helmugatik hurbilago jarrita bakarrik konpondu daiteke. Aldi berean, kontabilitate eta salmenta saileko sareko trafikoa kudeaketa sailera doan iritsi behar da, beraz, zerrendako azken lerroa Baimendu edozein komandoa izango da - edozein trafiko baimentzeko, aurreko baldintzan zehaztutako trafikoa izan ezik.
Joan gaitezen 3. atazara: salmenta-saileko Laptop 3 ordenagailu eramangarriak ez luke salmenta-saileko tokiko sarean dauden gailuetarako sarbidea izan behar. Demagun praktiketako bat ordenagailu honetan lanean ari dela eta ez duela bere LAN saretik harago joan behar.
Kasu honetan, ACL bat aplikatu behar duzu R0 bideratzailearen G1/2 sarrerako interfazean. Ordenagailu honi 192.168.1.3/25 IP helbidea esleitzen badiogu, Ukatu 192.168.1.3/25 baldintza bete behar da, eta beste edozein IP helbidetako trafikoa ez da blokeatu behar, beraz zerrendako azken lerroa Baimena izango da. edozein.
Hala ere, trafikoa blokeatzeak ez du eraginik izango Laptop2-n.
Hurrengo zeregina 4. ataza izango da: finantza-saileko PC0 ordenagailuak soilik izan dezake zerbitzari-sarerako sarbidea, baina ez kudeaketa-sailak.
Gogoratzen baduzu, 1. atazako ACL-ak irteerako trafiko guztia blokeatzen du R0 bideratzailearen S1/0/2 interfazean, baina 4. atazak dio PC0 trafikoa bakarrik igarotzen dela ziurtatu behar dugula, beraz, salbuespen bat egin behar dugu.
Orain konpontzen ari garen zeregin guztiek benetako egoera batean lagundu behar zaituzte bulego-sare baterako ACLak konfiguratzerakoan. Erosotasunerako, sarrera mota klasikoa erabili dut, baina lerro guztiak eskuz paperean idaztea edo ordenagailuan idaztea gomendatzen dizuet, sarreretan zuzenketak egin ahal izateko. Gure kasuan, 1. atazaren baldintzen arabera, ACL zerrenda klasiko bat osatu zen. Baimen motako PC0rako salbuespen bat gehitu nahi badiogu , orduan lerro hau zerrendan laugarrena bakarrik jar dezakegu, Baimen edozein lerroaren ondoren. Hala ere, ordenagailu honen helbidea Deny baldintza 0/192.168.1.128 egiaztatzeko helbideen barrutian sartzen denez, bere trafikoa baldintza hori bete eta berehala blokeatuko da eta bideratzailea ez da laugarren lerroko egiaztapenera iritsiko, ahalbidetuz. IP helbide honetatik trafikoa.
Hori dela eta, 1. atazaren ACL zerrenda guztiz berregin beharko dut, lehen lerroa ezabatu eta 192.168.1.130/26 lineako baimenarekin ordezkatuz, PC0tik trafikoa ahalbidetzen duena, eta gero berriro sartu trafiko guztia debekatzen duten lerroetan. kontabilitate eta salmenta sailetatik.
Horrela, lehenengo lerroan helbide zehatz baterako komando bat dugu, eta bigarrenean, helbide hori dagoen sare osorako orokorra. ACL mota moderno bat erabiltzen ari bazara, erraz egin ditzakezu aldaketak 192.168.1.130/26 lerroa lehen komando gisa jarriz. ACL klasiko bat baduzu, guztiz kendu beharko duzu eta, ondoren, berriro sartu komandoak ordena egokian.
4. arazoaren konponbidea 192.168.1.130/26 lineako baimena 1. arazoaren hasieran ACLren hasieran jartzea da, kasu honetan bakarrik PC0-ko trafikoak R2 bideratzailearen irteerako interfazea libre utziko duelako. PC1-en trafikoa guztiz blokeatuta egongo da bere IP helbidea zerrendako bigarren lerroan jasotako debekuaren mende dagoelako.
Orain Packet Tracer-era joango gara beharrezko ezarpenak egitera. Dagoeneko konfiguratu ditut gailu guztien IP helbideak, aurreko diagrama sinplifikatuak ulertzeko zailak zirelako. Horrez gain, bi bideratzaileen artean RIP konfiguratu dut. Emandako sarearen topologian, 4 azpisareko gailu guztien arteko komunikazioa posible da inolako murrizketarik gabe. Baina ACL aplikatu bezain laster, trafikoa iragazten hasiko da.
PC1 finantza-sailarekin hasiko naiz eta zerbitzari gelan dagoen 192.168.1.194 IP helbideari ping egiten saiatuko naiz, zerbitzariarena dena. Ikus dezakezunez, ping-ak arazorik gabe arrakasta du. Kudeaketa sailetik ere Laptop0 ping egiten dut. Lehenengo paketea baztertu egiten da ARP dela eta, gainerako 0ei ping-a libreki egiten zaie.
Trafiko-iragazkia antolatzeko, R2 bideratzailearen ezarpenetara sartzen naiz, konfigurazio modu globala aktibatu eta ACL zerrenda moderno bat sortuko dut. ACL 10 itxura klasikoa ere badugu. Lehenengo zerrenda sortzeko, komando bat sartzen dut, non paperean idatzi genuen zerrenda izen bera zehaztu behar duzun: ip access-list standard ACL Secure_Ma_And_Se. Horren ondoren, sistemak parametro posibleak eskatzen ditu: ukatu, irten, ez, baimendu edo oharrak hauta ditzaket, eta 1etik 2147483647 bitarteko Sekuentzia Zenbaki bat ere sar dezaket. Hori egiten ez badut, sistemak automatikoki esleituko du.
Hori dela eta, ez dut zenbaki hau sartzen, baina berehala joaten naiz baimen ostalariaren 192.168.1.130 komandora, baimen hau PC0 gailu zehatz baterako balio baitu. Alderantzizko Komodin Maskara ere erabil dezaket, orain nola egin erakutsiko dizut.
Ondoren, ukatu komandoa sartzen dut 192.168.1.128. /26 dugunez, alderantzizko maskara erabiltzen dut eta komandoa honekin osatzen dut: ukatu 192.168.1.128 0.0.0.63. Horrela, 192.168.1.128/26 sarerako trafikoa ukatzen dut.
Era berean, sare honetako trafikoa blokeatzen dut: ukatu 192.168.1.0 0.0.0.127. Beste trafiko guztia onartzen da, beraz, komando baimena edozein sartzen dut. Ondoren, zerrenda hau interfazean aplikatu behar dut, beraz, int s0/1/0 komandoa erabiltzen dut. Ondoren, ip access-group Secure_Ma_And_Se idazten dut, eta sistemak interfaze bat hautatzeko eskatzen dit - sarrerako paketeetarako eta irteerarako. ACL irteerako interfazean aplikatu behar dugu, beraz ip access-group Secure_Ma_And_Se out komandoa erabiltzen dut.
Goazen PC0 komando-lerrora eta ping dezagun 192.168.1.194 IP helbidea, zeina Server0 zerbitzariari dagokion. Ping-a arrakastatsua da PC0 trafikorako ACL baldintza berezi bat erabili dugulako. PC1etik gauza bera egiten badut, sistemak errore bat sortuko du: βhelmuga ostalaria ez dago erabilgarriβ, kontabilitate saileko gainerako IP helbideetatik trafikoa zerbitzari gelara sartzea blokeatzen baita.
R2 bideratzailearen CLI-n saioa hasi eta show ip address-lists komandoa idatzita, finantza saileko sareko trafikoa nola bideratu zen ikus dezakezu; baimenaren arabera ping-a zenbat aldiz pasatu zen eta zenbat aldiz izan zen erakusten du. debekuaren arabera blokeatuta.
Beti joan gaitezke bideratzaileen ezarpenetara eta sarbide zerrenda ikus dezakegu. Hala, 1. eta 4. zenbakiko zereginen baldintzak betetzen dira. Utzidazu gauza bat gehiago erakusten. Zerbait konpondu nahi badut, R2 ezarpenen konfigurazio modu orokorrera joan naiteke, sartu ip access-list estandarra Secure_Ma_And_Se komandoa eta gero "host 192.168.1.130 ez da onartzen" - baimenik gabeko host 192.168.1.130.
Sarbide-zerrenda berriz begiratzen badugu, 10. lerroa desagertu dela ikusiko dugu, 20,30, 40 eta XNUMX. lerroak bakarrik geratzen zaizkigu. Horrela, ACL sarbide-zerrenda edita dezakezu bideratzaileen ezarpenetan, baina konpilatuta ez badago. forma klasikoan.
Orain joan gaitezen hirugarren ACLra, R2 bideratzaileari ere bai. Adierazten du Laptop3-ko edozein trafiko ez dela salmenta sailaren saretik irten behar. Kasu honetan, Laptop2-k arazorik gabe komunikatu beharko luke finantza saileko ordenagailuekin. Hau probatzeko, ordenagailu eramangarri honetatik 192.168.1.130 IP helbidea ping dut eta dena funtzionatzen duela ziurtatzen dut.
Orain Laptop3-ren komando-lerrora joango naiz eta 192.168.1.130 helbidearen ping-a egingo dut. Pinging-a arrakastatsua da, baina ez dugu behar, zereginaren baldintzen arabera, Laptop3 Laptop2-rekin soilik komunika daiteke, salmenta-sail bereko sarean dagoena. Horretarako, beste ACL bat sortu behar duzu metodo klasikoa erabiliz.
R2 ezarpenetara itzuliko naiz eta ezabatutako 10. sarrera berreskuratzen saiatuko naiz baimen ostalariaren 192.168.1.130 komandoa erabiliz. Ikusten duzu sarrera hau zerrendaren amaieran agertzen dela 50. zenbakian. Hala ere, sarbideak ez du funtzionatuko oraindik, ostalari zehatz bat baimentzen duen lerroa zerrendaren amaieran dagoelako eta sareko trafiko guztia debekatzen duen lerroa goian dagoelako. zerrendako. Kudeaketa-sailaren Laptop0 PC0tik ping egiten saiatzen bagara, "helmuga ostalaria ez da eskuragarri" mezua jasoko dugu, ACLko 50. zenbakian baimen-sarrera egon arren.
Hori dela eta, lehendik dagoen ACL bat editatu nahi baduzu, 2 komandoa sartu behar duzu R192.168.1.130 moduan (config-std-nacl), egiaztatu 50 lerroa zerrendatik desagertu dela eta idatzi 10 baimena komandoa. ostalari 192.168.1.130. Zerrenda jatorrizko formara itzuli dela ikusten dugu, sarrera hau lehen postuan kokatuta. Sekuentzia-zenbakiek zerrenda edozein formatan editatzen laguntzen dute, beraz, ACL forma modernoa klasikoa baino askoz erosoagoa da.
Orain ACL 10 zerrendaren forma klasikoak nola funtzionatzen duen erakutsiko dut. Zerrenda klasikoa erabiltzeko, komandoa sartu behar duzu sarbide-zerrenda 10?, eta, eskatutakoari jarraituz, hautatu nahi duzun ekintza: ukatu, baimendu edo ohartarazi. Ondoren, lerroko sarbidea-zerrenda 10 ukatu hosta sartzen dut, ondoren, sarbide-zerrenda 10 ukatu 192.168.1.3 komandoa idazten dut eta alderantzizko maskara gehitzen dut. Ostalari bat dugunez, aurrerako azpisare maskara 255.255.255.255 da, eta alderantziz 0.0.0.0. Ondorioz, ostalariaren trafikoa ukatzeko, komandoa sartu behar dut accessβlist 10 deny 192.168.1.3 0.0.0.0. Horren ondoren, baimenak zehaztu behar dituzu, horretarako komandoa idazten dut sarbide-zerrenda 10 baimena edozein. Zerrenda hau R0 bideratzailearen G1/2 interfazean aplikatu behar da, beraz, komandoak sekuentzialki sartzen ditut g0/1, ip access-group 10 in. Zerrenda erabiltzen den edozein dela ere, klasikoa edo modernoa, komando berdinak erabiltzen dira zerrenda hau interfazean aplikatzeko.
Ezarpenak zuzenak diren egiaztatzeko, Laptop3 komando-lerroko terminalera joaten naiz eta 192.168.1.130 IP helbideari ping egiten saiatzen naiz; ikus dezakezun bezala, sistemak helmuga ostalarira iritsi ezina dela jakinarazi du.
Gogorarazten dizut zerrenda egiaztatzeko show ip access-lists eta show access-lists komandoak erabil ditzakezula. Arazo bat gehiago konpondu behar dugu, R1 bideratzaileari dagokiona. Horretarako, bideratzaile honen CLIra joaten naiz eta konfigurazio modu orokorrera joan eta ip access-list estandarra Secure_Ma_From_Se komandoa sartzen dut. 192.168.1.192/27 sare bat dugunez, bere azpisare-maskara 255.255.255.224 izango da, hau da, alderantzizko maskara 0.0.0.31 izango da eta deny 192.168.1.192 0.0.0.31 komandoa sartu behar dugu. Beste trafiko guztia baimenduta dagoenez, zerrenda edozein komandoarekin amaitzen da. Bideratzailearen irteerako interfazeari ACL bat aplikatzeko, erabili ip access-group Secure_Ma_From_Se out komandoa.
Orain Server0 komando lerroko terminalera joango naiz eta kudeaketa saileko Laptop0 ping egiten saiatuko naiz 192.168.1.226 IP helbidean. Saiakerak ez zuen arrakastarik izan, baina 192.168.1.130 ping-a egin banuen, konexioa arazorik gabe ezarri zen, hau da, zerbitzariaren ordenagailuari kudeaketa sailarekin komunikatzea debekatu genion, baina beste sailetako beste gailu guztiekin komunikazioa baimendu genuen. Horrela, arrakastaz konpondu ditugu lau arazo guztiak.
Beste zerbait erakusten dizut. R2 bideratzailearen ezarpenetara sartzen gara, non 2 ACL mota ditugun - klasikoa eta modernoa. Demagun ACL 10, Standard IP sarbide zerrenda 10 editatu nahi dudala, bere forma klasikoan 10 eta 20 bi sarrerek osatzen dutena. Do show run komandoa erabiltzen badut, lehenik eta behin 4 sarbide-zerrenda moderno bat daukagula ikus dezaket. zenbakirik gabeko sarrerak Secure_Ma_And_Se goiburu orokorrean, eta behean sarbide-zerrenda bereko 10 izena errepikatzen duten forma klasikoko bi ACL 10 sarrera daude.
Aldaketa batzuk egin nahi baditut, esate baterako, ukatu host 192.168.1.3 sarrera kendu eta beste sare bateko gailu baterako sarrera bat sartzea, ezabatu komandoa erabili behar dut sarrera horretarako soilik: ez sarbide-zerrenda 10 deny host 192.168.1.3. .10. Baina komando hau sartu bezain laster, ACL XNUMX sarrera guztiak erabat desagertzen dira. Horregatik, ACLren ikuspegi klasikoa oso deserosoa da editatzeko. Grabatzeko metodo modernoa askoz erosoagoa da erabiltzeko, doako edizioa ahalbidetzen baitu.
Bideo-ikasgai honetako materiala ikasteko, berriro ikustea gomendatzen dizut eta eztabaidatutako arazoak zure kabuz konpontzen saiatzea inolako aholkurik gabe. ACL gai garrantzitsua da CCNA ikastaroan, eta asko nahasten dira, adibidez, alderantzizko Komodin Maskara bat sortzeko prozedurarekin. Ziurtatzen dizut, ulertu besterik ez duzu maskararen eraldaketa kontzeptua, eta dena askoz errazagoa izango da. Gogoratu CCNA ikastaroko gaiak ulertzeko garrantzitsuena prestakuntza praktikoa dela, praktikak soilik lagunduko dizulako Cisco kontzeptu hau edo beste ulertzen. Praktikatzea ez da nire taldeak kopiatu-itsatsi, arazoak zure erara konpontzea baizik. Egin galderak zeure buruari: zer egin behar den hemendik harako zirkulazioa blokeatzeko, baldintzak non aplikatu, etab., eta horiei erantzuten saiatu.
Eskerrik asko gurekin geratzeagatik. Gustuko dituzu gure artikuluak? Eduki interesgarri gehiago ikusi nahi? Lagun iezaguzu eskaera bat eginez edo lagunei gomendatuz, % 30eko deskontua Habr erabiltzaileentzat sarrera-mailako zerbitzarien analogo berezi batean, guk zuk asmatu duguna: (RAID1 eta RAID10-ekin erabilgarri, 24 nukleoraino eta 40 GB DDR4 arte).
Dell R730xd 2 aldiz merkeagoa? Hemen bakarrik Herbehereetan! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 $-tik aurrera! Irakurri buruz
Iturria: www.habr.com