نکته دیگری که فراموش کردم ذکر کنم این است که ACL نه تنها ترافیک را بر اساس مجاز/رد فیلتر می کند، بلکه عملکردهای بیشتری را نیز انجام می دهد. به عنوان مثال، یک ACL برای رمزگذاری ترافیک VPN استفاده می شود، اما برای قبولی در آزمون CCNA، فقط باید بدانید که چگونه از آن برای فیلتر کردن ترافیک استفاده می شود. به مسئله شماره 1 برگردیم.
ما متوجه شدیم که ترافیک بخش حسابداری و فروش را می توان در رابط خروجی R2 با استفاده از لیست ACL زیر مسدود کرد.
در مورد قالب این لیست نگران نباشید، فقط به عنوان یک مثال برای کمک به شما در درک چیستی ACL در نظر گرفته شده است. زمانی که Packet Tracer را شروع کردیم به فرمت صحیح خواهیم رسید.
وظیفه شماره 2 اینگونه به نظر می رسد: اتاق سرور می تواند با هر میزبانی ارتباط برقرار کند، به جز میزبان های بخش مدیریت. یعنی رایانههای اتاق سرور میتوانند به هر رایانهای در بخش فروش و حسابداری دسترسی داشته باشند، اما نباید به رایانههای بخش مدیریت دسترسی داشته باشند. یعنی پرسنل IT اتاق سرور نباید از راه دور به کامپیوتر رئیس اداره مدیریت دسترسی داشته باشند اما در صورت بروز مشکل به دفتر ایشان مراجعه کرده و در محل مشکل را برطرف کنند. توجه داشته باشید که این کار عملی نیست زیرا من نمی دانم چرا اتاق سرور نمی تواند از طریق شبکه با بخش مدیریت ارتباط برقرار کند، بنابراین در این مورد ما فقط به یک مثال آموزشی نگاه می کنیم.
برای حل این مشکل ابتدا باید مسیر ترافیک را مشخص کنید. داده های اتاق سرور به رابط ورودی G0/1 روتر R1 می رسد و از طریق رابط خروجی G0/0 به بخش مدیریت ارسال می شود.
اگر شرط Deny 192.168.1.192/27 را در رابط ورودی G0/1 اعمال کنیم و همانطور که به یاد دارید، ACL استاندارد نزدیکتر به منبع ترافیک قرار گیرد، تمام ترافیک از جمله بخش فروش و حسابداری را مسدود خواهیم کرد.
از آنجایی که میخواهیم فقط ترافیک هدایتشده به بخش مدیریت را مسدود کنیم، باید یک ACL را در رابط خروجی G0/0 اعمال کنیم. این مشکل تنها با نزدیکتر کردن ACL به مقصد قابل حل است. در همان زمان، ترافیک از شبکه حسابداری و بخش فروش باید آزادانه به بخش مدیریت برسد، بنابراین آخرین خط لیست، دستور Permit any - برای اجازه هرگونه ترافیک، به جز ترافیک مشخص شده در شرایط قبلی، خواهد بود.
بیایید به کار شماره 3 برویم: لپ تاپ Laptop 3 از بخش فروش نباید به هیچ دستگاه دیگری غیر از دستگاه هایی که در شبکه محلی بخش فروش قرار دارند دسترسی داشته باشد. بیایید فرض کنیم که یک کارآموز روی این کامپیوتر کار می کند و نباید از LAN خود فراتر رود.
در این مورد، باید ACL را روی رابط ورودی G0/1 روتر R2 اعمال کنید. اگر آدرس IP 192.168.1.3/25 را به این رایانه اختصاص دهیم، باید شرط Deny 192.168.1.3/25 برآورده شود و ترافیک هیچ آدرس IP دیگری مسدود نشود، بنابراین آخرین خط لیست مجوز خواهد بود. هر
با این حال، مسدود کردن ترافیک هیچ تاثیری روی Laptop2 نخواهد داشت.
وظیفه بعدی وظیفه شماره 4 خواهد بود: فقط رایانه PC0 بخش مالی می تواند به شبکه سرور دسترسی داشته باشد، اما نه بخش مدیریت.
اگر به خاطر داشته باشید، ACL از Task #1 تمام ترافیک خروجی را در رابط S0/1/0 روتر R2 مسدود می کند، اما وظیفه شماره 4 می گوید که ما باید اطمینان حاصل کنیم که فقط ترافیک PC0 از آن عبور می کند، بنابراین باید استثنا قائل شویم.
تمام وظایفی که اکنون در حال حل آنها هستیم باید در شرایط واقعی هنگام تنظیم ACL برای یک شبکه اداری به شما کمک کند. برای راحتی، من از نوع کلاسیک ورودی استفاده کردم، اما به شما توصیه می کنم تمام خطوط را به صورت دستی روی کاغذ بنویسید یا آنها را در رایانه تایپ کنید تا بتوانید در ورودی ها اصلاح کنید. در مورد ما، با توجه به شرایط Task No. 1، یک لیست کلاسیک ACL تهیه شد. اگر بخواهیم برای PC0 از نوع Permit یک استثنا به آن اضافه کنیم ، پس از خط Permit Any می توانیم این خط را تنها در رتبه چهارم لیست قرار دهیم. با این حال، از آنجایی که آدرس این رایانه در محدوده آدرسهای بررسی شرط Deny 0/192.168.1.128 گنجانده شده است، ترافیک آن بلافاصله پس از برآورده شدن این شرط مسدود میشود و روتر به سادگی به بررسی خط چهارم نمیرسد. ترافیک از این آدرس IP
بنابراین، من باید لیست ACL Task No. 1 را به طور کامل دوباره انجام دهم، خط اول را حذف کرده و با خط Permit 192.168.1.130/26 جایگزین کنم، که اجازه ترافیک از PC0 را می دهد، و سپس دوباره خطوطی را که همه ترافیک را ممنوع می کند، وارد کنم. از بخش حسابداری و فروش
بنابراین، در خط اول ما یک دستور برای یک آدرس خاص داریم، و در دوم - یک دستور عمومی برای کل شبکه ای که این آدرس در آن قرار دارد. اگر از نوع مدرن ACL استفاده می کنید، می توانید به راحتی با قرار دادن خط Permit 192.168.1.130/26 به عنوان اولین دستور، تغییراتی در آن ایجاد کنید. اگر یک ACL کلاسیک دارید، باید آن را به طور کامل حذف کنید و سپس دوباره دستورات را به ترتیب صحیح وارد کنید.
راه حل مشکل شماره 4 قرار دادن خط Permit 192.168.1.130/26 در ابتدای ACL از مشکل شماره 1 است، زیرا تنها در این صورت ترافیک PC0 آزادانه از رابط خروجی روتر R2 خارج می شود. ترافیک PC1 به طور کامل مسدود خواهد شد زیرا آدرس IP آن مشمول ممنوعیت مندرج در خط دوم لیست است.
اکنون به سراغ Packet Tracer می رویم تا تنظیمات لازم را انجام دهیم. من قبلاً آدرس های IP همه دستگاه ها را پیکربندی کرده ام زیرا درک نمودارهای قبلی ساده شده کمی دشوار بود. علاوه بر این، من RIP را بین دو روتر پیکربندی کردم. در توپولوژی شبکه داده شده، ارتباط بین تمام دستگاه های 4 زیرشبکه بدون هیچ محدودیتی امکان پذیر است. اما به محض اعمال ACL، ترافیک شروع به فیلتر شدن می کند.
من با بخش مالی PC1 شروع می کنم و سعی می کنم آدرس IP 192.168.1.194 را که متعلق به Server0 واقع در اتاق سرور است پینگ کنم. همانطور که می بینید پینگ بدون هیچ مشکلی با موفقیت انجام می شود. من همچنین با موفقیت لپ تاپ0 را از بخش مدیریت پینگ کردم. بسته اول به دلیل ARP کنار گذاشته می شود، 3 بسته باقی مانده آزادانه پینگ می شوند.
به منظور سازماندهی فیلتر ترافیک، به تنظیمات روتر R2 می روم، حالت پیکربندی جهانی را فعال می کنم و می خواهم یک لیست ACL مدرن ایجاد کنم. ما همچنین ACL 10 با ظاهر کلاسیک را داریم. برای ایجاد لیست اول، دستوری را وارد میکنم که در آن باید همان نام لیستی را که روی کاغذ نوشتهایم مشخص کنید: ip access-list استاندارد ACL Secure_Ma_And_Se. پس از این، سیستم پارامترهای احتمالی را درخواست می کند: من می توانم deny، exit، no، permit یا remark را انتخاب کنم و همچنین یک Sequence Number از 1 تا 2147483647 را وارد کنم. اگر این کار را انجام ندهم، سیستم به طور خودکار آن را اختصاص می دهد.
بنابراین، من این شماره را وارد نمیکنم، اما بلافاصله به فرمان مجوز 192.168.1.130 میروم، زیرا این مجوز برای یک دستگاه PC0 خاص معتبر است. من همچنین می توانم از ماسک Wildcard معکوس استفاده کنم، اکنون به شما نشان خواهم داد که چگونه این کار را انجام دهید.
بعد دستور deny 192.168.1.128 را وارد می کنم. از آنجایی که ما /26 داریم، من از ماسک معکوس استفاده می کنم و دستور را با آن تکمیل می کنم: deny 192.168.1.128 0.0.0.63. بنابراین، من ترافیک به شبکه 192.168.1.128/26 را رد می کنم.
به طور مشابه، من ترافیک شبکه زیر را مسدود می کنم: deny 192.168.1.0 0.0.0.127. تمام ترافیک های دیگر مجاز است، بنابراین من مجوز دستور را وارد می کنم. بعد باید این لیست را روی رابط اعمال کنم، بنابراین از دستور int s0/1/0 استفاده می کنم. سپس ip access-group Secure_Ma_And_Se را تایپ می کنم، و سیستم از من می خواهد که یک رابط را انتخاب کنم - in برای بسته های ورودی و خروجی برای خروجی. ما باید ACL را به رابط خروجی اعمال کنیم، بنابراین من از دستور ip access-group Secure_Ma_And_Se out استفاده می کنم.
بیایید به خط فرمان PC0 برویم و آدرس IP 192.168.1.194 را که متعلق به سرور Server0 است پینگ کنیم. پینگ موفقیت آمیز است زیرا ما از یک شرط ACL ویژه برای ترافیک PC0 استفاده کردیم. اگر همین کار را از PC1 انجام دهم، سیستم خطایی ایجاد می کند: "میزبان مقصد در دسترس نیست"، زیرا ترافیک آدرس های IP باقی مانده بخش حسابداری از دسترسی به اتاق سرور مسدود شده است.
با وارد شدن به CLI روتر R2 و تایپ دستور show ip address-lists، می توانید نحوه مسیریابی ترافیک شبکه بخش مالی را مشاهده کنید - نشان می دهد که چند بار پینگ طبق مجوز و چند بار ارسال شده است. طبق ممنوعیت مسدود شده است.
همیشه می توانیم به تنظیمات روتر برویم و لیست دسترسی را ببینیم. بدین ترتیب شرایط وظایف شماره 1 و 4 رعایت می شود. بگذارید یک چیز دیگر را به شما نشان دهم. اگر بخواهم چیزی را اصلاح کنم، می توانم به حالت پیکربندی جهانی تنظیمات R2 بروم، دستور ip access-list استاندارد Secure_Ma_And_Se را وارد کنم و سپس دستور "host 192.168.1.130 is not allow" - no permit host 192.168.1.130.
اگر دوباره به لیست دسترسی نگاه کنیم، می بینیم که خط 10 ناپدید شده است، فقط خطوط 20,30، 40 و XNUMX باقی مانده است. به شکل کلاسیک
حالا بیایید به سومین ACL برویم، زیرا به روتر R2 نیز مربوط می شود. بیان می کند که هرگونه ترافیک از Laptop3 نباید از شبکه بخش فروش خارج شود. در این صورت Laptop2 باید بدون مشکل با کامپیوترهای بخش مالی ارتباط برقرار کند. برای آزمایش این، آدرس IP 192.168.1.130 را از این لپ تاپ پینگ می کنم و مطمئن می شوم که همه چیز کار می کند.
حالا به خط فرمان Laptop3 می روم و آدرس 192.168.1.130 را پینگ می کنم. پینگ کردن موفقیت آمیز است، اما ما به آن نیاز نداریم، زیرا با توجه به شرایط کار، Laptop3 فقط می تواند با Laptop2 که در همان شبکه بخش فروش قرار دارد ارتباط برقرار کند. برای این کار باید ACL دیگری با استفاده از روش کلاسیک ایجاد کنید.
من به تنظیمات R2 برمی گردم و سعی می کنم با استفاده از دستور permit host 10 ورودی حذف شده 192.168.1.130 را بازیابی کنم. مشاهده می کنید که این ورودی در انتهای لیست با شماره 50 ظاهر می شود. با این حال، دسترسی همچنان کار نخواهد کرد، زیرا خطی که به یک میزبان خاص اجازه می دهد در انتهای لیست است و خطی که تمام ترافیک شبکه را ممنوع می کند در بالای صفحه قرار دارد. از لیست اگر بخواهیم لپ تاپ 0 بخش مدیریت را از PC0 پینگ کنیم، با وجود اینکه یک ورودی مجاز در شماره 50 در ACL وجود دارد، پیام "میزبان مقصد قابل دسترسی نیست" را دریافت خواهیم کرد.
بنابراین، اگر می خواهید یک ACL موجود را ویرایش کنید، باید دستور no permit host 2 را در حالت R192.168.1.130 (config-std-nacl) وارد کنید، بررسی کنید که خط 50 از لیست ناپدید شده باشد و دستور 10 permit را وارد کنید. میزبان 192.168.1.130. می بینیم که لیست اکنون به شکل اصلی خود بازگشته است و این ورودی در رتبه اول قرار دارد. اعداد دنباله به ویرایش لیست به هر شکلی کمک می کنند، بنابراین شکل مدرن ACL بسیار راحت تر از کلاسیک است.
اکنون نحوه کار فرم کلاسیک لیست ACL 10 را نشان خواهم داد. برای استفاده از لیست کلاسیک، باید دستور access–list 10؟ را وارد کنید، و پس از اعلان، اقدام مورد نظر را انتخاب کنید: deny، permit یا remark. سپس وارد line access–list 10 deny host می شوم و بعد از آن دستور access–list 10 deny 192.168.1.3 را تایپ می کنم و ماسک معکوس را اضافه می کنم. از آنجایی که ما یک میزبان داریم، ماسک زیر شبکه فوروارد 255.255.255.255 است و برعکس آن 0.0.0.0 است. در نتیجه، برای رد ترافیک میزبان، باید دستور access–list 10 deny 192.168.1.3 0.0.0.0 را وارد کنم. پس از این، شما باید مجوزها را مشخص کنید، که برای آن دستور access–list 10 permit any را تایپ می کنم. این لیست باید در رابط G0/1 روتر R2 اعمال شود، بنابراین من به ترتیب دستورات را در g0/1، ip access-group 10 in وارد می کنم. صرف نظر از اینکه کدام لیست استفاده می شود، کلاسیک یا مدرن، از همان دستورات برای اعمال این لیست در رابط استفاده می شود.
برای بررسی درست بودن تنظیمات، به ترمینال خط فرمان Laptop3 می روم و سعی می کنم آدرس IP 192.168.1.130 را پینگ کنم - همانطور که می بینید، سیستم گزارش می دهد که میزبان مقصد غیرقابل دسترسی است.
اجازه دهید یادآوری کنم که برای بررسی لیست می توانید از دستورات show ip access-lists و show access-lists استفاده کنید. ما باید یک مشکل دیگر را حل کنیم که مربوط به روتر R1 است. برای این کار به CLI این روتر رفته و به حالت global configuration رفته و دستور ip access-list استاندارد Secure_Ma_From_Se را وارد می کنم. از آنجایی که ما یک شبکه 192.168.1.192/27 داریم، ماسک زیر شبکه آن 255.255.255.224 خواهد بود، یعنی ماسک معکوس 0.0.0.31 خواهد بود و باید دستور deny 192.168.1.192 0.0.0.31 را وارد کنیم. از آنجایی که تمام ترافیک های دیگر مجاز است، لیست با دستور مجوز any به پایان می رسد. به منظور اعمال یک ACL در رابط خروجی روتر، از دستور ip access-group Secure_Ma_From_Se out استفاده کنید.
اکنون به ترمینال خط فرمان Server0 می روم و سعی می کنم لپ تاپ 0 بخش مدیریت را به آدرس IP 192.168.1.226 پینگ کنم. تلاش ناموفق بود، اما اگر آدرس 192.168.1.130 را پینگ کنم، اتصال بدون مشکل برقرار شد، یعنی ما کامپیوتر سرور را از ارتباط با بخش مدیریت منع کردیم، اما اجازه ارتباط با سایر دستگاه ها را در بخش های دیگر دادیم. بنابراین، ما هر 4 مشکل را با موفقیت حل کرده ایم.
بگذارید چیز دیگری را به شما نشان دهم. ما به تنظیمات روتر R2 می رویم، جایی که ما 2 نوع ACL داریم - کلاسیک و مدرن. فرض کنید میخواهم ACL 10، لیست دسترسی استاندارد IP 10 را ویرایش کنم، که به شکل کلاسیک خود از دو ورودی 10 و 20 تشکیل شده است. اگر از دستور do show run استفاده کنم، میبینم که ابتدا یک لیست دسترسی مدرن 4 تایی داریم. ورودی های بدون اعداد تحت عنوان عمومی Secure_Ma_And_Se، و در زیر دو ورودی ACL 10 از فرم کلاسیک وجود دارد که نام همان لیست دسترسی 10 را تکرار می کند.
اگر بخواهم تغییراتی ایجاد کنم، مانند حذف ورودی رد کردن میزبان 192.168.1.3 و معرفی ورودی برای دستگاهی در یک شبکه دیگر، باید از دستور delete فقط برای آن ورودی استفاده کنم: no access-list 10 deny host 192.168.1.3 .10. اما به محض اینکه این دستور را وارد می کنم، تمام ورودی های ACL XNUMX به طور کامل ناپدید می شوند.به همین دلیل است که نمای کلاسیک ACL برای ویرایش بسیار ناخوشایند است. استفاده از روش ضبط مدرن بسیار راحت تر است، زیرا امکان ویرایش رایگان را فراهم می کند.
برای یادگیری مطالب در این درس ویدیویی، به شما توصیه می کنم دوباره آن را تماشا کنید و سعی کنید مشکلات مطرح شده را خودتان بدون هیچ اشاره ای حل کنید. ACL یک مبحث مهم در دوره CCNA است و بسیاری از آنها، به عنوان مثال، با روش ایجاد یک ماسک Wildcard معکوس سردرگم می شوند. من به شما اطمینان می دهم، فقط مفهوم تبدیل ماسک را درک کنید، و همه چیز بسیار آسان تر خواهد شد. به یاد داشته باشید که مهمترین چیز در درک مباحث دوره CCNA آموزش عملی است، زیرا فقط تمرین به شما کمک می کند تا این یا آن مفهوم سیسکو را درک کنید. تمرین کپی پیست کردن تیم های من نیست، بلکه حل مشکلات به روش خودتان است. از خود سوالاتی بپرسید: برای مسدود کردن جریان ترافیک از اینجا به آنجا، کجا باید شرایط را اعمال کنید و غیره چه کاری باید انجام دهید و سعی کنید به آنها پاسخ دهید.
از اینکه با ما ماندید متشکرم آیا مقالات ما را دوست دارید؟ آیا می خواهید مطالب جالب تری ببینید؟ با ثبت سفارش یا معرفی به دوستان از ما حمایت کنید 30٪ تخفیف برای کاربران Habr در آنالوگ منحصر به فرد سرورهای سطح ورودی که توسط ما برای شما اختراع شده است: (در دسترس با RAID1 و RAID10، حداکثر 24 هسته و حداکثر 40 گیگابایت DDR4).
Dell R730xd 2 برابر ارزان تر است؟ فقط اینجا در هلند! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - از 99 دلار! در مورد بخوانید
منبع: www.habr.com