Une autre chose que j'ai oublié de mentionner est que l'ACL filtre non seulement le trafic sur une base d'autorisation/refus, mais remplit également beaucoup plus de fonctions. Par exemple, une ACL est utilisée pour chiffrer le trafic VPN, mais pour réussir l'examen CCNA, il vous suffit de savoir comment elle est utilisée pour filtrer le trafic. Revenons au problème n°1.
Nous avons découvert que le trafic des services comptables et commerciaux peut être bloqué sur l'interface de sortie R2 à l'aide de la liste ACL suivante.
Ne vous inquiétez pas du format de cette liste, elle est simplement destinée à servir d'exemple pour vous aider à comprendre ce qu'est une ACL. Nous arriverons au format correct une fois que nous aurons démarré avec Packet Tracer.
La tâche n°2 ressemble à ceci : la salle des serveurs peut communiquer avec n'importe quel hôte, à l'exception des hôtes du service de gestion. Autrement dit, les ordinateurs de la salle des serveurs peuvent avoir accès à tous les ordinateurs des services commerciaux et comptables, mais ne doivent pas avoir accès aux ordinateurs du service de gestion. Cela signifie que le personnel informatique de la salle des serveurs ne doit pas avoir accès à distance à l'ordinateur du chef du service de gestion, mais en cas de problème, venir à son bureau et régler le problème sur place. Notez que cette tâche n'est pas pratique car je ne connais aucune raison pour laquelle la salle des serveurs ne pourrait pas communiquer sur le réseau avec le service de gestion, donc dans ce cas, nous examinons simplement une étude de cas.
Pour résoudre ce problème, vous devez d’abord déterminer le chemin de circulation. Les données de la salle des serveurs arrivent à l'interface d'entrée G0/1 du routeur R1 et sont envoyées au service de gestion via l'interface de sortie G0/0.
Si nous appliquons la condition Deny 192.168.1.192/27 à l'interface d'entrée G0/1 et que, comme vous vous en souvenez, l'ACL standard est placée plus près de la source de trafic, nous bloquerons tout le trafic, y compris vers le service commercial et comptable.
Puisque nous voulons bloquer uniquement le trafic dirigé vers le service de gestion, nous devons appliquer une ACL à l'interface de sortie G0/0. Ce problème ne peut être résolu qu’en plaçant l’ACL plus près de la destination. Dans le même temps, le trafic du réseau du service comptabilité et commercial doit atteindre librement le service de gestion, donc la dernière ligne de la liste sera la commande Autoriser n'importe quel - pour autoriser tout trafic, à l'exception du trafic spécifié dans la condition précédente.
Passons à la tâche n°3 : l'ordinateur portable Laptop 3 du service commercial ne doit avoir accès à aucun appareil autre que ceux situés sur le réseau local du service commercial. Supposons qu'un stagiaire travaille sur cet ordinateur et ne doive pas dépasser son réseau local.
Dans ce cas, vous devez appliquer une ACL sur l'interface d'entrée G0/1 du routeur R2. Si nous attribuons l'adresse IP 192.168.1.3/25 à cet ordinateur, alors la condition Refuser 192.168.1.3/25 doit être remplie et le trafic provenant de toute autre adresse IP ne doit pas être bloqué, donc la dernière ligne de la liste sera Autoriser n'importe lequel.
Cependant, le blocage du trafic n'aura aucun effet sur Laptop2.
La prochaine tâche sera la tâche n°4 : seul l'ordinateur PC0 du service financier peut avoir accès au réseau serveur, mais pas le service de gestion.
Si vous vous en souvenez, l'ACL de la tâche n°1 bloque tout le trafic sortant sur l'interface S0/1/0 du routeur R2, mais la tâche n°4 indique que nous devons nous assurer que seul le trafic PC0 passe, nous devons donc faire une exception.
Toutes les tâches que nous résolvons maintenant devraient vous aider dans une situation réelle lors de la configuration des ACL pour un réseau de bureau. Pour plus de commodité, j'ai utilisé le type de saisie classique, mais je vous conseille de noter toutes les lignes manuellement sur papier ou de les saisir sur un ordinateur afin de pouvoir apporter des corrections aux saisies. Dans notre cas, selon les conditions de la tâche n°1, une liste ACL classique a été établie. Si nous voulons y ajouter une exception pour PC0 de type Permit , nous pouvons alors placer cette ligne seulement en quatrième position dans la liste, après la ligne Permit Any. Cependant, étant donné que l'adresse de cet ordinateur est incluse dans la plage d'adresses de vérification de la condition de refus 0/192.168.1.128, son trafic sera bloqué immédiatement une fois cette condition remplie et le routeur n'atteindra tout simplement pas la quatrième vérification de ligne, permettant trafic provenant de cette adresse IP.
Je vais donc devoir refaire complètement la liste ACL de la tâche n°1, en supprimant la première ligne et en la remplaçant par la ligne Permit 192.168.1.130/26, qui autorise le trafic depuis PC0, puis ressaisir les lignes interdisant tout trafic des services comptables et commerciaux.
Ainsi, dans la première ligne, nous avons une commande pour une adresse spécifique, et dans la seconde, une commande générale pour l'ensemble du réseau dans lequel se trouve cette adresse. Si vous utilisez un type moderne d'ACL, vous pouvez facilement y apporter des modifications en plaçant la ligne Permit 192.168.1.130/26 comme première commande. Si vous disposez d’une ACL classique, vous devrez la supprimer complètement puis ressaisir les commandes dans le bon ordre.
La solution au problème n°4 consiste à placer la ligne Permit 192.168.1.130/26 au début de l'ACL du problème n°1, car ce n'est que dans ce cas que le trafic du PC0 quittera librement l'interface de sortie du routeur R2. Le trafic de PC1 sera complètement bloqué car son adresse IP est soumise au ban contenu dans la deuxième ligne de la liste.
Nous allons maintenant passer à Packet Tracer pour effectuer les réglages nécessaires. J'ai déjà configuré les adresses IP de tous les appareils car les schémas simplifiés précédents étaient un peu difficiles à comprendre. De plus, j'ai configuré RIP entre les deux routeurs. Sur la topologie de réseau donnée, la communication entre tous les appareils de 4 sous-réseaux est possible sans aucune restriction. Mais dès que nous appliquons l’ACL, le trafic commencera à être filtré.
Je vais commencer par le service financier PC1 et essayer de cingler l'adresse IP 192.168.1.194, qui appartient au serveur0, situé dans la salle des serveurs. Comme vous pouvez le constater, le ping réussit sans aucun problème. J'ai également réussi à envoyer un ping à Laptop0 depuis le service de gestion. Le premier paquet est rejeté en raison de l'ARP, les 3 autres sont librement pingés.
Afin d'organiser le filtrage du trafic, je vais dans les paramètres du routeur R2, j'active le mode de configuration globale et je vais créer une liste d'ACL moderne. Nous avons également l’ACL 10 au look classique. Pour créer la première liste, j'entre une commande dans laquelle vous devez spécifier le même nom de liste que nous avons noté sur papier : ip access-list standard ACL Secure_Ma_And_Se. Après cela, le système demande les paramètres possibles : je peux sélectionner refuser, quitter, non, autoriser ou remarquer, et également saisir un numéro de séquence de 1 à 2147483647. Si je ne le fais pas, le système l'attribuera automatiquement.
Par conséquent, je n'entre pas ce numéro, mais j'accède immédiatement à la commande permit host 192.168.1.130, car cette autorisation est valable pour un périphérique PC0 spécifique. Je peux également utiliser un masque générique inversé, je vais maintenant vous montrer comment le faire.
Ensuite, j'entre la commande refuser 192.168.1.128. Puisque nous avons /26, j'utilise le masque inversé et complète la commande avec : deny 192.168.1.128 0.0.0.63. Ainsi, je refuse le trafic vers le réseau 192.168.1.128/26.
De même, je bloque le trafic du réseau suivant : deny 192.168.1.0 0.0.0.127. Tout autre trafic est autorisé, j'entre donc la commande permit any. Ensuite, je dois appliquer cette liste à l'interface, j'utilise donc la commande int s0/1/0. Ensuite, je tape ip access-group Secure_Ma_And_Se, et le système me demande de sélectionner une interface - entrée pour les paquets entrants et sortie pour les paquets sortants. Nous devons appliquer l'ACL à l'interface de sortie, j'utilise donc la commande ip access-group Secure_Ma_And_Se out.
Allons à la ligne de commande PC0 et pingons l'adresse IP 192.168.1.194, qui appartient au serveur Server0. Le ping réussit car nous avons utilisé une condition ACL spéciale pour le trafic PC0. Si je fais la même chose depuis le PC1, le système générera une erreur : « l'hôte de destination n'est pas disponible », car le trafic des adresses IP restantes du service comptable est bloqué pour accéder à la salle des serveurs.
En vous connectant à la CLI du routeur R2 et en tapant la commande show ip address-lists, vous pouvez voir comment le trafic réseau du service financier a été acheminé - cela montre combien de fois le ping a été transmis conformément à l'autorisation et combien de fois il l'a été. bloqué conformément à l'interdiction.
Nous pouvons toujours accéder aux paramètres du routeur et voir la liste d'accès. Ainsi, les conditions des tâches n°1 et n°4 sont remplies. Laissez-moi vous montrer encore une chose. Si je veux réparer quelque chose, je peux passer dans le mode de configuration globale des paramètres R2, entrer la commande ip access-list standard Secure_Ma_And_Se puis la commande « l'hôte 192.168.1.130 n'est pas autorisé » - pas d'autorisation pour l'hôte 192.168.1.130.
Si nous regardons à nouveau la liste d'accès, nous verrons que la ligne 10 a disparu, il ne nous reste plus que les lignes 20,30, 40 et XNUMX. Ainsi, vous pouvez modifier la liste d'accès ACL dans les paramètres du routeur, mais seulement si elle n'est pas compilée. sous la forme classique.
Passons maintenant à la troisième ACL, car elle concerne également le routeur R2. Il indique qu'aucun trafic provenant du Laptop3 ne doit quitter le réseau du service commercial. Dans ce cas, Laptop2 devrait communiquer sans problème avec les ordinateurs du service financier. Pour tester cela, je cingle l'adresse IP 192.168.1.130 de cet ordinateur portable et m'assure que tout fonctionne.
Maintenant, je vais accéder à la ligne de commande de Laptop3 et envoyer une requête ping à l'adresse 192.168.1.130. Le ping réussit, mais nous n'en avons pas besoin, puisque selon les conditions de la tâche, Laptop3 ne peut communiquer qu'avec Laptop2, qui est situé dans le même réseau de service commercial. Pour ce faire, vous devez créer une autre ACL en utilisant la méthode classique.
Je vais revenir aux paramètres R2 et essayer de récupérer l'entrée supprimée 10 à l'aide de la commande permit host 192.168.1.130. Vous voyez que cette entrée apparaît à la fin de la liste au numéro 50. Cependant, l'accès ne fonctionnera toujours pas, car la ligne autorisant un hôte spécifique se trouve à la fin de la liste, et la ligne interdisant tout trafic réseau est en haut. de la liste. Si nous essayons d'envoyer une requête ping au Laptop0 du service de gestion à partir du PC0, nous recevrons le message « L'hôte de destination n'est pas accessible », malgré le fait qu'il y ait une entrée d'autorisation au numéro 50 dans l'ACL.
Par conséquent, si vous souhaitez modifier une ACL existante, vous devez saisir la commande no permit host 2 en mode R192.168.1.130 (config-std-nacl), vérifier que la ligne 50 a disparu de la liste et saisir la commande 10 permit hôte 192.168.1.130. Nous constatons que la liste est désormais revenue à sa forme originale, avec cette entrée classée première. Les numéros de séquence permettent de modifier la liste sous n'importe quelle forme, de sorte que la forme moderne d'ACL est beaucoup plus pratique que la forme classique.
Je vais maintenant montrer comment fonctionne la forme classique de la liste ACL 10. Pour utiliser la liste classique, vous devez entrer la commande access–list 10?, et, en suivant l'invite, sélectionner l'action souhaitée : refuser, autoriser ou remarquer. Ensuite, j'entre la ligne access–list 10 deny host, après quoi je tape la commande access–list 10 deny 192.168.1.3 et j'ajoute le masque inversé. Puisque nous avons un hôte, le masque de sous-réseau avant est 255.255.255.255 et l'inverse est 0.0.0.0. Par conséquent, pour refuser le trafic hôte, je dois entrer la commande access–list 10 deny 192.168.1.3 0.0.0.0. Après cela, vous devez spécifier les autorisations, pour lesquelles je tape la commande access–list 10 permit any. Cette liste doit être appliquée à l'interface G0/1 du routeur R2, j'entre donc séquentiellement les commandes dans g0/1, ip access-group 10 in. Quelle que soit la liste utilisée, classique ou moderne, les mêmes commandes permettent d'appliquer cette liste à l'interface.
Pour vérifier si les paramètres sont corrects, je vais sur le terminal de ligne de commande Laptop3 et j'essaie d'envoyer une requête ping à l'adresse IP 192.168.1.130 - comme vous pouvez le voir, le système signale que l'hôte de destination est inaccessible.
Permettez-moi de vous rappeler que pour vérifier la liste, vous pouvez utiliser à la fois les commandes show ip access-lists et show access-lists. Nous devons résoudre un autre problème, lié au routeur R1. Pour ce faire, je vais sur la CLI de ce routeur et je passe en mode de configuration globale et je saisis la commande ip access-list standard Secure_Ma_From_Se. Puisque nous avons un réseau 192.168.1.192/27, son masque de sous-réseau sera 255.255.255.224, ce qui signifie que le masque inversé sera 0.0.0.31 et nous devons entrer la commande deny 192.168.1.192 0.0.0.31. Puisque tout autre trafic est autorisé, la liste se termine par la commande permit any. Afin d'appliquer une ACL à l'interface de sortie du routeur, utilisez la commande ip access-group Secure_Ma_From_Se out.
Maintenant, je vais aller au terminal de ligne de commande de Server0 et essayer de faire un ping sur Laptop0 du service de gestion à l'adresse IP 192.168.1.226. La tentative a échoué, mais si j'ai cinglé l'adresse 192.168.1.130, la connexion a été établie sans problème, c'est-à-dire que nous avons interdit à l'ordinateur serveur de communiquer avec le service de gestion, mais avons autorisé la communication avec tous les autres appareils des autres départements. Ainsi, nous avons résolu avec succès les 4 problèmes.
Laissez-moi vous montrer autre chose. Nous entrons dans les paramètres du routeur R2, où nous avons 2 types d'ACL - classique et moderne. Disons que je souhaite modifier l'ACL 10, la liste d'accès IP standard 10, qui dans sa forme classique se compose de deux entrées 10 et 20. Si j'utilise la commande do show run, je peux voir que nous avons d'abord une liste d'accès moderne de 4 des entrées sans numéros sous la rubrique générale Secure_Ma_And_Se, et en dessous se trouvent deux entrées ACL 10 de forme classique reprenant le nom d'une même liste d'accès 10.
Si je souhaite apporter des modifications, comme supprimer l'entrée deny host 192.168.1.3 et introduire une entrée pour un périphérique sur un autre réseau, je dois utiliser la commande delete pour cette entrée uniquement : no access-list 10 deny host 192.168.1.3 .10. Mais dès que j'entre cette commande, toutes les entrées de l'ACL XNUMX disparaissent complètement. C'est pourquoi la vue classique de l'ACL est très peu pratique à modifier. La méthode d'enregistrement moderne est beaucoup plus pratique à utiliser, car elle permet un montage gratuit.
Afin d'apprendre le contenu de cette leçon vidéo, je vous conseille de la revoir et d'essayer de résoudre vous-même les problèmes abordés, sans aucune indication. L'ACL est un sujet important dans le cours CCNA, et beaucoup sont confus, par exemple, par la procédure de création d'un masque générique inversé. Je vous assure, comprenez simplement le concept de transformation de masque, et tout deviendra beaucoup plus facile. N'oubliez pas que la chose la plus importante pour comprendre les sujets des cours CCNA est la formation pratique, car seule la pratique vous aidera à comprendre tel ou tel concept Cisco. La pratique ne consiste pas à copier-coller mes équipes, mais à résoudre des problèmes à votre manière. Posez-vous des questions : que faut-il faire pour bloquer la circulation d'ici à là, où appliquer les conditions, etc., et essayez d'y répondre.
Merci de rester avec nous. Vous aimez nos articles ? Vous voulez voir du contenu plus intéressant ? Soutenez-nous en passant une commande ou en recommandant à vos amis, 30 % de réduction pour les utilisateurs Habr sur un analogue unique de serveurs d'entrée de gamme, que nous avons inventé pour vous : (disponible avec RAID1 et RAID10, jusqu'à 24 cœurs et jusqu'à 40 Go de DDR4).
Dell R730xd 2 fois moins cher ? Ici seulement aux Pays-Bas! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - à partir de 99$ ! En savoir plus
Source: habr.com