Noch ien ding dat ik fergeat te neamen is dat ACL net allinich ferkear filtert op in tastean / wegerje basis, it fiert folle mear funksjes. Bygelyks, in ACL wurdt brûkt om VPN-ferkear te fersiferjen, mar om it CCNA-eksamen troch te jaan, moatte jo allinich witte hoe't it wurdt brûkt om ferkear te filterjen. Werom nei probleem nr. 1.
Wy fûnen út dat it ferkear fan boekhâlding en ferkeapôfdieling kin wurde blokkearre op 'e R2-útfierynterface mei de folgjende ACL-list.
Meitsje jo gjin soargen oer it formaat fan dizze list, it is gewoan bedoeld as foarbyld om jo te helpen begripe wat in ACL is. Wy komme nei it juste formaat as wy begjinne mei Packet Tracer.
Taak nr. 2 klinkt sa: de serverkeamer kin kommunisearje mei alle hosts, útsein de hosts fan de behearôfdieling. Dat is, de tsjinner keamer kompjûters kinne hawwe tagong ta alle kompjûters yn de ferkeap en boekhâlding ôfdielings, mar moatte gjin tagong ta de kompjûters yn de behear ôfdieling. Dit betsjut dat it IT-meiwurkers fan 'e serverkeamer gjin tagong op ôfstân hawwe moatte oan' e kompjûter fan 'e haad fan' e behear ôfdieling, mar yn gefal fan problemen, komme nei syn kantoar en reparearje it probleem op it plak. Tink derom dat dizze taak net praktysk is, om't ik net wit wêrom't de serverkeamer net oer it netwurk kin kommunisearje mei de behearôfdieling, dus yn dit gefal sjogge wy gewoan nei in tutorialfoarbyld.
Om dit probleem op te lossen, moatte jo earst it ferkearspaad bepale. Gegevens út de tsjinner keamer komt by de ynfier ynterface G0/1 fan router R1 en wurdt stjoerd nei de behear ôfdieling fia de útfier ynterface G0/0.
As wy de betingst Deny 192.168.1.192/27 tapasse op de ynfierynterface G0/1, en sa't jo ûnthâlde, wurdt de standert ACL tichter by de ferkearsboarne pleatst, sille wy alle ferkear blokkearje, ynklusyf nei de ferkeap- en boekhâldingsôfdieling.
Sûnt wy wolle blokkearje allinne ferkear rjochte oan de behear ôfdieling, wy moatte tapasse in ACL oan de útfier ynterface G0/0. Dit probleem kin allinich oplost wurde troch de ACL tichter by de bestimming te pleatsen. Tagelyk moat ferkear fan it netwurk fan 'e boekhâlding en ferkeapôfdieling frij de behearôfdieling berikke, sadat de lêste rigel fan' e list it kommando elke tastimming wêze sil - om elk ferkear te tastean, útsein it ferkear dat yn 'e foarige betingst is opjûn.
Litte wy trochgean nei Taak 3: de Laptop 3 laptop fan 'e ferkeapôfdieling moat gjin tagong hawwe ta oare apparaten dan dy yn it lokale netwurk fan' e ferkeapôfdieling. Lit ús oannimme dat in trainee op dizze kompjûter wurket en net fierder moat dan syn LAN.
Yn dit gefal moatte jo in ACL tapasse op de ynfierynterface G0/1 fan router R2. As wy it IP-adres 192.168.1.3/25 oan dizze kompjûter tawize, dan moat de betingst Deny 192.168.1.3/25 foldien wurde, en ferkear fan in oar IP-adres moat net blokkearre wurde, dus de lêste rigel fan 'e list sil tastimming wêze elk.
It blokkearjen fan ferkear sil lykwols gjin effekt hawwe op Laptop2.
De folgjende taak sil Taak nûmer 4 wêze: allinich kompjûter PC0 fan 'e finansjele ôfdieling kin tagong hawwe ta it servernetwurk, mar net de behearôfdieling.
As jo it ûnthâlde, blokkearret de ACL fan Taak #1 alle útgeande ferkear op 'e S0/1/0-ynterface fan router R2, mar Taak #4 seit dat wy moatte soargje dat allinich PC0-ferkear trochgiet, dus wy moatte in útsûndering meitsje.
Alle taken dy't wy no oplosse moatte jo helpe yn in echte situaasje by it ynstellen fan ACL's foar in kantoarnetwurk. Foar it gemak haw ik it klassike type yngong brûkt, mar ik ried jo oan om alle rigels mei de hân op papier op te skriuwen of op in kompjûter te typen, sadat jo korreksjes kinne meitsje foar de yngongen. Yn ús gefal waard neffens de betingsten fan Taak 1 in klassike ACL-list gearstald. As wy der in útsûndering oan taheakje wolle foar PC0 fan type Permit , dan kinne wy dizze line mar fjirde yn 'e list pleatse, nei de Permit Any line. Om't it adres fan dizze kompjûter lykwols is opnaam yn it berik fan adressen foar it kontrolearjen fan 'e Deny-betingst 0/192.168.1.128, sil syn ferkear direkt nei't dizze betingst foldien wurdt blokkearre en de router sil gewoan net de fjirde line-kontrôle berikke, wêrtroch't ferkear fan dit IP-adres.
Dêrom sil ik de ACL-list fan Taak nr. út de boekhâlding en ferkeap ôfdielings.
Sa, yn 'e earste rigel hawwe wy in kommando foar in spesifyk adres, en yn' e twadde - in algemien foar it hiele netwurk wêryn dit adres leit. As jo in moderne type ACL brûke, kinne jo der maklik wizigingen oan meitsje troch de line Permit 192.168.1.130/26 as earste kommando te pleatsen. As jo in klassike ACL hawwe, moatte jo it folslein fuortsmite en dan de kommando's opnij ynfiere yn 'e juste folchoarder.
De oplossing foar probleem No.. 4 is te pleatsen de line Fergunning 192.168.1.130/26 oan it begjin fan de ACL út Problem No.. 1, want allinnich yn dit gefal sil ferkear fan PC0 frij ferlitte de útfier ynterface fan router R2. It ferkear fan PC1 sil folslein blokkearre wurde, om't it IP-adres ûnderwurpen is oan it ferbod yn 'e twadde rigel fan' e list.
Wy sille no trochgean nei Packet Tracer om de nedige ynstellingen te meitsjen. Ik haw de IP-adressen fan alle apparaten al konfigureare, om't de ferienfâldige foarige diagrammen in bytsje lestich te begripen wiene. Dêrneist konfigurearre ik RIP tusken de twa routers. Op de opjûne netwurktopology is kommunikaasje tusken alle apparaten fan 4 subnets mooglik sûnder beheiningen. Mar sa gau as wy de ACL tapasse, sil it ferkear begjinne te filterjen.
Ik sil begjinne mei de finânsjes ôfdieling PC1 en besykje te ping it IP-adres 192.168.1.194, dat heart by Server0, leit yn de tsjinner keamer. As jo sjogge, is ping suksesfol sûnder problemen. Ik haw ek mei súkses ping Laptop0 út 'e behear ôfdieling. It earste pakket wurdt wegere troch ARP, de oerbleaune 3 wurde frij pinged.
Om ferkearsfiltering te organisearjen, gean ik yn 'e ynstellings fan' e R2-router, aktivearje de globale konfiguraasjemodus en sil in moderne ACL-list meitsje. Wy hawwe ek de klassike look ACL 10. Om de earste list te meitsjen, fier ik in kommando yn wêryn jo deselde listnamme moatte opjaan dy't wy op papier skreaun hawwe: ip tagongslist standert ACL Secure_Ma_And_Se. Hjirnei freget it systeem om mooglike parameters: ik kin wegerje, ôfslute, nee, tastimming of opmerking selektearje, en ek in Sequence Number ynfiere fan 1 oant 2147483647. As ik dit net doch, sil it systeem it automatysk tawize.
Dêrom, ik net fier dit nûmer, mar fuortendaliks gean nei de fergunning host 192.168.1.130 kommando, sûnt dizze tastimming is jildich foar in spesifyk PC0 apparaat. Ik kin ek in omkearde Wildcard Mask brûke, no sil ik jo sjen litte hoe't jo it dwaan.
Folgjende, ik fier it kommando wegerje 192.168.1.128. Om't wy /26 hawwe, brûk ik it omkearde masker en folje it kommando dêrmei oan: wegerje 192.168.1.128 0.0.0.63. Sa, ik wegerje ferkear nei it netwurk 192.168.1.128/26.
Op deselde manier blokkearje ik ferkear fan it folgjende netwurk: wegerje 192.168.1.0 0.0.0.127. Alle oare ferkear is tastien, dus ik enter it kommando fergunning eltse. Folgjende moat ik dizze list tapasse op de ynterface, dus ik brûk it kommando int s0/1/0. Dan typ ik ip access-group Secure_Ma_And_Se, en it systeem freget my om in ynterface te selektearjen - yn foar ynkommende pakketten en út foar útgeande. Wy moatte de ACL tapasse op de útfierynterface, dus ik brûk it kommando ip-tagongsgroep Secure_Ma_And_Se out.
Litte wy nei de PC0 kommandorigel gean en it IP-adres 192.168.1.194 pinge, dat heart by de Server0-tsjinner. De ping is suksesfol om't wy in spesjale ACL-betingst hawwe brûkt foar PC0-ferkear. As ik itselde doch fan PC1, sil it systeem in flater generearje: "bestimmingshost is net beskikber", om't ferkear fan 'e oerbleaune IP-adressen fan' e boekhâldingsôfdieling blokkearre is foar tagong ta de serverkeamer.
Troch oan te melden by de CLI fan 'e R2-router en it kommando show ip address-lists yn te typen, kinne jo sjen hoe't it netwurkferkear fan 'e finansjele ôfdieling waard trochstjoerd - it lit sjen hoefolle kearen de ping waard trochjûn neffens de tastimming en hoefolle kearen it wie blokkearre neffens it ferbod.
Wy kinne altyd gean nei de router ynstellings en sjoch de tagong list. Sa wurdt foldien oan de betingsten fan Taken nr. 1 en nr. 4. Lit my dy noch ien ding sjen litte. As ik wat reparearje wol, kin ik yn 'e globale konfiguraasjemodus fan R2-ynstellingen gean, it kommando ip tagongslist standert Secure_Ma_And_Se ynfiere en dan it kommando "host 192.168.1.130 is net tastien" - gjin fergunninghost 192.168.1.130.
As wy nochris nei de tagongslist sjogge, sille wy sjen dat rigel 10 ferdwûn is, wy hawwe allinnich de rigels 20,30, 40 en XNUMX. Sa kinne jo de ACL tagongslist bewurkje yn de routerynstellingen, mar allinich as dy net kompilearre is yn 'e klassike foarm.
No geane wy troch nei de tredde ACL, want it giet ek om de R2 router. It stelt dat elk ferkear fan 'e Laptop3 it netwurk fan' e ferkeapôfdieling net moat ferlitte. Yn dit gefal moat Laptop2 sûnder problemen kommunisearje mei de kompjûters fan 'e finansjele ôfdieling. Om dit te testen, ping ik it IP-adres 192.168.1.130 fan dizze laptop en soargje derfoar dat alles wurket.
No gean ik nei de kommandorigel fan Laptop3 en ping it adres 192.168.1.130. Pinging is suksesfol, mar wy hawwe it net nedich, om't neffens de betingsten fan 'e taak Laptop3 allinich kin kommunisearje mei Laptop2, dy't yn itselde netwurk fan ferkeapôfdieling leit. Om dit te dwaan, moatte jo in oare ACL meitsje mei de klassike metoade.
Ik gean werom nei R2 ynstellings en besykje te herstellen wiske yngong 10 mei help fan de fergunning host 192.168.1.130 kommando. Jo sjogge dat dizze yngong oan 'e ein fan' e list ferskynt op nûmer 50. De tagong sil lykwols noch net wurkje, om't de line dy't in spesifike host tastiet oan 'e ein fan' e list is, en de line dy't alle netwurkferkear ferbiedt is boppe-oan fan de list. As wy besykje de Laptop0 fan 'e behearôfdieling te pingjen fan PC0, krije wy it berjocht "bestimmingshost is net tagonklik", nettsjinsteande it feit dat d'r in tastiene yngong is op nûmer 50 yn 'e ACL.
Dêrom, as jo wolle bewurkje in besteande ACL, Jo moatte ynfiere it kommando gjin permit host 2 yn R192.168.1.130 modus (config-std-nacl), kontrolearje dat line 50 is ferdwûn út de list, en fier it kommando 10 permit host 192.168.1.130. Wy sjogge dat de list no werom is nei syn oarspronklike foarm, mei dizze yngong as earste. Sequencenûmers helpe de list yn elke foarm te bewurkjen, sadat de moderne foarm fan ACL folle handiger is as de klassike.
No sil ik sjen litte hoe't de klassike foarm fan 'e ACL 10 list wurket. Om de klassike list te brûken, moatte jo it kommando tagong-list 10? ynfiere, en, folgje de prompt, selektearje de winske aksje: wegerje, tastean of opmerking. Dan gean ik de line tagong-list 10 wegerje host yn, wêrnei't ik it kommando tagong-list 10 wegerje 192.168.1.3 typ en it omkearde masker tafoegje. Om't wy in host hawwe, is it foarút subnetmasker 255.255.255.255, en it omkearde is 0.0.0.0. As gefolch, om hostferkear te wegerjen, moat ik it kommando tagong-list 10 wegerje 192.168.1.3 0.0.0.0 ynfiere. Hjirnei moatte jo tagongsrjochten opjaan, wêrfoar ik it kommando ynfiere tagong-list 10 tastean elk. Dizze list moat tapast wurde op de G0/1-ynterface fan router R2, dus ik fier de kommando's opfolgjend yn yn g0/1, ip-tagongsgroep 10 yn. Nettsjinsteande hokker list wurdt brûkt, klassyk of modern, deselde kommando's wurde brûkt om dizze list oan te passen op de ynterface.
Om te kontrolearjen oft de ynstellingen goed binne, gean ik nei it Laptop3 kommandorigelterminal en besykje it IP-adres 192.168.1.130 te pingjen - lykas jo kinne sjen, rapportearret it systeem dat de bestimminghost net te berikken is.
Lit my jo herinnerje dat om de list te kontrolearjen kinne jo sawol de kommando's foar ip-tagongslisten sjen litte as tagongslisten sjen litte. Wy moatte oplosse noch ien probleem, dat relatearret oan de R1 router. Om dit te dwaan, gean ik nei de CLI fan dizze router en gean nei globale konfiguraasjemodus en fier it kommando ip tagongslist standert Secure_Ma_From_Se yn. Om't wy in netwurk 192.168.1.192/27 hawwe, sil syn subnetmasker 255.255.255.224 wêze, wat betsjut dat it omkearde masker 0.0.0.31 sil wêze en wy moatte it kommando ûntkennen 192.168.1.192 0.0.0.31 ynfiere. Sûnt alle oare ferkear is tastien, de list einiget mei it kommando tastean eltse. Om in ACL oan te passen op de útfierynterface fan 'e router, brûk it kommando ip-tagongsgroep Secure_Ma_From_Se out.
No sil ik nei de kommandorigelterminal fan Server0 gean en besykje Laptop0 fan 'e behearôfdieling te pingjen op it IP-adres 192.168.1.226. De poging wie net slagge, mar as ik it adres 192.168.1.130 pingde, waard de ferbining sûnder problemen oprjochte, dat is, wy ferbean de tsjinner komputer om te kommunisearjen mei de behearôfdieling, mar tastien kommunikaasje mei alle oare apparaten yn oare ôfdielingen. Sa hawwe wy alle 4 problemen mei súkses oplost.
Lit my dy wat oars sjen litte. Wy geane yn 'e ynstellingen fan' e R2-router, wêr't wy 2 soarten ACL hawwe - klassike en moderne. Litte wy sizze dat ik ACL 10, Standert IP tagongslist 10 bewurkje wol, dy't yn syn klassike foarm bestiet út twa yngongen 10 en 20. As ik it kommando do show run brûke, kin ik sjen dat wy earst in moderne tagongslist hawwe fan 4 yngongen sûnder nûmers ûnder de algemiene koptekst Secure_Ma_And_Se, en hjirûnder binne twa ACL 10-yngongen fan 'e klassike foarm dy't de namme fan deselde tagongslist 10 werhelje.
As ik wat wizigingen meitsje wol, lykas it fuortsmiten fan de yngong fan de host 192.168.1.3 en it ynfieren fan in yngong foar in apparaat op in oar netwurk, dan moat ik it kommando wiskje allinich foar dy yngong brûke: gjin tagongslist 10 host 192.168.1.3 wegerje .10. Mar sa gau as ik ynfiere dit kommando, ferdwine alle yngongen fan ACL XNUMX. Dêrom is de klassike werjefte fan it ACL tige ûngemaklik om te bewurkjen. De moderne opnamemetoade is folle handiger te brûken, om't it fergees bewurkjen mooglik makket.
Om it materiaal yn dizze fideoles te learen, advisearje ik jo it nochris te besjen en besykje de problemen op jo eigen besprutsen sûnder hints op te lossen. ACL is in wichtich ûnderwerp yn de kursus CCNA, en in protte wurde betize troch, bygelyks, de proseduere foar it meitsjen fan in omkearde Wildcard Mask. Ik fersekerje jo, begryp gewoan it konsept fan maskertransformaasje, en alles sil folle makliker wurde. Unthâld dat it wichtichste ding by it begripen fan 'e CCNA-kursussen praktyske training is, om't allinich praktyk sil helpe jo dit of dat Cisco-konsept te begripen. Oefenje is net kopiearje-plakken fan myn teams, mar problemen op jo eigen manier oplosse. Stel josels fragen: wat moat dien wurde om de trochstreaming fan ferkear fan hjir nei dêr te blokkearjen, wêr't betingsten tapasse, ensfh., en besykje se te beantwurdzjen.
Tankewol foar it bliuwen by ús. Hâld jo fan ús artikels? Wolle jo mear ynteressante ynhâld sjen? Stypje ús troch in bestelling te pleatsen of oan te befeljen oan freonen, 30% koarting foar Habr-brûkers op in unike analoog fan servers op yngongsnivo, dy't troch ús foar jo útfûn is: (beskikber mei RAID1 en RAID10, oant 24 kearnen en oant 40GB DDR4).
Dell R730xd 2 kear goedkeaper? Allinne hjir yn Nederlân! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fan $99! Lêze oer
Boarne: www.habr.com