Unha cousa máis que me esquecín de mencionar é que ACL non só filtra o tráfico en función de permitir/negar, senón que realiza moitas máis funcións. Por exemplo, unha ACL úsase para cifrar o tráfico VPN, pero para aprobar o exame CCNA, só precisa saber como se usa para filtrar o tráfico. Volvamos ao problema número 1.
Descubrimos que o tráfico do departamento de contabilidade e vendas pode bloquearse na interface de saída R2 mediante a seguinte lista ACL.
Non te preocupes polo formato desta lista, é só un exemplo para axudarche a comprender o que é unha ACL. Pasaremos ao formato correcto cando comecemos con Packet Tracer.
A tarefa número 2 soa así: a sala de servidores pode comunicarse con calquera host, excepto cos hosts do departamento de xestión. É dicir, os ordenadores da sala de servidores poden ter acceso a calquera ordenador dos departamentos de vendas e contabilidade, pero non deben ter acceso aos ordenadores do departamento de xestión. Isto significa que o persoal informático da sala de servidores non debería ter acceso remoto ao ordenador do xefe do departamento de xestión, pero en caso de problemas, achégase á súa oficina e solucione o problema no lugar. Teña en conta que esta tarefa non é práctica porque non sei por que a sala de servidores non podería comunicarse a través da rede co departamento de xestión, polo que neste caso só estamos mirando un exemplo de titorial.
Para resolver este problema, primeiro cómpre determinar a ruta do tráfico. Os datos da sala de servidores chegan á interface de entrada G0/1 do router R1 e envíanse ao departamento de xestión a través da interface de saída G0/0.
Se aplicamos a condición Denegar 192.168.1.192/27 á interface de entrada G0/1 e, como lembra, a ACL estándar colócase máis preto da fonte de tráfico, bloquearemos todo o tráfico, incluído o departamento de vendas e contabilidade.
Dado que queremos bloquear só o tráfico dirixido ao departamento de xestión, debemos aplicar unha ACL á interface de saída G0/0. Este problema só se pode resolver colocando a ACL máis preto do destino. Ao mesmo tempo, o tráfico da rede do departamento de contabilidade e vendas debe chegar libremente ao departamento de xestión, polo que a última liña da lista será o comando Permitir calquera - para permitir calquera tráfico, excepto o tráfico especificado na condición anterior.
Pasemos á tarefa número 3: o portátil Laptop 3 do departamento de vendas non debería ter acceso a ningún dispositivo que non sexa os situados na rede local do departamento de vendas. Supoñamos que un estudante está a traballar neste ordenador e non debería ir máis aló da súa LAN.
Neste caso, cómpre aplicar unha ACL na interface de entrada G0/1 do router R2. Se lle asignamos o enderezo IP 192.168.1.3/25 a este ordenador, debe cumprirse a condición Denegar 192.168.1.3/25 e non se debe bloquear o tráfico de calquera outro enderezo IP, polo que a última liña da lista será Permitir calquera.
Non obstante, o bloqueo do tráfico non terá ningún efecto no Laptop2.
A seguinte tarefa será a Tarefa no 4: só o ordenador PC0 do departamento financeiro pode ter acceso á rede de servidores, pero non o departamento de xestión.
Se lembras, a ACL da Tarefa #1 bloquea todo o tráfico saínte na interface S0/1/0 do enrutador R2, pero a Tarefa #4 di que debemos asegurarnos de que só pase o tráfico da PC0, polo que debemos facer unha excepción.
Todas as tarefas que agora estamos a resolver deberían axudarche nunha situación real á hora de configurar ACL para unha rede de oficina. Por comodidade, usei o tipo de entrada clásico, pero recoméndoche que anotes todas as liñas manualmente en papel ou que as escribas nun ordenador para poder facer correccións nas entradas. No noso caso, segundo as condicións da tarefa número 1, recompilouse unha lista clásica de ACL. Se queremos engadirlle unha excepción para PC0 de tipo Permiso , entón podemos colocar esta liña só no cuarto lugar da lista, despois da liña Permitir calquera. Non obstante, dado que o enderezo deste ordenador está incluído no intervalo de enderezos para comprobar a condición Deny 0/192.168.1.128, o seu tráfico bloquearase inmediatamente despois de que se cumpra esta condición e o enrutador simplemente non chegará á cuarta liña de comprobación, o que permitirá tráfico desde este enderezo IP.
Polo tanto, terei que refacer completamente a lista ACL da Tarefa número 1, eliminando a primeira liña e substituíndoa pola liña Permiso 192.168.1.130/26, que permite o tráfico desde PC0, e despois volver entrar nas liñas que prohiben todo o tráfico. dos departamentos de contabilidade e vendas.
Así, na primeira liña temos un comando para un enderezo específico e, na segunda, un xeral para toda a rede na que se atopa este enderezo. Se está a usar un tipo moderno de ACL, pode facer cambios nel facilmente colocando a liña Permiso 192.168.1.130/26 como primeiro comando. Se tes unha ACL clásica, terás que eliminala por completo e, a continuación, volver a introducir os comandos na orde correcta.
A solución ao problema número 4 é colocar a liña Permiso 192.168.1.130/26 ao comezo da ACL do problema número 1, porque só neste caso o tráfico desde PC0 abandonará libremente a interface de saída do enrutador R2. O tráfico de PC1 bloquearase por completo porque o seu enderezo IP está suxeito á prohibición contida na segunda liña da lista.
Agora pasaremos a Packet Tracer para facer a configuración necesaria. Xa configurei os enderezos IP de todos os dispositivos porque os diagramas anteriores simplificados eran un pouco difíciles de entender. Ademais, configurei RIP entre os dous enrutadores. Na topoloxía de rede dada, a comunicación entre todos os dispositivos de 4 subredes é posible sen ningunha restrición. Pero en canto apliquemos a ACL, o tráfico comezará a filtrarse.
Comezarei polo departamento de finanzas PC1 e tentarei facer ping ao enderezo IP 192.168.1.194, que pertence ao Server0, situado na sala do servidor. Como podes ver, o ping ten éxito sen ningún problema. Tamén fago un ping a Laptop0 desde o departamento de xestión. O primeiro paquete é descartado debido a ARP, os 3 restantes son libremente ping.
Para organizar o filtrado de tráfico, entro na configuración do enrutador R2, activo o modo de configuración global e vou crear unha lista ACL moderna. Tamén temos o aspecto clásico ACL 10. Para crear a primeira lista, introduzo un comando no que debes especificar o mesmo nome da lista que anotamos no papel: ip access-list standard ACL Secure_Ma_And_Se. Despois diso, o sistema solicita posibles parámetros: podo seleccionar denegar, saír, non, permitir ou comentar, e tamén introducir un número de secuencia do 1 ao 2147483647. Se non o fago, o sistema asignarao automaticamente.
Polo tanto, non introduzo este número, pero vou inmediatamente ao comando host de permiso 192.168.1.130, xa que este permiso é válido para un dispositivo PC0 específico. Tamén podo usar unha máscara de comodín inversa, agora vouche mostrar como facelo.
A continuación, introduzo o comando deny 192.168.1.128. Como temos /26, uso a máscara inversa e complemento o comando con ela: deny 192.168.1.128 0.0.0.63. Así, nego o tráfico á rede 192.168.1.128/26.
Do mesmo xeito, bloqueo o tráfico da seguinte rede: denegar 192.168.1.0 0.0.0.127. Todo o resto de tráfico está permitido, polo que introduzo o comando permitir calquera. A continuación teño que aplicar esta lista á interface, polo que uso o comando int s0/1/0. Despois escribo ip access-group Secure_Ma_And_Se e o sistema pídme que seleccione unha interface: entrada para paquetes entrantes e saída para paquetes saíntes. Necesitamos aplicar a ACL á interface de saída, polo que uso o comando ip access-group Secure_Ma_And_Se out.
Imos á liña de comandos PC0 e faga ping ao enderezo IP 192.168.1.194, que pertence ao servidor Server0. O ping ten éxito porque usamos unha condición ACL especial para o tráfico de PC0. Se fago o mesmo desde a PC1, o sistema xerará un erro: "o host de destino non está dispoñible", xa que o tráfico dos enderezos IP restantes do departamento de contabilidade está bloqueado para acceder á sala de servidores.
Ao iniciar sesión na CLI do enrutador R2 e escribir o comando show ip address-lists, podes ver como se encamiñou o tráfico da rede do departamento financeiro: mostra cantas veces se pasou o ping segundo o permiso e cantas veces foi. bloqueado segundo a prohibición.
Sempre podemos ir á configuración do enrutador e ver a lista de acceso. Así, cúmprense as condicións das Tarefas no 1 e no 4. Déixame mostrarche unha cousa máis. Se quero corrixir algo, podo entrar no modo de configuración global da configuración R2, introducir o comando ip access-list estándar Secure_Ma_And_Se e despois o comando "host 192.168.1.130 non está permitido" - sen permiso de host 192.168.1.130.
Se miramos de novo a lista de acceso, veremos que a liña 10 desapareceu, só nos quedan as liñas 20,30, 40 e XNUMX. Así, pode editar a lista de acceso ACL na configuración do enrutador, pero só se non está compilada. na forma clásica.
Agora imos pasar á terceira ACL, porque tamén se refire ao enrutador R2. Afirma que calquera tráfico do Laptop3 non debe saír da rede do departamento de vendas. Neste caso, Laptop2 debería comunicarse sen problemas cos ordenadores do departamento financeiro. Para probar isto, fago un ping ao enderezo IP 192.168.1.130 desde este portátil e asegúrese de que todo funciona.
Agora vou á liña de comandos de Laptop3 e farei ping ao enderezo 192.168.1.130. O ping ten éxito, pero non o necesitamos, xa que segundo as condicións da tarefa, Laptop3 só pode comunicarse con Laptop2, que está situado na mesma rede de departamentos de vendas. Para iso, cómpre crear outra ACL usando o método clásico.
Volverei á configuración de R2 e tentarei recuperar a entrada 10 eliminada usando o comando permit host 192.168.1.130. Ves que esta entrada aparece ao final da lista no número 50. Non obstante, o acceso aínda non funcionará, porque a liña que permite un host específico está ao final da lista e a liña que prohibe todo o tráfico de rede está na parte superior. da lista. Se tentamos facer ping ao Laptop0 do departamento de xestión desde o PC0, recibiremos a mensaxe "O host de destino non está accesible", a pesar de que hai unha entrada de permiso no número 50 da ACL.
Polo tanto, se quere editar unha ACL existente, cómpre introducir o comando sen permiso host 2 no modo R192.168.1.130 (config-std-nacl), verifique que a liña 50 desapareceu da lista e introduza o comando 10 permit anfitrión 192.168.1.130. Vemos que a lista volveu á súa forma orixinal, esta entrada ocupa o primeiro lugar. Os números de secuencia axudan a editar a lista en calquera forma, polo que a forma moderna de ACL é moito máis conveniente que a clásica.
Agora mostrarei como funciona a forma clásica da lista ACL 10. Para usar a lista clásica, cómpre introducir o comando access–list 10?, e, seguindo a solicitude, seleccione a acción desexada: denegar, permitir ou comentar. A continuación, introduzo a liña access–list 10 deny host, despois escribo o comando access–list 10 deny 192.168.1.3 e engado a máscara inversa. Dado que temos un host, a máscara de subrede directa é 255.255.255.255 e a inversa é 0.0.0.0. Como resultado, para denegar o tráfico do host, debo introducir o comando access–list 10 deny 192.168.1.3 0.0.0.0. Despois disto, cómpre especificar os permisos, para os que escribo o comando access–list 10 permit any. Esta lista debe aplicarse á interface G0/1 do enrutador R2, polo que introduzo secuencialmente os comandos en g0/1, ip access-group 10 in. Independentemente da lista que se use, clásica ou moderna, utilízanse os mesmos comandos para aplicar esta lista á interface.
Para comprobar se a configuración é correcta, vou ao terminal de liña de comandos Laptop3 e intento facer ping ao enderezo IP 192.168.1.130; como podes ver, o sistema informa de que o host de destino non é accesible.
Permíteme recordarche que para comprobar a lista podes usar tanto os comandos show ip access-lists como show access-lists. Debemos resolver un problema máis, que se relaciona co router R1. Para iso, vou á CLI deste enrutador e vou ao modo de configuración global e intro o comando ip access-list estándar Secure_Ma_From_Se. Como temos unha rede 192.168.1.192/27, a súa máscara de subrede será 255.255.255.224, o que significa que a máscara inversa será 0.0.0.31 e necesitamos introducir o comando deny 192.168.1.192 0.0.0.31. Dado que todo o outro tráfico está permitido, a lista remata co comando permit any. Para aplicar unha ACL á interface de saída do enrutador, use o comando ip access-group Secure_Ma_From_Se out.
Agora irei ao terminal de liña de comandos do Server0 e tentarei facer ping Laptop0 do departamento de xestión ao enderezo IP 192.168.1.226. O intento foi infructuoso, pero se facía ping ao enderezo 192.168.1.130, a conexión estableceuse sen problemas, é dicir, prohibimos que o ordenador servidor se comunicara co departamento de xestión, pero permitimos a comunicación con todos os demais dispositivos doutros departamentos. Así, resolvemos con éxito os 4 problemas.
Déixame mostrarche outra cousa. Entramos na configuración do enrutador R2, onde temos 2 tipos de ACL: clásico e moderno. Digamos que quero editar ACL 10, Lista de acceso IP estándar 10, que na súa forma clásica consta de dúas entradas 10 e 20. Se uso o comando do show run, podo ver que primeiro temos unha lista de acceso moderna de 4 entradas sen números baixo o título xeral Secure_Ma_And_Se, e debaixo hai dúas entradas ACL 10 da forma clásica que repiten o nome da mesma lista de acceso 10.
Se quero facer algúns cambios, como eliminar a entrada deny host 192.168.1.3 e introducir unha entrada para un dispositivo nunha rede diferente, teño que usar o comando delete só para esa entrada: non access-list 10 deny host 192.168.1.3 .10. Pero en canto introduzo este comando, todas as entradas da ACL XNUMX desaparecen por completo. Por iso, a vista clásica da ACL é moi inconveniente para editar. O método de gravación moderno é moito máis cómodo de usar, xa que permite a edición gratuíta.
Para aprender o material desta lección en vídeo, recoméndoche que o volvades a ver e intente resolver os problemas comentados pola vosa conta sen ningunha pista. ACL é un tema importante no curso CCNA, e moitos están confusos, por exemplo, co procedemento para crear unha máscara de comodín inversa. Asegúroche, só entendes o concepto de transformación de máscaras e todo será moito máis sinxelo. Lembre que o máis importante para comprender os temas do curso CCNA é a formación práctica, porque só a práctica axudará a comprender este ou aquel concepto de Cisco. Practicar non é copiar e pegar os meus equipos, senón resolver problemas ao teu xeito. Faite preguntas: que hai que facer para bloquear o fluxo de tráfico de aquí a alá, onde aplicar condicións, etc., e intenta respondelas.
Grazas por estar connosco. Gústanche os nosos artigos? Queres ver máis contido interesante? Apóyanos facendo un pedido ou recomendando a amigos, Desconto do 30 % para os usuarios de Habr nun análogo único de servidores de nivel de entrada, que inventamos nós para ti: (dispoñible con RAID1 e RAID10, ata 24 núcleos e ata 40 GB DDR4).
Dell R730xd 2 veces máis barato? Só aquí nos Países Baixos! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - desde $ 99! Ler sobre
Fonte: www.habr.com