Yon lòt bagay ke mwen bliye mansyone se ke ACL pa sèlman filtre trafik sou yon baz pèmèt / refize, li fè anpil plis fonksyon. Pou egzanp, yo itilize yon ACL pou ankripte trafik VPN, men pou w pase egzamen CCNA, ou sèlman bezwen konnen ki jan li itilize pou filtre trafik. Ann retounen sou Pwoblèm No 1.
Nou te jwenn ke trafik depatman kontablite ak lavant yo ka bloke sou koòdone pwodiksyon R2 lè l sèvi avèk lis ACL sa a.
Pa enkyete w sou fòma lis sa a, li jis vle di kòm yon egzanp pou ede w konprann ki sa yon ACL ye. Nou pral jwenn fòma ki kòrèk la yon fwa nou kòmanse ak Packet Tracer.
Travay No 2 son tankou sa a: chanm nan sèvè ka kominike ak nenpòt ki gen tout pouvwa a, eksepte pou gen tout pouvwa a nan depatman an jesyon. Sa vle di, òdinatè chanm sèvè yo ka gen aksè a nenpòt òdinatè nan depatman lavant ak kontablite, men yo pa ta dwe gen aksè a òdinatè yo nan depatman jesyon an. Sa vle di ke anplwaye IT la nan sal sèvè a pa ta dwe gen aksè aleka nan òdinatè a nan tèt la nan depatman an jesyon, men nan ka ta gen pwoblèm, vini nan biwo li ak ranje pwoblèm nan sou tèren an. Remake byen ke travay sa a pa pratik paske mwen pa konnen poukisa chanm nan sèvè pa ta kapab kominike sou rezo a ak depatman an jesyon, kidonk nan ka sa a nou ap jis gade nan yon egzanp leson patikilye.
Pou rezoud pwoblèm sa a, ou premye bezwen detèmine chemen trafik la. Done ki soti nan chanm sèvè a rive nan koòdone opinyon G0/1 nan routeur R1 epi yo voye bay depatman an jesyon atravè koòdone pwodiksyon G0/0.
Si nou aplike kondisyon Refize 192.168.1.192/27 nan koòdone opinyon G0/1, epi jan ou sonje, ACL estanda a mete pi pre sous trafik la, nou pral bloke tout trafik, ki gen ladan lavant ak depatman kontablite.
Depi nou vle bloke trafik sèlman ki dirije nan depatman jesyon an, nou dwe aplike yon ACL nan koòdone pwodiksyon G0/0 la. Pwoblèm sa a ka rezoud sèlman lè w mete ACL a pi pre destinasyon an. An menm tan an, trafik ki soti nan rezo a kontablite ak lavant depatman dwe lib rive nan depatman an jesyon, se konsa liy ki sot pase a nan lis la pral pèmi nenpòt kòmand - yo pèmèt nenpòt trafik, eksepte pou trafik la espesifye nan kondisyon anvan an.
Ann ale nan Travay Nimewo 3: Laptop 3 ki soti nan depatman lavant pa ta dwe gen aksè a okenn aparèy ki pa sa yo ki sitiye sou rezo lokal depatman lavant la. Ann sipoze ke yon trainee ap travay sou òdinatè sa a epi li pa ta dwe ale pi lwen pase LAN li.
Nan ka sa a, ou bezwen aplike yon ACL sou koòdone nan opinyon G0/1 nan routeur R2. Si nou bay adrès IP 192.168.1.3/25 la nan òdinatè sa a, Lè sa a, kondisyon an Refize 192.168.1.3/25 dwe satisfè, epi trafik soti nan nenpòt lòt adrès IP pa dwe bloke, kidonk dènye liy nan lis la pral Pèmi. nenpòt.
Sepandan, bloke trafik pa pral gen okenn efè sou Laptop2.
Pwochen travay la pral travay nimewo 4: sèlman òdinatè PC0 nan depatman finansye a ka gen aksè a rezo a sèvè, men se pa depatman an jesyon.
Si w sonje, ACL ki soti nan Task #1 bloke tout trafik sortan sou koòdone S0/1/0 nan routeur R2, men Task #4 di ke nou bezwen asire ke sèlman trafik PC0 pase, kidonk nou dwe fè yon eksepsyon.
Tout travay ke nou ap rezoud kounye a ta dwe ede w nan yon sitiyasyon reyèl lè w ap mete ACLs pou yon rezo biwo. Pou konvenyans, mwen te itilize kalite klasik nan antre, men mwen konseye w ekri tout liy yo manyèlman sou papye oswa tape yo nan yon òdinatè pou ou ka fè koreksyon nan antre yo. Nan ka nou an, dapre kondisyon yo nan Travay No 1, yo te konpile yon lis ACL klasik. Si nou vle ajoute yon eksepsyon nan li pou PC0 nan kalite Pèmi , Lè sa a, nou ka mete liy sa a sèlman katriyèm nan lis la, apre liy lan Pèmi nenpòt. Sepandan, depi adrès òdinatè sa a enkli nan seri adrès pou tcheke kondisyon Deny 0/192.168.1.128, trafik li yo pral bloke imedyatman apre kondisyon sa a satisfè epi routeur la pral tou senpleman pa rive nan katriyèm liy chèk la, sa ki pèmèt trafik soti nan adrès IP sa a.
Se poutèt sa, mwen pral gen konplètman refè lis la ACL nan Travay No. 1, efase premye liy lan epi ranplase li ak liy lan Pèmi 192.168.1.130/26, ki pèmèt trafik soti nan PC0, ak Lè sa a, re-antre liy yo entèdi tout trafik. soti nan depatman kontablite ak lavant yo.
Se konsa, nan premye liy lan nou gen yon lòd pou yon adrès espesifik, ak nan dezyèm lan - yon sèl jeneral pou tout rezo a kote adrès sa a sitiye. Si w ap itilize yon kalite ACL modèn, ou ka fasilman fè chanjman nan li lè w mete liy Permit 192.168.1.130/26 kòm premye kòmandman an. Si ou gen yon ACL klasik, w ap bezwen retire li nèt epi re-antre kòmandman yo nan lòd ki kòrèk la.
Solisyon pwoblèm nimewo 4 la se mete liy pèmi 192.168.1.130/26 nan kòmansman ACL nan pwoblèm nimewo 1, paske sèlman nan ka sa a pral trafik soti nan PC0 lib kite koòdone pwodiksyon routeur R2. Trafik PC1 a pral konplètman bloke paske adrès IP li se sijè a entèdiksyon ki nan dezyèm liy lan nan lis la.
Nou pral kounye a ale nan Packet Tracer pou fè paramèt ki nesesè yo. Mwen te deja configuré adrès IP yo nan tout aparèy paske dyagram yo senplifye anvan yo te yon ti kras difisil yo konprann. Anplis de sa, mwen configuré RIP ant de routeurs yo. Sou topoloji rezo yo bay la, kominikasyon ant tout aparèy nan 4 subnet posib san okenn restriksyon. Men, le pli vit ke nou aplike ACL a, trafik la ap kòmanse filtre.
Mwen pral kòmanse ak depatman finans PC1 epi eseye ping adrès IP 192.168.1.194, ki fè pati Server0, ki chita nan chanm sèvè a. Kòm ou ka wè, ping gen siksè san okenn pwoblèm. Mwen menm mwen avèk siksè ping Laptop0 nan depatman jesyon an. Premye pake a jete akòz ARP, 3 ki rete yo gratis.
Yo nan lòd yo òganize filtraj trafik, mwen ale nan anviwònman yo nan routeur R2 la, aktive mòd konfigirasyon mondyal la epi mwen pral kreye yon lis ACL modèn. Nou gen tou ACL 10 kap klasik. Pou kreye premye lis la, mwen antre yon kòmandman kote ou dwe presize menm non lis nou te ekri sou papye: ip access-list standard ACL Secure_Ma_And_Se. Apre sa, sistèm nan mande pou paramèt posib: Mwen ka chwazi refize, sòti, non, pèmi oswa remak, epi tou antre nan yon Nimewo Sekans soti nan 1 a 2147483647. Si mwen pa fè sa, sistèm nan pral bay li otomatikman.
Se poutèt sa, mwen pa antre nimewo sa a, men imedyatman ale nan lòd lame a pèmi 192.168.1.130, depi pèmisyon sa a valab pou yon aparèy espesifik PC0. Mwen kapab tou itilize yon mask Wildcard ranvèse, kounye a mwen pral montre w kouman fè li.
Apre sa, mwen antre nan lòd refize 192.168.1.128. Depi nou gen /26, mwen itilize mask la ranvèse epi konplete kòmandman an avèk li: refize 192.168.1.128 0.0.0.63. Kidonk, mwen refize trafik nan rezo a 192.168.1.128/26.
Menm jan an tou, mwen bloke trafik ki soti nan rezo sa a: refize 192.168.1.0 0.0.0.127. Tout lòt trafik pèmèt, se konsa mwen antre nan pèmi kòmand nenpòt. Apre sa, mwen oblije aplike lis sa a nan koòdone a, kidonk mwen sèvi ak lòd int s0/1/0. Lè sa a, mwen tape ip access-group Secure_Ma_And_Se, ak sistèm nan pouse m 'seleksyone yon koòdone - nan pou fèk ap rantre pake ak soti pou sortan. Nou bezwen aplike ACL a nan koòdone pwodiksyon an, kidonk mwen sèvi ak IP aksè-group Secure_Ma_And_Se soti lòd.
Ann ale nan liy lòd PC0 a epi ping adrès IP 192.168.1.194, ki fè pati sèvè Server0 a. Ping la reyisi paske nou te itilize yon kondisyon espesyal ACL pou trafik PC0. Si mwen fè menm bagay la nan PC1, sistèm lan pral jenere yon erè: "lame destinasyon pa disponib", paske trafik ki soti nan rès adrès IP depatman kontablite a bloke nan aksè nan chanm sèvè a.
Lè w konekte nan CLI nan routeur R2 a epi tape kòmandman an show ip address-lists, ou ka wè ki jan trafik rezo depatman finansye a te dirije - li montre konbyen fwa ping la te pase dapre pèmisyon an ak konbyen fwa li te ye. bloke dapre entèdiksyon an.
Nou ka toujou ale nan anviwònman routeur yo epi wè lis aksè a. Kidonk, kondisyon yo nan Travay No 1 ak No 4 yo satisfè. Kite m montre w yon lòt bagay ankò. Si mwen vle ranje yon bagay, mwen ka ale nan mòd konfigirasyon mondyal la nan anviwònman R2, antre nan lòd ip aksè-list estanda Secure_Ma_And_Se ak Lè sa a, lòd la "lame 192.168.1.130 pa pèmèt" - pa gen okenn lame pèmi 192.168.1.130.
Si nou gade nan lis aksè a ankò, nou pral wè ke liy 10 te disparèt, nou gen sèlman liy 20,30, 40 ak XNUMX ki rete. Kidonk, ou ka edite lis aksè ACL nan paramèt routeur yo, men sèlman si li pa konpile. nan fòm klasik la.
Koulye a, ann ale nan twazyèm ACL a, paske li tou konsène routeur R2 la. Li deklare ke nenpòt trafik soti nan Laptop3 a pa ta dwe kite rezo depatman lavant la. Nan ka sa a, Laptop2 ta dwe kominike san pwoblèm ak òdinatè yo nan depatman finansye a. Pou teste sa a, mwen ping adrès IP 192.168.1.130 nan laptop sa a epi asire w ke tout bagay ap mache.
Koulye a, mwen pral ale nan liy lan lòd nan Laptop3 ak ping adrès la 192.168.1.130. Ping se siksè, men nou pa bezwen li, depi dapre kondisyon yo nan travay la, Laptop3 ka sèlman kominike ak Laptop2, ki sitiye nan rezo a menm depatman lavant. Pou fè sa, ou bezwen kreye yon lòt ACL lè l sèvi avèk metòd klasik la.
Mwen pral tounen nan paramèt R2 epi eseye refè antre efase 10 lè l sèvi avèk lòd lame 192.168.1.130. Ou wè ke antre sa a parèt nan fen lis la nan nimewo 50. Sepandan, aksè a ap toujou pa travay, paske liy ki pèmèt yon lame espesifik se nan fen lis la, ak liy ki entèdi tout trafik rezo a se nan tèt la. nan lis la. Si nou eseye fè ping nan Laptop0 depatman jesyon an soti nan PC0, nou pral resevwa mesaj la "lame destinasyon an pa aksesib," malgre lefèt ke gen yon antre pèmèt nan nimewo 50 nan ACL la.
Se poutèt sa, si ou vle modifye yon ACL ki deja egziste, ou bezwen antre nan lòd pa gen okenn pèmi lame 2 nan mòd R192.168.1.130 (config-std-nacl), tcheke ke liy 50 te disparèt nan lis la, epi antre nan lòd la 10 pèmi. lame 192.168.1.130. Nou wè kounye a lis la tounen nan fòm orijinal li, ak antre sa a klase an premye. Nimewo sekans yo ede edite lis la nan nenpòt fòm, kidonk fòm modèn ACL pi pratik pase youn klasik la.
Koulye a, mwen pral montre ki jan fòm klasik lis ACL 10 la fonksyone. Pou itilize lis klasik la, ou bezwen antre nan lòd aksè-lis 10?, epi, apre èd memwa a, chwazi aksyon an vle: refize, pèmi oswa remak. Lè sa a, mwen antre nan liy aksè-lis 10 refize hôte, apre sa mwen tape kòmand aksè-lis 10 refize 192.168.1.3 epi ajoute mask la ranvèse. Depi nou gen yon lame, mask la subnet pi devan se 255.255.255.255, ak ranvèse a se 0.0.0.0. Kòm yon rezilta, pou refize trafik lame, mwen dwe antre kòmand aksè-list 10 refize 192.168.1.3 0.0.0.0. Apre sa, ou bezwen presize otorizasyon, pou ki mwen tape aksè a lòd-lis 10 pèmèt nenpòt. Lis sa a bezwen aplike nan koòdone nan G0/1 nan routeur R2, kidonk mwen sekans antre kòmandman yo nan g0/1, ip aksè-group 10 nan. Kèlkeswa ki lis yo itilize, klasik oswa modèn, menm kòmandman yo itilize pou aplike lis sa a nan koòdone a.
Pou tcheke si paramèt yo kòrèk, mwen ale nan tèminal liy lòd Laptop3 la epi eseye fè ping nan adrès IP 192.168.1.130 - jan ou ka wè, sistèm nan rapòte ke lame destinasyon an pa ka jwenn.
Kite m fè w sonje ke pou tcheke lis la ou ka itilize tou de kòmandman show ip access-lists ak show access-lists. Nou dwe rezoud yon lòt pwoblèm, ki gen rapò ak routeur R1 la. Pou fè sa, mwen ale nan CLI routeur sa a epi ale nan mòd konfigirasyon mondyal epi antre nan lòd ip aksè-list estanda Secure_Ma_From_Se. Depi nou gen yon rezo 192.168.1.192/27, mask subnet li yo pral 255.255.255.224, ki vle di mask la ranvèse pral 0.0.0.31 epi nou bezwen antre nan deny 192.168.1.192 0.0.0.31 lòd. Depi tout lòt trafik yo pèmèt, lis la fini ak lòd la pèmi nenpòt. Yo nan lòd yo aplike yon ACL nan koòdone pwodiksyon routeur la, sèvi ak IP aksè-group Secure_Ma_From_Se soti lòd la.
Koulye a, mwen pral ale nan tèminal nan liy lòd nan Server0 epi eseye ping Laptop0 nan depatman an jesyon nan adrès la IP 192.168.1.226. Tantativ la te echwe, men si mwen ping adrès la 192.168.1.130, koneksyon an te etabli san pwoblèm, se sa ki, nou entèdi òdinatè a sèvè soti nan kominike ak depatman an jesyon, men pèmèt kominikasyon ak tout lòt aparèy nan lòt depatman. Kidonk, nou te rezoud avèk siksè tout 4 pwoblèm.
Kite m montre w yon lòt bagay. Nou antre nan anviwònman routeur R2 a, kote nou gen 2 kalite ACL - klasik ak modèn. Ann di mwen vle modifye ACL 10, Standard IP aksè lis 10, ki nan fòm klasik li yo konsiste de de antre 10 ak 20. Si mwen sèvi ak lòd la montre kouri, mwen ka wè ke premye nou gen yon lis aksè modèn nan 4. antre san nimewo anba tit jeneral Secure_Ma_And_Se, ak anba a gen de antre ACL 10 nan fòm klasik ki repete non menm lis aksè 10 la.
Si mwen vle fè kèk chanjman, tankou retire antre nan refize lame 192.168.1.3 ak entwodwi yon antre pou yon aparèy sou yon rezo diferan, mwen bezwen sèvi ak kòmandman an efase pou antre sa a sèlman: pa gen lis aksè 10 refize lame 192.168.1.3. .10. Men, le pli vit ke mwen antre nan lòd sa a, tout antre ACL XNUMX disparèt nèt.Se poutèt sa gade nan klasik nan ACL a se trè enkonvenyan modifye. Metòd anrejistreman modèn lan se pi plis pratik pou itilize, paske li pèmèt koreksyon gratis.
Pou w ka aprann materyèl ki nan leson videyo sa a, mwen konseye w gade l ankò epi eseye rezoud pwoblèm yo diskite poukont ou san okenn sijesyon. ACL se yon sijè enpòtan nan kou CCNA a, ak anpil moun yo konfonn pa, pou egzanp, pwosedi a pou kreye yon mask Wildcard ranvèse. Mwen asire ou, jis konprann konsèp nan transfòmasyon mask, ak tout bagay ap vin pi fasil. Sonje ke bagay ki pi enpòtan nan konprann sijè kou CCNA yo se fòmasyon pratik, paske sèlman pratik pral ede w konprann sa a oswa ki konsèp Cisco. Pratike se pa kopye-kole ekip mwen yo, men rezoud pwoblèm nan pwòp fason ou. Poze tèt ou kesyon: kisa yo dwe fè pou bloke sikilasyon an soti isit la rive la, ki kote pou aplike kondisyon, elatriye, epi eseye reponn yo.
Mèsi paske w rete avèk nou. Ou renmen atik nou yo? Vle wè plis kontni enteresan? Sipòte nou pa mete yon lòd oswa rekòmande pou zanmi, 30% rabè pou itilizatè Habr sou yon analòg inik nan sèvè nivo antre, ki te envante pa nou pou ou: (disponib ak RAID1 ak RAID10, jiska 24 nwayo ak jiska 40GB DDR4).
Dell R730xd 2 fwa pi bon mache? Sèlman isit la nan Netherlands! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - soti nan $ 99! Li sou
Sous: www.habr.com