Եվս մեկ բան, որը ես մոռացել էի նշել, այն է, որ ACL-ը ոչ միայն զտում է երթևեկությունը թույլատրել/մերժել հիմունքներով, այլ շատ ավելի շատ գործառույթներ է կատարում: Օրինակ, ACL-ն օգտագործվում է VPN երթևեկությունը գաղտնագրելու համար, բայց CCNA քննությունը հանձնելու համար անհրաժեշտ է միայն իմանալ, թե ինչպես է այն օգտագործվում թրաֆիկը զտելու համար: Վերադառնանք թիվ 1 խնդրին։
Մենք պարզեցինք, որ հաշվապահական հաշվառման և վաճառքի բաժնի տրաֆիկը կարող է արգելափակվել R2 ելքային ինտերֆեյսի վրա՝ օգտագործելով հետևյալ ACL ցուցակը:
Մի անհանգստացեք այս ցուցակի ձևաչափի մասին, այն պարզապես նախատեսված է որպես օրինակ՝ օգնելու ձեզ հասկանալ, թե ինչ է ACL-ը: Մենք կհասնենք ճիշտ ձևաչափին, երբ սկսենք Packet Tracer-ը:
No 2 առաջադրանքը հնչում է այսպես՝ սերվերի սենյակը կարող է շփվել ցանկացած հոսթի հետ, բացառությամբ կառավարման բաժնի հոսթների։ Այսինքն՝ սերվերի սենյակի համակարգիչները կարող են մուտք ունենալ վաճառքի և հաշվապահական բաժինների ցանկացած համակարգիչ, բայց չպետք է մուտք ունենան կառավարման բաժնի համակարգիչներ: Սա նշանակում է, որ սերվերի սենյակի ՏՏ անձնակազմը պետք է ոչ թե հեռահար մուտք ունենա կառավարման բաժնի պետի համակարգիչ, այլ խնդիրների դեպքում գա նրա գրասենյակ և տեղում լուծի խնդիրը։ Նկատի ունեցեք, որ այս առաջադրանքը գործնական չէ, քանի որ ես չգիտեմ, թե ինչու սերվերի սենյակը չի կարողանա ցանցի միջոցով հաղորդակցվել կառավարման բաժնի հետ, ուստի այս դեպքում մենք պարզապես նայում ենք ուսումնական օրինակին:
Այս խնդիրը լուծելու համար նախ պետք է որոշել երթեւեկության ուղին: Սերվերի սենյակից տվյալները հասնում են R0 երթուղիչի մուտքային ինտերֆեյսի G1/1 և ուղարկվում են կառավարման բաժին G0/0 ելքային ինտերֆեյսի միջոցով:
Եթե մենք կիրառենք Deny 192.168.1.192/27 պայմանը մուտքագրման ինտերֆեյսի G0/1-ի վրա, և ինչպես հիշում եք, ստանդարտ ACL-ը տեղադրվի ավելի մոտ երթևեկության աղբյուրին, մենք կարգելափակենք ամբողջ տրաֆիկը, ներառյալ վաճառքի և հաշվապահական հաշվառման բաժինը:
Քանի որ մենք ցանկանում ենք արգելափակել միայն կառավարման բաժինն ուղղված երթևեկությունը, մենք պետք է ACL կիրառենք G0/0 ելքային ինտերֆեյսի վրա: Այս խնդիրը կարող է լուծվել միայն ACL-ը նպատակակետին ավելի մոտ դնելով: Միևնույն ժամանակ, հաշվապահական հաշվառման և վաճառքի բաժնի ցանցից երթևեկությունը պետք է ազատորեն հասնի կառավարման բաժին, ուստի ցուցակի վերջին տողը կլինի «Թույլտվություն» հրամանը. թույլ տալ ցանկացած երթևեկություն, բացառությամբ նախորդ պայմանում նշված տրաֆիկի:
Անցնենք թիվ 3 առաջադրանքին. վաճառքի բաժնի Laptop 3 նոութբուքը չպետք է մուտք ունենա այլ սարքեր, բացի վաճառքի բաժնի տեղական ցանցում տեղակայվածներից: Ենթադրենք, որ պրակտիկանտն աշխատում է այս համակարգչի վրա և չպետք է դուրս գա իր LAN-ից:
Այս դեպքում դուք պետք է կիրառեք ACL R0 երթուղիչի մուտքային ինտերֆեյսի G1/2-ի վրա: Եթե այս համակարգչին վերագրենք 192.168.1.3/25 IP հասցեն, ապա պետք է բավարարվի «Մերժել» 192.168.1.3/25 պայմանը, և ցանկացած այլ IP հասցեից երթևեկությունը չպետք է արգելափակվի, ուստի ցանկի վերջին տողը կլինի «Թույլտվություն»: ցանկացած.
Այնուամենայնիվ, երթևեկության արգելափակումը որևէ ազդեցություն չի ունենա Laptop2-ի վրա:
Հաջորդ առաջադրանքը կլինի առաջադրանք թիվ 4. սերվերային ցանց կարող է մուտք գործել միայն ֆինանսական բաժնի PC0 համակարգիչը, բայց ոչ կառավարման բաժինը:
Եթե հիշում եք, առաջադրանք թիվ 1-ի ACL-ն արգելափակում է բոլոր ելքային երթևեկությունը R0 երթուղիչի S1/0/2 ինտերֆեյսի վրա, բայց առաջադրանք թիվ 4 ասում է, որ մենք պետք է ապահովենք, որ միայն PC0 տրաֆիկը անցնի, ուստի պետք է բացառություն անել:
Բոլոր խնդիրները, որոնք մենք այժմ լուծում ենք, պետք է օգնեն ձեզ իրական իրավիճակում գրասենյակային ցանցի համար ACL-ներ ստեղծելիս: Հարմարության համար ես օգտագործեցի մուտքագրման դասական տեսակը, բայց խորհուրդ եմ տալիս բոլոր տողերը ձեռքով գրել թղթի վրա կամ մուտքագրել համակարգչի մեջ, որպեսզի կարողանաս ուղղումներ կատարել գրառումներում: Մեր դեպքում, թիվ 1 առաջադրանքի պայմանների համաձայն, կազմվել է դասական ԱՊԼ ցուցակ։ Եթե ցանկանում ենք դրան բացառություն ավելացնել Permit տեսակի PC0-ի համար , ապա այս տողը կարող ենք տեղադրել ցուցակում միայն չորրորդում՝ Permit Any տողից հետո։ Այնուամենայնիվ, քանի որ այս համակարգչի հասցեն ներառված է 0/192.168.1.128 պայմանը ստուգելու հասցեների շարքում, դրա երթևեկությունը կարգելափակվի այս պայմանի կատարումից անմիջապես հետո, և երթուղիչը պարզապես չի հասնի չորրորդ գծի ստուգմանը, ինչը թույլ կտա. տրաֆիկ այս IP հասցեից:
Հետևաբար, ես ստիպված կլինեմ ամբողջությամբ վերանայել առաջադրանքի թիվ 1 ACL ցուցակը՝ ջնջելով առաջին տողը և այն փոխարինելով 192.168.1.130/26 տողով, որը թույլ է տալիս երթևեկությունը PC0-ից, և այնուհետև նորից մուտքագրեմ ամբողջ երթևեկությունն արգելող տողերը։ հաշվապահական հաշվառման և վաճառքի բաժիններից։
Այսպիսով, առաջին տողում մենք ունենք հրաման կոնկրետ հասցեի համար, իսկ երկրորդում՝ ընդհանուր՝ ամբողջ ցանցի համար, որում գտնվում է այս հասցեն: Եթե դուք օգտագործում եք ACL-ի ժամանակակից տեսակ, կարող եք հեշտությամբ փոփոխություններ կատարել դրանում՝ որպես առաջին հրաման տեղադրելով Permit 192.168.1.130/26 տողը: Եթե դուք ունեք դասական ACL, ապա ձեզ հարկավոր է ամբողջությամբ հեռացնել այն և այնուհետև նորից մուտքագրել հրամանները ճիշտ հերթականությամբ:
Թիվ 4 խնդրի լուծումն այն է, որ 192.168.1.130/26 գիծը տեղադրվի ACL-ի սկզբում թիվ 1 խնդրից, քանի որ միայն այս դեպքում PC0-ից տրաֆիկը ազատորեն դուրս կգա R2 երթուղիչի ելքային միջերեսից: PC1-ի երթևեկությունն ամբողջությամբ կարգելափակվի, քանի որ դրա IP հասցեն ենթակա է արգելքի, որը պարունակվում է ցուցակի երկրորդ տողում:
Այժմ մենք կանցնենք Packet Tracer-ին՝ անհրաժեշտ կարգավորումները կատարելու համար: Ես արդեն կարգավորել եմ բոլոր սարքերի IP հասցեները, քանի որ պարզեցված նախորդ գծապատկերները մի փոքր դժվար էր հասկանալ: Բացի այդ, ես կարգավորեցի RIP-ը երկու երթուղիչների միջև: Տվյալ ցանցի տոպոլոգիայում 4 ենթացանցերի բոլոր սարքերի միջև կապը հնարավոր է առանց սահմանափակումների։ Բայց հենց որ մենք կիրառենք ACL-ը, տրաֆիկը կսկսի զտվել։
Ես կսկսեմ PC1-ի ֆինանսական բաժնից և կփորձեմ պինգ անել 192.168.1.194 IP հասցեն, որը պատկանում է Server0-ին, որը գտնվում է սերվերի սենյակում: Ինչպես տեսնում եք, ping-ը հաջողվում է առանց որևէ խնդիրների: Ես նաև հաջողությամբ ping եմ արել Laptop0-ին կառավարման բաժնից: Առաջին փաթեթը հանվում է ARP-ի պատճառով, մնացած 3-ն ազատորեն պինգվում են:
Երթևեկության զտումը կազմակերպելու համար ես մտնում եմ R2 երթուղիչի կարգավորումները, ակտիվացնում եմ գլոբալ կազմաձևման ռեժիմը և պատրաստվում եմ ստեղծել ժամանակակից ACL ցուցակ: Մենք ունենք նաև դասական տեսք ունեցող ACL 10: Առաջին ցուցակը ստեղծելու համար ես մուտքագրում եմ հրաման, որում դուք պետք է նշեք նույն ցուցակի անունը, որը մենք գրել ենք թղթի վրա՝ ip access-list ստանդարտ ACL Secure_Ma_And_Se: Դրանից հետո համակարգը հուշում է հնարավոր պարամետրերի մասին. Ես կարող եմ ընտրել մերժել, ելք, ոչ, թույլտվություն կամ դիտողություն, ինչպես նաև մուտքագրել հաջորդական համարը 1-ից մինչև 2147483647: Եթե ես դա չանեմ, համակարգը ինքնաբերաբար կնշանակի այն:
Հետևաբար, ես չեմ մուտքագրում այս համարը, այլ անմիջապես գնում եմ թույլտվության հոսթ 192.168.1.130 հրամանը, քանի որ այս թույլտվությունը վավեր է կոնկրետ PC0 սարքի համար: Ես կարող եմ նաև օգտագործել հակադարձ Wildcard Mask, հիմա ես ձեզ ցույց կտամ, թե ինչպես դա անել:
Հաջորդը, ես մուտքագրում եմ մերժել 192.168.1.128 հրամանը: Քանի որ մենք ունենք /26, ես օգտագործում եմ հակադարձ դիմակը և դրանով լրացնում եմ հրամանը՝ մերժել 192.168.1.128 0.0.0.63: Այսպիսով, ես մերժում եմ երթևեկությունը դեպի ցանց 192.168.1.128/26:
Նմանապես, ես արգելափակում եմ տրաֆիկը հետևյալ ցանցից՝ մերժել 192.168.1.0 0.0.0.127: Մնացած բոլոր երթևեկությունը թույլատրված է, ուստի ես մուտքագրում եմ ցանկացած հրամանի թույլտվություն: Հաջորդը ես պետք է կիրառեմ այս ցուցակը ինտերֆեյսի վրա, այնպես որ ես օգտագործում եմ հրամանը int s0/1/0: Այնուհետև ես մուտքագրում եմ ip access-group Secure_Ma_And_Se, և համակարգն ինձ հուշում է ընտրել ինտերֆեյս՝ մուտքային փաթեթների համար և դուրս՝ ելքային: Մենք պետք է կիրառենք ACL-ը ելքային ինտերֆեյսի վրա, ուստի ես օգտագործում եմ ip access-group Secure_Ma_And_Se out հրամանը:
Եկեք գնանք PC0 հրամանի տող և պինգ կատարենք 192.168.1.194 IP հասցեն, որը պատկանում է Server0 սերվերին։ Պինգը հաջողված է, քանի որ մենք օգտագործել ենք հատուկ ACL պայման PC0 տրաֆիկի համար: Եթե ես նույնն անեմ PC1-ից, ապա համակարգը կառաջացնի սխալ. «նպատակային հոսթինգը հասանելի չէ», քանի որ հաշվապահական հաշվառման բաժնի մնացած IP հասցեներից տրաֆիկը արգելափակված է սերվերի սենյակ մուտք գործելու համար:
Մուտք գործելով R2 երթուղիչի CLI և մուտքագրելով show ip address-lists հրամանը, դուք կարող եք տեսնել, թե ինչպես է ուղղվել ֆինանսական բաժնի ցանցի երթևեկությունը. այն ցույց է տալիս, թե քանի անգամ է պինգն անցել ըստ թույլտվության և քանի անգամ: արգելափակված է ըստ արգելքի.
Մենք միշտ կարող ենք գնալ դեպի երթուղիչի կարգավորումներ և տեսնել մուտքի ցանկը: Այսպիսով, թիվ 1 և թիվ 4 առաջադրանքների պայմանները բավարարված են: Մի բան էլ ցույց տամ. Եթե ես ուզում եմ ինչ-որ բան շտկել, կարող եմ մտնել R2 կարգավորումների գլոբալ կոնֆիգուրացիայի ռեժիմ, մուտքագրել հրամանի ip access-list ստանդարտ Secure_Ma_And_Se և այնուհետև հրամանը «հյուրընկալող 192.168.1.130 չի թույլատրվում» - no permit host 192.168.1.130:
Եթե նորից նայենք մուտքի ցանկին, կտեսնենք, որ 10-րդ տողը անհետացել է, մեզ մնում են միայն 20,30, 40 և XNUMX տողերը: Այսպիսով, դուք կարող եք խմբագրել ACL մուտքի ցուցակը երթուղիչի կարգավորումներում, բայց միայն այն դեպքում, եթե այն կազմված չէ: դասական ձևով.
Հիմա անցնենք երրորդ ACL-ին, քանի որ դա վերաբերում է նաև R2 երթուղիչին։ Այն նշում է, որ Laptop3-ից ցանկացած տրաֆիկ չպետք է դուրս գա վաճառքի բաժնի ցանցից: Այս դեպքում Laptop2-ը պետք է առանց խնդիրների շփվի ֆինանսական բաժնի համակարգիչների հետ։ Սա փորձարկելու համար ես այս նոութբուքից ping եմ անում IP հասցեն 192.168.1.130 և համոզվում, որ ամեն ինչ աշխատում է:
Այժմ ես կգնամ Laptop3-ի հրամանի տող և կպինգեմ 192.168.1.130 հասցեն։ Պինգինգը հաջող է, բայց մեզ դա պետք չէ, քանի որ առաջադրանքի պայմանների համաձայն, Laptop3-ը կարող է շփվել միայն Laptop2-ի հետ, որը գտնվում է նույն վաճառքի բաժնի ցանցում: Դա անելու համար դուք պետք է ստեղծեք մեկ այլ ACL՝ օգտագործելով դասական մեթոդը:
Ես կվերադառնամ R2-ի կարգավորումներին և կփորձեմ վերականգնել ջնջված 10 մուտքը՝ օգտագործելով թույլտվության հոսթ 192.168.1.130 հրամանը: Դուք տեսնում եք, որ այս գրառումը հայտնվում է ցուցակի վերջում՝ 50 համարով: Այնուամենայնիվ, մուտքը դեռ չի աշխատի, քանի որ կոնկրետ հոսթին թույլատրող գիծը գտնվում է ցանկի վերջում, իսկ ցանցի ամբողջ տրաֆիկն արգելող տողը վերևում է։ ցուցակի։ Եթե փորձենք ping ուղարկել կառավարման բաժնի Laptop0-ը PC0-ից, մենք կստանանք «նպատակակետը հասանելի չէ» հաղորդագրությունը, չնայած այն հանգամանքին, որ ACL-ում 50 համարի թույլատրելի մուտք կա:
Հետևաբար, եթե ցանկանում եք խմբագրել գոյություն ունեցող ACL, դուք պետք է մուտքագրեք no permit host 2 հրամանը R192.168.1.130 ռեժիմում (config-std-nacl), ստուգեք, որ 50 տողը անհետացել է ցանկից և մուտքագրեք 10 թույլտվություն հրամանը: հյուրընկալող 192.168.1.130. Մենք տեսնում ենք, որ ցուցակն այժմ վերադարձել է իր սկզբնական ձևին՝ այս գրառումը առաջին տեղում է: Հերթական թվերն օգնում են խմբագրել ցանկը ցանկացած ձևով, ուստի ACL-ի ժամանակակից ձևը շատ ավելի հարմար է, քան դասականը:
Այժմ ես ցույց կտամ, թե ինչպես է աշխատում ACL 10 ցուցակի դասական ձևը: Դասական ցուցակն օգտագործելու համար անհրաժեշտ է մուտքագրել հրամանի մուտքի ցուցակ 10? և, հետևելով հուշմանը, ընտրել ցանկալի գործողությունը՝ մերժել, թույլ տալ կամ դիտել: Այնուհետև ես մուտքագրում եմ գծի access–list 10 deny host, որից հետո մուտքագրում եմ հրամանը access–list 10 deny 192.168.1.3 և ավելացնում հակադարձ դիմակը։ Քանի որ մենք ունենք հոսթ, առաջադիմական ենթացանցի դիմակը 255.255.255.255 է, իսկ հակառակը՝ 0.0.0.0: Արդյունքում, հյուրընկալող տրաֆիկը մերժելու համար ես պետք է մուտքագրեմ հրամանի մուտքի ցուցակ 10 deny 192.168.1.3 0.0.0.0: Դրանից հետո դուք պետք է նշեք թույլտվությունները, որոնց համար ես մուտքագրում եմ հրամանը access–list 10 permit any: Այս ցանկը պետք է կիրառվի R0 երթուղիչի G1/2 ինտերֆեյսի վրա, ուստի ես հաջորդաբար մուտքագրում եմ հրամանները g0/1, ip access-group 10 in: Անկախ նրանից, թե որ ցուցակն է օգտագործվում՝ դասական թե ժամանակակից, նույն հրամաններն օգտագործվում են այս ցուցակը ինտերֆեյսի վրա կիրառելու համար:
Ստուգելու համար, թե արդյոք կարգավորումները ճիշտ են, ես գնում եմ Laptop3 հրամանի տող տերմինալ և փորձում եմ ping անել IP հասցեն 192.168.1.130 - ինչպես տեսնում եք, համակարգը հայտնում է, որ նպատակակետ հոսթն անհասանելի է:
Հիշեցնեմ, որ ցուցակը ստուգելու համար կարող եք օգտագործել ինչպես show ip access-lists, այնպես էլ show access-lists հրամանները։ Մենք պետք է լուծենք ևս մեկ խնդիր, որը վերաբերում է R1 երթուղիչին։ Դա անելու համար ես գնում եմ այս երթուղիչի CLI և անցնում գլոբալ կոնֆիգուրացիայի ռեժիմ և մուտքագրում եմ ip access-list ստանդարտ Secure_Ma_From_Se հրամանը: Քանի որ մենք ունենք ցանց 192.168.1.192/27, դրա ենթացանցի դիմակը կլինի 255.255.255.224, ինչը նշանակում է, որ հակադարձ դիմակը կլինի 0.0.0.31, և մենք պետք է մուտքագրենք deny 192.168.1.192 0.0.0.31 հրամանը: Քանի որ մնացած բոլոր տրաֆիկները թույլատրված են, ցանկը ավարտվում է ցանկացած հրամանի թույլտվությամբ: ACL-ը երթուղիչի ելքային ինտերֆեյսի վրա կիրառելու համար օգտագործեք ip access-group Secure_Ma_From_Se out հրամանը:
Այժմ ես կգնամ Server0-ի հրամանի տող տերմինալ և կփորձեմ ping անել կառավարման բաժնի Laptop0 192.168.1.226 IP հասցեով: Փորձն անհաջող էր, բայց եթե ես ping գրեցի 192.168.1.130, կապը հաստատվեց առանց խնդիրների, այսինքն՝ մենք արգելեցինք սերվերի համակարգչին շփվել կառավարման բաժնի հետ, բայց թույլ տվեցինք կապը մյուս բաժինների բոլոր սարքերի հետ: Այսպիսով, մենք հաջողությամբ լուծել ենք բոլոր 4 խնդիրները։
Թույլ տվեք ձեզ մեկ այլ բան ցույց տալ: Մենք մտնում ենք R2 երթուղիչի կարգավորումները, որտեղ մենք ունենք 2 տեսակի ACL՝ դասական և ժամանակակից: Ենթադրենք, ես ուզում եմ խմբագրել ACL 10, Ստանդարտ IP մուտքի ցուցակ 10, որն իր դասական ձևով բաղկացած է երկու մուտքերից՝ 10 և 20: Եթե օգտագործեմ do show run հրամանը, կարող եմ տեսնել, որ սկզբում մենք ունենք ժամանակակից հասանելիության ցուցակ 4-ից: Secure_Ma_And_Se ընդհանուր վերնագրի տակ առանց թվերի գրառումներ, իսկ ներքևում ներկայացված են դասական ձևի երկու ACL 10 գրառումներ, որոնք կրկնում են նույն մուտքի ցուցակի անունը 10:
Եթե ես ուզում եմ որոշակի փոփոխություններ կատարել, օրինակ՝ հեռացնել 192.168.1.3 մուտքագրման մերժումը և մուտքագրել մեկ այլ ցանցի սարքի համար, ապա ես պետք է օգտագործեմ ջնջման հրամանը միայն այդ մուտքի համար. չկա մուտքի ցուցակ 10 մերժել հոսթ 192.168.1.3: .10. Բայց հենց որ ես մուտքագրում եմ այս հրամանը, բոլոր ACL XNUMX գրառումներն ամբողջությամբ անհետանում են: Ահա թե ինչու ACL-ի դասական տեսքը շատ անհարմար է խմբագրել: Ժամանակակից ձայնագրման մեթոդը շատ ավելի հարմար է օգտագործել, քանի որ այն թույլ է տալիս անվճար խմբագրել։
Այս վիդեոդասի նյութը սովորելու համար խորհուրդ եմ տալիս նորից դիտել այն և փորձել ինքնուրույն լուծել քննարկված խնդիրները՝ առանց հուշումների։ ACL-ը CCNA դասընթացի կարևոր թեմա է, և շատերը շփոթված են, օրինակ, հակադարձ Wildcard Mask ստեղծելու կարգով: Հավատացնում եմ ձեզ, պարզապես հասկացեք դիմակի փոխակերպման հայեցակարգը, և ամեն ինչ շատ ավելի հեշտ կդառնա։ Հիշեք, որ CCNA դասընթացի թեմաները հասկանալու համար ամենակարևորը գործնական պարապմունքն է, քանի որ միայն պրակտիկան կօգնի ձեզ հասկանալ Cisco-ի այս կամ այն հայեցակարգը։ Պրակտիկան իմ թիմերի քոփիփեյթինգը չէ, այլ խնդիրները յուրովի լուծելը: Ինքներդ ձեզ հարցեր տվեք՝ ինչ է պետք անել, որպեսզի արգելափակվի երթևեկության հոսքը այստեղից այնտեղ, որտեղ կիրառել պայմաններ և այլն, և փորձեք պատասխանել դրանց:
Շնորհակալություն մեզ հետ մնալու համար: Ձեզ դուր են գալիս մեր հոդվածները: Ցանկանու՞մ եք տեսնել ավելի հետաքրքիր բովանդակություն: Աջակցեք մեզ՝ պատվիրելով կամ խորհուրդ տալով ընկերներին, 30% զեղչ Habr-ի օգտատերերի համար մուտքի մակարդակի սերվերների եզակի անալոգի վրա, որը ստեղծվել է մեր կողմից ձեզ համար. (հասանելի է RAID1 և RAID10-ով, մինչև 24 միջուկով և մինչև 40 ԳԲ DDR4):
Dell R730xd 2 անգամ ավելի էժան? Միայն այստեղ Նիդեռլանդներում! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - $99-ից: Կարդացեք մասին
Source: www.habr.com