Un'altra cosa che ho dimenticato di menzionare è che ACL non solo filtra il traffico in base al consenso/negazione, ma esegue molte più funzioni. Ad esempio, una ACL viene utilizzata per crittografare il traffico VPN, ma per superare l'esame CCNA è sufficiente sapere come viene utilizzata per filtrare il traffico. Torniamo al problema n. 1.
Abbiamo scoperto che il traffico dei reparti contabilità e vendite può essere bloccato sull'interfaccia di output R2 utilizzando il seguente elenco ACL.
Non preoccuparti del formato di questo elenco, è solo un esempio per aiutarti a capire cos'è un ACL. Troveremo il formato corretto una volta iniziato con Packet Tracer.
L'attività n. 2 suona così: la sala server può comunicare con qualsiasi host, ad eccezione degli host del dipartimento di gestione. Cioè, i computer della sala server possono avere accesso a qualsiasi computer nei reparti vendite e contabilità, ma non dovrebbero avere accesso ai computer nel reparto gestione. Ciò significa che il personale IT della sala server non dovrebbe avere accesso remoto al computer del capo del dipartimento di gestione, ma in caso di problemi, recarsi nel suo ufficio e risolvere il problema sul posto. Tieni presente che questa attività non è pratica perché non so perché la sala server non sarebbe in grado di comunicare in rete con il dipartimento di gestione, quindi in questo caso stiamo solo guardando un esempio tutorial.
Per risolvere questo problema, è necessario prima determinare il percorso del traffico. I dati dalla sala server arrivano all'interfaccia di input G0/1 del router R1 e vengono inviati al reparto di gestione attraverso l'interfaccia di output G0/0.
Se applichiamo la condizione Deny 192.168.1.192/27 all'interfaccia di input G0/1 e, come ricorderete, l'ACL standard è posizionata più vicino alla sorgente del traffico, bloccheremo tutto il traffico, incluso quello diretto al reparto vendite e contabilità.
Poiché vogliamo bloccare solo il traffico diretto al reparto di gestione, dobbiamo applicare un ACL all'interfaccia di output G0/0. Questo problema può essere risolto solo posizionando l'ACL più vicino alla destinazione. Allo stesso tempo, il traffico proveniente dalla rete dei reparti contabilità e vendite deve raggiungere liberamente il reparto di gestione, quindi l'ultima riga dell'elenco sarà il comando Consenti qualsiasi - per consentire qualsiasi traffico, ad eccezione del traffico specificato nella condizione precedente.
Passiamo all'attività n. 3: il laptop Laptop 3 del reparto vendite non deve avere accesso a nessun dispositivo diverso da quelli situati sulla rete locale del reparto vendite. Supponiamo che un tirocinante stia lavorando su questo computer e non debba andare oltre la sua LAN.
In questo caso è necessario applicare un ACL sull'interfaccia di ingresso G0/1 del router R2. Se assegniamo l'indirizzo IP 192.168.1.3/25 a questo computer, allora la condizione Deny 192.168.1.3/25 deve essere soddisfatta e il traffico proveniente da qualsiasi altro indirizzo IP non deve essere bloccato, quindi l'ultima riga dell'elenco sarà Consenti Qualunque.
Tuttavia, il blocco del traffico non avrà alcun effetto su Laptop2.
Il compito successivo sarà il compito n. 4: solo il computer PC0 del dipartimento finanziario può avere accesso alla rete di server, ma non il dipartimento di gestione.
Se ricordi, l'ACL dell'Attività n. 1 blocca tutto il traffico in uscita sull'interfaccia S0/1/0 del router R2, ma l'Attività n. 4 dice che dobbiamo garantire che passi solo il traffico PC0, quindi dobbiamo fare un'eccezione.
Tutte le attività che stiamo risolvendo ora dovrebbero aiutarti in una situazione reale durante la configurazione degli ACL per una rete aziendale. Per comodità ho utilizzato la tipologia di registrazione classica, ma ti consiglio di annotare tutte le righe manualmente su carta o di trascriverle al computer in modo da poter apportare correzioni alle registrazioni. Nel nostro caso, secondo le condizioni dell'attività n. 1, è stato compilato un classico elenco ACL. Se vogliamo aggiungere un'eccezione per PC0 di tipo Permit , allora possiamo posizionare questa riga solo al quarto posto nell'elenco, dopo la riga Permit Any. Tuttavia, poiché l'indirizzo di questo computer è incluso nell'intervallo di indirizzi per il controllo della condizione Nega 0/192.168.1.128, il suo traffico verrà bloccato immediatamente dopo aver soddisfatto questa condizione e il router semplicemente non raggiungerà il controllo della quarta riga, consentendo traffico da questo indirizzo IP.
Dovrò quindi rifare completamente la lista ACL dell'Attività n°1, cancellando la prima riga e sostituendola con la riga Permit 192.168.1.130/26, che permette il traffico da PC0, per poi inserire nuovamente le righe che vietano tutto il traffico dai reparti contabilità e vendite.
Pertanto, nella prima riga abbiamo un comando per un indirizzo specifico e nella seconda - generale per l'intera rete in cui si trova questo indirizzo. Se stai utilizzando un tipo moderno di ACL, puoi facilmente apportarvi modifiche inserendo la riga Permit 192.168.1.130/26 come primo comando. Se disponi di un ACL classico, dovrai rimuoverlo completamente e quindi reinserire i comandi nell'ordine corretto.
La soluzione al problema n. 4 è posizionare la linea Permit 192.168.1.130/26 all'inizio dell'ACL del problema n. 1, perché solo in questo caso il traffico dal PC0 lascerà liberamente l'interfaccia di uscita del router R2. Il traffico del PC1 verrà completamente bloccato perché il suo indirizzo IP è soggetto al ban contenuto nella seconda riga dell'elenco.
Passeremo ora a Packet Tracer per effettuare le impostazioni necessarie. Ho già configurato gli indirizzi IP di tutti i dispositivi perché gli schemi semplificati precedenti erano un po' difficili da comprendere. Inoltre, ho configurato RIP tra i due router. Con la topologia di rete data la comunicazione tra tutti i dispositivi di 4 sottoreti è possibile senza alcuna restrizione. Ma non appena applichiamo l'ACL, il traffico inizierà a essere filtrato.
Inizierò con il dipartimento finanziario PC1 e proverò a eseguire il ping dell'indirizzo IP 192.168.1.194, che appartiene al Server0, situato nella sala server. Come puoi vedere, il ping ha esito positivo senza problemi. Ho anche eseguito con successo il ping di Laptop0 dal dipartimento di gestione. Il primo pacchetto viene scartato a causa dell'ARP, i rimanenti 3 vengono sottoposti a ping liberamente.
Per organizzare il filtraggio del traffico, entro nelle impostazioni del router R2, attivo la modalità di configurazione globale e creerò un moderno elenco ACL. Abbiamo anche il classico ACL 10. Per creare la prima lista inserisco un comando in cui è necessario specificare lo stesso nome della lista che abbiamo scritto su carta: ip access-list standard ACL Secure_Ma_And_Se. Successivamente, il sistema richiede possibili parametri: posso selezionare nega, esci, no, consenti o osserva e inserisci anche un numero di sequenza da 1 a 2147483647. Se non lo faccio, il sistema lo assegnerà automaticamente.
Pertanto, non inserisco questo numero, ma vado immediatamente al comando consent host 192.168.1.130, poiché questa autorizzazione è valida per uno specifico dispositivo PC0. Posso anche usare una maschera jolly inversa, ora ti mostrerò come farlo.
Successivamente, inserisco il comando negare 192.168.1.128. Dato che abbiamo /26, utilizzo la maschera inversa e la integro al comando: negare 192.168.1.128 0.0.0.63. Pertanto nego il traffico alla rete 192.168.1.128/26.
Allo stesso modo, blocco il traffico dalla seguente rete: negare 192.168.1.0 0.0.0.127. Tutto il resto del traffico è consentito, quindi inserisco il comando permetti qualsiasi. Successivamente devo applicare questo elenco all'interfaccia, quindi utilizzo il comando int s0/1/0. Quindi digito ip access-group Secure_Ma_And_Se e il sistema mi chiede di selezionare un'interfaccia: in entrata per i pacchetti in entrata e in uscita per quelli in uscita. Dobbiamo applicare l'ACL all'interfaccia di output, quindi utilizzo il comando ip access-group Secure_Ma_And_Se out.
Andiamo alla riga di comando del PC0 ed eseguiamo il ping dell'indirizzo IP 192.168.1.194, che appartiene al server Server0. Il ping ha esito positivo perché abbiamo utilizzato una condizione ACL speciale per il traffico PC0. Se faccio lo stesso dal PC1, il sistema genererà un errore: “host di destinazione non disponibile”, poiché il traffico proveniente dai restanti indirizzi IP del reparto contabilità non può accedere alla sala server.
Accedendo alla CLI del router R2 e digitando il comando show ip address-lists, puoi vedere come è stato instradato il traffico di rete del dipartimento finanziario: mostra quante volte il ping è stato passato in base all'autorizzazione e quante volte è stato passato bloccato secondo il divieto.
Possiamo sempre andare alle impostazioni del router e vedere l'elenco di accesso. Pertanto, le condizioni dei compiti n. 1 e n. 4 sono soddisfatte. Lascia che ti mostri un'altra cosa. Se voglio sistemare qualcosa, posso entrare nella modalità di configurazione globale delle impostazioni R2, inserire il comando ip access-list standard Secure_Ma_And_Se e poi il comando “host 192.168.1.130 non è consentito” - nessun permesso host 192.168.1.130.
Se esaminiamo nuovamente la lista di accesso, vedremo che la riga 10 è scomparsa, ci restano solo le righe 20,30, 40 e XNUMX. Pertanto, puoi modificare la lista di accesso ACL nelle impostazioni del router, ma solo se non è compilata nella forma classica.
Passiamo ora alla terza ACL, perché riguarda anche il router R2. Si afferma che il traffico proveniente dal Laptop3 non dovrebbe lasciare la rete del servizio vendite. In questo caso Laptop2 dovrebbe comunicare senza problemi con i computer del dipartimento finanziario. Per testarlo, eseguo il ping dell'indirizzo IP 192.168.1.130 da questo laptop e mi assicuro che tutto funzioni.
Ora andrò alla riga di comando di Laptop3 ed effettuerò il ping dell'indirizzo 192.168.1.130. Il ping ha esito positivo, ma non ne abbiamo bisogno, poiché, a seconda delle condizioni dell'attività, Laptop3 può comunicare solo con Laptop2, che si trova nella stessa rete del reparto vendite. Per fare ciò, è necessario creare un'altra ACL utilizzando il metodo classico.
Tornerò alle impostazioni R2 e proverò a recuperare la voce 10 eliminata utilizzando il comando consent host 192.168.1.130. Vedi che questa voce appare alla fine dell'elenco al numero 50. Tuttavia, l'accesso continuerà a non funzionare, perché la riga che consente un host specifico è alla fine dell'elenco e la riga che vieta tutto il traffico di rete è in alto della lista. Se proviamo a eseguire il ping del Laptop0 del dipartimento di gestione dal PC0, riceveremo il messaggio "l'host di destinazione non è accessibile", nonostante sia presente una voce di autorizzazione al numero 50 nell'ACL.
Pertanto, se si desidera modificare una ACL esistente, è necessario immettere il comando no consent host 2 in modalità R192.168.1.130 (config-std-nacl), verificare che la riga 50 sia scomparsa dall'elenco e immettere il comando 10 consent ospite 192.168.1.130. Vediamo che l'elenco è ora tornato alla sua forma originale, con questa voce al primo posto. I numeri di sequenza aiutano a modificare l'elenco in qualsiasi forma, quindi la forma moderna di ACL è molto più conveniente di quella classica.
Ora mostrerò come funziona la forma classica dell'elenco ACL 10. Per utilizzare l'elenco classico, è necessario inserire il comando access–list 10? e, seguendo il prompt, selezionare l'azione desiderata: nega, consenti o osserva. Quindi inserisco la riga access–list 10 Denis host, dopodiché digito il comando access–list 10 Deny 192.168.1.3 e aggiungo la maschera inversa. Poiché abbiamo un host, la maschera di sottorete diretta è 255.255.255.255 e quella inversa è 0.0.0.0. Di conseguenza, per negare il traffico host, devo inserire il comando access–list 10 aware 192.168.1.3 0.0.0.0. Successivamente, è necessario specificare le autorizzazioni, per le quali digito il comando access–list 10 consent any. Questo elenco deve essere applicato all'interfaccia G0/1 del router R2, quindi inserisco in sequenza i comandi in g0/1, ip access-group 10 in. Indipendentemente dall'elenco utilizzato, classico o moderno, vengono utilizzati gli stessi comandi per applicare questo elenco all'interfaccia.
Per verificare se le impostazioni sono corrette, vado al terminale della riga di comando di Laptop3 e provo a eseguire il ping dell'indirizzo IP 192.168.1.130: come puoi vedere, il sistema segnala che l'host di destinazione non è raggiungibile.
Ti ricordo che per controllare la lista puoi utilizzare sia il comando show ip access-lists che show access-lists. Dobbiamo risolvere un altro problema, che riguarda il router R1. Per fare ciò, vado sulla CLI di questo router e vado in modalità di configurazione globale e inserisco il comando ip access-list standard Secure_Ma_From_Se. Poiché abbiamo una rete 192.168.1.192/27, la sua maschera di sottorete sarà 255.255.255.224, il che significa che la maschera inversa sarà 0.0.0.31 e dobbiamo inserire il comando negare 192.168.1.192 0.0.0.31. Poiché tutto il resto del traffico è consentito, l'elenco termina con il comando consent any. Per applicare un ACL all'interfaccia di output del router, utilizzare il comando ip access-group Secure_Ma_From_Se out.
Ora andrò al terminale della riga di comando del Server0 e proverò a eseguire il ping del Laptop0 del reparto di gestione all'indirizzo IP 192.168.1.226. Il tentativo non ha avuto successo, ma se ho eseguito il ping dell'indirizzo 192.168.1.130, la connessione è stata stabilita senza problemi, ovvero abbiamo vietato al computer server di comunicare con il reparto di gestione, ma abbiamo consentito la comunicazione con tutti gli altri dispositivi di altri dipartimenti. Pertanto, abbiamo risolto con successo tutti e 4 i problemi.
Lascia che ti mostri qualcos'altro. Entriamo nelle impostazioni del router R2, dove abbiamo 2 tipi di ACL: classico e moderno. Diciamo che voglio modificare ACL 10, elenco di accesso IP standard 10, che nella sua forma classica è composto da due voci 10 e 20. Se utilizzo il comando do show run, posso vedere che prima abbiamo un elenco di accesso moderno di 4 voci senza numeri sotto l'intestazione generale Secure_Ma_And_Se, e sotto ci sono due voci ACL 10 della forma classica che ripetono il nome della stessa lista di accesso 10.
Se desidero apportare alcune modifiche, ad esempio rimuovere la voce Denis host 192.168.1.3 e introdurre una voce per un dispositivo su una rete diversa, devo utilizzare il comando delete solo per quella voce: no access-list 10 Denis host 192.168.1.3 .10. Ma non appena inserisco questo comando, tutte le voci dell'ACL XNUMX scompaiono completamente, per questo motivo la visualizzazione classica dell'ACL è molto scomoda da modificare. Il metodo di registrazione moderno è molto più comodo da usare poiché consente l'editing gratuito.
Per apprendere il materiale contenuto in questa video lezione, ti consiglio di guardarla di nuovo e provare a risolvere da solo i problemi discussi senza alcun suggerimento. L'ACL è un argomento importante nel corso CCNA e molti sono confusi, ad esempio, dalla procedura per creare una maschera jolly inversa. Te lo assicuro, basta comprendere il concetto di trasformazione della maschera e tutto diventerà molto più semplice. Ricorda che la cosa più importante per comprendere gli argomenti del corso CCNA è la formazione pratica, perché solo la pratica ti aiuterà a comprendere questo o quel concetto Cisco. La pratica non è copiare e incollare le mie squadre, ma risolvere i problemi a modo tuo. Poniti delle domande: cosa è necessario fare per bloccare il flusso del traffico da qui a lì, dove applicare le condizioni, ecc., e prova a rispondere.
Grazie per stare con noi. Ti piacciono i nostri articoli? Vuoi vedere contenuti più interessanti? Sostienici effettuando un ordine o raccomandando agli amici, Sconto del 30% per gli utenti Habr su un analogo unico di server entry-level, che è stato inventato da noi per te: (disponibile con RAID1 e RAID10, fino a 24 core e fino a 40 GB DDR4).
Dell R730xd 2 volte più economico? Solo qui In Olanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - da $99! Leggi
Fonte: habr.com