シスコ トレーニング 200-125 CCNA v3.0。 27日目。ACLの紹介。 パート2

もう 1 つ言い忘れていたのは、ACL は許可/拒否ベースでトラフィックをフィルタリングするだけでなく、さらに多くの機能を実行することです。 たとえば、ACL は VPN トラフィックの暗号化に使用されますが、CCNA 試験に合格するには、ACL がトラフィックのフィルタリングにどのように使用されるかを知るだけで済みます。 問題 XNUMX に戻りましょう。

次の ACL リストを使用すると、経理部門と営業部門のトラフィックが R2 出力インターフェイスでブロックできることがわかりました。

このリストの形式については心配する必要はありません。これは、ACL が何であるかを理解するのに役立つ例として提供されているだけです。 Packet Tracer を使い始めると、正しい形式が得られます。

タスク 2 は次のようになります。サーバー ルームは、管理部門のホストを除くすべてのホストと通信できます。 つまり、サーバー ルームのコンピュータは、販売部門と経理部門のすべてのコンピュータにアクセスできますが、管理部門のコンピュータにはアクセスできません。 これは、サーバー ルームの IT スタッフが管理部門の責任者のコンピュータにリモート アクセスできないようにし、問題が発生した場合には管理部門の責任者のオフィスに来て、その場で問題を解決することを意味します。 サーバー ルームがネットワークを介して管理部門と通信できない理由がわからないため、このタスクは現実的ではないことに注意してください。この場合、チュートリアルの例を見ているだけです。

この問題を解決するには、まずトラフィック パスを決定する必要があります。 サーバールームからのデータはルータR0の入力インターフェースG1/1に到着し、出力インターフェースG0/0を介して管理部門に送信されます。

Deny 192.168.1.192/27 条件を入力インターフェイス G0/1 に適用すると、ご存知のとおり、標準 ACL がトラフィック ソースの近くに配置され、営業部門や会計部門へのトラフィックを含むすべてのトラフィックがブロックされます。

管理部門宛てのトラフィックのみをブロックしたいため、出力インターフェイス G0/0 に ACL を適用する必要があります。 この問題は、ACL を宛先の近くに配置することによってのみ解決できます。 同時に、経理部門と営業部門のネットワークからのトラフィックは管理部門に自由に到達する必要があるため、リストの最後の行は「Permit any」コマンドになり、前の条件で指定されたトラフィックを除くすべてのトラフィックを許可します。

タスク 3 に進みましょう。営業部門の Laptop 3 ラップトップは、営業部門のローカル ネットワーク上にあるデバイス以外のデバイスにアクセスできません。 研修生がこのコンピュータで作業しており、LAN を超えてはいけないと仮定しましょう。
この場合、ルータ R0 の入力インターフェイス G1/2 に ACL を適用する必要があります。 このコンピュータに IP アドレス 192.168.1.3/25 を割り当てる場合、192.168.1.3/25 の拒否条件が満たされる必要があり、他の IP アドレスからのトラフィックがブロックされてはいけないため、リストの最後の行は許可になります。どれでも。

ただし、トラフィックをブロックしても Laptop2 には影響がありません。

次のタスクはタスク No. 4 です。財務部門のコンピュータ PC0 のみがサーバー ネットワークにアクセスできますが、管理部門はアクセスできません。

覚えていると思いますが、タスク #1 の ACL はルーター R0 の S1/0/2 インターフェイス上のすべての送信トラフィックをブロックしますが、タスク #4 では PC0 トラフィックのみが通過するようにする必要があるため、例外を作成する必要があると述べています。

現在解決しているすべてのタスクは、実際の状況でオフィス ネットワークに ACL を設定する際に役立つはずです。 便宜上、古典的なタイプのエントリを使用しましたが、すべての行を紙に手書きするか、エントリを修正できるようにコンピュータに入力することをお勧めします。 今回の場合、タスク No. 1 の条件に従って、クラシック ACL リストが作成されました。 Permit タイプの PC0 に例外を追加したい場合の場合、この行はリストの 0 番目、Permit Any 行の後にのみ配置できます。 ただし、このコンピュータのアドレスは拒否条件 192.168.1.128/26 をチェックするためのアドレス範囲に含まれているため、この条件が満たされた直後にそのトラフィックはブロックされ、ルータは XNUMX 行目のチェックに到達しないだけで、この IP アドレスからのトラフィック。
したがって、タスク No. 1 の ACL リストを完全にやり直す必要があります。最初の行を削除して、PC192.168.1.130 からのトラフィックを許可する行 Permit 26/0 に置き換えてから、すべてのトラフィックを禁止する行を再度入力する必要があります。経理部門と営業部門から。

したがって、最初の行には特定のアドレスに対するコマンドがあり、192.168.1.130 行目にはこのアドレスが存在するネットワーク全体に対する一般的なコマンドがあります。 最新のタイプの ACL を使用している場合は、最初のコマンドとして行 Permit 26/XNUMX を配置することで、ACL を簡単に変更できます。 クラシック ACL がある場合は、それを完全に削除してから、正しい順序でコマンドを再入力する必要があります。

問題 4 の解決策は、問題 192.168.1.130 の ACL の先頭に行 Permit 26/1 を配置することです。この場合に限り、PC0 からのトラフィックがルータ R2 の出力インターフェイスから自由に出力されるからです。 PC1 の IP アドレスはリストの XNUMX 行目に含まれる禁止の対象となるため、PCXNUMX のトラフィックは完全にブロックされます。

次に、Packet Tracer に進み、必要な設定を行います。 前の簡略化された図は少しわかりにくかったので、すべてのデバイスの IP アドレスをすでに構成しました。 さらに、4 台のルーター間に RIP を設定しました。 指定されたネットワーク トポロジでは、XNUMX つのサブネットのすべてのデバイス間の通信が制限なく可能です。 ただし、ACL を適用するとすぐに、トラフィックのフィルタリングが開始されます。

まずは財務部門の PC1 から始めて、サーバー ルームにある Server192.168.1.194 に属する IP アドレス 0 に ping を実行してみます。 ご覧のとおり、ping は問題なく成功します。 管理部門から Laptop0 への ping も成功しました。 最初のパケットは ARP により破棄され、残りの 3 つは自由に ping されます。

トラフィック フィルタリングを整理するために、R2 ルーターの設定に移動し、グローバル コンフィギュレーション モードをアクティブにして、最新の ACL リストを作成します。 クラシックな外観の ACL 10 もあります。 最初のリストを作成するには、紙に書き留めたのと同じリスト名を指定する必要があるコマンド「ip access-list standard ACL Secure_Ma_And_Se」を入力します。 この後、システムは可能なパラメータの入力を求めます。拒否、終了、いいえ、許可、またはコメントを選択し、1 ～ 2147483647 のシーケンス番号を入力することもできます。これを行わないと、システムが自動的に割り当てます。

したがって、この許可は特定の PC192.168.1.130 デバイスに対して有効であるため、この番号を入力せずに、すぐに許可ホスト 0 コマンドに進みます。 逆のワイルドカード マスクを使用することもできます。その方法を次に示します。

次に、コマンド「deny 192.168.1.128」を入力します。 /26 があるので、逆マスクを使用してコマンドを補足します:deny 192.168.1.128 0.0.0.63。 したがって、ネットワーク 192.168.1.128/26 へのトラフィックを拒否します。

同様に、ネットワーク「deny 192.168.1.0 0.0.0.127」からのトラフィックをブロックします。 他のトラフィックはすべて許可されるので、コマンド「permit any」を入力します。 次に、このリストをインターフェイスに適用する必要があるため、コマンド int s0/1/0 を使用します。 次に、「ip access-group Secure_Ma_And_Se」と入力すると、システムはインターフェース (受信パケットの場合は in、送信パケットの場合は out) を選択するように求めます。 ACL を出力インターフェイスに適用する必要があるため、ip access-group Secure_Ma_And_Se out コマンドを使用します。

PC0 コマンド ラインに移動し、Server192.168.1.194 サーバーに属する IP アドレス 0 に ping を実行してみましょう。 PC0 トラフィックに特別な ACL 条件を使用したため、ping は成功します。 PC1 から同じことを行うと、会計部門の残りの IP アドレスからのトラフィックがサーバー ルームへのアクセスをブロックされるため、システムは「宛先ホストが利用できません」というエラーを生成します。

R2 ルータの CLI にログインし、show ip address-lists コマンドを入力すると、財務部門のネットワーク トラフィックがどのようにルーティングされたかを確認できます。許可に従って ping が通過した回数と、その回数が表示されます。禁止事項に従いブロックさせていただきます。

いつでもルーター設定にアクセスして、アクセス リストを確認できます。 したがって、タスクNo.1とタスクNo.4の条件が満たされます。 もう一つお見せしましょう。 何かを修正したい場合は、R2 設定のグローバル コンフィギュレーション モードに移動し、コマンド ip access-list standard Secure_Ma_And_Se を入力してから、コマンド「host 192.168.1.130 is not allowed」（ホスト 192.168.1.130 を許可しません）を入力します。

アクセス リストをもう一度見ると、10 行目が消えており、20,30、40、XNUMX 行だけが残っていることがわかります。したがって、ルータの設定で ACL アクセス リストを編集できますが、それがコンパイルされていない場合に限ります。古典的な形で。

ここで 2 番目の ACL に進みましょう。これは R3 ルーターにも関係するためです。 Laptop2 からのトラフィックは営業部門のネットワークから出てはいけないと記載されています。 この場合、Laptop192.168.1.130 は財務部門のコンピュータと問題なく通信できるはずです。 これをテストするために、このラップトップから IP アドレス XNUMX に ping を実行し、すべてが機能することを確認します。

ここで、Laptop3 のコマンド ラインに移動し、アドレス 192.168.1.130 に ping を送信します。 ping は成功しますが、タスクの条件に従って、Laptop3 は同じ営業部門のネットワーク内にある Laptop2 とのみ通信できるため、ping は必要ありません。 これを行うには、従来の方法を使用して別の ACL を作成する必要があります。

R2 設定に戻り、permit host 10 コマンドを使用して、削除されたエントリ 192.168.1.130 を復元してみます。 このエントリがリストの最後、50 番に表示されていることがわかります。ただし、特定のホストを許可する行がリストの最後にあり、すべてのネットワーク トラフィックを禁止する行が一番上にあるため、アクセスはまだ機能しません。リストの。 PC0 から管理部門の Laptop0 に ping を実行しようとすると、ACL の 50 番に許可エントリがあるにもかかわらず、「宛先ホストにアクセスできません」というメッセージが表示されます。

したがって、既存の ACL を編集する場合は、R2 モード (config-std-nacl) でコマンド nopermit host 192.168.1.130 を入力し、行 50 がリストから消えていることを確認して、コマンド 10permit を入力する必要があります。ホスト 192.168.1.130。 リストが元の形式に戻り、このエントリが XNUMX 位になっていることがわかります。 シーケンス番号はどのような形式でもリストの編集に役立つため、最新形式の ACL は従来の形式よりもはるかに便利です。

次に、ACL 10 リストの古典的な形式がどのように機能するかを示します。古典的なリストを使用するには、コマンド access–list 10? を入力し、プロンプトに続いて、目的のアクション (拒否、許可、またはコメント) を選択する必要があります。 次に、「access-list 10deny host」という行を入力し、その後コマンド「access-list 10deny 192.168.1.3」を入力して、逆マスクを追加します。 ホストがあるので、順方向のサブネット マスクは 255.255.255.255、逆方向のサブネット マスクは 0.0.0.0 です。 その結果、ホスト トラフィックを拒否するには、コマンド access–list 10deny 192.168.1.3 0.0.0.0 を入力する必要があります。 この後、アクセス許可を指定する必要があります。そのためには、コマンド access–list 10permit any を入力します。 このリストはルータ R0 の G1/2 インターフェイスに適用する必要があるため、g0/1、ip access-group 10 にコマンドを順番に入力します。 クラシックまたはモダンのどちらのリストが使用されるかに関係なく、同じコマンドを使用してこのリストをインターフェイスに適用します。

設定が正しいかどうかを確認するために、Laptop3 コマンド ライン ターミナルに移動し、IP アドレス 192.168.1.130 に ping を実行してみます。ご覧のとおり、システムは宛先ホストに到達できないと報告します。

リストを確認するには、show ip access-lists コマンドと show access-lists コマンドの両方を使用できることを思い出してください。 R1 ルーターに関連するもう 192.168.1.192 つの問題を解決する必要があります。 これを行うには、このルータの CLI に移動し、グローバル コンフィギュレーション モードに移動して、コマンド ip access-list standard Secure_Ma_From_Se を入力します。 ネットワーク 27/255.255.255.224 があるため、そのサブネット マスクは 0.0.0.31 になります。つまり、リバース マスクは 192.168.1.192 となり、deny 0.0.0.31 XNUMX コマンドを入力する必要があります。 他のトラフィックはすべて許可されるため、リストはコマンドpermit anyで終わります。 ACL をルータの出力インターフェイスに適用するには、ip access-group Secure_Ma_From_Se out コマンドを使用します。

ここで、Server0 のコマンド ライン ターミナルに移動し、IP アドレス 0 で管理部門の Laptop192.168.1.226 に ping を実行してみます。 試みは失敗しましたが、アドレス 192.168.1.130 に ping を実行すると、問題なく接続が確立されました。つまり、サーバー コンピューターと管理部門との通信は禁止されていましたが、他部門の他のすべてのデバイスとの通信は許可されていました。 したがって、4 つの問題すべてを解決することができました。

他のものをお見せしましょう。 R2 ルーターの設定に入ります。ここには、クラシックとモダンの 2 種類の ACL があります。 ACL 10、標準 IP アクセス リスト 10 を編集したいとします。これは、従来の形式では 10 つのエントリ 20 と 4 で構成されます。 do show run コマンドを使用すると、最初に 10 つの最新のアクセス リストがあることがわかります。一般見出し Secure_Ma_And_Se の下に番号のないエントリがあり、その下には、同じアクセス リスト 10 の名前を繰り返す古典的な形式の XNUMX つの ACL XNUMX エントリがあります。

拒否ホスト 192.168.1.3 エントリを削除し、別のネットワーク上のデバイスのエントリを導入するなど、いくつかの変更を加えたい場合は、そのエントリに対してのみ delete コマンドを使用する必要があります。 no access-list 10deny host 192.168.1.3 .10。 しかし、このコマンドを入力するとすぐに、すべての ACL XNUMX エントリが完全に消えてしまうため、ACL のクラシック ビューでは編集が非常に不便です。 最新の録音方法は自由に編集できるため、非常に使いやすくなっています。

このビデオ レッスンの内容を学ぶために、もう一度ビデオを見て、ヒントなしで議論された問題を自分で解決してみることをお勧めします。 ACL は CCNA コースの重要なトピックですが、多くの人が、たとえば逆ワイルドカード マスクの作成手順などに混乱しています。 マスク変換の概念を理解するだけで、すべてがはるかに簡単になることを保証します。 CCNA コースのトピックを理解する上で最も重要なことは実践的なトレーニングであることを忘れないでください。シスコのさまざまな概念を理解するには、実践のみが役立つからです。 練習とは、私のチームをコピー＆ペーストすることではなく、自分なりの方法で問題を解決することです。 ここからあそこへのトラフィックの流れをブロックするには何をする必要があるか、条件をどこに適用するかなど、自分自身に質問して、それに答えてみてください。

いつもご宿泊いただきありがとうございます。 私たちの記事が気に入っていますか? もっと興味深いコンテンツを見たいですか? 注文したり、友人に勧めたりして私たちをサポートしてください。 Habr ユーザーは、当社があなたのために発明した、エントリーレベルのサーバーに似たユニークな製品を 30% 割引でご利用いただけます。 VPS (KVM) E5-2650 v4 (6 コア) 10GB DDR4 240GB SSD 1Gbps 20 ドルからの真実、またはサーバーを共有する方法? (RAID1 および RAID10、最大 24 コア、最大 40GB DDR4 で利用可能)。

Dell R730xdは2倍安い？ ここだけ 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV 199 ドルから オランダで！ Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 ドルから! について読む インフラストラクチャー企業を構築する方法730 ペニーで 5 ユーロの価値がある Dell R2650xd E4-9000 vXNUMX サーバーを使用したクラスですか?

出所： habr.com