Айта кетуді ұмытып кеткен тағы бір нәрсе, ACL рұқсат беру/бас тарту негізінде трафикті сүзіп қана қоймайды, ол көптеген басқа функцияларды орындайды. Мысалы, ACL VPN трафигін шифрлау үшін пайдаланылады, бірақ CCNA емтиханын тапсыру үшін оның трафикті сүзу үшін қалай қолданылатынын білу қажет. №1 есепке оралайық.
Біз есеп және сату бөлімінің трафигін R2 шығыс интерфейсінде келесі ACL тізімін пайдаланып бұғаттауға болатынын білдік.
Бұл тізімнің пішімі туралы алаңдамаңыз, ол тек ACL не екенін түсінуге көмектесетін мысал ретінде берілген. Біз Packet Tracer бағдарламасын іске қосқаннан кейін дұрыс пішімге өтеміз.
No2 тапсырма былай естіледі: серверлік бөлме басқару бөлімінің хосттарынан басқа кез келген хосттармен байланыса алады. Яғни, серверлік бөлмедегі компьютерлер сату және бухгалтерлік бөлімдердегі кез келген компьютерлерге қол жеткізе алады, бірақ басқару бөліміндегі компьютерлерге қол жеткізе алмайды. Бұл серверлік бөлменің ІТ қызметкерлері басқару бөлімі басшысының компьютеріне қашықтан қол жеткізе алмау керек дегенді білдіреді, бірақ мәселе туындаған жағдайда оның кабинетіне келіп, ақауды орнында түзетеді. Бұл тапсырма практикалық емес екенін ескеріңіз, себебі серверлік бөлменің басқару бөлімімен желі арқылы неліктен байланыса алмайтынын білмеймін, сондықтан бұл жағдайда біз тек оқулық мысалын қарастырамыз.
Бұл мәселені шешу үшін алдымен қозғалыс жолын анықтау керек. Сервер бөлмесінен алынған мәліметтер R0 маршрутизаторының G1/1 кіріс интерфейсіне түседі және G0/0 шығыс интерфейсі арқылы басқару бөліміне жіберіледі.
Егер біз G192.168.1.192/27 кіріс интерфейсіне бас тарту 0/1 шартын қолдансақ және есіңізде болса, стандартты ACL трафик көзіне жақынырақ орналастырылса, біз барлық трафикті, соның ішінде сату және есеп бөлімін блоктаймыз.
Біз басқару бөліміне бағытталған трафикті ғана блоктауды қалайтындықтан, G0/0 шығыс интерфейсіне ACL қолдануымыз керек. Бұл мәселені ACL-ді тағайындалған жерге жақындату арқылы ғана шешуге болады. Бұл ретте бухгалтерлік есеп және сату бөлімі желісінен трафик басқару бөліміне еркін жетуі керек, сондықтан тізімнің соңғы жолында кез келген Рұқсат ету командасы болады - алдыңғы жағдайда көрсетілген трафикті қоспағанда, кез келген трафикке рұқсат беру.
№3 тапсырмаға көшейік: сату бөлімінің 3-ноутбугы сату бөлімінің жергілікті желісінде орналасқан құрылғылардан басқа құрылғыларға қол жеткізе алмауы керек. Тәжірибеші осы компьютерде жұмыс істейді және оның LAN шеңберінен шықпауы керек делік.
Бұл жағдайда R0 маршрутизаторының G1/2 кіріс интерфейсінде ACL қолдану керек. Егер осы компьютерге 192.168.1.3/25 IP мекенжайын тағайындасақ, онда «Бас тарту» 192.168.1.3/25 шарты орындалуы керек және кез келген басқа IP мекенжайынан келетін трафик бұғатталмауы керек, сондықтан тізімнің соңғы жолы Рұқсат болады. кез келген.
Дегенмен, трафикті блоктау Laptop2-ге ешқандай әсер етпейді.
Келесі тапсырма №4 тапсырма болады: серверлік желіге тек қаржы бөлімінің PC0 компьютері ғана кіре алады, бірақ басқару бөлімі емес.
Естеріңізде болса, №1 тапсырмадағы ACL R0 маршрутизаторының S1/0/2 интерфейсіндегі барлық шығыс трафикті блоктайды, бірақ №4 тапсырмада біз тек PC0 трафигі арқылы өтетініне көз жеткізуіміз керек дейді, сондықтан біз ерекшелік жасауымыз керек.
Біз қазір шешіп жатқан барлық тапсырмалар кеңсе желісі үшін ACL орнату кезінде нақты жағдайда сізге көмектесуі керек. Ыңғайлы болу үшін мен жазбаның классикалық түрін қолдандым, бірақ жазбаларға түзетулер енгізу үшін барлық жолдарды қолмен қағазға жазуға немесе оларды компьютерге теруге кеңес беремін. Біздің жағдайда №1 тапсырманың шарттарына сәйкес классикалық ACL тізімі құрастырылды. Егер біз оған рұқсат түріндегі PC0 үшін ерекшелік қосқымыз келсе , онда біз бұл жолды кез келген рұқсат жолынан кейін тізімде тек төртінші орынға қоя аламыз. Дегенмен, бұл компьютердің мекенжайы 0/192.168.1.128 Бас тарту шартын тексеруге арналған мекенжайлар ауқымына енгізілгендіктен, оның трафигі осы шарт орындалғаннан кейін бірден блокталады және маршрутизатор жай ғана төртінші жолды тексеруге жете алмайды. осы IP мекенжайынан трафик.
Сондықтан №1 тапсырманың ACL тізімін толығымен қайта жасауға тура келеді, бірінші жолды жойып, оны Рұқсат 192.168.1.130/26 жолымен ауыстырады, ол PC0-ден трафикке рұқсат береді, содан кейін барлық трафикке тыйым салатын жолдарды қайта енгізу керек болады. есеп және сату бөлімдерінен.
Осылайша, бірінші жолда бізде белгілі бір мекенжайға арналған пәрмен бар, ал екіншісінде - осы мекенжай орналасқан бүкіл желі үшін жалпы. ACL заманауи түрін пайдалансаңыз, бірінші пәрмен ретінде Рұқсат 192.168.1.130/26 жолын қою арқылы оған оңай өзгертулер енгізуге болады. Егер сізде классикалық ACL болса, оны толығымен алып тастап, пәрмендерді дұрыс ретпен қайта енгізу керек.
№ 4 есептің шешімі № 192.168.1.130 есептің ACL басына Рұқсат 26/1 жолын орналастыру болып табылады, өйткені тек осы жағдайда ғана РС0 трафик R2 маршрутизаторының шығыс интерфейсінен еркін шығады. PC1 трафигі толығымен блокталады, себебі оның IP мекенжайы тізімнің екінші жолында қамтылған тыйымға жатады.
Енді қажетті параметрлерді орнату үшін Packet Tracer бағдарламасына көшеміз. Мен барлық құрылғылардың IP мекенжайларын конфигурациялап қойдым, себебі жеңілдетілген алдыңғы диаграммаларды түсіну қиын болды. Сонымен қатар, мен екі маршрутизатор арасында RIP конфигурацияладым. Берілген желі топологиясында 4 ішкі желінің барлық құрылғылары арасындағы байланыс шектеусіз мүмкін. Бірақ ACL қолданылғаннан кейін трафик сүзіле бастайды.
Мен PC1 қаржы бөлімінен бастаймын және сервер бөлмесінде орналасқан Server192.168.1.194-ге жататын 0 IP-мекен-жайын пингпен жіберуге тырысамын. Көріп отырғаныңыздай, пинг еш қиындықсыз сәтті өтеді. Мен де басқару бөлімінен Laptop0-ға сәтті пинг жүргіздім. Бірінші пакет ARP арқасында жойылады, қалған 3 пакет еркін пингке түседі.
Трафикті сүзуді ұйымдастыру үшін мен R2 маршрутизаторының параметрлеріне кіріп, жаһандық конфигурация режимін іске қосамын және заманауи ACL тізімін жасаймын. Бізде классикалық көрінетін ACL 10 да бар. Бірінші тізімді жасау үшін мен пәрменді енгіземін, онда біз қағазға жазған тізім атауын көрсету керек: ip access-list стандартты ACL Secure_Ma_And_Se. Осыдан кейін жүйе ықтимал параметрлерді сұрайды: Мен бас тартуды, шығуды, жоқты, рұқсат беруді немесе ескертуді таңдай аламын, сондай-ақ 1-ден 2147483647-ге дейінгі реттік нөмірді енгізе аламын. Бұны жасамасам, жүйе оны автоматты түрде тағайындайды.
Сондықтан мен бұл нөмірді енгізбеймін, бірақ бірден рұқсат хостының 192.168.1.130 пәрменіне өтіңіз, өйткені бұл рұқсат белгілі бір PC0 құрылғысы үшін жарамды. Мен сондай-ақ кері Wildcard маскасын пайдалана аламын, енді мен мұны қалай жасау керектігін көрсетемін.
Әрі қарай, мен 192.168.1.128 бас тарту пәрменін енгіземін. Бізде /26 болғандықтан, мен кері масканы қолданамын және онымен пәрменді толықтырамын: deny 192.168.1.128 0.0.0.63. Осылайша, 192.168.1.128/26 желісіне трафикті қабылдамаймын.
Сол сияқты, мен келесі желіден трафикті блоктаймын: 192.168.1.0 0.0.0.127 бас тарту. Барлық басқа трафик рұқсат етілген, сондықтан мен рұқсат беру пәрменін енгіземін. Содан кейін мен бұл тізімді интерфейске қолдануым керек, сондықтан int s0/1/0 пәрменін қолданамын. Содан кейін мен IP access-group Secure_Ma_And_Se деп теремін және жүйе маған интерфейсті таңдауды ұсынады - кіріс пакеттер үшін кіріс және шығыс үшін шығыс. Біз шығыс интерфейсіне ACL қолдануымыз керек, сондықтан мен IP кіру тобының Secure_Ma_And_Se out пәрменін қолданамын.
PC0 пәрмен жолына өтіп, Server192.168.1.194 серверіне жататын 0 IP мекенжайына пинг жіберейік. Пинг сәтті өтті, өйткені біз PC0 трафигі үшін арнайы ACL шартын қолдандық. Егер мен PC1-де солай істесем, жүйе қатені жасайды: «тағайындалған хост қолжетімді емес», өйткені есеп бөлімінің қалған IP мекенжайларынан трафик сервер бөлмесіне кіруге тыйым салынған.
R2 маршрутизаторының CLI жүйесіне кіріп, IP мекенжайлар тізімдерін көрсету пәрменін теру арқылы сіз қаржы бөлімінің желілік трафигі қалай бағытталғанын көре аласыз - бұл рұқсатқа сәйкес пинг қанша рет жіберілгенін және қанша рет жіберілгенін көрсетеді. тыйымға сәйкес бұғатталған.
Біз әрқашан маршрутизатор параметрлеріне өтіп, кіру тізімін көре аламыз. Осылайша, No1 және No4 тапсырмалардың шарттары орындалды. Сізге тағы бір нәрсені көрсетейін. Егер мен бірдеңені түзеткім келсе, R2 параметрлерінің жаһандық конфигурация режиміне өтуге болады, IP қатынау тізімін стандартты Secure_Ma_And_Se пәрменін енгізіңіз, содан кейін «192.168.1.130 хостына рұқсат етілмейді» пәрменін енгізіңіз - 192.168.1.130 хостына рұқсат жоқ.
Кіру тізімін қайта қарасақ, 10-жолдың жоғалып кеткенін көреміз, бізде тек 20,30, 40 және XNUMX-жолдар қалды.Осылайша, маршрутизатор параметрлерінде ACL кіру тізімін өңдеуге болады, бірақ ол құрастырылмаған жағдайда ғана. классикалық түрінде.
Енді үшінші ACL-ге көшейік, себебі ол R2 маршрутизаторына да қатысты. Онда Laptop3-тен кез келген трафик сату бөлімінің желісінен шықпауы керектігі айтылған. Бұл жағдайда Laptop2 қаржы бөлімінің компьютерлерімен проблемасыз байланысуы керек. Мұны тексеру үшін мен осы ноутбуктен 192.168.1.130 IP мекенжайын пинг арқылы тексеремін және барлығы жұмыс істейтініне көз жеткіземін.
Енді мен Laptop3-тің пәрмен жолына өтіп, 192.168.1.130 мекенжайына пинг жіберемін. Пинг сәтті өтті, бірақ бізге бұл қажет емес, өйткені тапсырма шарттарына сәйкес, Laptop3 тек бір сату бөлімінің желісінде орналасқан Laptop2-мен байланыса алады. Ол үшін классикалық әдісті пайдаланып басқа ACL жасау керек.
Мен R2 параметрлеріне ораламын және рұқсат хосты 10 пәрменін пайдаланып жойылған 192.168.1.130 жазбаны қалпына келтіруге тырысамын. Сіз бұл жазба тізімнің соңында 50 нөмірде пайда болғанын көресіз. Дегенмен, кіру әлі жұмыс істемейді, себебі белгілі бір хостқа рұқсат беретін жол тізімнің соңында, ал барлық желілік трафикке тыйым салатын жол жоғарғы жағында орналасқан. тізімнен. Егер біз PC0 жүйесінен басқару бөлімінің Laptop0 компьютеріне пинг жіберуге әрекет жасасақ, ACL-де 50 нөмірінде рұқсат етілген жазба бар екеніне қарамастан, «тағайындалған хост қолжетімді емес» хабарын аламыз.
Сондықтан, егер бар ACL өңдегіңіз келсе, R2 режимінде 192.168.1.130 рұқсаты жоқ хост пәрменін енгізу керек (config-std-nacl), тізімнен 50-жолдың жойылғанын тексеріп, 10 рұқсат пәрменін енгізу керек. хост 192.168.1.130. Тізімнің бастапқы пішініне оралғанын көріп отырмыз, бұл жазба бірінші орында тұр. Реттік нөмірлер тізімді кез келген пішінде өңдеуге көмектеседі, сондықтан қазіргі заманғы ACL түрі классикалық нұсқаға қарағанда әлдеқайда ыңғайлы.
Енді мен ACL 10 тізімінің классикалық пішіні қалай жұмыс істейтінін көрсетемін.Классикалық тізімді пайдалану үшін access–list 10? пәрменін енгізу керек және сұраудан кейін қажетті әрекетті таңдаңыз: бас тарту, рұқсат ету немесе ескерту. Содан кейін мен жолға кіру – тізім 10 қабылдамау хостын енгіземін, содан кейін access–list 10 deny 192.168.1.3 пәрменін енгіземін және кері масканы қосамын. Бізде хост болғандықтан, алдыңғы ішкі желі маскасы 255.255.255.255, ал кері 0.0.0.0. Нәтижесінде хост трафигінен бас тарту үшін мен қол жеткізу пәрменін енгізуім керек – 10 deny 192.168.1.3 0.0.0.0 тізімі. Осыдан кейін рұқсаттарды көрсету керек, олар үшін мен кіру пәрменін жазамын – тізім 10 рұқсат кез келген. Бұл тізім R0 маршрутизаторының G1/2 интерфейсіне қолданылуы керек, сондықтан мен командаларды g0/1, ip access-group 10 дюймінде дәйекті түрде енгіземін. Қандай тізім пайдаланылғанына қарамастан, классикалық немесе заманауи, осы тізімді интерфейске қолдану үшін бірдей пәрмендер пайдаланылады.
Параметрлердің дұрыстығын тексеру үшін, мен Laptop3 пәрмен жолы терминалына өтіп, 192.168.1.130 IP мекенжайын пингпен жіберуге тырысамын - көріп отырғаныңыздай, жүйе тағайындалған хостқа қол жеткізу мүмкін емес деп хабарлайды.
Еске сала кетейін, тізімді тексеру үшін IP кіру тізімдерін көрсету және кіру тізімдерін көрсету пәрмендерін пайдалануға болады. Біз R1 маршрутизаторына қатысты тағы бір мәселені шешуіміз керек. Ол үшін мен осы маршрутизатордың CLI жүйесіне өтіп, жаһандық конфигурация режиміне өтіп, ip access-list standard Secure_Ma_From_Se пәрменін енгіземін. Бізде 192.168.1.192/27 желісі болғандықтан, оның ішкі желі маскасы 255.255.255.224 болады, яғни кері маска 0.0.0.31 болады және біз 192.168.1.192 0.0.0.31 deny командасын енгізуіміз керек. Барлық басқа трафик рұқсат етілгендіктен, тізім кез келген рұқсат беру пәрменімен аяқталады. Маршрутизатордың шығыс интерфейсіне ACL қолдану үшін, IP кіру тобының Secure_Ma_From_Se out пәрменін пайдаланыңыз.
Енді мен Server0 пәрмен жолының терминалына өтіп, 0 IP мекенжайы бойынша басқару бөлімінің Laptop192.168.1.226 компьютеріне пинг жасауға тырысамын. Әрекет сәтсіз аяқталды, бірақ мен 192.168.1.130 мекенжайына пинг жіберсем, қосылым еш қиындықсыз орнатылды, яғни серверлік компьютерге басқару бөлімімен байланысуға тыйым салдық, бірақ басқа бөлімдердегі барлық басқа құрылғылармен байланысуға рұқсат бердік. Осылайша, біз барлық 4 мәселені сәтті шештік.
Сізге тағы бір нәрсе көрсетейін. Біз R2 маршрутизаторының параметрлеріне кіреміз, онда бізде ACL 2 түрі бар - классикалық және заманауи. Мен классикалық түрінде екі жазбадан тұратын 10 және 10 жазбалардан тұратын ACL 10, Стандартты IP кіру тізімін 20 өңдегім келеді делік. Егер мен do show run пәрменін пайдалансам, алдымен бізде 4 заманауи кіру тізімі бар екенін көремін. Secure_Ma_And_Se жалпы тақырыбының астындағы нөмірлері жоқ жазбалар және төменде бірдей кіру тізімінің 10 атауын қайталайтын классикалық пішіндегі екі ACL 10 жазбасы бар.
Бас тарту хостының 192.168.1.3 жазбасын жою және басқа желідегі құрылғы үшін жазбаны енгізу сияқты кейбір өзгерістерді енгізгім келсе, мен тек осы жазба үшін жою пәрменін пайдалануым керек: кіру тізімі жоқ 10 192.168.1.3 хостын қабылдамайды. .10. Бірақ мен бұл пәрменді енгізгеннен кейін барлық ACL XNUMX жазбалары толығымен жоғалады.Сондықтан ACL классикалық көрінісі өңдеуге өте ыңғайсыз. Заманауи жазу әдісін пайдалану әлдеқайда ыңғайлы, өйткені ол тегін өңдеуге мүмкіндік береді.
Осы бейне сабақтағы материалды меңгеру үшін мен сізге оны қайтадан көруге кеңес беремін және талқыланған мәселелерді ешқандай кеңессіз өз бетіңізше шешуге тырысамын. ACL CCNA курсының маңызды тақырыбы болып табылады және көбісі, мысалы, кері Wildcard маскасын жасау процедурасымен шатастырылады. Мен сізді сендіремін, масканы өзгерту түсінігін түсініңіз, сонда бәрі оңайырақ болады. Есіңізде болсын, CCNA курсының тақырыптарын түсінудегі ең маңызды нәрсе - практикалық оқыту, өйткені тек тәжірибе сізге осы немесе басқа Cisco тұжырымдамасын түсінуге көмектеседі. Тәжірибе - бұл менің командаларымды көшіріп қою емес, мәселелерді өзінше шешу. Өзіңізге сұрақтар қойыңыз: бұл жерден ол жаққа көлік ағынын тоқтату үшін не істеу керек, шарттарды қайда қолдану керек және т.б. және оларға жауап беруге тырысыңыз.
Бізбен бірге болғандарыңызға рахмет. Сізге біздің мақалалар ұнайды ма? Қызықты мазмұнды көргіңіз келе ме? Тапсырыс беру немесе достарыңызға ұсыну арқылы бізге қолдау көрсетіңіз, Habr пайдаланушылары үшін біз сіз үшін ойлап тапқан бастапқы деңгейдегі серверлердің бірегей аналогына 30% жеңілдік: (RAID1 және RAID10, 24 ядроға дейін және 40 ГБ DDR4 дейін қол жетімді).
Dell R730xd 2 есе арзан ба? Тек осында Нидерландыда! Dell R420 - 2x E5-2430 2.2 ГГц 6C 128 ГБ DDR3 2x960 ГБ SSD 1 Гбит/с 100 ТБ - 99 доллардан бастап! туралы оқыңыз
Ақпарат көзі: www.habr.com