시스코 교육 200-125 CCNA v3.0. 27일차. ACL 소개. 2 부

제가 언급하지 않은 또 하나의 사실은 ACL이 허용/거부 기준으로 트래픽을 필터링할 뿐만 아니라 더 많은 기능을 수행한다는 것입니다. 예를 들어 ACL은 VPN 트래픽을 암호화하는 데 사용되지만 CCNA 시험에 합격하려면 ACL이 트래픽을 필터링하는 데 사용되는 방법만 알면 됩니다. 문제 1번으로 돌아가겠습니다.

다음 ACL 목록을 사용하여 R2 출력 인터페이스에서 회계 및 영업 부서 트래픽을 차단할 수 있음을 확인했습니다.

이 목록의 형식에 대해 걱정하지 마십시오. ACL이 무엇인지 이해하는 데 도움이 되는 예일 뿐입니다. Packet Tracer를 시작하면 올바른 형식을 갖게 됩니다.

작업 2번은 다음과 같습니다. 서버실은 관리 부서의 호스트를 제외한 모든 호스트와 통신할 수 있습니다. 즉, 서버실 컴퓨터는 영업 및 회계 부서의 모든 컴퓨터에 액세스할 수 있지만 관리 부서의 컴퓨터에는 액세스할 수 없습니다. 즉, 서버실의 IT 직원은 관리부서장의 컴퓨터에 원격으로 접속해서는 안 되며, 문제가 있을 경우 관리부서장의 사무실로 직접 찾아가 문제를 해결해야 한다는 뜻이다. 서버실이 네트워크를 통해 관리 부서와 통신할 수 없는 이유를 모르기 때문에 이 작업은 실용적이지 않습니다. 따라서 이 경우 튜토리얼 예제만 살펴보겠습니다.

이 문제를 해결하려면 먼저 트래픽 경로를 결정해야 합니다. 서버실의 데이터는 라우터 R0의 입력 인터페이스 G1/1에 도착하고 출력 인터페이스 G0/0을 통해 관리 부서로 전송됩니다.

거부 192.168.1.192/27 조건을 입력 인터페이스 G0/1에 적용하고 기억하시는 것처럼 표준 ACL이 트래픽 소스에 더 가깝게 배치되면 영업 및 회계 부서를 포함한 모든 트래픽이 차단됩니다.

관리 부서로 전달되는 트래픽만 차단하려고 하므로 출력 인터페이스 G0/0에 ACL을 적용해야 합니다. 이 문제는 ACL을 대상에 더 가깝게 배치해야만 해결할 수 있습니다. 동시에 회계 및 영업 부서 네트워크의 트래픽은 관리 부서에 자유롭게 도달해야 하므로 목록의 마지막 줄은 이전 조건에 지정된 트래픽을 제외한 모든 트래픽을 허용하는 Permit any 명령이 됩니다.

작업 3번으로 넘어가겠습니다. 영업 부서의 노트북 3 노트북은 영업 부서의 로컬 네트워크에 있는 장치 이외의 장치에 액세스할 수 없어야 합니다. 훈련생이 이 컴퓨터에서 작업하고 있으며 LAN을 넘어서는 안 된다고 가정해 보겠습니다.
이 경우 라우터 R0의 입력 인터페이스 G1/2에 ACL을 적용해야 합니다. 이 컴퓨터에 IP 주소 192.168.1.3/25를 할당하는 경우 거부 192.168.1.3/25 조건이 충족되어야 하며 다른 IP 주소의 트래픽은 차단되어서는 안 되므로 목록의 마지막 줄은 허용이 됩니다. 어느.

그러나 트래픽 차단은 Laptop2에는 아무런 영향을 미치지 않습니다.

다음 작업은 작업 번호 4입니다. 재무 부서의 컴퓨터 PC0만 서버 네트워크에 액세스할 수 있고 관리 부서에는 액세스할 수 없습니다.

기억하신다면 작업 #1의 ACL은 라우터 R0의 S1/0/2 인터페이스에서 나가는 모든 트래픽을 차단하지만, 작업 #4에서는 PC0 트래픽만 통과하도록 보장해야 하므로 예외를 만들어야 합니다.

지금 우리가 해결하고 있는 모든 작업은 사무실 네트워크에 대한 ACL을 설정할 때 실제 상황에서 도움이 될 것입니다. 편의상 고전적인 입력 방식을 사용했지만 입력 내용을 수정할 수 있도록 모든 줄을 종이에 수동으로 기록하거나 컴퓨터에 입력하는 것이 좋습니다. 우리의 경우 Task No. 1의 조건에 따라 클래식 ACL 목록이 컴파일되었습니다. Permit 유형의 PC0에 대해 예외를 추가하려는 경우 , 그러면 이 줄을 목록에서 Permit Any 줄 다음 네 번째에만 배치할 수 있습니다. 그러나 이 컴퓨터의 주소는 Deny 조건 확인을 위한 주소 범위인 0/192.168.1.128에 포함되어 있으므로 이 조건이 만족되는 즉시 트래픽이 차단되고 라우터는 단순히 네 번째 라인 확인에 도달하지 못하므로 허용됩니다. 이 IP 주소의 트래픽입니다.
따라서 작업 번호 1의 ACL 목록을 완전히 다시 실행하여 첫 번째 줄을 삭제하고 PC192.168.1.130의 트래픽을 허용하는 Permit 26/0 줄로 바꾼 다음 모든 트래픽을 금지하는 줄을 다시 입력해야 합니다. 회계 및 영업 부서에서.

따라서 첫 번째 줄에는 특정 주소에 대한 명령이 있고 두 번째 줄에는 이 주소가 위치한 전체 네트워크에 대한 일반적인 명령이 있습니다. 최신 유형의 ACL을 사용하는 경우 Permit 192.168.1.130/26 줄을 첫 번째 명령으로 배치하여 쉽게 변경할 수 있습니다. 클래식 ACL이 있는 경우 이를 완전히 제거한 다음 올바른 순서로 명령을 다시 입력해야 합니다.

문제 4번에 대한 해결책은 문제 192.168.1.130번의 ACL 시작 부분에 Permit 26/1 줄을 배치하는 것입니다. 이 경우에만 PC0의 트래픽이 라우터 R2의 출력 인터페이스를 자유롭게 떠날 수 있기 때문입니다. PC1의 IP 주소는 목록의 두 번째 줄에 포함된 금지 대상이므로 PCXNUMX의 트래픽은 완전히 차단됩니다.

이제 Packet Tracer로 이동하여 필요한 설정을 수행하겠습니다. 단순화된 이전 다이어그램은 이해하기 조금 어려웠기 때문에 이미 모든 장치의 IP 주소를 구성했습니다. 또한 두 라우터 사이에 RIP를 구성했습니다. 주어진 네트워크 토폴로지에서는 4개 서브넷의 모든 장치 간 통신이 아무런 제한 없이 가능합니다. 그러나 ACL을 적용하자마자 트래픽이 필터링되기 시작합니다.

재무 부서 PC1부터 시작하여 서버실에 있는 Server192.168.1.194에 속하는 IP 주소 0로 ping을 시도하겠습니다. 보시다시피 아무런 문제 없이 ping이 성공했습니다. 또한 관리 부서에서 Laptop0에 ping을 성공적으로 수행했습니다. 첫 번째 패킷은 ARP로 인해 삭제되고 나머지 3개는 자유롭게 ping됩니다.

트래픽 필터링을 구성하기 위해 R2 라우터 설정으로 이동하여 전역 구성 모드를 활성화하고 최신 ACL 목록을 생성하겠습니다. 또한 클래식한 모양의 ACL 10도 있습니다. 첫 번째 목록을 생성하려면 종이에 적어 둔 것과 동일한 목록 이름인 ip access-list Standard ACL Secure_Ma_And_Se를 지정해야 하는 명령을 입력합니다. 그 후 시스템은 가능한 매개변수를 묻는 메시지를 표시합니다. 거부, 종료, 아니오, 허용 또는 설명을 선택할 수 있으며 1부터 2147483647까지의 시퀀스 번호를 입력할 수도 있습니다. 이를 수행하지 않으면 시스템이 자동으로 할당합니다.

따라서 이 권한은 특정 PC192.168.1.130 장치에 유효하므로 이 번호를 입력하지 않고 즉시 허용 호스트 0 명령으로 이동합니다. 역방향 와일드카드 마스크를 사용할 수도 있습니다. 이제 그 방법을 보여드리겠습니다.

다음으로, 거부 192.168.1.128 명령을 입력합니다. /26이 있으므로 역방향 마스크를 사용하고 이를 거부 192.168.1.128 0.0.0.63으로 명령을 보완합니다. 따라서 네트워크 192.168.1.128/26에 대한 트래픽을 거부합니다.

마찬가지로, 거부 192.168.1.0 0.0.0.127 네트워크의 트래픽을 차단합니다. 다른 모든 트래픽은 허용되므로 allowed any 명령을 입력합니다. 다음으로 이 목록을 인터페이스에 적용해야 하므로 int s0/1/0 명령을 사용합니다. 그런 다음 ip access-group Secure_Ma_And_Se를 입력하면 시스템에서 인터페이스(수신 패킷의 경우 in, 발신의 경우 out)를 선택하라는 메시지를 표시합니다. 출력 인터페이스에 ACL을 적용해야 하므로 ip access-group Secure_Ma_And_Se out 명령을 사용합니다.

PC0 명령줄로 이동하여 Server192.168.1.194 서버에 속한 IP 주소 0를 ping해 보겠습니다. PC0 트래픽에 특수 ACL 조건을 사용했기 때문에 ping이 성공했습니다. PC1에서 동일한 작업을 수행하면 시스템에서 "대상 호스트를 사용할 수 없습니다"라는 오류가 발생합니다. 회계 부서의 나머지 IP 주소에서 들어오는 트래픽이 서버실에 액세스하는 것이 차단되기 때문입니다.

R2 라우터의 CLI에 로그인하고 show ip address-lists 명령을 입력하면 금융 부서 네트워크 트래픽이 어떻게 라우팅되었는지 확인할 수 있습니다. 이는 권한에 따라 핑이 몇 번 통과되었는지, 몇 번이나 통과되었는지를 보여줍니다. 금지사항에 따라 차단되었습니다.

언제든지 라우터 설정으로 이동하여 액세스 목록을 볼 수 있습니다. 따라서 작업 1번과 4번의 조건이 충족됩니다. 한 가지 더 보여드리겠습니다. 문제를 해결하려면 R2 설정의 전역 구성 모드로 가서 ip access-list Standard Secure_Ma_And_Se 명령을 입력한 다음 "호스트 192.168.1.130은 허용되지 않습니다" 명령을 입력하면 됩니다. 호스트 192.168.1.130은 허용되지 않습니다.

액세스 목록을 다시 보면 10번째 줄이 사라지고 20,30, 40, XNUMX번째 줄만 남았으므로 라우터 설정에서 ACL 액세스 목록을 편집할 수 있지만 컴파일되지 않은 경우에만 가능합니다. 고전적인 형태로.

이제 세 번째 ACL로 넘어가겠습니다. 이 ACL은 R2 라우터에도 관련되기 때문입니다. 이는 Laptop3의 모든 트래픽이 영업 부서의 네트워크를 벗어나서는 안 된다고 명시하고 있습니다. 이 경우 Laptop2는 재무 부서의 컴퓨터와 문제 없이 통신해야 합니다. 이를 테스트하기 위해 이 노트북에서 IP 주소 192.168.1.130으로 ping을 실행하고 모든 것이 작동하는지 확인합니다.

이제 Laptop3의 명령줄로 이동하여 주소 192.168.1.130을 ping하겠습니다. Ping은 성공했지만 작업 조건에 따라 Laptop3은 동일한 영업 부서 네트워크에 있는 Laptop2하고만 통신할 수 있으므로 필요하지 않습니다. 이렇게 하려면 기존 방법을 사용하여 또 다른 ACL을 생성해야 합니다.

R2 설정으로 돌아가서 Permit Host 10 명령을 사용하여 삭제된 항목 192.168.1.130을 복구해 보겠습니다. 이 항목은 목록 끝의 50번에 나타나는 것을 볼 수 있습니다. 그러나 특정 호스트를 허용하는 줄이 목록의 끝에 있고 모든 네트워크 트래픽을 금지하는 줄이 맨 위에 있으므로 액세스는 여전히 작동하지 않습니다. 목록의. PC0에서 관리 부서의 Laptop0에 대해 ping을 시도하면 ACL 50번에 허용 항목이 있음에도 불구하고 "대상 호스트에 액세스할 수 없습니다"라는 메시지를 받게 됩니다.

따라서 기존 ACL을 편집하려면 R2 모드(config-std-nacl)에서 no allowed 호스트 192.168.1.130 명령을 입력하고, 목록에서 50행이 사라졌는지 확인한 후 10 allowed 명령을 입력해야 합니다. 호스트 192.168.1.130. 이제 목록이 원래 형식으로 돌아가서 이 항목이 첫 번째로 순위가 매겨진 것을 볼 수 있습니다. 시퀀스 번호는 어떤 형식으로든 목록을 편집하는 데 도움이 되므로 최신 형식의 ACL이 기존 형식보다 훨씬 편리합니다.

이제 ACL 10 목록의 클래식 형식이 작동하는 방식을 보여 드리겠습니다. 클래식 목록을 사용하려면 access–list 10? 명령을 입력하고 프롬프트에 따라 원하는 작업(거부, 허용 또는 설명)을 선택해야 합니다. 그런 다음 access–list 10denyhost줄을 입력한 후 access–list 10deny 192.168.1.3 명령을 입력하고 역방향 마스크를 추가합니다. 호스트가 있으므로 정방향 서브넷 마스크는 255.255.255.255이고 역방향 서브넷 마스크는 0.0.0.0입니다. 결과적으로 호스트 트래픽을 거부하려면 access–list 10deny 192.168.1.3 0.0.0.0 명령을 입력해야 합니다. 그런 다음 권한을 지정해야 하며 이에 대해 access–list 10 allowed any 명령을 입력합니다. 이 목록은 라우터 R0의 G1/2 인터페이스에 적용되어야 하므로 g0/1, ip access-group 10 in에 명령을 순차적으로 입력합니다. 클래식이든 최신이든 어떤 목록이 사용되는지에 관계없이 이 목록을 인터페이스에 적용하는 데 동일한 명령이 사용됩니다.

설정이 올바른지 확인하기 위해 Laptop3 명령줄 터미널로 이동하여 IP 주소 192.168.1.130으로 ping을 시도합니다. 보시다시피 시스템은 대상 호스트에 연결할 수 없다고 보고합니다.

목록을 확인하려면 show ip access-lists 및 show access-lists 명령을 모두 사용할 수 있음을 상기시켜 드리겠습니다. R1 라우터와 관련된 문제를 하나 더 해결해야 합니다. 이를 위해 이 라우터의 CLI로 이동하여 전역 구성 모드로 이동하고 ip access-list Standard Secure_Ma_From_Se 명령을 입력합니다. 네트워크 192.168.1.192/27이 있으므로 해당 서브넷 마스크는 255.255.255.224입니다. 즉, 역방향 마스크는 0.0.0.31이 되며, 거부 192.168.1.192 0.0.0.31 명령을 입력해야 합니다. 다른 모든 트래픽은 허용되므로 목록은 allowed any 명령으로 끝납니다. 라우터의 출력 인터페이스에 ACL을 적용하려면 ip access-group Secure_Ma_From_Se out 명령을 사용하세요.

이제 Server0의 명령줄 터미널로 이동하여 IP 주소 0에서 관리 부서의 Laptop192.168.1.226에 ping을 시도하겠습니다. 시도는 실패했지만 192.168.1.130 주소로 ping을 하면 문제없이 연결이 이루어졌습니다. 즉, 서버 컴퓨터가 관리 부서와의 통신을 금지했지만 다른 부서의 다른 모든 장치와의 통신은 허용했습니다. 이로써 우리는 4가지 문제를 모두 성공적으로 해결했습니다.

다른 것을 보여 드리겠습니다. 클래식과 모던의 두 가지 ACL 유형이 있는 R2 라우터 설정으로 이동합니다. 기본 형식에서 두 개의 항목 2과 10으로 구성된 ACL 10, 표준 IP 액세스 목록 10을 편집한다고 가정해 보겠습니다. do show run 명령을 사용하면 먼저 20개의 최신 액세스 목록이 있음을 알 수 있습니다. 일반 제목 Secure_Ma_And_Se 아래에 숫자가 없는 항목이 있고 아래에는 동일한 액세스 목록 4의 이름을 반복하는 고전 형식의 두 ACL 10 항목이 있습니다.

거부 호스트 192.168.1.3 항목을 제거하고 다른 네트워크의 장치에 대한 항목을 도입하는 등 일부 변경을 수행하려면 해당 항목에 대해서만 삭제 명령을 사용해야 합니다. no access-list 10 거부 ​​호스트 192.168.1.3 .10. 그런데 이 명령을 입력하자마자 모든 ACL XNUMX 항목이 완전히 사라지기 때문에 ACL의 클래식 보기는 편집하기가 매우 불편합니다. 현대적인 녹음 방식은 편집이 자유롭기 때문에 사용하기가 훨씬 더 편리합니다.

이 영상 강의의 내용을 익히기 위해서는 다시 시청하시고 힌트 없이 토론된 문제를 스스로 해결해 보시기를 권합니다. ACL은 CCNA 과정에서 중요한 주제이며, 예를 들어 역방향 와일드카드 마스크를 만드는 절차로 인해 많은 사람들이 혼란스러워합니다. 장담합니다. 마스크 변형의 개념만 이해하면 모든 것이 훨씬 쉬워질 것입니다. CCNA 코스 주제를 이해하는 데 가장 중요한 것은 실습 교육이라는 점을 기억하세요. 연습만이 Cisco 개념을 이해하는 데 도움이 되기 때문입니다. 연습은 내 팀을 복사해서 붙여넣는 것이 아니라 자신만의 방식으로 문제를 해결하는 것입니다. 여기에서 저기로의 트래픽 흐름을 차단하려면 어떻게 해야 하는지, 어디에 조건을 적용해야 하는지 등 스스로에게 질문하고 답해 보세요.

우리와 함께있어 주셔서 감사합니다. 우리 기사가 마음에 드십니까? 더 재미있는 콘텐츠를 보고 싶다면? 주문하거나 친구에게 추천하여 우리를 지원하십시오. 귀사를 위해 당사가 개발한 고유한 보급형 서버 아날로그에서 Habr 사용자를 위한 30% 할인: VPS(KVM) E5-2650 v4(6코어) 10GB DDR4 240GB SSD 1Gbps에 대한 전체 진실 또는 서버 공유 방법은? (RAID1 및 RAID10에서 사용 가능, 최대 24개 코어 및 최대 40GB DDR4).

Dell R730xd가 2배 더 저렴합니까? 여기서 만 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV $199부터 네덜란드에서! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 최저 $99! 에 대해 읽다 인프라 공사를 구축하는 방법. 730페니에 5유로 상당의 Dell R2650xd E4-9000 vXNUMX 서버를 사용하는 클래스?

출처 : habr.com