Дагы бир айта кетчү нерсе, ACL уруксат берүү/баш тартуу негизинде трафикти чыпкалап тим болбостон, дагы көптөгөн функцияларды аткарат. Мисалы, ACL VPN трафигин шифрлөө үчүн колдонулат, бирок CCNA экзаменинен өтүү үчүн, ал трафикти чыпкалоо үчүн кандайча колдонуларын билишиңиз керек. №1 маселеге кайрылып көрөлү.
Биз бухгалтердик эсеп жана сатуу бөлүмүнүн трафигин R2 чыгаруу интерфейсинде төмөнкү ACL тизмесин колдонуу менен бөгөттөсө болорун билдик.
Бул тизменин форматы жөнүндө кабатыр болбоңуз, бул жөн гана ACL деген эмне экенин түшүнүүгө жардам берүү үчүн. Биз Packet Tracer менен баштагандан кийин туура форматка өтөбүз.
No2 тапшырма мындай угулат: сервердик бөлмө башкаруу бөлүмүнүн хостторунан башка бардык хосттор менен байланыша алат. Башкача айтканда, сервердик бөлмөнүн компьютерлери сатуу жана бухгалтердик бөлүмдөрдөгү каалаган компьютерлерге кире алат, бирок башкаруу бөлүмүндөгү компьютерлерге кирүү мүмкүнчүлүгү болбошу керек. Бул сервердик бөлмөнүн IT-кызматкерлери башкаруу бөлүмүнүн башчысынын компьютерине аралыктан кирүү мүмкүнчүлүгүнө ээ болбостон, көйгөйлөр жаралса, анын кабинетине келип, көйгөйдү жеринде оңдоп коюшу керек дегенди билдирет. Көңүл буруңуз, бул тапшырма практикалык эмес, анткени мен сервердик бөлмөнүн тармак аркылуу башкаруу бөлүмү менен байланыша албай калышынын эч кандай себебин билбейм, андыктан бул учурда биз иштин изилдөөсүн карап жатабыз.
Бул көйгөйдү чечүү үчүн алгач жол кыймылын аныктоо керек. Сервердик бөлмөдөн алынган маалыматтар R0 роутердин G1/1 кириш интерфейсине келип, G0/0 чыгаруу интерфейси аркылуу башкаруу бөлүмүнө жөнөтүлөт.
Эгерде биз Deny 192.168.1.192/27 шартын G0/1 киргизүү интерфейсине колдонсок, жана эсиңизде болсо, стандарттык ACL трафик булагына жакыныраак жайгаштырылса, биз бардык трафикти, анын ичинде сатуу жана бухгалтердик эсепке да бөгөт коёбуз.
Биз башкаруу бөлүмүнө багытталган трафикти гана блоктоону каалагандыктан, G0/0 чыгуу интерфейсине ACL колдонушубуз керек. Бул көйгөй ACLди көздөгөн жерге жакыныраак коюу менен гана чечилет. Ошол эле учурда, бухгалтердик эсеп жана сатуу бөлүмүнүн тармагынан трафик башкаруу бөлүмүнө эркин жетиши керек, ошондуктан тизменин акыркы сабы мурунку шартта көрсөтүлгөн трафикти кошпогондо, каалаган трафикке уруксат берүү буйругун түзөт.
№3 тапшырмага өтөбүз: сатуу бөлүмүнүн 3-ноутбугу сатуу бөлүмүнүн локалдык тармагында жайгашкан түзмөктөрдөн башка түзмөктөргө кире албашы керек. Келгиле, стажер бул компьютерде иштеп жатат жана анын LAN чегинен чыкпашы керек деп ойлойлу.
Бул учурда, R0 роутердин G1/2 киргизүү интерфейсинде ACL колдонушуңуз керек. Бул компьютерге 192.168.1.3/25 IP дарегин ыйгасак, анда 192.168.1.3/25 шарты аткарылышы керек жана башка IP даректерден келген трафик бөгөттөлбөшү керек, андыктан тизменин акыркы сабы Уруксат болот. каалаган.
Бирок, трафикти бөгөттөө Laptop2ге эч кандай таасир этпейт.
Кийинки тапшырма №4 тапшырма болот: сервердик тармакка финансылык бөлүмдүн PC0 компьютери гана кире алат, бирок башкаруу бөлүмү эмес.
Эсиңизде болсо, №1 тапшырмадагы ACL R0 роутердин S1/0/2 интерфейсиндеги бардык чыгуучу трафикти бөгөттөйт, бирок №4 тапшырмада PC0 трафиги гана өтүшүн камсыз кылышыбыз керек, ошондуктан биз өзгөчөлүк кылышыбыз керек дейт.
Биз азыр чечип жаткан бардык милдеттер офис тармагына ACLлерди орнотууда реалдуу кырдаалда сизге жардам бериши керек. Ыңгайлуу болуу үчүн мен классикалык жазуу түрүн колдондум, бирок мен сизге бардык саптарды кол менен кагазга түшүрүүнү же жазууларга оңдоолорду киргизүү үчүн компьютерге терүүнү сунуштайм. Биздин учурда, №1 тапшырманын шарттарына ылайык, классикалык ACL тизмеси түзүлгөн. Биз PC0 түрүндөгү уруксат үчүн ага өзгөчө кошууну кааласак , анда биз бул сапты Ар кандай уруксат сызыгынан кийин тизмеде төртүнчү орунга гана коё алабыз. Бирок, бул компьютердин дареги 0/192.168.1.128 Жоюу шартын текшерүү үчүн даректер диапазонуна киргендиктен, бул шарт аткарылгандан кийин анын трафиги дароо бөгөттөлөт жана роутер жөн гана төртүнчү сап текшерүүсүнө жетпей калат. бул IP даректен трафик.
Ошондуктан, мен №1 тапшырманын ACL тизмесин толугу менен өзгөртүшүм керек, биринчи сапты өчүрүп, аны PC192.168.1.130ден трафикке уруксат берген 26/0 линиясы менен алмаштырып, андан кийин бардык трафикке тыюу салган сызыктарды кайра киргизишим керек. бухгалтерия жана сатуу белумдерунен.
Ошентип, биринчи сапта бизде белгилүү бир дарек боюнча буйрук бар, ал эми экинчисинде - бул дарек жайгашкан бардык тармак үчүн жалпы. Эгерде сиз ACLдин заманбап түрүн колдонуп жатсаңыз, анда сиз биринчи буйрук катары уруксат 192.168.1.130/26 сызыгын коюу менен ага өзгөртүү киргизе аласыз. Эгер сизде классикалык ACL болсо, аны толугу менен алып салышыңыз керек, андан кийин буйруктарды туура тартипте кайра киргизиңиз.
№4 маселени чечүү үчүн №192.168.1.130 маселеден ACLдин башына Permit 26/1 линиясын коюу керек, анткени бул учурда гана PC0 трафик R2 роутердин чыгуу интерфейсинен эркин чыгып кетет. PC1 трафики толугу менен бөгөттөлөт, анткени анын IP дареги тизменин экинчи сабында камтылган тыюуга дуушар болот.
Биз азыр керектүү орнотууларды жасоо үчүн Packet Tracerге өтөбүз. Мен бардык түзмөктөрдүн IP даректерин конфигурациялап койдум, анткени жөнөкөйлөштүрүлгөн мурунку диаграммаларды түшүнүү бир аз кыйын болчу. Мындан тышкары, мен эки роутердин ортосунда RIP конфигурацияладым. Берилген тармак топологиясында 4 субсеттердин бардык түзүлүштөрүнүн ортосунда эч кандай чектөөлөрсүз байланыш мүмкүн. Бирок биз ACL колдонсок эле, трафик чыпкалана баштайт.
Мен PC1 каржы бөлүмүнөн баштайм жана сервердик бөлмөдө жайгашкан Server192.168.1.194го таандык 0 IP дарегин пинг кылууга аракет кылам. Көрүнүп тургандай, пинг эч кандай көйгөйсүз ийгиликтүү болот. Мен да ийгиликтүү башкаруу бөлүмүнөн Laptop0 пинг. Биринчи пакет ARP үчүн жокко чыгарылат, калган 3 пакет эркин пингге алынат.
Трафиктин чыпкалоосун уюштуруу үчүн мен R2 роутердин жөндөөлөрүнө кирип, глобалдык конфигурация режимин иштетем жана заманбап ACL тизмесин түзөм. Бизде классикалык ACL 10 да бар. Биринчи тизмени түзүү үчүн мен буйрукту киргизем, анда биз кагазга жазган тизменин атын көрсөтүү керек: ip access-list стандарттык ACL Secure_Ma_And_Se. Ушундан кийин, система мүмкүн болгон параметрлерди сунуштайт: Мен баш тартуу, чыгуу, жок, уруксат берүү же эскертүүлөрдү тандай алам, ошондой эле 1ден 2147483647ге чейин катар номерин киргизе алам. Эгер муну кылбасам, система аны автоматтык түрдө дайындайт.
Ошондуктан, мен бул номерди киргизбейм, бирок дароо уруксат берүүчү 192.168.1.130 буйругуна барам, анткени бул уруксат белгилүү бир PC0 түзмөгү үчүн жарактуу. Мен тескери Wildcard маскасын да колдоно алам, эми аны кантип жасоону көрсөтөм.
Андан кийин, мен 192.168.1.128 inkar буйругун киргизем. Бизде /26 болгондуктан, мен тескери масканы колдоном жана аны менен буйрукту толуктайм: deny 192.168.1.128 0.0.0.63. Ошентип, мен 192.168.1.128/26 тармагына трафикти четке кагам.
Ошо сыяктуу эле, мен төмөнкү тармактан трафикти бөгөттөйм: баш тартуу 192.168.1.0 0.0.0.127. Башка трафиктин баарына уруксат берилген, ошондуктан мен буйрук уруксатын каалагандай киргизем. Андан кийин мен бул тизмени интерфейске колдонушум керек, андыктан int s0/1/0 буйругун колдоном. Анан мен IP access-group Secure_Ma_And_Se деп терем, система мага интерфейсти тандоону сунуштайт - кирүүчү пакеттер үчүн кириш жана чыгуу үчүн. Биз чыгаруу интерфейсине ACL колдонушубуз керек, ошондуктан мен ip access-group Secure_Ma_And_Se out буйругун колдоном.
Келгиле, PC0 буйрук сабына барып, Server192.168.1.194 серверине тиешелүү 0 IP дарегин пинг кылалы. Пинг ийгиликтүү болду, анткени биз PC0 трафиги үчүн атайын ACL шартын колдондук. Эгерде мен PC1ден ушундай кылсам, система катаны жаратат: “деедалануучу хост жеткиликтүү эмес”, анткени бухгалтердик бөлүмдүн калган IP даректеринен трафик сервердик бөлмөгө кирүүгө бөгөттөлгөн.
R2 роутердин CLI'ине кирүү жана show ip address-lists буйругун терүү менен, сиз каржы бөлүмүнүн тармактык трафиги кантип багытталганын көрө аласыз - бул уруксатка ылайык пинг канча жолу өткөнүн жана канча жолу өткөнүн көрсөтөт. тыюу салууга ылайык бөгөттөлгөн.
Биз ар дайым роутердин жөндөөлөрүнө өтүп, кирүү тизмесин көрө алабыз. Ошентип, No1 жана No4 тапшырмалардын шарттары аткарылды. Мен сизге дагы бир нерсени көрсөтөйүн. Мен бир нерсени оңдоону кааласам, анда мен R2 жөндөөлөрүнүн глобалдык конфигурация режимине кирип, IP мүмкүндүк алуу тизмеси стандартын Secure_Ma_And_Se буйругун киргизип, андан кийин "192.168.1.130 хостуна уруксат берилбейт" буйругун киргизе алам - 192.168.1.130 уруксаты жок.
Эгер кирүү тизмеси менен дагы бир жолу карасак, анда 10-сап жоголуп кеткенин көрөбүз, бизде 20,30, 40 жана XNUMX-саптар гана калды.Ошентип, ACL кирүү тизмесин роутердин жөндөөлөрүнөн түзөтө аласыз, бирок ал компиляцияланбаса гана. классикалык түрдө.
Эми үчүнчү ACLге өтөбүз, анткени ал R2 роутерге да тиешелүү. Анда Laptop3тен келген ар кандай трафик сатуу бөлүмүнүн тармагынан кетпеши керектиги айтылат. Бул учурда, Laptop2 каржы бөлүмүнүн компьютерлери менен көйгөйсүз байланышы керек. Муну текшерүү үчүн мен бул ноутбуктан 192.168.1.130 IP дарегин пинг кылып, бардыгынын иштешин текшерем.
Эми мен Laptop3тин буйрук сабына өтүп, 192.168.1.130 дарегине ping коем. Пинг ийгиликтүү, бирок бизге кереги жок, анткени тапшырманын шарттарына ылайык, Laptop3 бир эле сатуу бөлүмүнүн тармагында жайгашкан Laptop2 менен гана байланыша алат. Бул үчүн, классикалык ыкманы колдонуу менен дагы бир ACL түзүү керек.
Мен R2 жөндөөлөрүнө кайтып барып, уруксат берүүчү 10 буйругун колдонуп, жок кылынган 192.168.1.130 жазууну калыбына келтирүүгө аракет кылам. Бул жазуу тизменин аягында 50 номеринде пайда болгонун көрүп турасыз. Бирок, кирүү дагы деле иштебейт, анткени белгилүү бир хостко уруксат берүүчү сызык тизменин аягында, ал эми бардык тармактык трафикке тыюу салган сызык жогоруда жайгашкан. тизмеден. Эгерде биз PC0ден башкаруу бөлүмүнүн Laptop0 компьютерине пинг коюуга аракет кылсак, ACLде 50-санында уруксат берилген жазуу бар экендигине карабастан, биз "дестинация хосту жеткиликтүү эмес" деген кабарды алабыз.
Ошондуктан, эгер сиз учурдагы ACLди түзөтүүнү кааласаңыз, R2 режиминде (config-std-nacl) 192.168.1.130 уруксаты жок хосттун буйругун киргизишиңиз керек, 50-сап тизмеден жок болгонун текшериңиз жана 10 уруксат буйругун киргизиңиз. хост 192.168.1.130. Тизме азыр баштапкы формасына кайтып келгенин көрүп жатабыз, бул жазуу биринчи орунда турат. Тартиптик номерлер тизмени каалаган формада түзөтүүгө жардам берет, ошондуктан ACLдин заманбап формасы классикалык формага караганда алда канча ыңгайлуу.
Эми мен ACL 10 тизмесинин классикалык формасы кантип иштээрин көрсөтөм.Классикалык тизмени колдонуу үчүн, сиз буйрукту киргизишиңиз керек access–list 10?, жана, буйруктан кийин, каалаган аракетти тандаңыз: баш тартуу, уруксат берүү же эскертүү. Андан кийин мен линияга кирүү – тизме 10 баш тартуу хостуна кирем, андан кийин мен access–list 10 deny 192.168.1.3 буйругун жазып, тескери масканы кошом. Бизде хост бар болгондуктан, алдыга ички тармак маскасы 255.255.255.255, ал эми тескерисинче 0.0.0.0. Натыйжада, хост трафигинен баш тартуу үчүн, мен кирүү буйругун киргизишим керек – тизме 10 deny 192.168.1.3 0.0.0.0. Андан кийин, сиз уруксаттарды көрсөтүшүңүз керек, алар үчүн мен кирүү буйругун жазам – 10 уруксаттын тизмеси. Бул тизме R0 роутердин G1/2 интерфейсине колдонулушу керек, ошондуктан мен буйруктарды ырааттуу түрдө g0/1, ip access-group 10-да киргизем. Кайсы тизме колдонулганына карабастан, классикалык же заманбап, ошол эле буйруктар бул тизмени интерфейске колдонуу үчүн колдонулат.
Орнотуулар туура экенин текшерүү үчүн, мен Laptop3 командалык сабынын терминалына барып, 192.168.1.130 IP дарегин пинг кылууга аракет кылам - сиз көрүп тургандай, система көздөгөн хостко жетүү мүмкүн эмес деп билдирет.
Эске сала кетейин, тизмени текшерүү үчүн IP кирүү тизмелерин көрсөтүү жана кирүү тизмелерин көрсөтүү буйруктарын да колдонсоңуз болот. Биз R1 роутерге тиешелүү дагы бир маселени чечишибиз керек. Бул үчүн, мен бул роутердин CLIге барып, глобалдык конфигурация режимине өтүп, IP мүмкүндүк алуу тизмесине стандарттык Secure_Ma_From_Se буйругун киргизем. Бизде 192.168.1.192/27 тармагы болгондуктан, анын ички тармак маскасы 255.255.255.224 болот, бул тескери маска 0.0.0.31 болот жана биз 192.168.1.192 0.0.0.31 inkar командасын киргизишибиз керек. Бардык башка трафик уруксат берилгендиктен, тизме кандайдыр бир буйрук менен аяктайт. Маршрутизатордун чыгуу интерфейсине ACL колдонуу үчүн, ip access-group Secure_Ma_From_Se out буйругун колдонуңуз.
Эми мен Server0'дун командалык сап терминалына барып, 0 IP дареги боюнча башкаруу бөлүмүнүн Laptop192.168.1.226 программасына пинг жүргүзүүгө аракет кылам. Аракет ийгиликсиз болду, бирок мен 192.168.1.130 дарегине пинг кылсам, байланыш көйгөйсүз түзүлдү, башкача айтканда, сервердик компьютерге башкаруу бөлүмү менен байланышууга тыюу салдык, бирок башка бөлүмдөрдөгү бардык башка түзмөктөр менен байланышууга уруксат бердик. Ошентип, биз бардык 4 маселени ийгиликтүү чечтик.
Мен сага дагы бир нерсени көрсөтөйүн. Биз R2 роутердин орнотууларына киребиз, анда бизде ACLдин 2 түрү бар - классикалык жана заманбап. Мен ACL 10, Стандарттык IP кирүү тизмеси 10ду түзөткүм келет дейли, ал классикалык түрдө эки жазуудан турат 10 жана 20. Эгерде мен do show run командасын колдонсом, алгач бизде 4 заманбап кирүү тизмеси бар экенин көрө алам. Secure_Ma_And_Se деген жалпы аталыштын астында номерсиз жазуулар, ал эми төмөндө классикалык формадагы эки ACL 10 жазуусу ошол эле 10 мүмкүндүк алуу тизмесинин атын кайталайт.
Эгерде мен кээ бир өзгөртүүлөрдү киргизгим келсе, мисалы, 192.168.1.3 баш тартуу хостун алып салуу жана башка тармактагы түзмөк үчүн жазууну киргизүү, мен ошол жазуу үчүн гана өчүрүү буйругун колдонушум керек: кирүү тизмеси жок 10 хост 192.168.1.3 баш тартуу .10. Бирок мен бул буйрукту киргизээрим менен, ACL XNUMX жазууларынын баары толугу менен жок болот.Ошондуктан ACL классикалык көрүнүшү түзөтүү үчүн өтө ыңгайсыз. Заманбап жазуу ыкмасын колдонуу алда канча ыңгайлуу, анткени ал акысыз редакциялоого мүмкүндүк берет.
Бул видеосабактагы материалды өздөштүрүү үчүн мен сизге аны дагы бир жолу көрүп, талкууланган маселелерди өз алдынча чечүүгө аракет кылууну кеңеш берем. ACL CCNA курсунун маанилүү темасы болуп саналат жана көптөр, мисалы, тескери Wildcard маскасын түзүү процедурасы менен чаташтырышат. Сизди ишендирип кетем, жөн гана масканы трансформациялоо түшүнүгүн түшүнүңүз, ошондо баары оңой болот. Эсиңизде болсун, CCNA курсунун темаларын түшүнүүдө эң маанилүү нерсе бул практикалык тренинг, анткени практика гана сизге тигил же бул Cisco концепциясын түшүнүүгө жардам берет. Практика бул менин командаларымды көчүрүү эмес, көйгөйлөрдү өз алдынча чечүү. Өзүңүзгө суроолорду бериңиз: бул жерден ал жакка трафик агымын жабуу үчүн эмне кылуу керек, шарттарды кайда колдонуу керек ж.б. жана аларга жооп берүүгө аракет кылыңыз.
Биз менен болгонуңуз үчүн рахмат. Биздин макалалар сизге жагабы? Көбүрөөк кызыктуу мазмунду көргүңүз келеби? Буйрутма берүү же досторуңузга сунуштоо менен бизди колдоңуз, Habr колдонуучулары үчүн биз сиз үчүн ойлоп тапкан баштапкы деңгээлдеги серверлердин уникалдуу аналогуна 30% арзандатуу: (RAID1 жана RAID10 менен жеткиликтүү, 24 өзөккө чейин жана 40 ГБ DDR4 чейин).
Dell R730xd 2 эсе арзанбы? Бул жерде гана Нидерландыда! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 доллардан! Жөнүндө окуу
Source: www.habr.com