ProHoster > Blogs > Administrācija > Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 2. daļa

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 2. daļa

Vēl viena lieta, ko es aizmirsu pieminēt, ir tas, ka ACL ne tikai filtrē trafiku, pamatojoties uz atļauÅ”anas / aizliegÅ”anas principu, bet arÄ« veic daudzas citas funkcijas. Piemēram, ACL tiek izmantots, lai Å”ifrētu VPN trafiku, bet, lai nokārtotu CCNA eksāmenu, jums tikai jāzina, kā tas tiek izmantots trafika filtrÄ“Å”anai. AtgriezÄ«simies pie 1. uzdevuma.

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 2. daļa

Mēs noskaidrojām, ka trafiku no grāmatvedÄ«bas un pārdoÅ”anas nodaļām var bloķēt R2 izvades saskarnē, izmantojot Ŕādu ACL.

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 2. daļa

Neuztraucieties par Ŕī saraksta formātu, tas ir tikai kā piemērs, lai palÄ«dzētu jums saprast, kas ir ACL. TiklÄ«dz sāksim darbu ar Packet Tracer, mēs nonāksim pie pareizā formāta.

Uzdevums Nr.2 izklausās Ŕādi: serveru telpa var sazināties ar jebkuriem saimniekiem, izņemot vadÄ«bas nodaļas saimniekus. Tas nozÄ«mē, ka serveru telpas datoriem var bÅ«t piekļuve jebkuriem datoriem pārdoÅ”anas un grāmatvedÄ«bas nodaļās, bet tiem nevajadzētu piekļūt vadÄ«bas nodaļas datoriem. Tas nozÄ«mē, ka serveru telpas IT darbiniekiem nevajadzētu attālināti piekļūt vadÄ«bas nodaļas vadÄ«tāja datoram, bet problēmu gadÄ«jumā nākt uz viņa kabinetu un novērst problēmu uz vietas. Ņemiet vērā, ka Å”is uzdevums nav praktisks, jo es nezinu, kāpēc serveru telpa nevarētu sazināties tÄ«klā ar pārvaldÄ«bas nodaļu, tāpēc Å”ajā gadÄ«jumā mēs skatāmies tikai uz gadÄ«juma izpēti.

Lai atrisinātu Å”o problēmu, vispirms ir jānosaka satiksmes ceļŔ. Dati no servera telpas nonāk marÅ”rutētāja R0 ievades saskarnē G1/1 un tiek nosÅ«tÄ«ti pārvaldÄ«bas nodaļai caur izvades saskarni G0/0.

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 2. daļa

Ja ievades saskarnei G192.168.1.192/27 piemērosim nosacÄ«jumu Liegt 0/1 un, kā atceraties, standarta ACL tiek novietots tuvāk trafika avotam, mēs bloķēsim visu trafiku, tostarp uz pārdoÅ”anas un grāmatvedÄ«bas nodaļu.

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 2. daļa

Tā kā mēs vēlamies bloķēt tikai trafiku, kas vērsta uz pārvaldÄ«bas nodaļu, mums ir jāpiemēro ACL izvades saskarnei G0/0. Å o problēmu var atrisināt, tikai novietojot ACL tuvāk galamērÄ·im. Tajā paŔā laikā trafikam no grāmatvedÄ«bas un pārdoÅ”anas nodaļu tÄ«kla ir brÄ«vi jāsasniedz vadÄ«bas nodaļa, tāpēc saraksta pēdējā rindā bÅ«s komanda Atļaut jebkuru - atļaut jebkuru trafiku, izņemot iepriekŔējā nosacÄ«jumā norādÄ«to trafiku.

Pārejam pie uzdevuma Nr. 3: klēpjdatoram klēpjdatoram 3 no pārdoÅ”anas nodaļas nevajadzētu piekļūt citām ierÄ«cēm, izņemot tās, kas atrodas pārdoÅ”anas nodaļas lokālajā tÄ«klā. Pieņemsim, ka praktikants strādā pie Ŕī datora un viņam nevajadzētu pārsniegt savu LAN.
Å ajā gadÄ«jumā marÅ”rutētāja R0 ievades saskarnē G1/2 ir jāpiemēro ACL. Ja Å”im datoram pieŔķiram IP adresi 192.168.1.3/25, tad ir jāizpilda nosacÄ«jums Aizliegt 192.168.1.3/25, un trafiku no jebkuras citas IP adreses nedrÄ«kst bloķēt, tāpēc saraksta pēdējā rindiņa bÅ«s Atļaut. jebkura.

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 2. daļa

Tomēr trafika bloÄ·Ä“Å”ana neietekmēs klēpjdatoru2.

Nākamais būs uzdevums Nr.4: tikai finanŔu nodaļas datoram PC0 var būt pieeja serveru tīklam, bet ne vadības nodaļai.

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 2. daļa

Ja atceraties, ACL no 1. uzdevuma bloķē visu izejoÅ”o trafiku marÅ”rutētāja R0 interfeisā S1/0/2, taču uzdevums Nr. 4 saka, ka mums ir jānodroÅ”ina, lai cauri tiktu izieta tikai PC0 trafika, tāpēc mums ir jāizdara izņēmums.

Visiem uzdevumiem, kurus mēs tagad risinām, vajadzētu palÄ«dzēt jums reālā situācijā, iestatot ACL biroja tÄ«klam. ĒrtÄ«bas labad izmantoju klasisko ieraksta veidu, bet iesaku visas rindas pierakstÄ«t manuāli uz papÄ«ra vai ierakstÄ«t datorā, lai varētu veikt ierakstos labojumus. MÅ«su gadÄ«jumā saskaņā ar uzdevuma Nr.1 ā€‹ā€‹nosacÄ«jumiem tika sastādÄ«ts klasisks ACL saraksts. Ja mēs vēlamies tam pievienot izņēmumu PC0 tipam Permit , tad Å”o rindiņu varam ievietot tikai ceturtajā sarakstā, aiz rindas Atļaut jebkuru. Taču, tā kā Ŕī datora adrese ir iekļauta adreÅ”u diapazonā, lai pārbaudÄ«tu nosacÄ«jumu 0/192.168.1.128, tā trafika tiks bloķēta uzreiz pēc Ŕī nosacÄ«juma izpildes un marÅ”rutētājs vienkārÅ”i nesasniegs ceturtās rindas pārbaudi, ļaujot trafiku no Ŕīs IP adreses.
Tāpēc man bÅ«s pilnÄ«bā jāpārveido 1. uzdevuma ACL saraksts, izdzÄ“Å”ot pirmo rindu un aizstājot to ar rindu Atļauja 192.168.1.130/26, kas atļauj trafiku no PC0, un pēc tam atkārtoti jāievada rindas, kas aizliedz visu trafiku. no grāmatvedÄ«bas un pārdoÅ”anas nodaļām.

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 2. daļa

Tādējādi pirmajā rindā mums ir komanda noteiktai adresei, bet otrajā - vispārÄ«ga visam tÄ«klam, kurā atrodas Ŕī adrese. Ja izmantojat modernu ACL veidu, varat tajā viegli veikt izmaiņas, ievietojot rindu Atļaut 192.168.1.130/26 kā pirmo komandu. Ja jums ir klasisks ACL, jums tas bÅ«s pilnÄ«bā jānoņem un pēc tam vēlreiz jāievada komandas pareizajā secÄ«bā.

Problēmas Nr.4 risinājums ir rindiņas Atļauja 192.168.1.130/26 ievietoÅ”ana ACL sākumā no Problēmas Nr.1, jo tikai Å”ajā gadÄ«jumā trafiks no PC0 brÄ«vi atstās no marÅ”rutētāja R2 izejas interfeisa. PC1 trafika tiks pilnÄ«bā bloķēta, jo tā IP adrese ir pakļauta aizliegumam, kas ietverts saraksta otrajā rindā.

Tagad mēs pāriesim uz Packet Tracer, lai veiktu nepiecieÅ”amos iestatÄ«jumus. Esmu jau konfigurējis visu ierīču IP adreses, jo vienkārÅ”otās iepriekŔējās diagrammas bija nedaudz grÅ«ti saprotamas. Turklāt es konfigurēju RIP starp diviem marÅ”rutētājiem. Dotajā tÄ«kla topoloÄ£ijā saziņa starp visām 4 apakÅ”tÄ«klu ierÄ«cēm ir iespējama bez ierobežojumiem. Taču, tiklÄ«dz mēs pielietosim ACL, trafiku sāks filtrēt.

SākÅ”u ar finanÅ”u nodaļu PC1 un mēģināŔu nopingot IP adresi 192.168.1.194, kas pieder Server0, kas atrodas servera telpā. Kā redzat, ping ir veiksmÄ«gs bez problēmām. Es arÄ« veiksmÄ«gi pingu Laptop0 no pārvaldÄ«bas nodaļas. Pirmā pakete tiek izmesta ARP dēļ, pārējās 3 tiek brÄ«vi pingētas.

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 2. daļa

Lai organizētu trafika filtrÄ“Å”anu, es ieeju R2 marÅ”rutētāja iestatÄ«jumos, aktivizēju globālās konfigurācijas režīmu un gatavojos izveidot modernu ACL sarakstu. Mums ir arÄ« klasiska izskata ACL 10. Lai izveidotu pirmo sarakstu, es ievadu komandu, kurā jānorāda tas pats saraksta nosaukums, ko mēs pierakstÄ«jām uz papÄ«ra: ip access-list standarta ACL Secure_Ma_And_Se. Pēc tam sistēma pieprasa norādÄ«t iespējamos parametrus: es varu izvēlēties liegt, iziet, nē, atļaut vai piezÄ«mi, kā arÄ« ievadÄ«t kārtas numuru no 1 lÄ«dz 2147483647. Ja es to nedarÄ«Å”u, sistēma to pieŔķirs automātiski.

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 2. daļa

Tāpēc es neievadu Å”o numuru, bet nekavējoties dodos uz atļaujas resursdatora 192.168.1.130 komandu, jo Ŕī atļauja ir derÄ«ga konkrētai PC0 ierÄ«cei. Es varu izmantot arÄ« apgriezto aizstājējzÄ«mju masku, tagad es jums parādÄ«Å”u, kā to izdarÄ«t.

Tālāk es ievadu komandu deny 192.168.1.128. Tā kā mums ir /26, izmantoju reverso masku un papildinu ar to komandu: deny 192.168.1.128 0.0.0.63. Tādējādi es liedzu trafiku uz tīklu 192.168.1.128/26.

LÄ«dzÄ«gi es bloķēju trafiku no Ŕāda tÄ«kla: deny 192.168.1.0 0.0.0.127. Visa pārējā satiksme ir atļauta, tāpēc es ievadu komandu atļauju jebkuru. Tālāk man ir jāpiemēro Å”is saraksts saskarnei, tāpēc es izmantoju komandu int s0/1/0. Pēc tam es ierakstu ip access-group Secure_Ma_And_Se, un sistēma liek man izvēlēties interfeisu - ienākoÅ”ajām paketēm un out izejoÅ”ajām paketēm. Mums ir jāpiemēro ACL izvades saskarnei, tāpēc es izmantoju ip access-group komandu Secure_Ma_And_Se out.

Dosimies uz PC0 komandrindu un ping IP adreses 192.168.1.194, kas pieder Server0 serverim. Ping ir veiksmÄ«gs, jo mēs izmantojām Ä«paÅ”u ACL nosacÄ«jumu PC0 trafikam. Ja es daru to paÅ”u no PC1, sistēma Ä£enerēs kļūdu: "galamērÄ·a resursdators nav pieejams", jo trafika no atlikuÅ”ajām grāmatvedÄ«bas nodaļas IP adresēm tiek bloķēta, lai piekļūtu serveru telpai.

Piesakoties R2 marÅ”rutētāja CLI un ierakstot komandu show ip address-lists, jÅ«s varat redzēt, kā tika marÅ”rutēta finanÅ”u nodaļas tÄ«kla trafika - tas parāda, cik reižu ping tika nodots saskaņā ar atļauju un cik reizes tas tika veikts. bloķēts saskaņā ar aizliegumu.

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 2. daļa

Mēs vienmēr varam doties uz marÅ”rutētāja iestatÄ«jumiem un redzēt piekļuves sarakstu. Tādējādi ir izpildÄ«ti uzdevuma Nr.1 ā€‹ā€‹un Nr.4 nosacÄ«jumi. Ä»aujiet man jums parādÄ«t vēl vienu lietu. Ja vēlos kaut ko labot, varu pāriet uz R2 iestatÄ«jumu globālās konfigurācijas režīmu, ievadÄ«t komandu ip access-list standard Secure_Ma_And_Se un pēc tam komandu ā€œhost 192.168.1.130 is not atļautaā€ - nav atļaujas resursdators 192.168.1.130.

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 2. daļa

Ja mēs vēlreiz apskatÄ«sim piekļuves sarakstu, mēs redzēsim, ka 10. rindiņa ir pazudusi, mums ir palikuÅ”as tikai 20,30., 40. un XNUMX. rindas. Tādējādi marÅ”rutētāja iestatÄ«jumos varat rediģēt ACL piekļuves sarakstu, bet tikai tad, ja tas nav apkopots klasiskajā formā.

Tagad pāriesim pie treŔā ACL, jo tas attiecas arÄ« uz R2 marÅ”rutētāju. Tajā teikts, ka datplÅ«smai no klēpjdatora 3 nevajadzētu atstāt pārdoÅ”anas nodaļas tÄ«klu. Å ajā gadÄ«jumā Laptop2 bez problēmām jāsazinās ar finanÅ”u nodaļas datoriem. Lai to pārbaudÄ«tu, no Ŕī klēpjdatora nosÅ«tu ping IP adresi 192.168.1.130 un pārliecinos, ka viss darbojas.

Tagad es doÅ”os uz klēpjdatora 3 komandrindu un pingu uz adresi 192.168.1.130. Pinging ir veiksmÄ«gs, bet mums tas nav vajadzÄ«gs, jo saskaņā ar uzdevuma nosacÄ«jumiem Laptop3 var sazināties tikai ar Laptop2, kas atrodas tajā paŔā tirdzniecÄ«bas nodaļu tÄ«klā. Lai to izdarÄ«tu, jums ir jāizveido vēl viens ACL, izmantojot klasisko metodi.

Es atgriezÄ«Å”os pie R2 iestatÄ«jumiem un mēģināŔu atgÅ«t izdzēsto ierakstu 10, izmantojot atļaujas resursdatora 192.168.1.130 komandu. JÅ«s redzat, ka Å”is ieraksts parādās saraksta beigās ar numuru 50. Tomēr piekļuve joprojām nedarbosies, jo rinda, kas atļauj konkrētu resursdatoru, atrodas saraksta beigās, bet rinda, kas aizliedz visu tÄ«kla trafiku, atrodas augÅ”pusē. no saraksta. Ja mēģināsim pieslēgt pārvaldÄ«bas nodaļas klēpjdatoru0 no PC0, mēs saņemsim ziņojumu ā€œgalamērÄ·a resursdators nav pieejamsā€, neskatoties uz to, ka ACL ar numuru 50 ir atļauja.

Tāpēc, ja vēlaties rediģēt esoÅ”u ACL, R2 režīmā (config-std-nacl) jāievada komanda no atļaujas resursdators 192.168.1.130, jāpārbauda, ā€‹ā€‹vai 50. rindiņa ir pazudusi no saraksta, un jāievada komanda 10. atļauja. saimniekdators 192.168.1.130. Mēs redzam, ka saraksts tagad ir atgriezies sākotnējā formā, un Å”is ieraksts ir ierindots pirmajā vietā. SecÄ«bas numuri palÄ«dz rediģēt sarakstu jebkurā formā, tāpēc modernā ACL forma ir daudz ērtāka nekā klasiskā.

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 2. daļa

Tagad es parādÄ«Å”u, kā darbojas klasiskā ACL 10 saraksta forma. Pēc tam es ievadu lÄ«niju piekļuves saraksts 10 deny host, pēc tam ierakstu komandu accessā€“list 10 deny 10 un pievienoju reverso masku. Tā kā mums ir resursdators, tieŔā apakÅ”tÄ«kla maska ā€‹ā€‹ā€‹ā€‹ir 192.168.1.3, bet otrā - 255.255.255.255. Rezultātā, lai liegtu saimniekdatora trafiku, man jāievada komanda accessā€“list 0.0.0.0 deny 10 192.168.1.3. Pēc tam jums jānorāda atļaujas, kurām es ierakstu komandu accessā€“list 0.0.0.0 atļauj jebkuru. Å is saraksts ir jāpiemēro marÅ”rutētāja R10 interfeisam G0/1, tāpēc es secÄ«gi ievadu komandas g2/0, ip piekļuves grupā 1 collas. NeatkarÄ«gi no tā, kurÅ” saraksts tiek izmantots ā€” klasiskais vai modernais, Ŕī saraksta lietoÅ”anai saskarnē tiek izmantotas tās paÅ”as komandas.

Lai pārbaudītu, vai iestatījumi ir pareizi, es dodos uz Laptop3 komandrindas termināli un mēģinu ping IP adresi 192.168.1.130 - kā redzat, sistēma ziņo, ka mērķa resursdators nav sasniedzams.

AtgādināŔu, ka, lai pārbaudÄ«tu sarakstu, varat izmantot gan komandas show ip access-lists, gan show access-lists. Mums ir jāatrisina vēl viena problēma, kas attiecas uz R1 marÅ”rutētāju. Lai to izdarÄ«tu, es dodos uz Ŕī marÅ”rutētāja CLI un pāreju uz globālo konfigurācijas režīmu un ievadu komandu ip access-list standarta Secure_Ma_From_Se. Tā kā mums ir tÄ«kls 192.168.1.192/27, tā apakÅ”tÄ«kla maska ā€‹ā€‹bÅ«s 255.255.255.224, kas nozÄ«mē, ka apgrieztā maska ā€‹ā€‹bÅ«s 0.0.0.31 un mums jāievada komanda deny 192.168.1.192 0.0.0.31. Tā kā visa pārējā satiksme ir atļauta, saraksts beidzas ar komandu atļauja jebkuru. Lai marÅ”rutētāja izvades saskarnei lietotu ACL, izmantojiet komandu ip access-group Secure_Ma_From_Se out.

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 2. daļa

Tagad es doÅ”os uz Server0 komandrindas termināli un mēģināŔu veikt vadÄ«bas nodaļas Laptop0 ping ar IP adresi 192.168.1.226. Mēģinājums bija neveiksmÄ«gs, bet, ja uzpingu adresi 192.168.1.130, savienojums tika izveidots bez problēmām, tas ir, mēs aizliedzām servera datoram sazināties ar vadÄ«bas nodaļu, bet atļāvām sazināties ar visām pārējām ierÄ«cēm citās nodaļās. Tādējādi esam veiksmÄ«gi atrisinājuÅ”i visas 4 problēmas.

Ä»aujiet man jums parādÄ«t kaut ko citu. Mēs iedziļināmies R2 marÅ”rutētāja iestatÄ«jumos, kur mums ir 2 ACL veidi - klasiskais un modernais. Pieņemsim, ka es vēlos rediģēt ACL 10, standarta IP piekļuves sarakstu 10, kas klasiskajā formā sastāv no diviem ierakstiem 10 un 20. Ja es izmantoju komandu do show run, es redzu, ka vispirms mums ir moderns piekļuves saraksts ar 4. ieraksti bez numuriem vispārējā virsrakstā Secure_Ma_And_Se, un tālāk ir divi klasiskās formas ACL 10 ieraksti, kas atkārto tā paÅ”a piekļuves saraksta 10 nosaukumu.

Cisco apmācība 200-125 CCNA v3.0. 27. diena. Ievads ACL. 2. daļa

Ja vēlos veikt dažas izmaiņas, piemēram, noņemt resursdatora 192.168.1.3 aizlieguma ierakstu un ieviest ierakstu ierÄ«cei citā tÄ«klā, man ir jāizmanto komanda delete tikai Å”im ierakstam: nav piekļuves saraksta 10 liegt resursdatoru 192.168.1.3. .10. Bet, tiklÄ«dz es ievadu Å”o komandu, visi ACL XNUMX ieraksti pilnÄ«bā pazÅ«d. Tāpēc klasisko ACL skatu ir ļoti neērti rediģēt. MÅ«sdienu ierakstÄ«Å”anas metode ir daudz ērtāk lietojama, jo tā ļauj rediģēt bez maksas.

Lai apgÅ«tu Ŕīs video nodarbÄ«bas materiālu, iesaku noskatÄ«ties vēlreiz un mēģināt apspriestās problēmas atrisināt patstāvÄ«gi, bez mājieniem. ACL ir svarÄ«ga tēma CCNA kursā, un daudzus mulsina, piemēram, apgrieztās aizstājējzÄ«mju maskas izveides procedÅ«ra. Es jums apliecinu, vienkārÅ”i saprotiet maskas transformācijas jēdzienu, un viss kļūs daudz vieglāk. Atcerieties, ka vissvarÄ«gākais CCNA kursu tēmu izpratnē ir praktiskā apmācÄ«ba, jo tikai prakse palÄ«dzēs jums saprast to vai citu Cisco koncepciju. Prakse nav manu komandu kopÄ“Å”ana-ielÄ«mÄ“Å”ana, bet gan problēmu risināŔana savā veidā. Uzdodiet sev jautājumus: kas jādara, lai bloķētu satiksmes plÅ«smu no Å”ejienes uz turieni, kur piemērot nosacÄ«jumus utt., un mēģiniet uz tiem atbildēt.


Paldies, ka palikāt kopā ar mums. Vai jums patīk mūsu raksti? Vai vēlaties redzēt interesantāku saturu? Atbalsti mūs, pasūtot vai iesakot draugiem, 30% atlaide Habr lietotājiem unikālam sākuma līmeņa serveru analogam, ko mēs jums izgudrojām: Visa patiesība par VPS (KVM) E5-2650 v4 (6 kodoli) 10GB DDR4 240GB SSD 1Gbps no 20$ vai kā koplietot serveri? (pieejams ar RAID1 un RAID10, līdz 24 kodoliem un līdz 40 GB DDR4).

Dell R730xd 2 reizes lētāk? Tikai Å”eit 2x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV no 199$ NÄ«derlandē! Dell R420 ā€” 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB ā€” no 99 USD! LasÄ«t par Kā izveidot infrastruktÅ«ras uzņēmumu klase ar Dell R730xd E5-2650 v4 serveru izmantoÅ”anu 9000 eiro par santÄ«mu?

Avots: www.habr.com

Pievieno komentāru