VÄl viena lieta, ko es aizmirsu pieminÄt, ir tas, ka ACL ne tikai filtrÄ trafiku, pamatojoties uz atļauÅ”anas / aizliegÅ”anas principu, bet arÄ« veic daudzas citas funkcijas. PiemÄram, ACL tiek izmantots, lai Å”ifrÄtu VPN trafiku, bet, lai nokÄrtotu CCNA eksÄmenu, jums tikai jÄzina, kÄ tas tiek izmantots trafika filtrÄÅ”anai. AtgriezÄ«simies pie 1. uzdevuma.
MÄs noskaidrojÄm, ka trafiku no grÄmatvedÄ«bas un pÄrdoÅ”anas nodaļÄm var bloÄ·Ät R2 izvades saskarnÄ, izmantojot Å”Ädu ACL.
Neuztraucieties par Ŕī saraksta formÄtu, tas ir tikai kÄ piemÄrs, lai palÄ«dzÄtu jums saprast, kas ir ACL. TiklÄ«dz sÄksim darbu ar Packet Tracer, mÄs nonÄksim pie pareizÄ formÄta.
Uzdevums Nr.2 izklausÄs Å”Ädi: serveru telpa var sazinÄties ar jebkuriem saimniekiem, izÅemot vadÄ«bas nodaļas saimniekus. Tas nozÄ«mÄ, ka serveru telpas datoriem var bÅ«t piekļuve jebkuriem datoriem pÄrdoÅ”anas un grÄmatvedÄ«bas nodaļÄs, bet tiem nevajadzÄtu piekļūt vadÄ«bas nodaļas datoriem. Tas nozÄ«mÄ, ka serveru telpas IT darbiniekiem nevajadzÄtu attÄlinÄti piekļūt vadÄ«bas nodaļas vadÄ«tÄja datoram, bet problÄmu gadÄ«jumÄ nÄkt uz viÅa kabinetu un novÄrst problÄmu uz vietas. Å
emiet vÄrÄ, ka Å”is uzdevums nav praktisks, jo es nezinu, kÄpÄc serveru telpa nevarÄtu sazinÄties tÄ«klÄ ar pÄrvaldÄ«bas nodaļu, tÄpÄc Å”ajÄ gadÄ«jumÄ mÄs skatÄmies tikai uz gadÄ«juma izpÄti.
Lai atrisinÄtu Å”o problÄmu, vispirms ir jÄnosaka satiksmes ceļŔ. Dati no servera telpas nonÄk marÅ”rutÄtÄja R0 ievades saskarnÄ G1/1 un tiek nosÅ«tÄ«ti pÄrvaldÄ«bas nodaļai caur izvades saskarni G0/0.
Ja ievades saskarnei G192.168.1.192/27 piemÄrosim nosacÄ«jumu Liegt 0/1 un, kÄ atceraties, standarta ACL tiek novietots tuvÄk trafika avotam, mÄs bloÄ·Äsim visu trafiku, tostarp uz pÄrdoÅ”anas un grÄmatvedÄ«bas nodaļu.
TÄ kÄ mÄs vÄlamies bloÄ·Ät tikai trafiku, kas vÄrsta uz pÄrvaldÄ«bas nodaļu, mums ir jÄpiemÄro ACL izvades saskarnei G0/0. Å o problÄmu var atrisinÄt, tikai novietojot ACL tuvÄk galamÄrÄ·im. TajÄ paÅ”Ä laikÄ trafikam no grÄmatvedÄ«bas un pÄrdoÅ”anas nodaļu tÄ«kla ir brÄ«vi jÄsasniedz vadÄ«bas nodaļa, tÄpÄc saraksta pÄdÄjÄ rindÄ bÅ«s komanda Atļaut jebkuru - atļaut jebkuru trafiku, izÅemot iepriekÅ”ÄjÄ nosacÄ«jumÄ norÄdÄ«to trafiku.
PÄrejam pie uzdevuma Nr. 3: klÄpjdatoram klÄpjdatoram 3 no pÄrdoÅ”anas nodaļas nevajadzÄtu piekļūt citÄm ierÄ«cÄm, izÅemot tÄs, kas atrodas pÄrdoÅ”anas nodaļas lokÄlajÄ tÄ«klÄ. PieÅemsim, ka praktikants strÄdÄ pie Ŕī datora un viÅam nevajadzÄtu pÄrsniegt savu LAN.
Å ajÄ gadÄ«jumÄ marÅ”rutÄtÄja R0 ievades saskarnÄ G1/2 ir jÄpiemÄro ACL. Ja Å”im datoram pieŔķiram IP adresi 192.168.1.3/25, tad ir jÄizpilda nosacÄ«jums Aizliegt 192.168.1.3/25, un trafiku no jebkuras citas IP adreses nedrÄ«kst bloÄ·Ät, tÄpÄc saraksta pÄdÄjÄ rindiÅa bÅ«s Atļaut. jebkura.
TomÄr trafika bloÄ·ÄÅ”ana neietekmÄs klÄpjdatoru2.
NÄkamais bÅ«s uzdevums Nr.4: tikai finanÅ”u nodaļas datoram PC0 var bÅ«t pieeja serveru tÄ«klam, bet ne vadÄ«bas nodaļai.
Ja atceraties, ACL no 1. uzdevuma bloÄ·Ä visu izejoÅ”o trafiku marÅ”rutÄtÄja R0 interfeisÄ S1/0/2, taÄu uzdevums Nr. 4 saka, ka mums ir jÄnodroÅ”ina, lai cauri tiktu izieta tikai PC0 trafika, tÄpÄc mums ir jÄizdara izÅÄmums.
Visiem uzdevumiem, kurus mÄs tagad risinÄm, vajadzÄtu palÄ«dzÄt jums reÄlÄ situÄcijÄ, iestatot ACL biroja tÄ«klam. ÄrtÄ«bas labad izmantoju klasisko ieraksta veidu, bet iesaku visas rindas pierakstÄ«t manuÄli uz papÄ«ra vai ierakstÄ«t datorÄ, lai varÄtu veikt ierakstos labojumus. MÅ«su gadÄ«jumÄ saskaÅÄ ar uzdevuma Nr.1 āānosacÄ«jumiem tika sastÄdÄ«ts klasisks ACL saraksts. Ja mÄs vÄlamies tam pievienot izÅÄmumu PC0 tipam Permit , tad Å”o rindiÅu varam ievietot tikai ceturtajÄ sarakstÄ, aiz rindas Atļaut jebkuru. TaÄu, tÄ kÄ Å”Ä« datora adrese ir iekļauta adreÅ”u diapazonÄ, lai pÄrbaudÄ«tu nosacÄ«jumu 0/192.168.1.128, tÄ trafika tiks bloÄ·Äta uzreiz pÄc Ŕī nosacÄ«juma izpildes un marÅ”rutÄtÄjs vienkÄrÅ”i nesasniegs ceturtÄs rindas pÄrbaudi, ļaujot trafiku no Ŕīs IP adreses.
TÄpÄc man bÅ«s pilnÄ«bÄ jÄpÄrveido 1. uzdevuma ACL saraksts, izdzÄÅ”ot pirmo rindu un aizstÄjot to ar rindu Atļauja 192.168.1.130/26, kas atļauj trafiku no PC0, un pÄc tam atkÄrtoti jÄievada rindas, kas aizliedz visu trafiku. no grÄmatvedÄ«bas un pÄrdoÅ”anas nodaļÄm.
TÄdÄjÄdi pirmajÄ rindÄ mums ir komanda noteiktai adresei, bet otrajÄ - vispÄrÄ«ga visam tÄ«klam, kurÄ atrodas Ŕī adrese. Ja izmantojat modernu ACL veidu, varat tajÄ viegli veikt izmaiÅas, ievietojot rindu Atļaut 192.168.1.130/26 kÄ pirmo komandu. Ja jums ir klasisks ACL, jums tas bÅ«s pilnÄ«bÄ jÄnoÅem un pÄc tam vÄlreiz jÄievada komandas pareizajÄ secÄ«bÄ.
ProblÄmas Nr.4 risinÄjums ir rindiÅas Atļauja 192.168.1.130/26 ievietoÅ”ana ACL sÄkumÄ no ProblÄmas Nr.1, jo tikai Å”ajÄ gadÄ«jumÄ trafiks no PC0 brÄ«vi atstÄs no marÅ”rutÄtÄja R2 izejas interfeisa. PC1 trafika tiks pilnÄ«bÄ bloÄ·Äta, jo tÄ IP adrese ir pakļauta aizliegumam, kas ietverts saraksta otrajÄ rindÄ.
Tagad mÄs pÄriesim uz Packet Tracer, lai veiktu nepiecieÅ”amos iestatÄ«jumus. Esmu jau konfigurÄjis visu ierÄ«Äu IP adreses, jo vienkÄrÅ”otÄs iepriekÅ”ÄjÄs diagrammas bija nedaudz grÅ«ti saprotamas. TurklÄt es konfigurÄju RIP starp diviem marÅ”rutÄtÄjiem. DotajÄ tÄ«kla topoloÄ£ijÄ saziÅa starp visÄm 4 apakÅ”tÄ«klu ierÄ«cÄm ir iespÄjama bez ierobežojumiem. TaÄu, tiklÄ«dz mÄs pielietosim ACL, trafiku sÄks filtrÄt.
SÄkÅ”u ar finanÅ”u nodaļu PC1 un mÄÄ£inÄÅ”u nopingot IP adresi 192.168.1.194, kas pieder Server0, kas atrodas servera telpÄ. KÄ redzat, ping ir veiksmÄ«gs bez problÄmÄm. Es arÄ« veiksmÄ«gi pingu Laptop0 no pÄrvaldÄ«bas nodaļas. PirmÄ pakete tiek izmesta ARP dÄļ, pÄrÄjÄs 3 tiek brÄ«vi pingÄtas.
Lai organizÄtu trafika filtrÄÅ”anu, es ieeju R2 marÅ”rutÄtÄja iestatÄ«jumos, aktivizÄju globÄlÄs konfigurÄcijas režīmu un gatavojos izveidot modernu ACL sarakstu. Mums ir arÄ« klasiska izskata ACL 10. Lai izveidotu pirmo sarakstu, es ievadu komandu, kurÄ jÄnorÄda tas pats saraksta nosaukums, ko mÄs pierakstÄ«jÄm uz papÄ«ra: ip access-list standarta ACL Secure_Ma_And_Se. PÄc tam sistÄma pieprasa norÄdÄ«t iespÄjamos parametrus: es varu izvÄlÄties liegt, iziet, nÄ, atļaut vai piezÄ«mi, kÄ arÄ« ievadÄ«t kÄrtas numuru no 1 lÄ«dz 2147483647. Ja es to nedarÄ«Å”u, sistÄma to pieŔķirs automÄtiski.
TÄpÄc es neievadu Å”o numuru, bet nekavÄjoties dodos uz atļaujas resursdatora 192.168.1.130 komandu, jo Ŕī atļauja ir derÄ«ga konkrÄtai PC0 ierÄ«cei. Es varu izmantot arÄ« apgriezto aizstÄjÄjzÄ«mju masku, tagad es jums parÄdÄ«Å”u, kÄ to izdarÄ«t.
TÄlÄk es ievadu komandu deny 192.168.1.128. TÄ kÄ mums ir /26, izmantoju reverso masku un papildinu ar to komandu: deny 192.168.1.128 0.0.0.63. TÄdÄjÄdi es liedzu trafiku uz tÄ«klu 192.168.1.128/26.
LÄ«dzÄ«gi es bloÄ·Äju trafiku no Å”Äda tÄ«kla: deny 192.168.1.0 0.0.0.127. Visa pÄrÄjÄ satiksme ir atļauta, tÄpÄc es ievadu komandu atļauju jebkuru. TÄlÄk man ir jÄpiemÄro Å”is saraksts saskarnei, tÄpÄc es izmantoju komandu int s0/1/0. PÄc tam es ierakstu ip access-group Secure_Ma_And_Se, un sistÄma liek man izvÄlÄties interfeisu - ienÄkoÅ”ajÄm paketÄm un out izejoÅ”ajÄm paketÄm. Mums ir jÄpiemÄro ACL izvades saskarnei, tÄpÄc es izmantoju ip access-group komandu Secure_Ma_And_Se out.
Dosimies uz PC0 komandrindu un ping IP adreses 192.168.1.194, kas pieder Server0 serverim. Ping ir veiksmÄ«gs, jo mÄs izmantojÄm Ä«paÅ”u ACL nosacÄ«jumu PC0 trafikam. Ja es daru to paÅ”u no PC1, sistÄma Ä£enerÄs kļūdu: "galamÄrÄ·a resursdators nav pieejams", jo trafika no atlikuÅ”ajÄm grÄmatvedÄ«bas nodaļas IP adresÄm tiek bloÄ·Äta, lai piekļūtu serveru telpai.
Piesakoties R2 marÅ”rutÄtÄja CLI un ierakstot komandu show ip address-lists, jÅ«s varat redzÄt, kÄ tika marÅ”rutÄta finanÅ”u nodaļas tÄ«kla trafika - tas parÄda, cik reižu ping tika nodots saskaÅÄ ar atļauju un cik reizes tas tika veikts. bloÄ·Äts saskaÅÄ ar aizliegumu.
MÄs vienmÄr varam doties uz marÅ”rutÄtÄja iestatÄ«jumiem un redzÄt piekļuves sarakstu. TÄdÄjÄdi ir izpildÄ«ti uzdevuma Nr.1 āāun Nr.4 nosacÄ«jumi. Ä»aujiet man jums parÄdÄ«t vÄl vienu lietu. Ja vÄlos kaut ko labot, varu pÄriet uz R2 iestatÄ«jumu globÄlÄs konfigurÄcijas režīmu, ievadÄ«t komandu ip access-list standard Secure_Ma_And_Se un pÄc tam komandu āhost 192.168.1.130 is not atļautaā - nav atļaujas resursdators 192.168.1.130.
Ja mÄs vÄlreiz apskatÄ«sim piekļuves sarakstu, mÄs redzÄsim, ka 10. rindiÅa ir pazudusi, mums ir palikuÅ”as tikai 20,30., 40. un XNUMX. rindas. TÄdÄjÄdi marÅ”rutÄtÄja iestatÄ«jumos varat rediÄ£Ät ACL piekļuves sarakstu, bet tikai tad, ja tas nav apkopots klasiskajÄ formÄ.
Tagad pÄriesim pie treÅ”Ä ACL, jo tas attiecas arÄ« uz R2 marÅ”rutÄtÄju. TajÄ teikts, ka datplÅ«smai no klÄpjdatora 3 nevajadzÄtu atstÄt pÄrdoÅ”anas nodaļas tÄ«klu. Å ajÄ gadÄ«jumÄ Laptop2 bez problÄmÄm jÄsazinÄs ar finanÅ”u nodaļas datoriem. Lai to pÄrbaudÄ«tu, no Ŕī klÄpjdatora nosÅ«tu ping IP adresi 192.168.1.130 un pÄrliecinos, ka viss darbojas.
Tagad es doÅ”os uz klÄpjdatora 3 komandrindu un pingu uz adresi 192.168.1.130. Pinging ir veiksmÄ«gs, bet mums tas nav vajadzÄ«gs, jo saskaÅÄ ar uzdevuma nosacÄ«jumiem Laptop3 var sazinÄties tikai ar Laptop2, kas atrodas tajÄ paÅ”Ä tirdzniecÄ«bas nodaļu tÄ«klÄ. Lai to izdarÄ«tu, jums ir jÄizveido vÄl viens ACL, izmantojot klasisko metodi.
Es atgriezÄ«Å”os pie R2 iestatÄ«jumiem un mÄÄ£inÄÅ”u atgÅ«t izdzÄsto ierakstu 10, izmantojot atļaujas resursdatora 192.168.1.130 komandu. JÅ«s redzat, ka Å”is ieraksts parÄdÄs saraksta beigÄs ar numuru 50. TomÄr piekļuve joprojÄm nedarbosies, jo rinda, kas atļauj konkrÄtu resursdatoru, atrodas saraksta beigÄs, bet rinda, kas aizliedz visu tÄ«kla trafiku, atrodas augÅ”pusÄ. no saraksta. Ja mÄÄ£inÄsim pieslÄgt pÄrvaldÄ«bas nodaļas klÄpjdatoru0 no PC0, mÄs saÅemsim ziÅojumu āgalamÄrÄ·a resursdators nav pieejamsā, neskatoties uz to, ka ACL ar numuru 50 ir atļauja.
TÄpÄc, ja vÄlaties rediÄ£Ät esoÅ”u ACL, R2 režīmÄ (config-std-nacl) jÄievada komanda no atļaujas resursdators 192.168.1.130, jÄpÄrbauda, āāvai 50. rindiÅa ir pazudusi no saraksta, un jÄievada komanda 10. atļauja. saimniekdators 192.168.1.130. MÄs redzam, ka saraksts tagad ir atgriezies sÄkotnÄjÄ formÄ, un Å”is ieraksts ir ierindots pirmajÄ vietÄ. SecÄ«bas numuri palÄ«dz rediÄ£Ät sarakstu jebkurÄ formÄ, tÄpÄc modernÄ ACL forma ir daudz ÄrtÄka nekÄ klasiskÄ.
Tagad es parÄdÄ«Å”u, kÄ darbojas klasiskÄ ACL 10 saraksta forma. PÄc tam es ievadu lÄ«niju piekļuves saraksts 10 deny host, pÄc tam ierakstu komandu accessālist 10 deny 10 un pievienoju reverso masku. TÄ kÄ mums ir resursdators, tieÅ”Ä apakÅ”tÄ«kla maska āāāāir 192.168.1.3, bet otrÄ - 255.255.255.255. RezultÄtÄ, lai liegtu saimniekdatora trafiku, man jÄievada komanda accessālist 0.0.0.0 deny 10 192.168.1.3. PÄc tam jums jÄnorÄda atļaujas, kurÄm es ierakstu komandu accessālist 0.0.0.0 atļauj jebkuru. Å is saraksts ir jÄpiemÄro marÅ”rutÄtÄja R10 interfeisam G0/1, tÄpÄc es secÄ«gi ievadu komandas g2/0, ip piekļuves grupÄ 1 collas. NeatkarÄ«gi no tÄ, kurÅ” saraksts tiek izmantots ā klasiskais vai modernais, Ŕī saraksta lietoÅ”anai saskarnÄ tiek izmantotas tÄs paÅ”as komandas.
Lai pÄrbaudÄ«tu, vai iestatÄ«jumi ir pareizi, es dodos uz Laptop3 komandrindas terminÄli un mÄÄ£inu ping IP adresi 192.168.1.130 - kÄ redzat, sistÄma ziÅo, ka mÄrÄ·a resursdators nav sasniedzams.
AtgÄdinÄÅ”u, ka, lai pÄrbaudÄ«tu sarakstu, varat izmantot gan komandas show ip access-lists, gan show access-lists. Mums ir jÄatrisina vÄl viena problÄma, kas attiecas uz R1 marÅ”rutÄtÄju. Lai to izdarÄ«tu, es dodos uz Ŕī marÅ”rutÄtÄja CLI un pÄreju uz globÄlo konfigurÄcijas režīmu un ievadu komandu ip access-list standarta Secure_Ma_From_Se. TÄ kÄ mums ir tÄ«kls 192.168.1.192/27, tÄ apakÅ”tÄ«kla maska āābÅ«s 255.255.255.224, kas nozÄ«mÄ, ka apgrieztÄ maska āābÅ«s 0.0.0.31 un mums jÄievada komanda deny 192.168.1.192 0.0.0.31. TÄ kÄ visa pÄrÄjÄ satiksme ir atļauta, saraksts beidzas ar komandu atļauja jebkuru. Lai marÅ”rutÄtÄja izvades saskarnei lietotu ACL, izmantojiet komandu ip access-group Secure_Ma_From_Se out.
Tagad es doÅ”os uz Server0 komandrindas terminÄli un mÄÄ£inÄÅ”u veikt vadÄ«bas nodaļas Laptop0 ping ar IP adresi 192.168.1.226. MÄÄ£inÄjums bija neveiksmÄ«gs, bet, ja uzpingu adresi 192.168.1.130, savienojums tika izveidots bez problÄmÄm, tas ir, mÄs aizliedzÄm servera datoram sazinÄties ar vadÄ«bas nodaļu, bet atļÄvÄm sazinÄties ar visÄm pÄrÄjÄm ierÄ«cÄm citÄs nodaļÄs. TÄdÄjÄdi esam veiksmÄ«gi atrisinÄjuÅ”i visas 4 problÄmas.
Ä»aujiet man jums parÄdÄ«t kaut ko citu. MÄs iedziļinÄmies R2 marÅ”rutÄtÄja iestatÄ«jumos, kur mums ir 2 ACL veidi - klasiskais un modernais. PieÅemsim, ka es vÄlos rediÄ£Ät ACL 10, standarta IP piekļuves sarakstu 10, kas klasiskajÄ formÄ sastÄv no diviem ierakstiem 10 un 20. Ja es izmantoju komandu do show run, es redzu, ka vispirms mums ir moderns piekļuves saraksts ar 4. ieraksti bez numuriem vispÄrÄjÄ virsrakstÄ Secure_Ma_And_Se, un tÄlÄk ir divi klasiskÄs formas ACL 10 ieraksti, kas atkÄrto tÄ paÅ”a piekļuves saraksta 10 nosaukumu.
Ja vÄlos veikt dažas izmaiÅas, piemÄram, noÅemt resursdatora 192.168.1.3 aizlieguma ierakstu un ieviest ierakstu ierÄ«cei citÄ tÄ«klÄ, man ir jÄizmanto komanda delete tikai Å”im ierakstam: nav piekļuves saraksta 10 liegt resursdatoru 192.168.1.3. .10. Bet, tiklÄ«dz es ievadu Å”o komandu, visi ACL XNUMX ieraksti pilnÄ«bÄ pazÅ«d. TÄpÄc klasisko ACL skatu ir ļoti neÄrti rediÄ£Ät. MÅ«sdienu ierakstÄ«Å”anas metode ir daudz ÄrtÄk lietojama, jo tÄ Ä¼auj rediÄ£Ät bez maksas.
Lai apgÅ«tu Ŕīs video nodarbÄ«bas materiÄlu, iesaku noskatÄ«ties vÄlreiz un mÄÄ£inÄt apspriestÄs problÄmas atrisinÄt patstÄvÄ«gi, bez mÄjieniem. ACL ir svarÄ«ga tÄma CCNA kursÄ, un daudzus mulsina, piemÄram, apgrieztÄs aizstÄjÄjzÄ«mju maskas izveides procedÅ«ra. Es jums apliecinu, vienkÄrÅ”i saprotiet maskas transformÄcijas jÄdzienu, un viss kļūs daudz vieglÄk. Atcerieties, ka vissvarÄ«gÄkais CCNA kursu tÄmu izpratnÄ ir praktiskÄ apmÄcÄ«ba, jo tikai prakse palÄ«dzÄs jums saprast to vai citu Cisco koncepciju. Prakse nav manu komandu kopÄÅ”ana-ielÄ«mÄÅ”ana, bet gan problÄmu risinÄÅ”ana savÄ veidÄ. Uzdodiet sev jautÄjumus: kas jÄdara, lai bloÄ·Ätu satiksmes plÅ«smu no Å”ejienes uz turieni, kur piemÄrot nosacÄ«jumus utt., un mÄÄ£iniet uz tiem atbildÄt.
Paldies, ka palikÄt kopÄ ar mums. Vai jums patÄ«k mÅ«su raksti? Vai vÄlaties redzÄt interesantÄku saturu? Atbalsti mÅ«s, pasÅ«tot vai iesakot draugiem, 30% atlaide Habr lietotÄjiem unikÄlam sÄkuma lÄ«meÅa serveru analogam, ko mÄs jums izgudrojÄm:
Dell R730xd 2 reizes lÄtÄk? Tikai Å”eit
Avots: www.habr.com