Уште една работа што заборавив да ја спомнам е дека ACL не само што го филтрира сообраќајот на основа на дозволување/одбивање, туку врши многу повеќе функции. На пример, ACL се користи за шифрирање на сообраќајот на VPN, но за да го положите испитот CCNA, треба само да знаете како се користи за филтрирање на сообраќајот. Да се вратиме на проблемот бр.1.
Дознавме дека сообраќајот на одделот за сметководство и продажба може да се блокира на излезниот интерфејс R2 користејќи ја следнава листа ACL.
Не грижете се за форматот на оваа листа, таа е наменета само како пример за да ви помогне да разберете што е ACL. Ќе дојдеме до правилниот формат штом ќе започнеме со Packet Tracer.
Задача бр. 2 звучи вака: серверската соба може да комуницира со кој било хост, освен со домаќините на одделот за управување. Односно, компјутерите во серверската соба можат да имаат пристап до сите компјутери во одделенијата за продажба и сметководство, но не треба да имаат пристап до компјутерите во одделот за управување. Тоа значи дека ИТ персоналот од серверската соба не треба да има далечински пристап до компјутерот на раководителот на одделот за управување, туку во случај на проблеми да дојде во неговата канцеларија и да го реши проблемот на лице место. Забележете дека оваа задача не е практична бидејќи не знам зошто просторијата за сервери не би можела да комуницира преку мрежата со одделот за управување, така што во овој случај гледаме само студија на случај.
За да го решите овој проблем, прво треба да ја одредите сообраќајната патека. Податоците од серверската соба пристигнуваат до влезниот интерфејс G0/1 на рутерот R1 и се испраќаат до одделот за управување преку излезниот интерфејс G0/0.
Ако го примениме условот Deny 192.168.1.192/27 на влезниот интерфејс G0/1, и како што се сеќавате, стандардниот ACL е поставен поблиску до изворот на сообраќај, ќе го блокираме целиот сообраќај, вклучително и до одделот за продажба и сметководство.
Бидејќи сакаме да го блокираме само сообраќајот насочен кон одделот за управување, мора да примениме ACL на излезниот интерфејс G0/0. Овој проблем може да се реши само со поставување на ACL поблиску до дестинацијата. Во исто време, сообраќајот од мрежата на одделот за сметководство и продажба мора слободно да стигнува до одделот за управување, така што последната линија од списокот ќе биде командата Дозвола која било - да се дозволи било каков сообраќај, освен сообраќајот наведен во претходната состојба.
Да преминеме на задача бр. 3: лаптопот Laptop 3 од одделот за продажба не треба да има пристап до други уреди освен оние што се наоѓаат на локалната мрежа на одделот за продажба. Да претпоставиме дека приправник работи на овој компјутер и не треба да оди подалеку од неговиот LAN.
Во овој случај, треба да примените ACL на влезниот интерфејс G0/1 на рутерот R2. Ако на овој компјутер му ја доделиме IP адресата 192.168.1.3/25, тогаш мора да биде исполнет условот Deny 192.168.1.3/25 и сообраќајот од која било друга IP адреса не смее да биде блокиран, така што последната линија од списокот ќе биде Дозвола било кој.
Сепак, блокирањето на сообраќајот нема да има никаков ефект врз Лаптоп2.
Следната задача ќе биде Задача бр. 4: само компјутерот PC0 од финансискиот оддел може да има пристап до серверската мрежа, но не и одделот за управување.
Ако се сеќавате, ACL од Задача бр. 1 го блокира целиот појдовен сообраќај на интерфејсот S0/1/0 на рутерот R2, но задачата бр. 4 вели дека треба да се осигураме дека поминува само сообраќајот на PC0, па мора да направиме исклучок.
Сите задачи што сега ги решаваме треба да ви помогнат во реална ситуација кога поставувате ACL за канцелариска мрежа. За погодност, го користев класичниот тип на запис, но ве советувам да ги запишете сите линии рачно на хартија или да ги напишете на компјутер за да можете да направите корекции на записите. Во нашиот случај, според условите на Задача бр. 1, беше составена класична листа ACL. Ако сакаме да му додадеме исклучок за PC0 од типот Permit , тогаш оваа линија можеме да ја поставиме само на четвртото место во листата, по линијата Permit Any. Меѓутоа, бидејќи адресата на овој компјутер е вклучена во опсегот на адреси за проверка на условот Deny 0/192.168.1.128, неговиот сообраќај ќе биде блокиран веднаш откако ќе се исполни овој услов и рутерот едноставно нема да стигне до проверката на четвртата линија, што ќе овозможи сообраќај од оваа IP адреса.
Затоа, ќе морам целосно да го повторам списокот ACL на Задача бр. 1, бришејќи ја првата линија и заменувајќи ја со линијата Дозвола 192.168.1.130/26, која дозволува сообраќај од PC0, а потоа повторно внесете ги линиите што го забрануваат целиот сообраќај од секторите за сметководство и продажба.
Така, во првата линија имаме команда за одредена адреса, а во втората - општа за целата мрежа во која се наоѓа оваа адреса. Ако користите модерен тип на ACL, можете лесно да направите промени во него со ставање на линијата Permit 192.168.1.130/26 како прва команда. Ако имате класичен ACL, ќе треба целосно да го отстраните и потоа повторно да ги внесете командите во правилен редослед.
Решението за проблемот бр. 4 е да се постави линијата Permit 192.168.1.130/26 на почетокот на списокот ACL од проблемот бр. 1, бидејќи само во овој случај сообраќајот од PC0 слободно ќе го напушти излезниот интерфејс на рутерот R2. Сообраќајот на PC1 ќе биде целосно блокиран бидејќи неговата IP адреса е предмет на забрана содржана во втората линија од списокот.
Сега ќе преминеме на Packet Tracer за да ги направиме потребните поставки. Веќе ги конфигурирав IP адресите на сите уреди бидејќи поедноставените претходни дијаграми беа малку тешки за разбирање. Покрај тоа, конфигурирав RIP помеѓу двата рутери. На дадената мрежна топологија, комуникацијата помеѓу сите уреди од 4 подмрежи е можна без никакви ограничувања. Но, штом ќе го примениме ACL, сообраќајот ќе почне да се филтрира.
Ќе започнам со одделот за финансии PC1 и ќе се обидам да ја пингувам IP адресата 192.168.1.194, која припаѓа на Server0, која се наоѓа во собата на серверот. Како што можете да видите, пингувањето е успешно без никакви проблеми. Успешно пингувам и на Laptop0 од менаџментот. Првиот пакет е отфрлен поради ARP, а останатите 3 се пингираат слободно.
За да го организирам филтрирањето на сообраќајот, одам во поставките на рутерот R2, го активирам режимот за глобална конфигурација и ќе создадам модерен список ACL. Имаме и ACL 10 со класичен изглед. За да ја креирам првата листа, внесувам команда во која треба да го наведете истото име на списокот што го запишавме на хартија: ip access-list стандард ACL Secure_Ma_And_Se. После ова, системот прашува за можни параметри: можам да одберам одбивање, излез, не, дозвола или забелешка, а исто така внесувам секвенциски број од 1 до 2147483647. Ако не го сторам ова, системот автоматски ќе го додели.
Затоа, не го внесувам овој број, туку веднаш одам во командата за домаќин на дозвола 192.168.1.130, бидејќи оваа дозвола важи за одреден уред PC0. Можам да користам и обратна маска за џвакање, сега ќе ви покажам како да го направите тоа.
Следно, ја внесувам командата одби 192.168.1.128. Бидејќи имаме /26, ја користам обратната маска и ја дополнувам командата со неа: негирај 192.168.1.128 0.0.0.63. Така, негирам сообраќај кон мрежата 192.168.1.128/26.
Слично на тоа, го блокирам сообраќајот од следнава мрежа: одбие 192.168.1.0 0.0.0.127. Целиот друг сообраќај е дозволен, затоа ја внесувам командната дозвола било која. Следно, треба да ја применам оваа листа на интерфејсот, па ја користам командата int s0/1/0. Потоа пишувам ip access-group Secure_Ma_And_Se, и системот ме поттикнува да изберам интерфејс - влез за дојдовни пакети и излез за појдовни. Треба да го примениме ACL на излезниот интерфејс, па затоа ја користам командата за пристап до ip Secure_Ma_And_Se out.
Ајде да одиме во командната линија PC0 и да ја пингиме IP адресата 192.168.1.194, која припаѓа на серверот Server0. Пингот е успешен затоа што користевме специјална состојба ACL за сообраќајот на PC0. Ако го сторам истото од PC1, системот ќе генерира грешка: „домаќинот на дестинацијата не е достапен“, бидејќи сообраќајот од преостанатите IP адреси на одделот за сметководство е блокиран за пристап до собата на серверот.
Со најавување во CLI на рутерот R2 и внесување на командата show ip address-lists, можете да видите како се насочувал сообраќајот на мрежата на финансискиот оддел - покажува колку пати е поминат пингот според дозволата и колку пати бил блокиран според забраната.
Секогаш можеме да одиме до поставките на рутерот и да ја видиме листата за пристап. Така, се исполнети условите од задачите бр.1 и бр.4. Дозволете ми да ви покажам уште една работа. Ако сакам да поправам нешто, можам да одам во режимот на глобална конфигурација на поставките R2, да ја внесам командата ip access-list standard Secure_Ma_And_Se и потоа командата „домаќинот 192.168.1.130 не е дозволен“ - без дозвола домаќин 192.168.1.130.
Ако повторно ја погледнеме листата за пристап, ќе видиме дека линијата 10 исчезна, ни останаа само линиите 20,30, 40 и XNUMX Така, можете да ја уредите листата за пристап на ACL во поставките на рутерот, но само ако не е компајлирана во класична форма.
Сега да преминеме на третиот ACL, бидејќи се однесува и на рутерот R2. Во него се наведува дека секој сообраќај од Лаптоп3 не треба да ја напушта мрежата на одделот за продажба. Во овој случај, Laptop2 треба да комуницира без проблеми со компјутерите на финансискиот оддел. За да го тестирам ова, ја пингувам IP адресата 192.168.1.130 од овој лаптоп и се уверувам дека сè работи.
Сега ќе одам во командната линија на Лаптоп3 и ќе ја пингувам адресата 192.168.1.130. Пингувањето е успешно, но не ни треба, бидејќи според условите на задачата, Laptop3 може да комуницира само со Laptop2, кој се наоѓа во истата мрежа на одделот за продажба. За да го направите ова, треба да креирате друг ACL користејќи го класичниот метод.
Ќе се вратам на поставките за R2 и ќе се обидам да го повратам избришаниот запис 10 користејќи ја командата за домаќин на дозвола 192.168.1.130. Гледате дека овој запис се појавува на крајот од листата на бројот 50. Сепак, пристапот сè уште нема да работи, бидејќи линијата што дозволува одреден хост е на крајот од листата, а линијата што го забранува целиот мрежен сообраќај е на врвот на листата. Ако се обидеме да направиме пинг на лаптопот 0 на одделот за управување од PC0, ќе ја добиеме пораката „домаќинот на дестинацијата не е достапен“, и покрај фактот што има дозволен влез на бројот 50 во ACL.
Затоа, ако сакате да уредувате постоечки ACL, треба да ја внесете командата без дозвола домаќин 2 во режим R192.168.1.130 (config-std-nacl), проверете дали линијата 50 исчезнала од списокот и внесете ја командата 10 permit домаќин 192.168.1.130. Гледаме дека листата сега се врати во првобитната форма, со овој запис рангиран на прво место. Секвенциските броеви помагаат да се уреди списокот во која било форма, така што модерната форма на ACL е многу попогодна од класичната.
Сега ќе покажам како функционира класичната форма на списокот ACL 10 За да ја користите класичната листа, треба да ја внесете командата за пристап-листа 10? и, следејќи го промптот, да го изберете саканото дејство: одбие, дозволи или забелешка. Потоа ја внесувам линијата за пристап-листа 10 негирање домаќин, по што ја пишувам командата пристап-листа 10 негира 192.168.1.3 и ја додавам обратната маска. Бидејќи имаме домаќин, маската на подмрежата напред е 255.255.255.255, а обратната е 0.0.0.0. Како резултат на тоа, за да го одбијам сообраќајот на домаќинот, морам да ја внесам командата пристап-листа 10 deny 192.168.1.3 0.0.0.0. По ова, треба да наведете дозволи, за кои ја пишувам командата пристап-листа 10 дозволи било која. Оваа листа треба да се примени на интерфејсот G0/1 на рутерот R2, па последователно ги внесувам командите во g0/1, ip access-group 10 in. Без оглед на тоа која листа се користи, класична или модерна, истите команди се користат за примена на оваа листа на интерфејсот.
За да проверам дали поставките се точни, одам до терминалот на командната линија на Laptop3 и се обидувам да ја пингирам IP адресата 192.168.1.130 - како што можете да видите, системот известува дека дестинацискиот хост е недостапен.
Дозволете ми да ве потсетам дека за да ја проверите листата можете да ги користите и командите за прикажување ip пристап-листи и за прикажување пристап-листи. Мора да решиме уште еден проблем, кој се однесува на рутерот R1. За да го направам ова, одам во CLI на овој рутер и одам во режим на глобална конфигурација и ја внесувам командата ip access-list стандард Secure_Ma_From_Se. Бидејќи имаме мрежа 192.168.1.192/27, нејзината маска за подмрежа ќе биде 255.255.255.224, што значи дека обратната маска ќе биде 0.0.0.31 и треба да ја внесеме командата за одбивање 192.168.1.192 0.0.0.31. Бидејќи целиот друг сообраќај е дозволен, списокот завршува со командната дозвола било. Со цел да се примени ACL на излезниот интерфејс на рутерот, користете ја командата за пристап до IP-групата Secure_Ma_From_Se out.
Сега ќе одам до терминалот на командната линија на Server0 и ќе се обидам да пинг на Laptop0 од одделот за управување на IP адресата 192.168.1.226. Обидот беше неуспешен, но ако ја пингирав адресата 192.168.1.130, врската беше воспоставена без проблеми, односно му забранивме на серверскиот компјутер да комуницира со одделот за управување, но дозволивме комуникација со сите други уреди во другите оддели. Така, успешно ги решивме сите 4 проблеми.
Да ти покажам уште нешто. Влегуваме во поставките на рутерот R2, каде што имаме 2 типа ACL - класичен и модерен. Да речеме дека сакам да уредувам ACL 10, Стандардна IP пристапна листа 10, која во својата класична форма се состои од два записи 10 и 20. Ако ја користам командата do show run, можам да видам дека прво имаме модерна листа за пристап од 4 записи без броеви под општиот наслов Secure_Ma_And_Se, а подолу има два записи ACL 10 од класичната форма кои го повторуваат името на истата листа за пристап 10.
Ако сакам да направам некои промени, како што е отстранување на записот за одбивање на домаќинот 192.168.1.3 и воведување запис за уред на друга мрежа, треба да ја користам командата за бришење само за тој запис: без листа за пристап 10 одбивање на хостот 192.168.1.3 .10. Но, штом ќе ја внесам оваа команда, сите записи ACL XNUMX целосно исчезнуваат. Ова е причината зошто класичниот приказ на ACL е многу незгоден за уредување. Современиот метод на снимање е многу поудобен за употреба, бидејќи овозможува бесплатно уредување.
За да го научите материјалот од оваа видео лекција, ве советувам да го погледнете повторно и да се обидете сами да ги решите проблемите што се дискутирани без никакви навестувања. ACL е важна тема во курсот CCNA и многумина се збунети од, на пример, процедурата за креирање на обратна маска за џвакање. Ве уверувам, само разберете го концептот на трансформација на маската и сè ќе стане многу полесно. Запомнете дека најважното нешто во разбирањето на темите на курсот CCNA е практичната обука, бидејќи само практиката ќе ви помогне да го разберете овој или оној концепт на Cisco. Вежбањето не е копи-пејст на моите тимови, туку решавање на проблемите на свој начин. Поставете си прашања: што треба да се направи за да се блокира протокот на сообраќај од овде до таму, каде да се применат услови итн., и обидете се да одговорите на нив.
Ви благодариме што останавте со нас. Дали ви се допаѓаат нашите написи? Сакате да видите поинтересна содржина? Поддржете не со нарачка или препорака на пријатели, 30% попуст за корисниците на Habr на уникатен аналог на сервери на почетно ниво, кој го измисливме ние за вас: (достапен со RAID1 и RAID10, до 24 јадра и до 40 GB DDR4).
Dell R730xd 2 пати поевтин? Само овде во Холандија! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - од 99 долари! Прочитајте за
Извор: www.habr.com
