Ħaġa oħra li insejt insemmi hija li ACL mhux biss jiffiltra t-traffiku fuq bażi ta 'permess/ċaħda, iżda jwettaq ħafna aktar funzjonijiet. Pereżempju, ACL tintuża biex tikkriptja t-traffiku VPN, iżda biex tgħaddi mill-eżami CCNA, trid tkun taf biss kif tintuża biex tiffiltra t-traffiku. Ejja nerġgħu lura għall-Problema Nru 1.
Sibna li t-traffiku tad-dipartiment tal-kontabilità u tal-bejgħ jista 'jiġi mblukkat fuq l-interface tal-output R2 billi tuża l-lista ACL li ġejja.
Tinkwetax dwar il-format ta 'din il-lista, huwa maħsub biss bħala eżempju biex jgħinek tifhem x'inhu ACL. Aħna naslu għall-format korrett ladarba nibdew b'Packet Tracer.
Kompitu Nru 2 ħsejjes bħal dan: il-kamra tas-server tista 'tikkomunika ma' kwalunkwe hosts, ħlief għall-hosts tad-dipartiment tal-ġestjoni. Jiġifieri, il-kompjuters tal-kamra tas-server jista 'jkollhom aċċess għal kwalunkwe kompjuters fid-dipartimenti tal-bejgħ u tal-kontabilità, iżda m'għandhomx ikollhom aċċess għall-kompjuters fid-dipartiment tal-ġestjoni. Dan ifisser li l-persunal tal-IT tal-kamra tas-server m'għandux ikollu aċċess mill-bogħod għall-kompjuter tal-kap tad-dipartiment tal-ġestjoni, iżda f'każ ta 'problemi, jasal fl-uffiċċju tiegħu u jiffissa l-problema fuq il-post. Innota li dan il-kompitu mhuwiex prattiku għaliex ma nafx għaliex il-kamra tas-server ma tkunx tista 'tikkomunika fuq in-netwerk mad-dipartiment tal-ġestjoni, għalhekk f'dan il-każ qed inħarsu biss lejn eżempju tutorja.
Biex issolvi din il-problema, l-ewwel trid tiddetermina l-mogħdija tat-traffiku. Id-dejta mill-kamra tas-server tasal fl-interface tal-input G0/1 tar-router R1 u tintbagħat lid-dipartiment tal-ġestjoni permezz tal-interface tal-output G0/0.
Jekk napplikaw il-kundizzjoni Deny 192.168.1.192/27 għall-interface tal-input G0/1, u kif tiftakar, l-ACL standard jitqiegħed eqreb lejn is-sors tat-traffiku, aħna nibblukkaw it-traffiku kollu, inkluż lid-dipartiment tal-bejgħ u tal-kontabilità.
Peress li rridu nibblukkaw biss it-traffiku dirett lejn id-dipartiment tal-ġestjoni, irridu napplikaw ACL għall-interface tal-output G0/0. Din il-problema tista 'tiġi solvuta biss billi l-ACL titqiegħed eqreb lejn id-destinazzjoni. Fl-istess ħin, it-traffiku min-netwerk tad-dipartiment tal-kontabilità u tal-bejgħ għandu jasal liberament lid-dipartiment tal-ġestjoni, għalhekk l-aħħar linja tal-lista tkun il-Permess kwalunkwe kmand - biex tippermetti kwalunkwe traffiku, ħlief għat-traffiku speċifikat fil-kundizzjoni preċedenti.
Ejja ngħaddu għall-Kompitu Nru 3: il-laptop Laptop 3 mid-dipartiment tal-bejgħ m'għandux ikollu aċċess għal kwalunkwe apparat għajr dawk li jinsabu fin-netwerk lokali tad-dipartiment tal-bejgħ. Ejja nassumu li trainee qed jaħdem fuq dan il-kompjuter u m'għandux imur lil hinn mil-LAN tiegħu.
F'dan il-każ, għandek bżonn tapplika ACL fuq l-interface tal-input G0/1 tar-router R2. Jekk nassenjaw l-indirizz IP 192.168.1.3/25 lil dan il-kompjuter, allura l-kundizzjoni Deny 192.168.1.3/25 trid tiġi sodisfatta, u t-traffiku minn kwalunkwe indirizz IP ieħor m'għandux jiġi mblukkat, għalhekk l-aħħar linja tal-lista tkun Permess kwalunkwe.
Madankollu, l-imblukkar tat-traffiku ma jkollu ebda effett fuq Laptop2.
Il-kompitu li jmiss se jkun il-Kompitu Nru 4: il-kompjuter PC0 biss tad-dipartiment finanzjarju jista 'jkollu aċċess għan-netwerk tas-server, iżda mhux id-dipartiment tal-ġestjoni.
Jekk tiftakar, l-ACL minn Task #1 jimblokka t-traffiku kollu ħierġa fuq l-interface S0/1/0 tar-router R2, iżda Task #4 jgħid li għandna niżguraw li t-traffiku PC0 biss jgħaddi, għalhekk irridu nagħmlu eċċezzjoni.
Il-kompiti kollha li qed insolvu issa għandhom jgħinuk f'sitwazzjoni reali meta twaqqaf ACLs għal netwerk ta 'uffiċċju. Għall-konvenjenza, użajt it-tip klassiku ta 'dħul, imma nagħtikom parir biex tikteb il-linji kollha manwalment fuq il-karta jew ittajpjahom f'kompjuter sabiex tkun tista' tagħmel korrezzjonijiet għall-entrati. Fil-każ tagħna, skont il-kundizzjonijiet tal-Kompitu Nru 1, ġiet ikkumpilata lista ACL klassika. Jekk irridu nżidu eċċezzjoni għaliha għal PC0 tat-tip Permess , allura nistgħu npoġġu din il-linja biss ir-raba 'fil-lista, wara l-Permess Kwalunkwe linja. Madankollu, peress li l-indirizz ta 'dan il-kompjuter huwa inkluż fil-firxa ta' indirizzi għall-iċċekkjar tal-kundizzjoni Ċaħda 0/192.168.1.128, it-traffiku tiegħu jiġi mblukkat immedjatament wara li din il-kondizzjoni tiġi sodisfatta u r-router sempliċement ma jilħaqx ir-raba' kontroll tal-linja, li jippermetti traffiku minn dan l-indirizz IP.
Għalhekk, se jkolli nerġa' nagħmel kompletament il-lista ACL tal-Kompitu Nru 1, inħassar l-ewwel linja u tibdilha bil-linja Permess 192.168.1.130/26, li tippermetti t-traffiku minn PC0, u mbagħad terġa 'tidħol fil-linji li jipprojbixxu t-traffiku kollu mid-dipartimenti tal-kontabilità u tal-bejgħ.
Għalhekk, fl-ewwel linja għandna kmand għal indirizz speċifiku, u fit-tieni - wieħed ġenerali għan-netwerk kollu li fih jinsab dan l-indirizz. Jekk qed tuża tip modern ta 'ACL, tista' faċilment tagħmel bidliet għalih billi tpoġġi l-linja Permess 192.168.1.130/26 bħala l-ewwel kmand. Jekk għandek ACL klassika, ser ikollok bżonn tneħħiha kompletament u mbagħad terġa 'tidħol il-kmandi fl-ordni korretta.
Is-soluzzjoni għall-Problema Nru 4 hija li tpoġġi l-linja Permess 192.168.1.130/26 fil-bidu tal-ACL mill-Problema Nru 1, għaliex biss f'dan il-każ it-traffiku minn PC0 jħalli liberament l-interface tal-output tar-router R2. It-traffiku tal-PC1 se jkun imblukkat kompletament minħabba li l-indirizz IP tiegħu huwa suġġett għall-projbizzjoni li tinsab fit-tieni linja tal-lista.
Issa se ngħaddu għal Packet Tracer biex nagħmlu s-settings meħtieġa. Diġà kkonfigurajt l-indirizzi IP tal-apparati kollha minħabba li d-dijagrammi ta 'qabel simplifikati kienu ftit diffiċli biex jinftiehmu. Barra minn hekk, ikkonfigurajt RIP bejn iż-żewġ routers. Fuq it-topoloġija tan-netwerk partikolari, il-komunikazzjoni bejn l-apparati kollha ta '4 subnets hija possibbli mingħajr ebda restrizzjoni. Iżda hekk kif napplikaw l-ACL, it-traffiku jibda jiġi ffiltrat.
Nibda bid-dipartiment tal-finanzi PC1 u nipprova nagħmel ping fl-indirizz IP 192.168.1.194, li jappartjeni għal Server0, li jinsab fil-kamra tas-server. Kif tistgħu taraw, ping jirnexxi mingħajr problemi. I wkoll b'suċċess ping Laptop0 mid-dipartiment tal-ġestjoni. L-ewwel pakkett jintrema minħabba ARP, it-3 li jifdal huma liberament pinged.
Sabiex norganizza l-iffiltrar tat-traffiku, nidħol fis-settings tar-router R2, nattiva l-mod ta 'konfigurazzjoni globali u se noħloq lista ACL moderna. Għandna wkoll l-ACL 10 li tħares klassika. Biex toħloq l-ewwel lista, ndaħħal kmand li fih trid tispeċifika l-istess isem tal-lista li ktibna fuq il-karta: ip access-list standard ACL Secure_Ma_And_Se. Wara dan, is-sistema tqajjem parametri possibbli: nista' nagħżel niċħad, ħruġ, le, permess jew rimarka, u ndaħħal ukoll Numru ta' Sekwenza minn 1 sa 2147483647. Jekk ma nagħmelx dan, is-sistema tassenjah awtomatikament.
Għalhekk, ma ndaħħalx dan in-numru, iżda immedjatament immur għand il-kmand tal-permess host 192.168.1.130, peress li dan il-permess huwa validu għal apparat speċifiku PC0. Nista' nuża wkoll Maskra ta' Wildcard inversa, issa nuruk kif tagħmel dan.
Sussegwentement, nidħol fil-kmand deny 192.168.1.128. Peress li għandna /26, nuża l-maskra inversa u nissupplimenta l-kmand magħha: deny 192.168.1.128 0.0.0.63. Għalhekk, niċħad it-traffiku għan-netwerk 192.168.1.128/26.
Bl-istess mod, nibblokka t-traffiku min-netwerk li ġej: jiċħad 192.168.1.0 0.0.0.127. It-traffiku l-ieħor kollu huwa permess, għalhekk ndaħħal il-permess tal-kmand kwalunkwe. Sussegwentement għandi napplika din il-lista għall-interface, għalhekk nuża l-kmand int s0/1/0. Imbagħad nittajpja ip access-group Secure_Ma_And_Se, u s-sistema tqanqli nagħżel interface - in għal pakketti deħlin u barra għal ħerġin. Għandna bżonn napplikaw l-ACL għall-interface tal-output, għalhekk nuża l-ip access-group Secure_Ma_And_Se out kmand.
Ejja mmorru fil-linja tal-kmand PC0 u ping l-indirizz IP 192.168.1.194, li jappartjeni għas-server Server0. Il-ping huwa ta 'suċċess għaliex użajna kundizzjoni ACL speċjali għat-traffiku PC0. Jekk nagħmel l-istess minn PC1, is-sistema tiġġenera żball: "host tad-destinazzjoni mhux disponibbli", peress li t-traffiku mill-indirizzi IP li fadal tad-dipartiment tal-kontabilità huwa mblukkat milli jaċċessa l-kamra tas-server.
Billi tidħol fis-CLI tar-router R2 u ttajpja l-kmand show ip address-lists, tista 'tara kif it-traffiku tan-netwerk tad-dipartiment finanzjarju ġie mgħoddi - juri kemm-il darba l-ping ġie mgħoddi skont il-permess u kemm-il darba kien imblukkata skond il-projbizzjoni.
Aħna dejjem nistgħu mmorru fis-settings tar-router u naraw il-lista ta 'aċċess. Għalhekk, il-kundizzjonijiet tal-Kompiti Nru 1 u Nru 4 huma sodisfatti. Ħallini nurik ħaġa oħra. Jekk irrid nirranġa xi ħaġa, nista' nidħol fil-mod ta 'konfigurazzjoni globali tas-settings R2, daħħal il-kmand ip access-list standard Secure_Ma_And_Se u mbagħad il-kmand "host 192.168.1.130 mhux permess" - ebda permess host 192.168.1.130.
Jekk nerġgħu nħarsu lejn il-lista ta 'aċċess, se naraw li l-linja 10 sparixxa, fadal biss linji 20,30, 40 u XNUMX. Għalhekk, tista' teditja l-lista ta 'aċċess ACL fis-settings tar-router, iżda biss jekk ma tkunx ikkumpilata fil-forma klassika.
Issa ejja ngħaddu għat-tielet ACL, għax tikkonċerna wkoll ir-router R2. Jiddikjara li kwalunkwe traffiku mill-Laptop3 m'għandux iħalli n-netwerk tad-dipartiment tal-bejgħ. F'dan il-każ, Laptop2 għandu jikkomunika mingħajr problemi mal-kompjuters tad-dipartiment finanzjarju. Biex nittestja dan, jien ping l-indirizz IP 192.168.1.130 minn dan il-laptop u niżgura li kollox jaħdem.
Issa se mmur fil-linja tal-kmand ta 'Laptop3 u ping l-indirizz 192.168.1.130. Il-pinging huwa suċċess, iżda m'għandniex bżonnha, peress li skont il-kundizzjonijiet tal-kompitu, Laptop3 jista 'jikkomunika biss ma' Laptop2, li jinsab fl-istess netwerk tad-dipartiment tal-bejgħ. Biex tagħmel dan, għandek bżonn toħloq ACL ieħor billi tuża l-metodu klassiku.
Se mmur lura għall-issettjar R2 u nipprova nirkupra l-entrata mħassra 10 billi tuża l-kmand tal-permess host 192.168.1.130. Tara li din l-entrata tidher fl-aħħar tal-lista fin-numru 50. Madankollu, l-aċċess xorta ma jaħdimx, minħabba li l-linja li tippermetti host speċifiku tinsab fl-aħħar tal-lista, u l-linja li tipprojbixxi t-traffiku kollu tan-netwerk tinsab fil-quċċata. tal-lista. Jekk nippruvaw nagħmlu ping fuq il-Laptop0 tad-dipartiment tal-ġestjoni minn PC0, aħna nirċievu l-messaġġ "l-host tad-destinazzjoni mhux aċċessibbli," minkejja l-fatt li hemm dħul permess fin-numru 50 fl-ACL.
Għalhekk, jekk trid teditja ACL eżistenti, trid tidħol fil-kmand ebda permess host 2 fil-modalità R192.168.1.130 (config-std-nacl), iċċekkja li l-linja 50 sparixxa mil-lista, u daħħal il-permess tal-kmand 10 ospitanti 192.168.1.130. Naraw li l-lista issa reġgħet lura għall-forma oriġinali tagħha, b'din l-entrata kklassifikata l-ewwel. In-numri tas-sekwenza jgħinu jeditjaw il-lista fi kwalunkwe forma, għalhekk il-forma moderna ta 'ACL hija ħafna aktar konvenjenti minn dik klassika.
Issa ser nuri kif taħdem il-forma klassika tal-lista ACL 10. Biex tuża l-lista klassika, trid tidħol fil-kmand access–list 10?, u, wara l-pront, agħżel l-azzjoni mixtieqa: tiċħad, permess jew rimarka. Imbagħad nidħol fil-linja access–list 10 deny host, u wara nittajpja l-kmand access–list 10 deny 192.168.1.3 u żid il-maskra inversa. Peress li għandna host, il-maskra tas-subnet 'il quddiem hija 255.255.255.255, u r-reverse hija 0.0.0.0. Bħala riżultat, biex niċħad it-traffiku ospitanti, irrid nidħol fil-kmand access–list 10 deny 192.168.1.3 0.0.0.0. Wara dan, għandek bżonn tispeċifika permessi, li għalihom nittajpja l-kmand aċċess–lista 10 tippermetti kwalunkwe. Din il-lista teħtieġ li tiġi applikata għall-interface G0/1 tar-router R2, għalhekk ndaħħal b'mod sekwenzjali l-kmandi f'g0/1, ip access-group 10 in. Irrispettivament minn liema lista tintuża, klassika jew moderna, l-istess kmandi jintużaw biex tiġi applikata din il-lista għall-interface.
Biex niċċekkja jekk is-settings humiex korretti, immur fit-terminal tal-linja tal-kmand tal-Laptop3 u nipprova nagħmel ping fl-indirizz IP 192.168.1.130 - kif tistgħu taraw, is-sistema tirrapporta li l-host tad-destinazzjoni ma jistax jintlaħaq.
Ħa nfakkarkom li biex tiċċekkja l-lista tista' tuża kemm il-wiri ip access-lists kif ukoll show access-lists kmandi. Irridu nsolvu problema waħda oħra, li tirrigwarda r-router R1. Biex tagħmel dan, immur fis-CLI ta 'dan ir-router u mmur fil-mod ta' konfigurazzjoni globali u daħħal il-kmand ip access-list standard Secure_Ma_From_Se. Peress li għandna netwerk 192.168.1.192/27, il-maskra tas-subnet tagħha tkun 255.255.255.224, li jfisser li l-maskra tar-reverse se tkun 0.0.0.31 u għandna bżonn nidħlu fil-kmand deny 192.168.1.192 0.0.0.31. Peress li t-traffiku l-ieħor kollu huwa permess, il-lista tispiċċa bil-kmand permess kwalunkwe. Sabiex tapplika ACL għall-interface tal-output tar-router, uża l-ip access-group Secure_Ma_From_Se out kmand.
Issa se mmur fit-terminal tal-linja tal-kmand tas-Server0 u nipprova nagħmel ping Laptop0 tad-dipartiment tal-ġestjoni fl-indirizz IP 192.168.1.226. L-attentat ma rnexxiex, imma jekk pinged l-indirizz 192.168.1.130, il-konnessjoni ġiet stabbilita mingħajr problemi, jiġifieri, ipprojbejt lill-kompjuter server milli jikkomunika mad-dipartiment tal-ġestjoni, iżda ppermettew il-komunikazzjoni mal-apparati l-oħra kollha f'dipartimenti oħra. Għalhekk, aħna solvejna b'suċċess l-4 problemi kollha.
Ħallini nuruk xi ħaġa oħra. Immorru fis-settings tar-router R2, fejn għandna 2 tipi ta 'ACL - klassika u moderna. Ejja ngħidu li rrid neditja ACL 10, Lista ta 'aċċess standard IP 10, li fil-forma klassika tagħha tikkonsisti f'żewġ entrati 10 u 20. Jekk nuża l-kmand do show run, nista' nara li l-ewwel għandna lista ta 'aċċess moderna ta' 4 entrati mingħajr numri taħt l-intestatura ġenerali Secure_Ma_And_Se, u hawn taħt hemm żewġ entrati ACL 10 tal-forma klassika li jirrepetu l-isem tal-istess lista ta 'aċċess 10.
Jekk irrid nagħmel xi bidliet, bħat-tneħħija tal-entrata deny host 192.168.1.3 u l-introduzzjoni ta' dħul għal apparat fuq netwerk differenti, għandi bżonn nuża l-kmand tat-tħassir għal dik l-entrata biss: l-ebda lista ta' aċċess 10 deny host 192.168.1.3 .10. Imma hekk kif nidħol f'dan il-kmand, l-entrati kollha tal-ACL XNUMX jisparixxu kompletament. Huwa għalhekk li l-veduta klassika tal-ACL hija inkonvenjenti ħafna biex teditja. Il-metodu modern ta 'reġistrazzjoni huwa ħafna aktar konvenjenti biex jintuża, peress li jippermetti editjar b'xejn.
Sabiex titgħallem il-materjal f'din il-lezzjoni bil-vidjo, nagħtik parir biex terġa' tarah u tipprova ssolvi l-problemi diskussi waħdek mingħajr ebda ħjiel. ACL huwa suġġett importanti fil-kors CCNA, u ħafna huma konfużi minn, pereżempju, il-proċedura għall-ħolqien ta 'Maskra Wildcard inversa. Nassigurak, tifhem biss il-kunċett tat-trasformazzjoni tal-maskra, u kollox isir ħafna aktar faċli. Ftakar li l-iktar ħaġa importanti biex tifhem is-suġġetti tal-kors CCNA hija taħriġ prattiku, għax il-prattika biss tgħinek tifhem dan jew dak il-kunċett ta 'Cisco. Il-prattika mhix tikkopja t-timijiet tiegħi, imma ssolvi l-problemi bil-mod tiegħek. Staqsi lilek innifsek mistoqsijiet: x'għandu jsir biex timblokka l-fluss tat-traffiku minn hawn għal hemm, fejn tapplika l-kundizzjonijiet, eċċ., u pprova twieġebhom.
Grazzi talli bqajt magħna. Tħobb l-artikoli tagħna? Trid tara aktar kontenut interessanti? Appoġġuna billi tagħmel ordni jew tirrakkomanda lill-ħbieb, Roħs ta' 30% għall-utenti ta' Habr fuq analogu uniku ta' servers ta' livell ta' dħul, li ġie ivvintat minna għalik: (disponibbli b'RAID1 u RAID10, sa 24 core u sa 40GB DDR4).
Dell R730xd 2 darbiet orħos? Hawn biss fl-Olanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - minn $99! Aqra dwar
Sors: www.habr.com