Nog een ding dat ik vergat te vermelden is dat ACL niet alleen verkeer filtert op basis van toestaan/weigeren, maar ook veel meer functies vervult. Een ACL wordt bijvoorbeeld gebruikt om VPN-verkeer te versleutelen, maar om te slagen voor het CCNA-examen hoef je alleen maar te weten hoe deze wordt gebruikt om verkeer te filteren. Laten we terugkeren naar probleem nr. 1.
We hebben ontdekt dat het verkeer van de boekhoud- en verkoopafdeling kan worden geblokkeerd op de R2-uitvoerinterface met behulp van de volgende ACL-lijst.
Maak je geen zorgen over de indeling van deze lijst; deze is alleen bedoeld als voorbeeld om je te helpen begrijpen wat een ACL is. We zullen het juiste formaat vinden zodra we aan de slag gaan met Packet Tracer.
Taak nr. 2 klinkt als volgt: de serverruimte kan met alle hosts communiceren, behalve de hosts van de beheerafdeling. Dat wil zeggen dat de computers in de serverruimte toegang kunnen hebben tot alle computers op de verkoop- en boekhoudafdelingen, maar geen toegang mogen hebben tot de computers op de beheerafdeling. Dit betekent dat de IT-staf van de serverruimte geen toegang op afstand mag hebben tot de computer van het hoofd van de beheerafdeling, maar bij problemen naar zijn kantoor moet komen en het probleem ter plekke moet oplossen. Merk op dat deze taak niet praktisch is, omdat ik niet weet waarom de serverruimte niet via het netwerk zou kunnen communiceren met de beheerafdeling, dus in dit geval kijken we alleen naar een tutorialvoorbeeld.
Om dit probleem op te lossen, moet u eerst het verkeerspad bepalen. Gegevens uit de serverruimte komen binnen bij de invoerinterface G0/1 van router R1 en worden via de uitvoerinterface G0/0 naar de beheerafdeling gestuurd.
Als we de voorwaarde Weigeren 192.168.1.192/27 toepassen op de invoerinterface G0/1, en zoals u zich herinnert, wordt de standaard ACL dichter bij de verkeersbron geplaatst, zullen we al het verkeer blokkeren, inclusief dat naar de verkoop- en boekhoudafdeling.
Omdat we alleen verkeer willen blokkeren dat naar de beheerafdeling is gericht, moeten we een ACL toepassen op de uitvoerinterface G0/0. Dit probleem kan alleen worden opgelost door de ACL dichter bij de bestemming te plaatsen. Tegelijkertijd moet verkeer van het netwerk van de boekhoud- en verkoopafdeling vrijelijk de managementafdeling kunnen bereiken, dus de laatste regel van de lijst zal het commando Permit any zijn - om elk verkeer toe te staan, behalve het verkeer dat in de vorige voorwaarde is gespecificeerd.
Laten we verder gaan met taak nr. 3: de Laptop 3-laptop van de verkoopafdeling mag geen toegang hebben tot andere apparaten dan die zich op het lokale netwerk van de verkoopafdeling bevinden. Laten we aannemen dat een stagiair op deze computer werkt en niet verder mag gaan dan zijn LAN.
In dit geval moet u een ACL toepassen op de invoerinterface G0/1 van router R2. Als we het IP-adres 192.168.1.3/25 aan deze computer toewijzen, moet aan de voorwaarde Weigeren 192.168.1.3/25 worden voldaan en mag verkeer van een ander IP-adres niet worden geblokkeerd, dus de laatste regel van de lijst is Toestaan elk.
Het blokkeren van verkeer heeft echter geen enkel effect op Laptop2.
De volgende taak is taak nr. 4: alleen computer PC0 van de financiële afdeling heeft toegang tot het servernetwerk, maar niet de beheerafdeling.
Weet je nog, de ACL van Taak #1 blokkeert al het uitgaande verkeer op de S0/1/0-interface van router R2, maar Taak #4 zegt dat we ervoor moeten zorgen dat alleen PC0-verkeer er doorheen gaat, dus we moeten een uitzondering maken.
Alle taken die we nu oplossen, zouden u in een echte situatie moeten helpen bij het opzetten van ACL's voor een kantoornetwerk. Voor het gemak heb ik het klassieke invoertype gebruikt, maar ik raad u aan om alle regels handmatig op papier te schrijven of ze in een computer te typen, zodat u correcties in de invoer kunt aanbrengen. In ons geval werd, volgens de voorwaarden van Taak nr. 1, een klassieke ACL-lijst samengesteld. Als we er een uitzondering aan willen toevoegen voor PC0 van het type Permit , dan kunnen we deze regel slechts op de vierde plaats in de lijst plaatsen, na de regel Permit Any. Omdat het adres van deze computer echter is opgenomen in het bereik van adressen voor het controleren van de Deny-voorwaarde 0/192.168.1.128, wordt het verkeer onmiddellijk geblokkeerd nadat aan deze voorwaarde is voldaan en zal de router eenvoudigweg de vierde regelcontrole niet bereiken, waardoor verkeer vanaf dit IP-adres.
Daarom zal ik de ACL-lijst van taak nr. 1 volledig opnieuw moeten uitvoeren, de eerste regel verwijderen en vervangen door de regel Permit 192.168.1.130/26, die verkeer van PC0 toestaat, en vervolgens de regels opnieuw invoeren die al het verkeer verbieden van de afdelingen boekhouding en verkoop.
Op de eerste regel hebben we dus een opdracht voor een specifiek adres, en op de tweede regel een algemene opdracht voor het hele netwerk waarin dit adres zich bevindt. Als u een modern type ACL gebruikt, kunt u hier eenvoudig wijzigingen in aanbrengen door de regel Permit 192.168.1.130/26 als eerste commando te plaatsen. Als u een klassieke ACL heeft, moet u deze volledig verwijderen en vervolgens de opdrachten in de juiste volgorde opnieuw invoeren.
De oplossing voor probleem nr. 4 is om de regel Permit 192.168.1.130/26 aan het begin van de ACL van probleem nr. 1 te plaatsen, omdat alleen in dit geval verkeer van PC0 vrijelijk de uitvoerinterface van router R2 zal verlaten. Het verkeer van PC1 wordt volledig geblokkeerd omdat het IP-adres ervan onderworpen is aan het verbod op de tweede regel van de lijst.
We gaan nu verder met Packet Tracer om de nodige instellingen te maken. Ik heb de IP-adressen van alle apparaten al geconfigureerd omdat de vereenvoudigde voorgaande diagrammen een beetje moeilijk te begrijpen waren. Bovendien heb ik RIP tussen de twee routers geconfigureerd. Op de gegeven netwerktopologie is communicatie tussen alle apparaten van 4 subnetten zonder enige beperking mogelijk. Maar zodra we de ACL toepassen, begint het verkeer te worden gefilterd.
Ik begin met de financiële afdeling PC1 en probeer het IP-adres 192.168.1.194 te pingen, dat toebehoort aan Server0, dat zich in de serverruimte bevindt. Zoals u kunt zien, verloopt de ping zonder problemen. Ik ping ook met succes Laptop0 vanaf de beheerafdeling. Het eerste pakket wordt weggegooid vanwege ARP, de overige 3 worden vrijelijk gepingd.
Om verkeersfiltering te organiseren, ga ik naar de instellingen van de R2-router, activeer de globale configuratiemodus en ga een moderne ACL-lijst maken. We hebben ook de klassiek ogende ACL 10. Om de eerste lijst te maken, voer ik een commando in waarin je dezelfde lijstnaam moet opgeven die we op papier hebben genoteerd: ip access-list standaard ACL Secure_Ma_And_Se. Hierna vraagt het systeem naar mogelijke parameters: ik kan weigeren, afsluiten, nee, toestaan of opmerking selecteren, en ook een volgnummer invoeren van 1 tot 2147483647. Als ik dit niet doe, zal het systeem dit automatisch toewijzen.
Daarom voer ik dit nummer niet in, maar ga onmiddellijk naar de opdracht permit host 192.168.1.130, aangezien deze toestemming geldig is voor een specifiek PC0-apparaat. Ik kan ook een omgekeerd Wildcard-masker gebruiken, nu laat ik je zien hoe je dat moet doen.
Vervolgens voer ik het commando deny 192.168.1.128 in. Omdat we /26 hebben, gebruik ik het omgekeerde masker en vul ik het commando ermee aan: deny 192.168.1.128 0.0.0.63. Daarom weiger ik verkeer naar het netwerk 192.168.1.128/26.
Op dezelfde manier blokkeer ik verkeer van het volgende netwerk: deny 192.168.1.0 0.0.0.127. Al het overige verkeer is toegestaan, dus voer ik het commando permit any in. Vervolgens moet ik deze lijst op de interface toepassen, dus gebruik ik het commando int s0/1/0. Vervolgens typ ik ip access-group Secure_Ma_And_Se, en het systeem vraagt me om een interface te selecteren: in voor inkomende pakketten en uit voor uitgaande. We moeten de ACL toepassen op de uitvoerinterface, dus ik gebruik de opdracht ip access-group Secure_Ma_And_Se out.
Laten we naar de PC0-opdrachtregel gaan en het IP-adres 192.168.1.194 pingen, dat bij de Server0-server hoort. De ping is gelukt omdat we een speciale ACL-voorwaarde voor PC0-verkeer hebben gebruikt. Als ik hetzelfde doe vanaf PC1, genereert het systeem een foutmelding: “bestemmingshost is niet beschikbaar”, omdat verkeer van de resterende IP-adressen van de boekhoudafdeling geen toegang heeft tot de serverruimte.
Door in te loggen op de CLI van de R2-router en de opdracht show ip-adreslijsten te typen, kunt u zien hoe het netwerkverkeer van de financiële afdeling is gerouteerd - het laat zien hoe vaak de ping is doorgegeven volgens de toestemming en hoe vaak dit is gebeurd geblokkeerd volgens het verbod.
We kunnen altijd naar de routerinstellingen gaan en de toegangslijst bekijken. Er wordt dus voldaan aan de voorwaarden van taken nr. 1 en nr. 4. Laat me je nog één ding laten zien. Als ik iets wil repareren, kan ik naar de globale configuratiemodus van R2-instellingen gaan, de opdracht ip access-list standard Secure_Ma_And_Se invoeren en vervolgens de opdracht “host 192.168.1.130 is niet toegestaan” - geen vergunning host 192.168.1.130.
Als we opnieuw naar de toegangslijst kijken, zien we dat regel 10 is verdwenen, we hebben alleen nog de regels 20,30, 40 en XNUMX. Je kunt de ACL-toegangslijst dus bewerken in de routerinstellingen, maar alleen als deze niet is samengesteld in de klassieke vorm.
Laten we nu verder gaan met de derde ACL, omdat deze ook de R2-router betreft. Hierin staat dat verkeer vanaf de Laptop3 het netwerk van de verkoopafdeling niet mag verlaten. In dit geval zou Laptop2 zonder problemen moeten communiceren met de computers van de financiële afdeling. Om dit te testen ping ik vanaf deze laptop het IP-adres 192.168.1.130 en controleer of alles werkt.
Nu ga ik naar de opdrachtregel van Laptop3 en ping het adres 192.168.1.130. Pingen is succesvol, maar we hebben het niet nodig, omdat Laptop3 volgens de taakvoorwaarden alleen kan communiceren met Laptop2, die zich in hetzelfde netwerk van de verkoopafdeling bevindt. Om dit te doen, moet u nog een ACL maken met behulp van de klassieke methode.
Ik ga terug naar de R2-instellingen en probeer verwijderde vermelding 10 te herstellen met behulp van de opdracht permit host 192.168.1.130. Je ziet dat dit item aan het einde van de lijst verschijnt op nummer 50. De toegang werkt echter nog steeds niet, omdat de regel die een specifieke host toestaat aan het einde van de lijst staat en de regel die al het netwerkverkeer verbiedt bovenaan staat. van de lijst. Als we de Laptop0 van de beheerafdeling vanaf PC0 proberen te pingen, ontvangen we de melding "Destination Host is not accessable", ondanks het feit dat er een allow-invoer is op nummer 50 in de ACL.
Als u daarom een bestaande ACL wilt bewerken, moet u de opdracht no permit host 2 in R192.168.1.130-modus (config-std-nacl) invoeren, controleren of regel 50 uit de lijst is verdwenen en de opdracht 10 permit invoeren gastheer 192.168.1.130. We zien dat de lijst nu is teruggekeerd naar zijn oorspronkelijke vorm, waarbij dit item op de eerste plaats staat. Volgnummers helpen bij het bewerken van de lijst in welke vorm dan ook, dus de moderne vorm van ACL is veel handiger dan de klassieke.
Nu zal ik laten zien hoe de klassieke vorm van de ACL 10-lijst werkt. Om de klassieke lijst te gebruiken, moet u het commando access–list 10? invoeren en, na de prompt, de gewenste actie selecteren: weigeren, toestaan of opmerken. Vervolgens voer ik de regel access–list 10 deny host in, waarna ik de opdracht access–list 10 deny 192.168.1.3 typ en het omgekeerde masker toevoeg. Omdat we een host hebben, is het voorwaartse subnetmasker 255.255.255.255 en het omgekeerde is 0.0.0.0. Als gevolg hiervan moet ik, om hostverkeer te weigeren, de opdracht access–list 10 deny 192.168.1.3 0.0.0.0 invoeren. Hierna moet je de machtigingen opgeven, waarvoor ik de opdracht access–list 10 permit any typ. Deze lijst moet worden toegepast op de G0/1-interface van router R2, dus voer ik de opdrachten achtereenvolgens in g0/1, ip access-group 10 in. Ongeacht welke lijst wordt gebruikt, klassiek of modern, dezelfde opdrachten worden gebruikt om deze lijst op de interface toe te passen.
Om te controleren of de instellingen correct zijn, ga ik naar de opdrachtregelterminal van Laptop3 en probeer het IP-adres 192.168.1.130 te pingen - zoals je kunt zien meldt het systeem dat de bestemmingshost onbereikbaar is.
Ik wil u eraan herinneren dat u, om de lijst te controleren, zowel de opdrachten show ip access-lists als show access-lists kunt gebruiken. We moeten nog een probleem oplossen, dat betrekking heeft op de R1-router. Om dit te doen, ga ik naar de CLI van deze router en ga naar de globale configuratiemodus en voer de opdracht ip access-list standard Secure_Ma_From_Se in. Omdat we een netwerk 192.168.1.192/27 hebben, zal het subnetmasker 255.255.255.224 zijn, wat betekent dat het omgekeerde masker 0.0.0.31 zal zijn en dat we de opdracht deny 192.168.1.192 0.0.0.31 moeten invoeren. Omdat al het andere verkeer is toegestaan, eindigt de lijst met het commando permit any. Om een ACL toe te passen op de uitvoerinterface van de router, gebruikt u de opdracht ip access-group Secure_Ma_From_Se out.
Nu ga ik naar de opdrachtregelterminal van Server0 en probeer Laptop0 van de beheerafdeling te pingen op het IP-adres 192.168.1.226. De poging was niet succesvol, maar als ik het adres 192.168.1.130 pingde, werd de verbinding zonder problemen tot stand gebracht, dat wil zeggen dat we de servercomputer verboden om te communiceren met de beheerafdeling, maar communicatie met alle andere apparaten op andere afdelingen toestonden. We hebben dus alle 4 de problemen met succes opgelost.
Ik zal je nog iets anders laten zien. We gaan naar de instellingen van de R2-router, waar we 2 soorten ACL hebben: klassiek en modern. Laten we zeggen dat ik ACL 10, standaard IP-toegangslijst 10, wil bewerken, die in zijn klassieke vorm bestaat uit twee vermeldingen 10 en 20. Als ik de opdracht do show run gebruik, zie ik dat we eerst een moderne toegangslijst van 4 hebben. vermeldingen zonder cijfers onder de algemene kop Secure_Ma_And_Se, en hieronder staan twee ACL 10-vermeldingen van de klassieke vorm waarin de naam van dezelfde toegangslijst 10 wordt herhaald.
Als ik enkele wijzigingen wil aanbrengen, zoals het verwijderen van het item deny host 192.168.1.3 en het introduceren van een item voor een apparaat op een ander netwerk, moet ik de verwijderopdracht alleen voor dat item gebruiken: geen toegangslijst 10 deny host 192.168.1.3 .10. Maar zodra ik dit commando invoer, verdwijnen alle ACL XNUMX-items volledig. Daarom is de klassieke weergave van de ACL erg lastig om te bewerken. De moderne opnamemethode is veel handiger in gebruik, omdat deze gratis kan worden bewerkt.
Om de stof in deze videoles te leren, raad ik je aan om hem nog eens te bekijken en te proberen de besproken problemen zelf op te lossen, zonder enige hints. ACL is een belangrijk onderwerp in de CCNA-cursus en velen raken in de war door bijvoorbeeld de procedure voor het maken van een omgekeerd Wildcard-masker. Ik verzeker je dat je gewoon het concept van maskertransformatie begrijpt, en alles zal veel gemakkelijker worden. Houd er rekening mee dat het belangrijkste bij het begrijpen van de CCNA-cursusonderwerpen praktische training is, omdat alleen oefenen u zal helpen dit of dat Cisco-concept te begrijpen. Oefenen is niet mijn teams kopiëren en plakken, maar problemen op je eigen manier oplossen. Stel uzelf vragen: wat moet er worden gedaan om de verkeersstroom van hier naar daar te blokkeren, waar moet u voorwaarden toepassen, enz., en probeer deze te beantwoorden.
Bedankt dat je bij ons bent gebleven. Vind je onze artikelen leuk? Wil je meer interessante inhoud zien? Steun ons door een bestelling te plaatsen of door vrienden aan te bevelen, 30% korting voor Habr-gebruikers op een unieke analoog van instapservers, die door ons voor u is uitgevonden: (beschikbaar met RAID1 en RAID10, tot 24 cores en tot 40GB DDR4).
Dell R730xd 2 keer goedkoper? Alleen hier in Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - vanaf $99! Lees over
Bron: www.habr.com