En ting til jeg glemte Ä nevne er at tilgangskontrollister gjÞr mer enn bare Ä filtrere trafikk pÄ en tillat/avslÄtt basis, de gjÞr mange andre ting. For eksempel brukes tilgangskontrollister til Ä kryptere VPN-trafikk, men for CCNA-eksamenen er det nok Ä vite hvordan de brukes til Ä filtrere trafikk. La oss gÄ tilbake til problem nr. 1.
Vi fant ut at all regnskaps- og salgstrafikk kunne blokkeres pÄ R2-utdatagrensesnittet ved hjelp av fÞlgende tilgangskontrolliste.
Ikke bekymre deg for formatet pÄ denne listen, det er bare et eksempel for Ä hjelpe deg Ä forstÄ hva tilgangskontrollister er. Vi kommer til riktig format nÄr vi kommer i gang med pakkesporing.
Oppgave nr. 2 hÞres slik ut: serverrommet kan kommunisere med alle verter unntatt vertene i administrasjonsavdelingen. Det vil si at datamaskinene i serverrommet kan ha tilgang til alle datamaskiner i salgs- og regnskapsavdelingene, men skal ikke ha tilgang til datamaskiner i administrasjonsavdelingen. Dette betyr at IT-personalet i serverrommet ikke skal ha fjerntilgang til datamaskinen til lederen for administrasjonsavdelingen, og i tilfelle problemer, komme til kontoret hans og fikse problemet pÄ stedet. Merk at denne oppgaven ikke har noen praktisk betydning, fordi jeg ikke kjenner til noen grunn til at serverrommet ikke kunne kommunisere over nettverket med administrasjonsavdelingen, sÄ i dette tilfellet vurderer vi bare et opplÊringseksempel.
For Ä lÞse dette problemet mÄ vi fÞrst bestemme trafikkoverfÞringsbanen. Data fra serverrommet mottas ved inngangsgrensesnittet G0/1 til ruteren R1 og sendes til administrasjonsavdelingen via utgangsgrensesnittet G0/0.
Hvis vi bruker Deny 192.168.1.192/27-betingelsen pÄ inndatagrensesnittet G0/1, og som du husker, standard ACL er plassert nÊrmere trafikkilden, vil vi blokkere all trafikk, inkludert til salgs- og regnskapsavdelingene.
Siden vi bare Ăžnsker Ă„ blokkere trafikk som er rettet mot administrasjonsavdelingen, mĂ„ vi bruke tilgangskontrollisten (ACL) pĂ„ utgangsgrensesnittet G0/0. Dette problemet kan bare lĂžses ved Ă„ plassere tilgangskontrollisten nĂŠrmere destinasjonen. Samtidig mĂ„ trafikk fra regnskaps- og salgsavdelingens nettverk fritt nĂ„ administrasjonsavdelingen, sĂ„ den siste linjen i listen vil vĂŠre kommandoen Tillat enhver â tillat all trafikk unntatt trafikken som er spesifisert i forrige betingelse.
La oss gÄ videre til oppgave nr. 3: BÊrbar PC 3 fra salgsavdelingen skal ikke ha tilgang til noen andre enheter enn de som er plassert pÄ salgsavdelingens lokale nettverk. La oss anta at en praktikant jobber pÄ denne datamaskinen og ikke skal forlate lokalnettverket sitt.
I dette tilfellet mÄ vi bruke en ACL pÄ G0/1-inngangsgrensesnittet til ruter R2. Hvis vi tilordner IP-adressen 192.168.1.3/25 til denne datamaskinen, bÞr betingelsen «Nekt 192.168.1.3/25» vÊre oppfylt, og trafikk fra andre IP-adresser bÞr ikke blokkeres, sÄ den siste linjen i listen vil vÊre «Tillat alle».
Blokkering av trafikk vil imidlertid ikke ha noen effekt pÄ Laptop2.
Neste er problem nr. 4: Bare finansavdelingens PC0 har tilgang til servernettverket, men ikke administrasjonsavdelingen.
Hvis du husker det, blokkerer ACL-en fra oppgave nr. 1 all utgÄende trafikk pÄ S0/1/0-grensesnittet til ruter R2, men oppgave nr. 4 sier at vi bare trenger Ä tillate trafikk fra PC0 Ä passere gjennom, sÄ vi mÄ gjÞre et unntak.
Alle oppgavene vi lÞser nÄ, skal hjelpe deg i en reell situasjon nÄr du setter opp en ACL for et kontornettverk. For enkelhets skyld brukte jeg den klassiske typen post, men jeg anbefaler at du skriver ned alle linjene manuelt pÄ papir eller skriver dem ut pÄ en datamaskin for Ä kunne gjÞre rettelser i postene. I vÄrt tilfelle, i henhold til betingelsene i oppgave nr. 1, settes en klassisk ACL-liste sammen. Hvis vi Þnsker Ä legge til et unntak for PC0 av typen Tillatelse til den , kan vi bare plassere denne linjen som den fjerde i listen, etter linjen Permit Any. Men siden adressen til denne datamaskinen er inkludert i adresseomrÄdet til Deny-betingelsen 0/192.168.1.128, vil trafikken bli blokkert umiddelbart etter at denne betingelsen er oppfylt, og ruteren vil rett og slett ikke nÄ kontrollen pÄ den fjerde linjen, noe som tillater trafikk fra denne IP-adressen.
SÄ jeg mÄ omarbeide ACL-listen for oppgave nr. 1 fullstendig, slette den fÞrste linjen og erstatte den med linjen Permit 192.168.1.130/26, som tillater trafikk fra PC0, og deretter sette inn linjene som nekter all trafikk fra regnskaps- og salgsavdelingene pÄ nytt.
SÄ, i den fÞrste linjen har vi en kommando for en spesifikk adresse, og i den andre linjen har vi en generell kommando for hele nettverket der denne adressen befinner seg. Hvis du bruker en moderne type ACL, kan du enkelt endre den ved Ä plassere linjen Permit 192.168.1.130/26 som den fÞrste kommandoen. Hvis du har en klassisk ACL, mÄ du fjerne den helt og deretter skrive inn kommandoene pÄ nytt i riktig rekkefÞlge.
LÞsningen pÄ problem nr. 4 er Ä plassere linjen Permit 192.168.1.130/26 i begynnelsen av tilgangskontrollisten fra problem nr. 1, fordi fÞrst da vil PC0s trafikk forlate R2s utgangsgrensesnitt uhindret. PC1s trafikk vil bli fullstendig blokkert fordi IP-adressen er underlagt forbudet i den andre linjen i listen.
NÄ skal vi gÄ til Packet Tracer for Ä gjÞre de nÞdvendige innstillingene. Jeg har allerede konfigurert IP-adressene til alle enhetene fordi de forenklede tidligere diagrammene var litt vanskelige Ä forstÄ. I tillegg konfigurerte jeg RIP mellom de to ruterne. I den gitte nettverkstopologien er kommunikasjon mellom alle enhetene i de fire subnettene mulig uten noen begrensninger. Men sÄ snart vi bruker ACL, vil trafikken begynne Ä bli filtrert.
Jeg starter fra PC1 i finansavdelingen og prÞver Ä pinge IP-adressen 192.168.1.194, som tilhÞrer Server0, som ligger i serverrommet. Som du kan se, er pingen vellykket uten problemer. Jeg pinger ogsÄ Laptop0 i administrasjonsavdelingen. Den fÞrste pakken mistes pÄ grunn av ARP, de andre 3 pinges fritt.
For Ä organisere trafikkfiltrering gÄr jeg til R2-ruterinnstillingene, aktiverer den globale konfigurasjonsmodusen og skal opprette en moderne ACL-liste. Vi har ogsÄ en klassisk ACL 10. For Ä opprette den fÞrste listen skriver jeg inn en kommando der jeg mÄ spesifisere det samme listenavnet som vi skrev ned pÄ papiret: ip access-list standard ACL Secure_Ma_And_Se. Etter det gir systemet hint om mulige parametere: Jeg kan velge deny, exit, no, permit eller remark, og ogsÄ angi et sekvensnummer fra 1 til 2147483647. Hvis jeg ikke gjÞr dette, vil systemet tildele det automatisk.
SÄ jeg skriver ikke inn dette nummeret, men gÄr rett til kommandoen permit host 192.168.1.130, siden denne tillatelsen er for en spesifikk PC0-enhet. Jeg kan ogsÄ bruke en omvendt jokertegnmaske, jeg skal vise deg hvordan du gjÞr det nÄ.
Deretter skriver jeg inn kommandoen deny 192.168.1.128. Siden vi har /26, bruker jeg den omvendte masken og legger den til kommandoen: deny 192.168.1.128 0.0.0.63. PÄ denne mÄten nekter jeg trafikk fra nettverket 192.168.1.128/26.
PĂ„ samme mĂ„te blokkerer jeg trafikk fra fĂžlgende nettverk: deny 192.168.1.0 0.0.0.127. All annen trafikk er tillatt, sĂ„ jeg skriver inn kommandoen permit any. Deretter mĂ„ jeg bruke denne listen pĂ„ et grensesnitt, sĂ„ jeg bruker kommandoen int s0/1/0. Deretter skriver jeg ip access-group Secure_Ma_And_Se, og systemet ber meg om Ă„ velge et grensesnitt â in for innkommende pakker og out for utgĂ„ende. Vi mĂ„ bruke ACL-en pĂ„ det utgĂ„ende grensesnittet, sĂ„ jeg bruker kommandoen ip access-group Secure_Ma_And_Se out.
La oss gÄ til kommandolinjen til PC0 og pinge IP-adressen 192.168.1.194, som tilhÞrer serveren Server0. Pingen er vellykket fordi vi brukte en spesiell ACL-betingelse for PC0-trafikk. Hvis jeg gjÞr det samme fra PC1, returnerer systemet en feil: «destinasjonsverten er ikke tilgjengelig», fordi trafikk fra andre IP-adresser til regnskapsavdelingen er blokkert fra Ä fÄ tilgang til serverrommet.
Ved Ă„ gĂ„ inn i CLI-en til R2-ruteren og skrive kommandoen show ip address-lists, kan du se hvordan trafikken til finansavdelingens nettverk ble rutet â den viser hvor mange ganger pingen ble tillatt i henhold til tillatelsen og hvor mange ganger den ble blokkert i henhold til forbudet.
Vi kan alltid gÄ inn i ruterinnstillingene og se tilgangslisten. SÄ betingelsene for oppgave nr. 1 og 4 er oppfylt. La meg vise deg én ting til. Hvis jeg vil fikse noe, kan jeg gÄ inn i den globale konfigurasjonsmodusen for R2-innstillinger, skrive inn kommandoen ip access-list standard Secure_Ma_And_Se og deretter kommandoen "host 192.168.1.130 not permitted" - ingen tillatelse til host 192.168.1.130.
Hvis vi ser pÄ tilgangslisten igjen, vil vi se at linje 10 har forsvunnet, vi sitter igjen med bare linje 20,30, 40 og XNUMX. Dermed er det mulig Ä redigere ACL-tilgangslisten i ruterinnstillingene, men bare hvis den ikke er kompilert i klassisk form.
La oss nÄ gÄ videre til den tredje tilgangskontrollisten, fordi den ogsÄ gjelder ruter R2. Den sier at trafikk fra bÊrbar PC3 ikke skal forlate salgsavdelingens nettverk. Samtidig skal bÊrbar PC2 kunne kommunisere med Þkonomiavdelingens datamaskiner uten problemer. For Ä sjekke dette pinger jeg IP-adressen 192.168.1.130 fra denne bÊrbare PC-en, og alt fungerer.
NÄ gÄr jeg til kommandolinjen til Laptop3 og pinger adressen 192.168.1.130. Pingen er vellykket, men vi trenger den ikke, fordi i henhold til oppgaven kan Laptop3 bare kommunisere med Laptop2, som ligger i samme nettverk som salgsavdelingen. For Ä gjÞre dette mÄ vi opprette en ny tilgangskontrolliste ved hjelp av den klassiske metoden.
Jeg gÄr tilbake til R2s innstillinger og prÞver Ä gjenopprette den slettede oppfÞringen 10 ved Ä bruke kommandoen permit host 192.168.1.130. Du kan se at denne oppfÞringen vises pÄ slutten av listen, nummer 50. Tilgang vil imidlertid fortsatt ikke fungere fordi linjen som tillater en bestemt vert er pÄ slutten av listen, og linjen som nekter all nettverkstrafikk er Þverst pÄ listen. Hvis vi prÞver Ä pinge administrasjonsavdelingens Laptop0 fra PC0, fÄr vi meldingen "destination host not reachable", til tross for at ACL-listen inneholder en tillatelsesoppfÞring, nummer 50.
Hvis du derfor vil redigere en eksisterende ACL-liste, mÄ du skrive inn kommandoen *no permit host 2* i R192.168.1.130-modus (config-std-nacl), sjekke at linje 50 har forsvunnet fra listen, og skrive inn kommandoen *10 permit host 192.168.1.130*. Vi ser at listen nÄ har fÄtt sin opprinnelige form, der denne oppfÞringen har tatt den fÞrste linjen. Sekvensnumre hjelper med Ä redigere listen i enhver form, sÄ den moderne formen for ACL er mye mer praktisk enn den klassiske.
NĂ„ skal jeg vise deg hvordan den klassiske formen for ACL 10 fungerer. For Ă„ bruke den klassiske formen, skriver du inn accessâlist 10 ?, og fĂžlger instruksjonene for Ă„ velge Ăžnsket handling: deny, permit eller remark. Deretter skriver jeg inn accessâlist 10 deny host, etterfulgt av accessâlist 10 deny 192.168.1.3, og legger deretter til den omvendte masken. Siden vi har en vert, er den fremoverrettede subnettmasken 255.255.255.255, og den omvendte masken er 0.0.0.0. SĂ„, for Ă„ nekte trafikk fra verten, mĂ„ jeg skrive inn accessâlist 10 deny 192.168.1.3 0.0.0.0. Deretter mĂ„ jeg spesifisere tillatelser, som jeg skriver inn accessâlist 10 permit any for. Denne listen mĂ„ brukes pĂ„ G0/1-grensesnittet til ruter R2, sĂ„ jeg skriver inn kommandoene sekvensielt i g0/1, ip access-group 10 in. Uansett hvilken liste som brukes, klassisk eller moderne, gjĂžres bruken av denne listen pĂ„ grensesnittet med de samme kommandoene.
For Ă„ sjekke om innstillingene er riktige, gĂ„r jeg til kommandolinjeterminalen i Laptop3 og prĂžver Ă„ pinge IP-adressen 192.168.1.130 â som du kan se, rapporterer systemet at destinasjonsverten ikke er tilgjengelig.
La meg minne deg pÄ at du kan bruke bÄde show ip access-lists og show access-lists-kommandoene for Ä sjekke listen. Vi mÄ lÞse et problem til som gjelder R1-ruteren. For Ä gjÞre dette, gÄr jeg til CLI-en til denne ruteren og bytter til global konfigurasjonsmodus og skriver inn ip access-list standard Secure_Ma_From_Se-kommandoen. Siden vi har et nettverk 192.168.1.192/27, vil subnettmasken vÊre 255.255.255.224, som betyr at den omvendte masken vil vÊre 0.0.0.31, og vi mÄ skrive inn deny 192.168.1.192 0.0.0.31-kommandoen. Siden all annen trafikk er tillatt, avsluttes listen med permit any-kommandoen. For Ä bruke ACL-en pÄ ruterens utgangsgrensesnitt, brukes ip access-group Secure_Ma_From_Se out-kommandoen.
NÄ gÄr jeg til kommandolinjeterminalen til Server0 og prÞver Ä pinge Laptop0 i administrasjonsavdelingen pÄ IP-adressen 192.168.1.226. ForsÞket mislyktes, men hvis jeg pinger 192.168.1.130, vil forbindelsen bli opprettet uten problemer, det vil si at vi har forhindret serverdatamaskinen fra Ä kommunisere med administrasjonsavdelingen, men tillatt kommunikasjon med alle andre enheter i andre avdelinger. Dermed har vi lÞst alle fire problemene.
La meg vise deg noe annet. Vi gÄr til innstillingene til R2-ruteren, der vi har to typer ACL - klassisk og moderne. La oss si at jeg vil redigere ACL 2, Standard IP-tilgangsliste 10, som i sin klassiske form bestÄr av to oppfÞringer 10 og 10. Hvis du bruker kommandoen doshowrun, kan du se at vi fÞrst har en moderne tilgangsliste med fire oppfÞringer uten tall under den generelle overskriften Secure_Ma_And_Se, og nedenfor er det to oppfÞringer av ACL 20 av klassisk form med en repetisjon av navnet pÄ den samme listen tilgangsliste 4.
Hvis jeg vil gjÞre noen endringer, for eksempel fjerne deny host 192.168.1.3-oppfÞringen og skrive inn en oppfÞring for en enhet fra et annet nettverk, mÄ jeg bare bruke delete-kommandoen for denne oppfÞringen: no access-list 10 deny host 192.168.1.3. Men sÄ snart jeg skriver inn denne kommandoen, vil alle oppfÞringene i ACL 10-listen forsvinne fullstendig. Derfor er den klassiske visningen av ACL-en svÊrt upraktisk Ä redigere. Den moderne mÄten Ä skrive pÄ er mye mer praktisk Ä bruke, da den tillater fri redigering.
For Ă„ lĂŠre deg materialet i denne videoopplĂŠringen, anbefaler jeg at du ser den pĂ„ nytt og prĂžver Ă„ lĂžse problemene selv uten hint. ACL er et viktig tema i CCNA-kurset, og mange er forvirret, for eksempel av prosedyren for Ă„ lage en omvendt jokertegnmaske. Jeg forsikrer deg - det er nok Ă„ forstĂ„ konseptet med masketransformasjon, og alt vil bli mye enklere. Husk at det viktigste for Ă„ forstĂ„ emnet i CCNA-kurset er praktiske Ăžvelser, fordi bare Ăžvelse vil hjelpe deg Ă„ forstĂ„ det ene eller det andre Cisco-konseptet. Ăvelse er ikke Ă„ kopiere og lime inn kommandoene mine, men Ă„ lĂžse problemer pĂ„ din egen mĂ„te. Still deg selv spĂžrsmĂ„l: hva som bĂžr gjĂžres for Ă„ blokkere trafikkflyten herfra og dit, hvor du skal bruke betingelsene, og sĂ„ videre, og prĂžv Ă„ svare pĂ„ dem.
Takk for at du bor hos oss. Liker du artiklene vÄre? Vil du se mer interessant innhold? StÞtt oss ved Ä legge inn en bestilling eller anbefale til venner, 30 % rabatt for Habr-brukere pÄ en unik analog av inngangsnivÄservere, som ble oppfunnet av oss for deg: (tilgjengelig med RAID1 og RAID10, opptil 24 kjerner og opptil 40 GB DDR4).
Dell R730xd 2 ganger billigere? Bare her i Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fra $99! Lese om
Kilde: www.habr.com
