En ting til som jeg glemte å nevne er at ACL ikke bare filtrerer trafikk på tillat/avslå-basis, den utfører mange flere funksjoner. For eksempel brukes en ACL til å kryptere VPN-trafikk, men for å bestå CCNA-eksamenen trenger du bare å vite hvordan den brukes til å filtrere trafikk. La oss gå tilbake til problem nr. 1.
Vi fant ut at trafikken til regnskaps- og salgsavdelingen kan blokkeres på R2-utgangsgrensesnittet ved å bruke følgende ACL-liste.
Ikke bekymre deg for formatet på denne listen, den er bare ment som et eksempel for å hjelpe deg å forstå hva en ACL er. Vi kommer til riktig format når vi kommer i gang med Packet Tracer.
Oppgave nr. 2 høres slik ut: serverrommet kan kommunisere med alle verter, bortsett fra vertene til administrasjonsavdelingen. Det vil si at serverromsdatamaskinene kan ha tilgang til alle datamaskiner i salgs- og regnskapsavdelingene, men skal ikke ha tilgang til datamaskinene i administrasjonsavdelingen. Dette betyr at IT-personalet på serverrommet ikke skal ha ekstern tilgang til datamaskinen til lederen for administrasjonsavdelingen, men i tilfelle problemer, kom til kontoret hans og fiks problemet på stedet. Merk at denne oppgaven ikke er praktisk fordi jeg ikke vet hvorfor serverrommet ikke ville være i stand til å kommunisere over nettverket med administrasjonsavdelingen, så i dette tilfellet ser vi bare på et opplæringseksempel.
For å løse dette problemet må du først bestemme trafikkveien. Data fra serverrommet kommer til inngangsgrensesnittet G0/1 til ruter R1 og sendes til administrasjonsavdelingen gjennom utgangsgrensesnittet G0/0.
Hvis vi bruker Deny 192.168.1.192/27-betingelsen på inngangsgrensesnittet G0/1, og som du husker, er standard ACL plassert nærmere trafikkkilden, vil vi blokkere all trafikk, inkludert til salgs- og regnskapsavdelingen.
Siden vi ønsker å blokkere kun trafikk rettet til administrasjonsavdelingen, må vi bruke en ACL til utgangsgrensesnittet G0/0. Dette problemet kan bare løses ved å plassere ACL nærmere destinasjonen. Samtidig må trafikk fra regnskaps- og salgsavdelingens nettverk fritt nå administrasjonsavdelingen, så den siste linjen på listen vil være kommandoen Tillat enhver - for å tillate all trafikk, bortsett fra trafikken spesifisert i forrige tilstand.
La oss gå videre til oppgave nr. 3: Laptop 3 fra salgsavdelingen skal ikke ha tilgang til andre enheter enn de som er plassert på salgsavdelingens lokale nettverk. La oss anta at en trainee jobber på denne datamaskinen og ikke bør gå utover LAN.
I dette tilfellet må du bruke en ACL på inngangsgrensesnittet G0/1 til ruter R2. Hvis vi tilordner IP-adressen 192.168.1.3/25 til denne datamaskinen, må deny 192.168.1.3/25-betingelsen oppfylles, og trafikk fra andre IP-adresser må ikke blokkeres, så den siste linjen i listen vil være Tillatelse noen.
Blokkering av trafikk vil imidlertid ikke ha noen effekt på Laptop2.
Neste oppgave blir oppgave nr. 4: kun datamaskin PC0 til økonomiavdelingen kan ha tilgang til servernettverket, men ikke administrasjonsavdelingen.
Hvis du husker, blokkerer ACL fra Task #1 all utgående trafikk på S0/1/0-grensesnittet til ruter R2, men Task #4 sier at vi må sørge for at bare PC0-trafikk går gjennom, så vi må gjøre et unntak.
Alle oppgavene som vi nå løser skal hjelpe deg i en reell situasjon når du setter opp ACLer for et kontornettverk. For enkelhets skyld brukte jeg den klassiske typen oppføring, men jeg råder deg til å skrive ned alle linjene manuelt på papir eller skrive dem inn på en datamaskin slik at du kan gjøre rettelser i oppføringene. I vårt tilfelle ble det i henhold til betingelsene i Oppgave nr. 1 utarbeidet en klassisk ACL-liste. Hvis vi ønsker å legge til et unntak for PC0 av typen Permit , så kan vi plassere denne linjen bare på fjerde plass i listen, etter Permit Any-linjen. Siden adressen til denne datamaskinen er inkludert i utvalget av adresser for å sjekke Nekt-betingelsen 0/192.168.1.128, vil imidlertid trafikken blokkeres umiddelbart etter at denne betingelsen er oppfylt, og ruteren vil ganske enkelt ikke nå den fjerde linjekontrollen, noe som tillater trafikk fra denne IP-adressen.
Derfor må jeg gjøre om ACL-listen for oppgave nr. 1 fullstendig, slette den første linjen og erstatte den med linjen Permit 192.168.1.130/26, som tillater trafikk fra PC0, og deretter gå inn på linjene som forbyr all trafikk fra regnskaps- og salgsavdelingen.
Således, i den første linjen har vi en kommando for en bestemt adresse, og i den andre - en generell en for hele nettverket der denne adressen er plassert. Hvis du bruker en moderne type ACL, kan du enkelt gjøre endringer i den ved å plassere linjen Permit 192.168.1.130/26 som den første kommandoen. Hvis du har en klassisk ACL, må du fjerne den helt og deretter skrive inn kommandoene på nytt i riktig rekkefølge.
Løsningen på problem nr. 4 er å plassere linjen Permit 192.168.1.130/26 i begynnelsen av ACL fra problem nr. 1, fordi bare i dette tilfellet vil trafikk fra PC0 fritt forlate utgangsgrensesnittet til ruter R2. PC1s trafikk vil bli fullstendig blokkert fordi IP-adressen er underlagt forbudet i den andre linjen på listen.
Vi vil nå gå videre til Packet Tracer for å gjøre de nødvendige innstillingene. Jeg har allerede konfigurert IP-adressene til alle enheter fordi de forenklede tidligere diagrammene var litt vanskelige å forstå. I tillegg konfigurerte jeg RIP mellom de to ruterne. På den gitte nettverkstopologien er kommunikasjon mellom alle enheter med 4 subnett mulig uten noen begrensninger. Men så snart vi bruker ACL, vil trafikken begynne å filtreres.
Jeg starter med økonomiavdelingen PC1 og prøver å pinge IP-adressen 192.168.1.194, som tilhører Server0, som ligger i serverrommet. Som du kan se, er ping vellykket uten problemer. Jeg ping også vellykket Laptop0 fra ledelsesavdelingen. Den første pakken blir forkastet på grunn av ARP, de resterende 3 pinges fritt.
For å organisere trafikkfiltrering går jeg inn i innstillingene til R2-ruteren, aktiverer den globale konfigurasjonsmodusen og skal lage en moderne ACL-liste. Vi har også den klassiske ACL 10. For å lage den første listen skriver jeg inn en kommando der du må spesifisere det samme listenavnet som vi skrev ned på papiret: ip access-list standard ACL Secure_Ma_And_Se. Etter dette ber systemet om mulige parametere: Jeg kan velge nekte, gå ut, nei, tillate eller bemerke, og også angi et sekvensnummer fra 1 til 2147483647. Hvis jeg ikke gjør dette, vil systemet tildele det automatisk.
Derfor skriver jeg ikke inn dette nummeret, men går umiddelbart til tillatelsesverten 192.168.1.130-kommandoen, siden denne tillatelsen er gyldig for en spesifikk PC0-enhet. Jeg kan også bruke en omvendt jokertegnmaske, nå skal jeg vise deg hvordan du gjør det.
Deretter skriver jeg inn kommandoen deny 192.168.1.128. Siden vi har /26 bruker jeg den omvendte masken og supplerer kommandoen med den: deny 192.168.1.128 0.0.0.63. Dermed nekter jeg trafikk til nettverket 192.168.1.128/26.
På samme måte blokkerer jeg trafikk fra følgende nettverk: nekte 192.168.1.0 0.0.0.127. All annen trafikk er tillatt, så jeg skriver inn kommandoen tillatelse evt. Deretter må jeg bruke denne listen på grensesnittet, så jeg bruker kommandoen int s0/1/0. Deretter skriver jeg ip access-group Secure_Ma_And_Se, og systemet ber meg velge et grensesnitt - inn for innkommende pakker og ut for utgående. Vi må bruke ACL på utgangsgrensesnittet, så jeg bruker kommandoen ip-tilgangsgruppe Secure_Ma_And_Se out.
La oss gå til PC0-kommandolinjen og pinge IP-adressen 192.168.1.194, som tilhører Server0-serveren. Pingen er vellykket fordi vi brukte en spesiell ACL-betingelse for PC0-trafikk. Hvis jeg gjør det samme fra PC1, vil systemet generere en feilmelding: "destinasjonsvert er ikke tilgjengelig", siden trafikk fra de gjenværende IP-adressene til regnskapsavdelingen er blokkert fra tilgang til serverrommet.
Ved å logge på CLI-en til R2-ruteren og skrive kommandoen show ip address-lists, kan du se hvordan finansavdelingens nettverkstrafikk ble rutet - den viser hvor mange ganger ping ble sendt i henhold til tillatelsen og hvor mange ganger det ble sperret i henhold til forbudet.
Vi kan alltid gå til ruterinnstillingene og se tilgangslisten. Dermed er vilkårene i oppgave nr. 1 og nr. 4 oppfylt. La meg vise deg en ting til. Hvis jeg vil fikse noe, kan jeg gå inn i den globale konfigurasjonsmodusen for R2-innstillinger, skrive inn kommandoen ip access-list standard Secure_Ma_And_Se og deretter kommandoen "vert 192.168.1.130 er ikke tillatt" - ingen tillatelse vert 192.168.1.130.
Hvis vi ser på tilgangslisten igjen, vil vi se at linje 10 har forsvunnet, vi har bare linje 20,30, 40 og XNUMX. Dermed kan du redigere ACL-tilgangslisten i ruterinnstillingene, men kun hvis den ikke er kompilert i klassisk form.
La oss nå gå videre til den tredje ACL, fordi det også gjelder R2-ruteren. Den sier at eventuell trafikk fra Laptop3 ikke skal forlate salgsavdelingens nettverk. I dette tilfellet bør Laptop2 kommunisere uten problemer med datamaskinene til finansavdelingen. For å teste dette, pinger jeg IP-adressen 192.168.1.130 fra denne bærbare datamaskinen og sørger for at alt fungerer.
Nå vil jeg gå til kommandolinjen til Laptop3 og pinge adressen 192.168.1.130. Pinging er vellykket, men vi trenger det ikke, siden i henhold til betingelsene for oppgaven kan Laptop3 bare kommunisere med Laptop2, som ligger i samme salgsavdelingsnettverk. For å gjøre dette, må du opprette en annen ACL ved å bruke den klassiske metoden.
Jeg går tilbake til R2-innstillingene og prøver å gjenopprette slettet oppføring 10 ved å bruke kommandoen permit host 192.168.1.130. Du ser at denne oppføringen vises på slutten av listen ved nummer 50. Imidlertid vil tilgang fortsatt ikke fungere, fordi linjen som tillater en spesifikk vert er på slutten av listen, og linjen som forbyr all nettverkstrafikk er øverst av listen. Hvis vi prøver å pinge administrasjonsavdelingens bærbare datamaskin0 fra PC0, vil vi motta meldingen "destinasjonsverten er ikke tilgjengelig", til tross for at det er en tillatelse på nummer 50 i tilgangskontrollisten.
Derfor, hvis du ønsker å redigere en eksisterende ACL, må du skrive inn kommandoen no permit host 2 i R192.168.1.130-modus (config-std-nacl), kontrollere at linje 50 har forsvunnet fra listen, og angi kommandoen 10 permit vert 192.168.1.130. Vi ser at listen nå er tilbake til sin opprinnelige form, med denne oppføringen rangert først. Sekvensnummer hjelper til med å redigere listen i alle former, så den moderne formen for ACL er mye mer praktisk enn den klassiske.
Nå skal jeg vise hvordan den klassiske formen av ACL 10-listen fungerer. For å bruke den klassiske listen, må du skrive inn kommandoen access–list 10?, og ved å følge ledeteksten velger du ønsket handling: nekte, tillate eller bemerke. Deretter går jeg inn i linjetilgang–liste 10 nekte vert, hvoretter jeg skriver kommandoen access–list 10 nekte 192.168.1.3 og legger til den omvendte masken. Siden vi har en vert, er forovernettmasken 255.255.255.255, og omvendt er 0.0.0.0. Som et resultat, for å nekte vertstrafikk, må jeg gå inn i kommandoen access–list 10 deny 192.168.1.3 0.0.0.0. Etter dette må du spesifisere tillatelser, som jeg skriver inn kommandoen access–list 10 permit any. Denne listen må brukes på G0/1-grensesnittet til ruter R2, så jeg legger inn kommandoene sekvensielt i g0/1, ip-tilgangsgruppe 10 tommer. Uansett hvilken liste som brukes, klassisk eller moderne, brukes de samme kommandoene for å bruke denne listen på grensesnittet.
For å sjekke om innstillingene er riktige, går jeg til Laptop3-kommandolinjeterminalen og prøver å pinge IP-adressen 192.168.1.130 - som du kan se, rapporterer systemet at destinasjonsverten ikke er tilgjengelig.
La meg minne deg på at du kan bruke både vis ip-tilgangslister og vis tilgangslister for å sjekke listen. Vi må løse ett problem til, som er relatert til R1-ruteren. For å gjøre dette, går jeg til CLI-en til denne ruteren og går til global konfigurasjonsmodus og skriver inn kommandoen ip access-list standard Secure_Ma_From_Se. Siden vi har et nettverk 192.168.1.192/27, vil subnettmasken være 255.255.255.224, noe som betyr at omvendt masken vil være 0.0.0.31 og vi må angi deny 192.168.1.192 0.0.0.31-kommandoen. Siden all annen trafikk er tillatt, avsluttes listen med kommandoen tillat evt. For å bruke en ACL til ruterens utgangsgrensesnitt, bruk kommandoen ip access-group Secure_Ma_From_Se out.
Nå vil jeg gå til kommandolinjeterminalen til Server0 og prøve å pinge Laptop0 til administrasjonsavdelingen på IP-adressen 192.168.1.226. Forsøket mislyktes, men hvis jeg pinget adressen 192.168.1.130, ble forbindelsen opprettet uten problemer, det vil si at vi forbød serverdatamaskinen å kommunisere med administrasjonsavdelingen, men tillot kommunikasjon med alle andre enheter i andre avdelinger. Dermed har vi løst alle 4 problemene.
La meg vise deg noe annet. Vi går inn på innstillingene til R2-ruteren, hvor vi har 2 typer ACL – klassisk og moderne. La oss si at jeg vil redigere ACL 10, Standard IP-tilgangsliste 10, som i sin klassiske form består av to oppføringer 10 og 20. Hvis jeg bruker kommandoen do show run, kan jeg se at først har vi en moderne tilgangsliste på 4 oppføringer uten tall under den generelle overskriften Secure_Ma_And_Se, og nedenfor er to ACL 10-oppføringer i den klassiske formen som gjentar navnet på den samme tilgangslisten 10.
Hvis jeg vil gjøre noen endringer, for eksempel å fjerne deny host 192.168.1.3-oppføringen og introdusere en oppføring for en enhet på et annet nettverk, må jeg bare bruke delete-kommandoen for den oppføringen: ingen tilgangsliste 10 deny host 192.168.1.3 .10. Men så snart jeg skriver inn denne kommandoen, forsvinner alle oppføringer i ACL XNUMX. Dette er grunnen til at den klassiske visningen av ACL er svært upraktisk å redigere. Den moderne opptaksmetoden er mye mer praktisk å bruke, siden den tillater gratis redigering.
For å lære materialet i denne videoleksjonen, anbefaler jeg deg å se den på nytt og prøve å løse problemene som er diskutert på egenhånd uten noen hint. ACL er et viktig tema i CCNA-kurset, og mange blir forvirret av for eksempel prosedyren for å lage en omvendt Wildcard Mask. Jeg forsikrer deg, bare forstå konseptet med masketransformasjon, og alt vil bli mye enklere. Husk at det viktigste for å forstå CCNA-kursemnene er praktisk trening, fordi bare praksis vil hjelpe deg å forstå dette eller hint Cisco-konseptet. Øvelse er ikke å copy-paste teamene mine, men å løse problemer på din egen måte. Still deg selv spørsmål: hva må gjøres for å blokkere trafikkflyten herfra og dit, hvor du skal bruke betingelser osv., og prøv å svare på dem.
Takk for at du bor hos oss. Liker du artiklene våre? Vil du se mer interessant innhold? Støtt oss ved å legge inn en bestilling eller anbefale til venner, 30 % rabatt for Habr-brukere på en unik analog av inngangsnivåservere, som ble oppfunnet av oss for deg: (tilgjengelig med RAID1 og RAID10, opptil 24 kjerner og opptil 40 GB DDR4).
Dell R730xd 2 ganger billigere? Bare her i Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fra $99! Lese om
Kilde: www.habr.com