Jeszcze jedną rzeczą, o której zapomniałem wspomnieć, jest to, że lista ACL nie tylko filtruje ruch na zasadzie zezwalania/odmawiania, ale wykonuje o wiele więcej funkcji. Na przykład lista ACL służy do szyfrowania ruchu VPN, ale aby zdać egzamin CCNA, wystarczy wiedzieć, w jaki sposób jest ona używana do filtrowania ruchu. Wróćmy do problemu nr 1.
Dowiedzieliśmy się, że ruch działu księgowości i sprzedaży można zablokować na interfejsie wyjściowym R2 za pomocą poniższej listy ACL.
Nie przejmuj się formatem tej listy, ma ona służyć jedynie jako przykład, który pomoże Ci zrozumieć, czym jest lista ACL. Do prawidłowego formatu przejdziemy, gdy zaczniemy korzystać z Packet Tracer.
Zadanie nr 2 brzmi tak: serwerownia może komunikować się z dowolnymi hostami, z wyjątkiem hostów działu zarządzania. Oznacza to, że komputery w serwerowni mogą mieć dostęp do dowolnych komputerów w działach sprzedaży i księgowości, ale nie powinny mieć dostępu do komputerów w dziale zarządzania. Oznacza to, że informatycy serwerowni nie powinni mieć zdalnego dostępu do komputera kierownika działu zarządzania, lecz w razie problemów przyjść do jego biura i rozwiązać problem na miejscu. Należy pamiętać, że to zadanie jest niepraktyczne, ponieważ nie wiem, dlaczego serwerownia nie byłaby w stanie komunikować się przez sieć z działem zarządzającym, więc w tym przypadku patrzymy tylko na przykład z tutoriala.
Aby rozwiązać ten problem, musisz najpierw określić ścieżkę ruchu. Dane z serwerowni docierają do interfejsu wejściowego G0/1 routera R1 i przesyłane są do działu zarządzania poprzez interfejs wyjściowy G0/0.
Jeśli do interfejsu wejściowego G192.168.1.192/27 zastosujemy warunek Deny 0/1 i jak pamiętacie standardowa lista ACL jest umieszczona bliżej źródła ruchu, zablokujemy cały ruch, łącznie z działem sprzedaży i księgowości.
Ponieważ chcemy blokować tylko ruch kierowany do działu zarządzania, musimy zastosować listę ACL do interfejsu wyjściowego G0/0. Problem ten można rozwiązać jedynie poprzez umieszczenie listy ACL bliżej miejsca docelowego. Jednocześnie ruch z sieci działu księgowości i sprzedaży musi swobodnie docierać do działu zarządzania, dlatego w ostatniej linii listy będzie polecenie Zezwalaj na dowolny - zezwalające na dowolny ruch, z wyjątkiem ruchu określonego w poprzednim warunku.
Przejdźmy do zadania nr 3: laptop Laptop 3 z działu sprzedaży nie powinien mieć dostępu do żadnych innych urządzeń niż te znajdujące się w sieci lokalnej działu sprzedaży. Załóżmy, że stażysta pracuje na tym komputerze i nie powinien wychodzić poza swoją sieć LAN.
W takim przypadku należy zastosować listę ACL na interfejsie wejściowym G0/1 routera R2. Jeżeli przypiszemy temu komputerowi adres IP 192.168.1.3/25 to musi zostać spełniony warunek Odmów 192.168.1.3/25, a ruch z żadnego innego adresu IP nie może być blokowany, zatem ostatnią linijką listy będzie Permit każdy.
Jednakże blokowanie ruchu nie będzie miało żadnego wpływu na Laptop2.
Kolejnym zadaniem będzie Zadanie nr 4: dostęp do sieci serwerów będzie miał tylko komputer PC0 działu finansowego, ale nie dział zarządzania.
Jeśli pamiętasz, lista ACL z zadania nr 1 blokuje cały ruch wychodzący na interfejsie S0/1/0 routera R2, ale zadanie nr 4 mówi, że musimy się upewnić, że przechodzi tylko ruch PC0, więc musimy zrobić wyjątek.
Wszystkie zadania, które teraz rozwiązujemy, powinny pomóc Ci w rzeczywistej sytuacji podczas konfigurowania list ACL dla sieci biurowej. Dla wygody zastosowałem klasyczny sposób wpisu, jednak radzę spisać wszystkie linijki ręcznie na papierze lub przepisać je do komputera, aby móc dokonać poprawek we wpisach. W naszym przypadku, zgodnie z warunkami Zadania nr 1, sporządzono klasyczną listę ACL. Jeśli chcemy dodać do niego wyjątek dla PC0 typu Permit , wówczas możemy umieścić tę linię dopiero na czwartej pozycji na liście, po linii Permit Any. Ponieważ jednak adres tego komputera znajduje się w zakresie adresów do sprawdzania warunku Odmów 0/192.168.1.128, jego ruch zostanie zablokowany natychmiast po spełnieniu tego warunku, a router po prostu nie osiągnie kontroli czwartej linii, umożliwiając ruch z tego adresu IP.
Dlatego będę musiał całkowicie przerobić listę ACL Zadania nr 1, usuwając pierwszą linię i zastępując ją linią Permit 192.168.1.130/26, która zezwala na ruch z PC0, a następnie ponownie wprowadzić linie zabraniające całego ruchu z działów księgowości i sprzedaży.
Zatem w pierwszej linii mamy polecenie dla konkretnego adresu, a w drugiej - ogólne dla całej sieci, w której ten adres się znajduje. Jeśli używasz nowoczesnego typu listy ACL, możesz łatwo wprowadzić w niej zmiany, umieszczając linię Permit 192.168.1.130/26 jako pierwsze polecenie. Jeśli masz klasyczną listę ACL, będziesz musiał ją całkowicie usunąć, a następnie ponownie wprowadzić polecenia we właściwej kolejności.
Rozwiązaniem problemu nr 4 jest umieszczenie linii Permit 192.168.1.130/26 na początku listy ACL z problemu nr 1, ponieważ tylko w tym przypadku ruch z PC0 będzie swobodnie opuszczał interfejs wyjściowy routera R2. Ruch na PC1 zostanie całkowicie zablokowany, ponieważ jego adres IP podlega zakazowi zawartemu w drugiej linijce listy.
Przejdziemy teraz do Packet Tracer, aby dokonać niezbędnych ustawień. Skonfigurowałem już adresy IP wszystkich urządzeń, ponieważ uproszczone poprzednie schematy były trochę trudne do zrozumienia. Dodatkowo skonfigurowałem protokół RIP pomiędzy dwoma routerami. W zadanej topologii sieci komunikacja pomiędzy wszystkimi urządzeniami 4 podsieci jest możliwa bez żadnych ograniczeń. Ale gdy tylko zastosujemy listę ACL, ruch zacznie być filtrowany.
Zacznę od działu finansowego PC1 i spróbuję pingować adres IP 192.168.1.194, który należy do Serwera0, znajdującego się w serwerowni. Jak widać, ping przebiega pomyślnie bez żadnych problemów. Udało mi się również pingować Laptop0 z działu zarządzania. Pierwszy pakiet zostaje odrzucony z powodu ARP, pozostałe 3 są swobodnie pingowane.
Aby zorganizować filtrowanie ruchu, wchodzę w ustawienia routera R2, włączam tryb konfiguracji globalnej i zamierzam utworzyć nowoczesną listę ACL. Mamy również klasycznie wyglądający ACL 10. Aby utworzyć pierwszą listę, wpisuję polecenie, w którym należy podać tę samą nazwę listy, którą zapisaliśmy na papierze: ip access-list standard ACL Secure_Ma_And_Se. Następnie system pyta o możliwe parametry: mogę wybrać odmowę, wyjście, nie, zezwolenie lub uwagę, a także wprowadzić numer sekwencyjny od 1 do 2147483647. Jeśli tego nie zrobię, system przypisze go automatycznie.
Dlatego nie wpisuję tego numeru, ale od razu przechodzę do polecenia zezwolenia hosta 192.168.1.130, ponieważ to uprawnienie jest ważne dla konkretnego urządzenia PC0. Mogę także użyć odwróconej maski wieloznacznej, teraz pokażę ci, jak to zrobić.
Następnie wpisuję polecenie deny 192.168.1.128. Ponieważ mamy /26, używam maski odwrotnej i uzupełniam nią polecenie: deny 192.168.1.128 0.0.0.63. Dlatego odmawiam ruchu do sieci 192.168.1.128/26.
Podobnie blokuję ruch z sieci: deny 192.168.1.0 0.0.0.127. Cały inny ruch jest dozwolony, więc wpisuję polecenie zezwolenie na dowolny. Następnie muszę zastosować tę listę do interfejsu, więc używam polecenia int s0/1/0. Następnie wpisuję ip access-group Secure_Ma_And_Se, a system prosi mnie o wybranie interfejsu - wejściowy dla pakietów przychodzących i wychodzący dla wychodzących. Musimy zastosować listę ACL do interfejsu wyjściowego, więc używam polecenia ip access-group Secure_Ma_And_Se out.
Przejdźmy do linii poleceń PC0 i pingujmy adres IP 192.168.1.194, który należy do serwera Server0. Ping powiódł się, ponieważ użyliśmy specjalnego warunku ACL dla ruchu PC0. Jeśli zrobię to samo z PC1, system wygeneruje błąd: „host docelowy jest niedostępny”, ponieważ ruch z pozostałych adresów IP działu księgowości jest zablokowany przed dostępem do serwerowni.
Logując się do CLI routera R2 i wpisując polecenie show ip adres-lists, możesz zobaczyć, jak został przekierowany ruch sieciowy działu finansowego - pokazuje, ile razy ping został przekazany zgodnie z pozwoleniem i ile razy zablokowane zgodnie z zakazem.
Zawsze możemy przejść do ustawień routera i zobaczyć listę dostępu. Tym samym spełnione są warunki Zadania nr 1 i 4. Pokażę ci jeszcze jedną rzecz. Jeśli chcę coś naprawić, mogę przejść do trybu konfiguracji globalnej ustawień R2, wpisać polecenie ip access-list standard Secure_Ma_And_Se, a następnie polecenie „host 192.168.1.130 nie jest dozwolony” - brak zezwolenia na host 192.168.1.130.
Jeśli ponownie spojrzymy na listę dostępu, zobaczymy, że zniknęła linia 10, pozostały tylko linie 20,30, 40 i XNUMX. Zatem możesz edytować listę dostępu ACL w ustawieniach routera, ale tylko wtedy, gdy nie jest ona skompilowana w klasycznej formie.
Przejdźmy teraz do trzeciej listy ACL, ponieważ dotyczy ona również routera R2. Stwierdza, że jakikolwiek ruch z Laptopa3 nie powinien opuszczać sieci działu sprzedaży. W takim przypadku Laptop2 powinien bez problemu komunikować się z komputerami działu finansowego. Aby to przetestować, pinguję adres IP 192.168.1.130 z tego laptopa i upewniam się, że wszystko działa.
Teraz przejdę do linii poleceń Laptop3 i zapinguję adres 192.168.1.130. Pingowanie powiodło się, ale nie jest nam to potrzebne, ponieważ zgodnie z warunkami zadania Laptop3 może komunikować się tylko z Laptopem2, który znajduje się w tej samej sieci działu sprzedaży. Aby to zrobić, musisz utworzyć kolejną listę ACL, korzystając z klasycznej metody.
Wrócę do ustawień R2 i spróbuję odzyskać usunięty wpis 10 za pomocą polecenia zezwolenie hosta 192.168.1.130. Widzisz, że ten wpis pojawia się na końcu listy pod numerem 50. Jednak dostęp nadal nie będzie działał, ponieważ linia zezwalająca na konkretny host znajduje się na końcu listy, a linia zabraniająca całego ruchu sieciowego jest na górze z listy. Jeśli spróbujemy pingować Laptop0 działu zarządzania z komputera PC0, otrzymamy komunikat „Host docelowy jest niedostępny”, pomimo faktu, że na liście ACL znajduje się wpis zezwalający pod numerem 50.
Dlatego też, jeśli chcesz edytować istniejącą listę ACL, musisz wpisać polecenie no zezwolenie host 2 w trybie R192.168.1.130 (config-std-nacl), sprawdzić, czy linia 50 zniknęła z listy i wpisać polecenie 10 zezwolenie host 192.168.1.130. Widzimy, że lista powróciła do swojej pierwotnej formy, a ten wpis znalazł się na pierwszym miejscu. Numery sekwencyjne umożliwiają edycję listy w dowolnej formie, dlatego nowoczesna forma listy ACL jest znacznie wygodniejsza niż klasyczna.
Teraz pokażę jak działa klasyczna forma listy ACL 10. Aby skorzystać z klasycznej listy należy wpisać polecenie access–list 10? i po podpowiedzi wybrać żądaną akcję: odmów, zezwól lub uwaga. Następnie wpisuję linię access–list 10 deny host, po czym wpisuję polecenie access–list 10 deny 192.168.1.3 i dodaję odwrotną maskę. Ponieważ mamy hosta, przekierowująca maska podsieci to 255.255.255.255, a odwrotna to 0.0.0.0. W rezultacie, aby zablokować ruch hosta, muszę wprowadzić polecenie access–list 10 deny 192.168.1.3 0.0.0.0. Następnie należy określić uprawnienia, dla których wpisuję polecenie access–list 10 zezwolenie na dowolne. Tę listę należy zastosować do interfejsu G0/1 routera R2, więc po kolei wpisuję polecenia w g0/1, ip access-group 10 in. Niezależnie od tego, która lista jest używana, klasyczna czy nowoczesna, do zastosowania tej listy w interfejsie używane są te same polecenia.
Aby sprawdzić czy ustawienia są prawidłowe podchodzę do terminala linii poleceń Laptop3 i próbuję pingować adres IP 192.168.1.130 - jak widać system zgłasza, że host docelowy jest nieosiągalny.
Przypomnę, że do sprawdzenia listy możesz użyć zarówno polecenia show ip access-lists, jak i show access-lists. Musimy rozwiązać jeszcze jeden problem, który dotyczy routera R1. W tym celu wchodzę do CLI tego routera i przechodzę do trybu konfiguracji globalnej i wpisuję polecenie ip access-list standard Secure_Ma_From_Se. Ponieważ mamy sieć 192.168.1.192/27, jej maska podsieci będzie wynosić 255.255.255.224, co oznacza, że maska odwrotna będzie wynosić 0.0.0.31 i musimy wprowadzić polecenie deny 192.168.1.192 0.0.0.31. Ponieważ cały inny ruch jest dozwolony, lista kończy się poleceniem zezwolenie na dowolny. Aby zastosować listę ACL do interfejsu wyjściowego routera, użyj polecenia ip access-group Secure_Ma_From_Se out.
Teraz przejdę do terminala wiersza poleceń Serwera 0 i spróbuję pingować Laptop0 działu zarządzania pod adresem IP 192.168.1.226. Próba nie powiodła się, ale jeśli pingowałem adres 192.168.1.130, połączenie zostało nawiązane bez problemów, to znaczy zabroniliśmy komputerowi serwera komunikacji z działem zarządzania, ale zezwoliliśmy na komunikację ze wszystkimi innymi urządzeniami w innych działach. W ten sposób pomyślnie rozwiązaliśmy wszystkie 4 problemy.
Pokażę ci coś innego. Wchodzimy w ustawienia routera R2, gdzie mamy 2 rodzaje list ACL – klasyczną i nowoczesną. Powiedzmy, że chcę edytować listę ACL 10, standardową listę dostępu IP 10, która w swojej klasycznej formie składa się z dwóch wpisów 10 i 20. Jeśli użyję polecenia do show run, widzę, że najpierw mamy nowoczesną listę dostępu składającą się z 4 wpisy bez numerów pod ogólnym nagłówkiem Secure_Ma_And_Se, a poniżej znajdują się dwa wpisy ACL 10 w klasycznej formie, powtarzające nazwę tej samej listy dostępu 10.
Jeśli chcę dokonać pewnych zmian, takich jak usunięcie wpisu deny host 192.168.1.3 i wprowadzenie wpisu dotyczącego urządzenia w innej sieci, muszę użyć polecenia usuwania tylko dla tego wpisu: no access-list 10 deny host 192.168.1.3 .10. Ale gdy tylko wprowadzę to polecenie, wszystkie wpisy ACL XNUMX znikają całkowicie.Z tego powodu klasyczny widok listy ACL jest bardzo niewygodny w edycji. Nowoczesna metoda nagrywania jest znacznie wygodniejsza w użyciu, ponieważ umożliwia swobodną edycję.
Aby przyswoić materiał zawarty w tej lekcji wideo, radzę obejrzeć go ponownie i spróbować samodzielnie rozwiązać omówione problemy, bez żadnych wskazówek. Lista ACL jest ważnym tematem kursu CCNA i wiele osób jest zdezorientowanych na przykład procedurą tworzenia odwróconej maski wieloznacznej. Zapewniam cię, wystarczy zrozumieć koncepcję transformacji maski, a wszystko stanie się znacznie łatwiejsze. Pamiętaj, że najważniejszą rzeczą w zrozumieniu tematów kursów CCNA jest szkolenie praktyczne, ponieważ tylko praktyka pomoże Ci zrozumieć tę czy inną koncepcję Cisco. Praktyka nie polega na kopiowaniu i wklejaniu moich zespołów, ale na rozwiązywaniu problemów na swój własny sposób. Zadaj sobie pytania: co należy zrobić, aby zablokować przepływ ruchu stąd tam, gdzie zastosować warunki itp. i spróbuj na nie odpowiedzieć.
Dziękujemy za pobyt z nami. Podobają Ci się nasze artykuły? Chcesz zobaczyć więcej ciekawych treści? Wesprzyj nas składając zamówienie lub polecając znajomym, 30% zniżki dla użytkowników Habr na unikalny odpowiednik serwerów klasy podstawowej, który został przez nas wymyślony dla Ciebie: (dostępne z RAID1 i RAID10, do 24 rdzeni i do 40 GB DDR4).
Dell R730xd 2 razy tańszy? Tylko tutaj w Holandii! Dell R420 — 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2x960 GB SSD 1 Gb/s 100 TB — od 99 USD! Czytać o
Źródło: www.habr.com