Mais uma coisa que esqueci de mencionar é que a ACL não apenas filtra o tráfego com base em permissão/negação, mas também executa muitas outras funções. Por exemplo, uma ACL é usada para criptografar o tráfego VPN, mas para passar no exame CCNA, você só precisa saber como ela é usada para filtrar o tráfego. Voltemos ao problema nº 1.
Descobrimos que o tráfego do departamento de contabilidade e vendas pode ser bloqueado na interface de saída R2 usando a seguinte lista ACL.
Não se preocupe com o formato desta lista, ela serve apenas como exemplo para ajudá-lo a entender o que é uma ACL. Chegaremos ao formato correto assim que começarmos a usar o Packet Tracer.
A tarefa nº 2 é assim: a sala do servidor pode se comunicar com qualquer host, exceto os hosts do departamento de gerenciamento. Ou seja, os computadores da sala de servidores podem ter acesso a qualquer computador dos departamentos de vendas e contabilidade, mas não devem ter acesso aos computadores do departamento de gerenciamento. Isso significa que a equipe de TI da sala de servidores não deve ter acesso remoto ao computador do chefe do departamento de gestão, mas em caso de problemas, ir ao seu escritório e resolver o problema na hora. Observe que esta tarefa não é prática porque não sei por que a sala de servidores não conseguiria se comunicar pela rede com o departamento de gerenciamento, portanto, neste caso, estamos apenas olhando um exemplo de tutorial.
Para resolver este problema, primeiro você precisa determinar o caminho do tráfego. Os dados da sala de servidores chegam à interface de entrada G0/1 do roteador R1 e são enviados ao departamento de gerenciamento através da interface de saída G0/0.
Se aplicarmos a condição Deny 192.168.1.192/27 à interface de entrada G0/1, e como você se lembra, a ACL padrão for colocada mais próxima da origem do tráfego, bloquearemos todo o tráfego, inclusive para o departamento de vendas e contabilidade.
Como queremos bloquear apenas o tráfego direcionado ao departamento de gerenciamento, devemos aplicar uma ACL à interface de saída G0/0. Este problema só pode ser resolvido colocando a ACL mais próxima do destino. Ao mesmo tempo, o tráfego da rede do departamento de contabilidade e vendas deve chegar livremente ao departamento de gestão, portanto a última linha da lista será o comando Permitir qualquer - para permitir qualquer tráfego, exceto o tráfego especificado na condição anterior.
Vamos passar para a tarefa nº 3: o laptop Laptop 3 do departamento de vendas não deve ter acesso a nenhum dispositivo além daqueles localizados na rede local do departamento de vendas. Vamos supor que um estagiário esteja trabalhando neste computador e não deva ir além de sua LAN.
Neste caso, você precisa aplicar uma ACL na interface de entrada G0/1 do roteador R2. Se atribuirmos o endereço IP 192.168.1.3/25 a este computador, a condição Negar 192.168.1.3/25 deverá ser atendida e o tráfego de qualquer outro endereço IP não deverá ser bloqueado, portanto, a última linha da lista será Permitir qualquer.
No entanto, o bloqueio do tráfego não terá nenhum efeito no Laptop2.
A próxima tarefa será a Tarefa nº 4: apenas o computador PC0 do departamento financeiro pode ter acesso à rede do servidor, mas não o departamento de gestão.
Se você se lembra, a ACL da Tarefa nº 1 bloqueia todo o tráfego de saída na interface S0/1/0 do roteador R2, mas a Tarefa nº 4 diz que precisamos garantir que apenas o tráfego PC0 passe, portanto, devemos abrir uma exceção.
Todas as tarefas que estamos resolvendo agora devem ajudá-lo em uma situação real ao configurar ACLs para uma rede de escritório. Por conveniência, usei o tipo clássico de lançamento, mas aconselho que você anote todas as linhas manualmente no papel ou digite-as no computador para poder fazer correções nos lançamentos. No nosso caso, de acordo com as condições da tarefa nº 1, foi compilada uma lista clássica de ACL. Se quisermos adicionar uma exceção para PC0 do tipo Permit , então podemos colocar esta linha apenas em quarto lugar na lista, após a linha Permit Any. Porém, como o endereço deste computador está incluído no intervalo de endereços para verificação da condição Negar 0/192.168.1.128, seu tráfego será bloqueado imediatamente após esta condição ser atendida e o roteador simplesmente não alcançará a verificação da quarta linha, permitindo tráfego deste endereço IP.
Portanto, terei que refazer completamente a lista ACL da Tarefa nº 1, excluindo a primeira linha e substituindo-a pela linha Permit 192.168.1.130/26, que permite o tráfego do PC0, e depois inserir novamente as linhas que proíbem todo o tráfego dos departamentos de contabilidade e vendas.
Assim, na primeira linha temos um comando para um endereço específico, e na segunda - um comando geral para toda a rede onde este endereço está localizado. Se você estiver usando um tipo moderno de ACL, poderá facilmente fazer alterações nela colocando a linha Permit 192.168.1.130/26 como o primeiro comando. Se você tiver uma ACL clássica, precisará removê-la completamente e inserir novamente os comandos na ordem correta.
A solução para o Problema nº 4 é colocar a linha Permit 192.168.1.130/26 no início da ACL do Problema nº 1, pois somente neste caso o tráfego do PC0 sairá livremente da interface de saída do roteador R2. O tráfego do PC1 será totalmente bloqueado porque seu endereço IP está sujeito ao banimento contido na segunda linha da lista.
Passaremos agora para o Packet Tracer para fazer as configurações necessárias. Já configurei os endereços IP de todos os dispositivos porque os diagramas simplificados anteriores eram um pouco difíceis de entender. Além disso, configurei o RIP entre os dois roteadores. Na topologia de rede fornecida, a comunicação entre todos os dispositivos de 4 sub-redes é possível sem quaisquer restrições. Mas assim que aplicarmos a ACL, o tráfego começará a ser filtrado.
Começarei pelo departamento financeiro PC1 e tentarei fazer ping no endereço IP 192.168.1.194, que pertence ao Server0, localizado na sala do servidor. Como você pode ver, o ping foi bem-sucedido sem problemas. Também fiz ping com sucesso no Laptop0 do departamento de gerenciamento. O primeiro pacote é descartado devido ao ARP, os 3 restantes recebem ping livremente.
Para organizar a filtragem do tráfego, vou nas configurações do roteador R2, ativo o modo de configuração global e vou criar uma lista ACL moderna. Também temos o clássico ACL 10. Para criar a primeira lista, insiro um comando no qual você deve especificar o mesmo nome da lista que anotamos no papel: ip access-list standard ACL Secure_Ma_And_Se. Depois disso, o sistema solicita os possíveis parâmetros: Posso selecionar negar, sair, não, permitir ou observação, e também inserir um Número de Sequência de 1 a 2147483647. Caso não faça isso, o sistema irá atribuí-lo automaticamente.
Portanto, não insiro este número, mas vou imediatamente para o comando permit host 192.168.1.130, pois esta permissão é válida para um dispositivo PC0 específico. Também posso usar uma Máscara Wildcard reversa, agora vou mostrar como fazer.
Em seguida, insiro o comando deny 192.168.1.128. Como temos /26, uso a máscara reversa e complemento o comando com ela: deny 192.168.1.128 0.0.0.63. Assim, nego tráfego para a rede 192.168.1.128/26.
Da mesma forma, bloqueio o tráfego da seguinte rede: deny 192.168.1.0 0.0.0.127. Todo o outro tráfego é permitido, então eu insiro o comando permit any. Em seguida, tenho que aplicar esta lista à interface, então uso o comando int s0/1/0. Em seguida, digito ip access-group Secure_Ma_And_Se e o sistema me solicita que selecione uma interface - entrada para pacotes recebidos e saída para saída. Precisamos aplicar a ACL à interface de saída, então eu uso o comando ip access-group Secure_Ma_And_Se out.
Vamos para a linha de comando do PC0 e executar ping no endereço IP 192.168.1.194, que pertence ao servidor Server0. O ping foi bem-sucedido porque usamos uma condição ACL especial para tráfego PC0. Se eu fizer o mesmo no PC1, o sistema irá gerar um erro: “host de destino não está disponível”, pois o tráfego dos demais endereços IP do departamento de contabilidade está bloqueado para acessar a sala do servidor.
Ao fazer login na CLI do roteador R2 e digitar o comando show ip address-lists, você pode ver como o tráfego de rede do departamento financeiro foi roteado - mostra quantas vezes o ping foi passado de acordo com a permissão e quantas vezes foi bloqueado de acordo com a proibição.
Sempre podemos ir às configurações do roteador e ver a lista de acesso. Assim, as condições das Tarefas nº 1 e nº 4 são atendidas. Deixe-me mostrar mais uma coisa. Se eu quiser consertar alguma coisa, posso entrar no modo de configuração global das configurações R2, inserir o comando ip access-list standard Secure_Ma_And_Se e depois o comando “host 192.168.1.130 não é permitido” - sem permissão host 192.168.1.130.
Se olharmos novamente a lista de acesso, veremos que a linha 10 desapareceu, só nos restam as linhas 20,30, 40 e XNUMX. Assim, você pode editar a lista de acesso ACL nas configurações do roteador, mas somente se ela não estiver compilada na forma clássica.
Agora vamos passar para a terceira ACL, pois ela também diz respeito ao roteador R2. Afirma que qualquer tráfego do Laptop3 não deve sair da rede do departamento de vendas. Neste caso, o Laptop2 deverá se comunicar sem problemas com os computadores do departamento financeiro. Para testar isso, faço ping no endereço IP 192.168.1.130 deste laptop e certifico-me de que tudo funciona.
Agora irei para a linha de comando do Laptop3 e executarei ping no endereço 192.168.1.130. O ping foi bem-sucedido, mas não precisamos dele, pois de acordo com as condições da tarefa, o Laptop3 só pode se comunicar com o Laptop2, que está localizado na mesma rede de departamentos de vendas. Para fazer isso, você precisa criar outra ACL usando o método clássico.
Voltarei às configurações do R2 e tentarei recuperar a entrada 10 excluída usando o comando permit host 192.168.1.130. Você vê que esta entrada aparece no final da lista no número 50. Porém, o acesso ainda não funcionará, porque a linha que permite um host específico está no final da lista, e a linha que proíbe todo o tráfego de rede está no topo da lista. Se tentarmos executar ping no Laptop0 do departamento de gerenciamento a partir do PC0, receberemos a mensagem “o host de destino não está acessível”, apesar de haver uma entrada permitida no número 50 na ACL.
Portanto, se você deseja editar uma ACL existente, você precisa inserir o comando no permit host 2 no modo R192.168.1.130 (config-std-nacl), verificar se a linha 50 desapareceu da lista e inserir o comando 10 permit anfitrião 192.168.1.130. Vemos que a lista voltou à sua forma original, com esta entrada classificada em primeiro lugar. Os números de sequência ajudam a editar a lista em qualquer formato, portanto a forma moderna de ACL é muito mais conveniente que a clássica.
Agora vou mostrar como funciona a forma clássica da lista ACL 10. Para utilizar a lista clássica, é necessário digitar o comando access–list 10?, e, seguindo o prompt, selecionar a ação desejada: negar, permitir ou comentar. Em seguida, entro na linha access–list 10 deny host, após o qual digito o comando access–list 10 deny 192.168.1.3 e adiciono a máscara reversa. Como temos um host, a máscara de sub-rede direta é 255.255.255.255 e a inversa é 0.0.0.0. Como resultado, para negar o tráfego do host, devo inserir o comando access–list 10 deny 192.168.1.3 0.0.0.0. Depois disso, você precisa especificar as permissões, para as quais digito o comando access–list 10 permit any. Esta lista precisa ser aplicada à interface G0/1 do roteador R2, então insiro sequencialmente os comandos em g0/1, ip access-group 10 in. Independentemente da lista utilizada, clássica ou moderna, os mesmos comandos são utilizados para aplicar esta lista à interface.
Para verificar se as configurações estão corretas, vou ao terminal de linha de comando do Laptop3 e tento fazer ping no endereço IP 192.168.1.130 - como você pode ver, o sistema informa que o host de destino está inacessível.
Deixe-me lembrá-lo de que para verificar a lista você pode usar os comandos show ip access-lists e show access-lists. Devemos resolver mais um problema relacionado ao roteador R1. Para fazer isso, vou para a CLI deste roteador e vou para o modo de configuração global e digito o comando ip access-list standard Secure_Ma_From_Se. Como temos uma rede 192.168.1.192/27, sua máscara de sub-rede será 255.255.255.224, o que significa que a máscara reversa será 0.0.0.31 e precisamos inserir o comando deny 192.168.1.192 0.0.0.31. Como todo o outro tráfego é permitido, a lista termina com o comando permit any. Para aplicar uma ACL à interface de saída do roteador, use o comando ip access-group Secure_Ma_From_Se out.
Agora irei para o terminal de linha de comando do Server0 e tentarei fazer ping no Laptop0 do departamento de gerenciamento no endereço IP 192.168.1.226. A tentativa não teve sucesso, mas se eu fiz ping no endereço 192.168.1.130, a conexão foi estabelecida sem problemas, ou seja, proibimos a comunicação do computador servidor com o departamento de gerenciamento, mas permitimos a comunicação com todos os demais dispositivos de outros departamentos. Assim, resolvemos com sucesso todos os 4 problemas.
Deixe-me mostrar outra coisa. Entramos nas configurações do roteador R2, onde temos 2 tipos de ACL - clássico e moderno. Digamos que eu queira editar a ACL 10, lista de acesso IP padrão 10, que em sua forma clássica consiste em duas entradas 10 e 20. Se eu usar o comando do show run, posso ver que primeiro temos uma lista de acesso moderna de 4 entradas sem números sob o título geral Secure_Ma_And_Se, e abaixo estão duas entradas ACL 10 da forma clássica repetindo o nome da mesma lista de acesso 10.
Se eu quiser fazer algumas alterações, como remover a entrada deny host 192.168.1.3 e introduzir uma entrada para um dispositivo em uma rede diferente, preciso usar o comando delete apenas para essa entrada: no access-list 10 deny host 192.168.1.3 .10. Mas assim que eu digito este comando, todas as entradas da ACL XNUMX desaparecem completamente. É por isso que a visão clássica da ACL é muito inconveniente para editar. O método de gravação moderno é muito mais conveniente de usar, pois permite edição gratuita.
Para aprender o material desta videoaula, aconselho você a assisti-la novamente e tentar resolver sozinho os problemas discutidos, sem nenhuma dica. ACL é um tópico importante no curso CCNA, e muitos ficam confusos, por exemplo, com o procedimento para criar uma máscara curinga reversa. Garanto a você, basta entender o conceito de transformação de máscara e tudo ficará muito mais fácil. Lembre-se que o mais importante para entender os tópicos do curso CCNA é o treinamento prático, pois só a prática vai te ajudar a entender esse ou aquele conceito da Cisco. Praticar não é copiar e colar minhas equipes, mas resolver problemas do seu jeito. Pergunte a si mesmo: o que precisa ser feito para bloquear o fluxo de tráfego daqui para lá, onde aplicar condições, etc., e tente respondê-las.
Obrigado por ficar com a gente. Gostou dos nossos artigos? Quer ver mais conteúdos interessantes? Apoie-nos fazendo um pedido ou recomendando a amigos, 30% de desconto para usuários do Habr em um análogo exclusivo de servidores básicos, que foi inventado por nós para você: (disponível com RAID1 e RAID10, até 24 núcleos e até 40 GB DDR4).
Dell R730xd 2 vezes mais barato? Só aqui na Holanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - a partir de US$ 99! Ler sobre
Fonte: habr.com