Ešte jedna vec, ktorú som zabudol spomenúť, je, že ACL nielen filtruje návštevnosť na základe povolenia / odmietnutia, ale vykonáva oveľa viac funkcií. Napríklad ACL sa používa na šifrovanie prevádzky VPN, ale na úspešné absolvovanie skúšky CCNA vám stačí vedieť, ako sa používa na filtrovanie prevádzky. Vráťme sa k problému č.1.
Zistili sme, že na výstupnom rozhraní R2 je možné blokovať prevádzku účtovného a obchodného oddelenia pomocou nasledujúceho zoznamu ACL.
Nerobte si starosti s formátom tohto zoznamu, je to len príklad, ktorý vám pomôže pochopiť, čo je ACL. Keď začneme s Packet Tracer, dostaneme sa k správnemu formátu.
Úloha č. 2 znie takto: Serverová miestnosť môže komunikovať s ľubovoľnými hostiteľmi, okrem hostiteľov oddelenia manažmentu. To znamená, že počítače v serverovej miestnosti môžu mať prístup k akýmkoľvek počítačom v oddelení predaja a účtovníctva, ale nemali by mať prístup k počítačom v oddelení správy. To znamená, že IT pracovníci serverovne by nemali mať vzdialený prístup k počítaču vedúceho oddelenia manažmentu, ale v prípade problémov prísť do jeho kancelárie a problém vyriešiť na mieste. Všimnite si, že táto úloha nie je praktická, pretože neviem, prečo by serverová miestnosť nemohla komunikovať cez sieť s oddelením správy, takže v tomto prípade sa pozeráme len na príklad s tutoriálom.
Ak chcete tento problém vyriešiť, musíte najprv určiť dopravnú cestu. Dáta zo serverovne prichádzajú na vstupné rozhranie G0/1 smerovača R1 a cez výstupné rozhranie G0/0 sa odosielajú do riadiaceho oddelenia.
Ak na vstupné rozhranie G192.168.1.192/27 aplikujeme podmienku Zakázať 0/1 a ako si pamätáte, štandardný ACL je umiestnený bližšie k zdroju návštevnosti, zablokujeme všetku komunikáciu, vrátane obchodného a účtovného oddelenia.
Keďže chceme blokovať iba prevádzku smerujúcu do riadiaceho oddelenia, musíme na výstupné rozhranie G0/0 aplikovať ACL. Tento problém možno vyriešiť iba umiestnením ACL bližšie k cieľu. Zároveň sa návštevnosť zo siete účtovných a obchodných oddelení musí voľne dostať do riadiaceho oddelenia, takže posledný riadok zoznamu bude príkaz Povoliť ľubovoľnú prevádzku - povoliť akúkoľvek prevádzku, okrem návštevnosti špecifikovanej v predchádzajúcej podmienke.
Prejdime k úlohe č.3: notebook Laptop 3 z obchodného oddelenia by nemal mať prístup k iným zariadeniam, ako sú tie, ktoré sa nachádzajú v lokálnej sieti obchodného oddelenia. Predpokladajme, že stážista pracuje na tomto počítači a nemal by ísť za hranicu svojej siete LAN.
V tomto prípade musíte použiť ACL na vstupnom rozhraní G0/1 smerovača R2. Ak tomuto počítaču priradíme IP adresu 192.168.1.3/25, potom musí byť splnená podmienka Zakázať 192.168.1.3/25 a nesmie byť blokovaná prevádzka zo žiadnej inej IP adresy, takže posledný riadok zoznamu bude Povoliť akýkoľvek.
Blokovanie prevádzky však nebude mať na Laptop2 žiadny vplyv.
Ďalšou úlohou bude úloha č. 4: do siete serverov môže mať prístup iba počítač PC0 finančného oddelenia, ale nie oddelenie manažmentu.
Ak si pamätáte, ACL z úlohy #1 blokuje všetku odchádzajúcu prevádzku na rozhraní S0/1/0 smerovača R2, ale úloha #4 hovorí, že musíme zabezpečiť, aby cez ňu prechádzala iba prevádzka PC0, takže musíme urobiť výnimku.
Všetky úlohy, ktoré teraz riešime, by vám mali pomôcť v reálnej situácii pri nastavovaní ACL pre kancelársku sieť. Pre pohodlie som použil klasický typ zápisu, ale odporúčam vám zapísať si všetky riadky ručne na papier alebo ich napísať do počítača, aby ste mohli zápisy opraviť. V našom prípade bol podľa podmienok úlohy č.1 zostavený klasický zoznam ACL. Ak do nej chceme pridať výnimku pre PC0 typu Permit , potom môžeme tento riadok umiestniť až na štvrté miesto v zozname, za riadkom Povoliť ľubovoľný. Keďže je však adresa tohto počítača zahrnutá v rozsahu adries pre kontrolu podmienky odmietnutia 0/192.168.1.128, jeho prevádzka bude ihneď po splnení tejto podmienky zablokovaná a router jednoducho nedosiahne kontrolu štvrtého riadku, čo umožní návštevnosť z tejto adresy IP.
Preto budem musieť úplne prerobiť zoznam ACL úlohy č.1, vymazať prvý riadok a nahradiť ho riadkom Povolenie 192.168.1.130/26, ktorý povoľuje premávku z PC0 a potom znova zadať riadky so zákazom všetkej premávky. z účtovného a obchodného oddelenia.
V prvom riadku teda máme príkaz pre konkrétnu adresu a v druhom - všeobecný pre celú sieť, v ktorej sa táto adresa nachádza. Ak používate moderný typ ACL, môžete v ňom ľahko vykonať zmeny umiestnením riadku Povoliť 192.168.1.130/26 ako prvý príkaz. Ak máte klasický ACL, budete ho musieť úplne odstrániť a potom znova zadať príkazy v správnom poradí.
Riešením problému č.4 je umiestnenie linky Permit 192.168.1.130/26 na začiatok ACL z problému č.1, pretože len v tomto prípade bude prevádzka z PC0 voľne opúšťať výstupné rozhranie smerovača R2. Prevádzka PC1 bude úplne zablokovaná, pretože jej IP adresa podlieha zákazu uvedenému v druhom riadku zoznamu.
Teraz prejdeme na Packet Tracer, aby sme vykonali potrebné nastavenia. Už som nakonfiguroval IP adresy všetkých zariadení, pretože predchádzajúce zjednodušené diagramy boli trochu ťažké pochopiť. Okrem toho som nakonfiguroval RIP medzi dvoma smerovačmi. Na danej topológii siete je možná komunikácia medzi všetkými zariadeniami 4 podsietí bez akýchkoľvek obmedzení. Ale akonáhle použijeme ACL, prevádzka sa začne filtrovať.
Začnem s finančným oddelením PC1 a skúsim pingnúť IP adresu 192.168.1.194, ktorá patrí Server0, nachádzajúcej sa v serverovni. Ako vidíte, ping je úspešný bez problémov. Tiež som úspešne pingol Laptop0 z oddelenia manažmentu. Prvý paket je kvôli ARP zahodený, zvyšné 3 sú voľne pingnuté.
Aby som zorganizoval filtrovanie návštevnosti, prejdem do nastavení smerovača R2, aktivujem režim globálnej konfigurácie a vytvorím moderný zoznam ACL. Máme tiež klasicky vyzerajúci ACL 10. Na vytvorenie prvého zoznamu zadávam príkaz, v ktorom musíte zadať rovnaký názov zoznamu, aký sme si zapísali na papier: ip access-list štandard ACL Secure_Ma_And_Se. Potom systém požiada o možné parametre: Môžem vybrať odmietnutie, ukončenie, nie, povolenie alebo poznámku a tiež zadať poradové číslo od 1 do 2147483647. Ak to neurobím, systém ho pridelí automaticky.
Preto toto číslo nezadávam, ale okamžite prejdem na príkaz permit host 192.168.1.130, keďže toto povolenie je platné pre konkrétne zariadenie PC0. Môžem použiť aj reverznú masku Wildcard, teraz vám ukážem, ako na to.
Ďalej zadávam príkaz zamietnuť 192.168.1.128. Keďže máme /26, používam reverznú masku a dopĺňam ňou príkaz: zamietnuť 192.168.1.128 0.0.0.63. Zakazujem teda prevádzku na sieť 192.168.1.128/26.
Podobne blokujem prevádzku z nasledujúcej siete: zamietnuť 192.168.1.0 0.0.0.127. Všetka ostatná premávka je povolená, tak zadávam príkaz povoliť ľubovoľnú. Ďalej musím použiť tento zoznam na rozhranie, takže používam príkaz int s0/1/0. Potom napíšem ip access-group Secure_Ma_And_Se a systém ma vyzve, aby som si vybral rozhranie – vstup pre prichádzajúce pakety a výstup pre odchádzajúce. Musíme použiť ACL na výstupné rozhranie, takže používam príkaz ip access-group Secure_Ma_And_Se out.
Poďme na príkazový riadok PC0 a ping na IP adresu 192.168.1.194, ktorá patrí serveru Server0. Ping je úspešný, pretože sme použili špeciálnu podmienku ACL pre prevádzku PC0. Ak to isté urobím z PC1, systém vygeneruje chybu: „cieľový hostiteľ nie je dostupný“, pretože prenos zo zostávajúcich IP adries účtovného oddelenia je zablokovaný v prístupe do serverovej miestnosti.
Prihlásením sa do CLI smerovača R2 a zadaním príkazu show ip address-lists môžete vidieť, ako bola smerovaná sieťová prevádzka finančného oddelenia - ukazuje, koľkokrát bol ping odovzdaný podľa povolenia a koľkokrát to bolo zablokované podľa zákazu.
Vždy môžeme prejsť do nastavení smerovača a pozrieť si zoznam prístupových práv. Tým sú splnené podmienky úloh č.1 a č.4. Dovoľte mi ukázať vám ešte jednu vec. Ak chcem niečo opraviť, môžem prejsť do režimu globálnej konfigurácie nastavení R2, zadať príkaz ip access-list standard Secure_Ma_And_Se a potom príkaz „hostiteľ 192.168.1.130 nie je povolený“ - bez povolenia hostiteľ 192.168.1.130.
Ak sa ešte raz pozrieme na zoznam prístupových práv, uvidíme, že zmizol riadok 10, zostali nám iba riadky 20,30, 40 a XNUMX. Prístupový zoznam ACL teda môžete upraviť v nastaveniach routera, ale iba ak nie je skompilovaný v klasickej podobe.
Teraz prejdime k tretiemu ACL, pretože sa týka aj smerovača R2. Uvádza sa v ňom, že žiadna prevádzka z Laptop3 by nemala opustiť sieť obchodného oddelenia. V tomto prípade by mal Laptop2 bez problémov komunikovať s počítačmi finančného oddelenia. Aby som to otestoval, pingnem na IP adresu 192.168.1.130 z tohto notebooku a uistím sa, že všetko funguje.
Teraz prejdem na príkazový riadok Laptop3 a pingnem na adresu 192.168.1.130. Ping je úspešný, ale nepotrebujeme ho, pretože podľa podmienok úlohy môže Laptop3 komunikovať iba s Laptop2, ktorý sa nachádza v rovnakej sieti obchodného oddelenia. Ak to chcete urobiť, musíte vytvoriť ďalší ACL pomocou klasickej metódy.
Vrátim sa k nastaveniam R2 a pokúsim sa obnoviť vymazaný záznam 10 pomocou príkazu permit host 192.168.1.130. Vidíte, že tento záznam sa zobrazuje na konci zoznamu pod číslom 50. Prístup však stále nebude fungovať, pretože riadok umožňujúci konkrétneho hostiteľa je na konci zoznamu a riadok zakazujúci všetku sieťovú prevádzku je navrchu zoznamu. Ak sa pokúsime pingnúť na Laptop0 riadiaceho oddelenia z PC0, dostaneme správu „cieľový hostiteľ nie je dostupný“, a to napriek skutočnosti, že v zozname ACL je povolený záznam na čísle 50.
Ak teda chcete upraviť existujúci ACL, musíte zadať príkaz no permit host 2 v režime R192.168.1.130 (config-std-nacl), skontrolovať, či riadok 50 zmizol zo zoznamu a zadať príkaz 10 permit hostiteľ 192.168.1.130. Vidíme, že zoznam sa teraz vrátil do svojej pôvodnej podoby, pričom tento záznam je na prvom mieste. Poradové čísla pomáhajú upravovať zoznam v akejkoľvek forme, takže moderná forma ACL je oveľa pohodlnejšia ako klasická.
Teraz ukážem, ako funguje klasická forma zoznamu ACL 10. Ak chcete použiť klasický zoznam, musíte zadať príkaz access–list 10? a po výzve vybrať požadovanú akciu: zamietnuť, povoliť alebo pripomienkovať. Potom vstúpim do riadku access–list 10 deny host, po ktorom napíšem príkaz access–list 10 deny 192.168.1.3 a pridám reverznú masku. Keďže máme hostiteľa, dopredná maska podsiete je 255.255.255.255 a opačná je 0.0.0.0. Výsledkom je, že na odmietnutie prenosu hostiteľa musím zadať príkaz access–list 10 deny 192.168.1.3 0.0.0.0. Potom musíte zadať povolenia, pre ktoré napíšem príkaz access–list 10 allow any. Tento zoznam je potrebné použiť na rozhranie G0/1 smerovača R2, takže postupne zadávam príkazy v g0/1, ip access-group 10 in. Bez ohľadu na to, ktorý zoznam sa používa, klasický alebo moderný, na aplikáciu tohto zoznamu na rozhranie sa používajú rovnaké príkazy.
Aby som skontroloval, či sú nastavenia správne, prejdem na terminál príkazového riadku Laptop3 a pokúsim sa pingnúť IP adresu 192.168.1.130 - ako vidíte, systém hlási, že cieľový hostiteľ je nedostupný.
Dovoľte mi pripomenúť, že na kontrolu zoznamu môžete použiť príkazy show ip access-lists a show access-lists. Musíme vyriešiť ešte jeden problém, ktorý sa týka smerovača R1. Aby som to urobil, prejdem do CLI tohto smerovača a prejdem do režimu globálnej konfigurácie a zadám príkaz ip access-list štandard Secure_Ma_From_Se. Keďže máme sieť 192.168.1.192/27, jej maska podsiete bude 255.255.255.224, čo znamená, že reverzná maska bude 0.0.0.31 a musíme zadať príkaz zamietnuť 192.168.1.192 0.0.0.31. Keďže všetka ostatná prevádzka je povolená, zoznam končí príkazom allow any. Ak chcete použiť ACL na výstupné rozhranie smerovača, použite príkaz ip access-group Secure_Ma_From_Se out.
Teraz prejdem na terminál príkazového riadku Server0 a pokúsim sa pingnúť Laptop0 oddelenia správy na IP adresu 192.168.1.226. Pokus bol neúspešný, ale ak som pingol na adresu 192.168.1.130, spojenie sa nadviazalo bez problémov, to znamená, že sme zakázali serverovému počítaču komunikovať s oddelením manažmentu, ale umožnili sme komunikáciu so všetkými ostatnými zariadeniami v iných oddeleniach. Tým sme úspešne vyriešili všetky 4 problémy.
Ukážem ti niečo iné. Ideme do nastavení routera R2, kde máme 2 typy ACL – klasický a moderný. Povedzme, že chcem upraviť ACL 10, štandardný zoznam prístupových práv IP 10, ktorý vo svojej klasickej podobe pozostáva z dvoch záznamov 10 a 20. Ak použijem príkaz do show run, vidím, že najprv máme moderný prístupový zoznam 4 položky bez čísel pod všeobecným nadpisom Secure_Ma_And_Se a nižšie sú dve položky ACL 10 v klasickej forme, ktoré opakujú názov rovnakého zoznamu prístupových práv 10.
Ak chcem vykonať nejaké zmeny, napríklad odstrániť položku odmietnutia hostiteľa 192.168.1.3 a vložiť položku pre zariadenie v inej sieti, musím použiť príkaz delete iba pre túto položku: no access-list 10 deny host 192.168.1.3 .10. Ale akonáhle zadá tento príkaz, všetky položky ACL XNUMX úplne zmiznú.To je dôvod, prečo je klasické zobrazenie ACL veľmi nepohodlné na úpravu. Moderný spôsob nahrávania je oveľa pohodlnejší na použitie, pretože umožňuje voľné úpravy.
Aby ste sa naučili materiál v tejto lekcii videa, odporúčam vám, aby ste si ho pozreli znova a pokúsili sa vyriešiť diskutované problémy sami bez akýchkoľvek náznakov. ACL je dôležitá téma v kurze CCNA a mnohí sú zmätení napríklad postupom pri vytváraní reverznej masky zástupných znakov. Uisťujem vás, že stačí pochopiť koncept transformácie masky a všetko bude oveľa jednoduchšie. Pamätajte, že najdôležitejšou vecou v pochopení tém kurzu CCNA je praktický tréning, pretože iba prax vám pomôže pochopiť ten či onen Cisco koncept. Prax nie je kopírovanie a vkladanie mojich tímov, ale riešenie problémov vlastným spôsobom. Položte si otázky: čo je potrebné urobiť, aby ste zablokovali plynulosť dopravy odtiaľto tam, kde uplatniť podmienky atď., a skúste na ne odpovedať.
Ďakujeme, že ste zostali s nami. Páčia sa vám naše články? Chcete vidieť viac zaujímavého obsahu? Podporte nás zadaním objednávky alebo odporučením priateľom, 30% zľava pre užívateľov Habr na unikátny analóg serverov základnej úrovne, ktorý sme pre vás vymysleli: (k dispozícii s RAID1 a RAID10, až 24 jadier a až 40 GB DDR4).
Dell R730xd 2 krát lacnejší? Len tu v Holandsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 USD! Čítať o
Zdroj: hab.com