Një gjë tjetër që harrova të përmend është se ACL jo vetëm që filtron trafikun në bazë të lejimit/refuzimit, por kryen shumë funksione të tjera. Për shembull, një ACL përdoret për të kriptuar trafikun VPN, por për të kaluar provimin CCNA, ju vetëm duhet të dini se si përdoret për të filtruar trafikun. Le të kthehemi te problemi nr. 1.
Zbuluam se trafiku i departamentit të kontabilitetit dhe shitjeve mund të bllokohet në ndërfaqen e daljes R2 duke përdorur listën e mëposhtme ACL.
Mos u shqetësoni për formatin e kësaj liste, ajo është menduar vetëm si një shembull për t'ju ndihmuar të kuptoni se çfarë është një ACL. Do të arrijmë në formatin e duhur sapo të fillojmë me Packet Tracer.
Detyra nr. 2 tingëllon kështu: dhoma e serverit mund të komunikojë me çdo host, përveç hosteve të departamentit të menaxhimit. Kjo do të thotë, kompjuterët e dhomës së serverit mund të kenë akses në çdo kompjuter në departamentet e shitjeve dhe kontabilitetit, por nuk duhet të kenë qasje në kompjuterët në departamentin e menaxhimit. Kjo do të thotë që stafi i IT-së i dhomës së serverit nuk duhet të ketë akses në distancë në kompjuterin e shefit të departamentit të menaxhimit, por në rast problemesh të vijë në zyrën e tij dhe ta rregullojë problemin në vend. Vini re se kjo detyrë nuk është praktike sepse nuk e di pse dhoma e serverit nuk do të ishte në gjendje të komunikonte përmes rrjetit me departamentin e menaxhimit, kështu që në këtë rast ne po shohim vetëm një shembull udhëzues.
Për të zgjidhur këtë problem, së pari duhet të përcaktoni rrugën e trafikut. Të dhënat nga dhoma e serverit mbërrijnë në ndërfaqen hyrëse G0/1 të ruterit R1 dhe dërgohen në departamentin e menaxhimit përmes ndërfaqes dalëse G0/0.
Nëse zbatojmë kushtin Deny 192.168.1.192/27 në ndërfaqen hyrëse G0/1, dhe siç e mbani mend, ACL standarde vendoset më afër burimit të trafikut, ne do të bllokojmë të gjithë trafikun, duke përfshirë departamentin e shitjeve dhe kontabilitetit.
Meqenëse duam të bllokojmë vetëm trafikun e drejtuar në departamentin e menaxhimit, duhet të aplikojmë një ACL në ndërfaqen e daljes G0/0. Ky problem mund të zgjidhet vetëm duke e vendosur ACL më afër destinacionit. Në të njëjtën kohë, trafiku nga rrjeti i departamentit të kontabilitetit dhe shitjeve duhet të arrijë lirisht në departamentin e menaxhimit, kështu që rreshti i fundit i listës do të jetë komanda Leje çdo - për të lejuar çdo trafik, përveç trafikut të specifikuar në kushtin e mëparshëm.
Le të kalojmë te detyra nr. 3: laptopi Laptop 3 nga departamenti i shitjeve nuk duhet të ketë akses në asnjë pajisje tjetër përveç atyre që ndodhen në rrjetin lokal të departamentit të shitjeve. Le të supozojmë se një praktikant është duke punuar në këtë kompjuter dhe nuk duhet të shkojë përtej LAN-it të tij.
Në këtë rast, duhet të aplikoni një ACL në ndërfaqen hyrëse G0/1 të ruterit R2. Nëse këtij kompjuteri i caktojmë adresën IP 192.168.1.3/25, atëherë duhet të plotësohet kushti Deny 192.168.1.3/25 dhe trafiku nga asnjë adresë tjetër IP nuk duhet të bllokohet, kështu që rreshti i fundit i listës do të jetë Leja. ndonjë.
Megjithatë, bllokimi i trafikut nuk do të ketë asnjë efekt në Laptop2.
Detyra tjetër do të jetë detyra nr. 4: vetëm kompjuteri PC0 i departamentit financiar mund të ketë akses në rrjetin e serverëve, por jo departamenti i menaxhimit.
Nëse ju kujtohet, ACL nga Detyra #1 bllokon të gjithë trafikun dalës në ndërfaqen S0/1/0 të ruterit R2, por detyra #4 thotë se ne duhet të sigurojmë që vetëm trafiku PC0 të kalojë, kështu që duhet të bëjmë një përjashtim.
Të gjitha detyrat që po zgjidhim tani duhet t'ju ndihmojnë në një situatë reale kur vendosni ACL për një rrjet zyre. Për lehtësi, përdora tipin klasik të hyrjes, por ju këshilloj që t'i shkruani të gjitha rreshtat me dorë në letër ose t'i shkruani në një kompjuter në mënyrë që të mund të bëni korrigjime në hyrje. Në rastin tonë, sipas kushteve të detyrës nr. 1, u përpilua një listë klasike ACL. Nëse duam t'i shtojmë një përjashtim për PC0 të tipit Permit , atëherë këtë rresht mund ta vendosim vetëm në vendin e katërt në listë, pas rreshtit Permit Any. Megjithatë, duke qenë se adresa e këtij kompjuteri përfshihet në gamën e adresave për kontrollimin e kushtit Deny 0/192.168.1.128, trafiku i tij do të bllokohet menjëherë pasi të plotësohet ky kusht dhe ruteri thjesht nuk do të arrijë kontrollin e linjës së katërt, duke lejuar trafiku nga kjo adresë IP.
Prandaj, do të më duhet të ribëj plotësisht listën ACL të detyrës nr. 1, duke fshirë rreshtin e parë dhe duke e zëvendësuar me lejen e linjës 192.168.1.130/26, e cila lejon trafikun nga PC0, dhe më pas të rifut linjat që ndalojnë të gjithë trafikun nga departamentet e kontabilitetit dhe shitjeve.
Kështu, në rreshtin e parë kemi një komandë për një adresë specifike, dhe në të dytën - një të përgjithshme për të gjithë rrjetin në të cilin ndodhet kjo adresë. Nëse jeni duke përdorur një lloj modern të ACL, mund të bëni lehtësisht ndryshime në të duke vendosur linjën Permit 192.168.1.130/26 si komandën e parë. Nëse keni një ACL klasik, do t'ju duhet ta hiqni plotësisht dhe më pas të rifusni komandat në rendin e duhur.
Zgjidhja e problemit nr. 4 është vendosja e linjës Permit 192.168.1.130/26 në fillim të ACL nga problemi nr. 1, sepse vetëm në këtë rast trafiku nga PC0 do të largohet lirshëm nga ndërfaqja dalëse e ruterit R2. Trafiku i PC1 do të bllokohet plotësisht sepse adresa e tij IP është subjekt i ndalimit që gjendet në rreshtin e dytë të listës.
Tani do të kalojmë te Packet Tracer për të bërë cilësimet e nevojshme. Unë kam konfiguruar tashmë adresat IP të të gjitha pajisjeve, sepse diagramet e mëparshme të thjeshtuara ishin pak të vështira për t'u kuptuar. Përveç kësaj, unë konfigurova RIP midis dy ruterave. Në topologjinë e dhënë të rrjetit, komunikimi ndërmjet të gjitha pajisjeve me 4 nënrrjeta është i mundur pa asnjë kufizim. Por sapo të aplikojmë ACL, trafiku do të fillojë të filtrohet.
Do të filloj me departamentin e financave PC1 dhe do të përpiqem të bëj ping adresën IP 192.168.1.194, e cila i përket Server0, që ndodhet në dhomën e serverit. Siç mund ta shihni, ping është i suksesshëm pa asnjë problem. Unë gjithashtu ping me sukses Laptop0 nga departamenti i menaxhimit. Paketa e parë hidhet poshtë për shkak të ARP-së, 3 të tjerat pingohen lirshëm.
Për të organizuar filtrimin e trafikut, unë shkoj në cilësimet e ruterit R2, aktivizoj modalitetin e konfigurimit global dhe do të krijoj një listë moderne ACL. Ne gjithashtu kemi ACL 10 me pamje klasike. Për të krijuar listën e parë, unë fut një komandë në të cilën duhet të specifikoni të njëjtin emër të listës që kemi shkruar në letër: ip access-list standard ACL Secure_Ma_And_Se. Pas kësaj, sistemi kërkon parametrat e mundshëm: Unë mund të zgjedh refuzim, dalje, jo, leje ose vërejtje, si dhe të fus një Numri Sekuence nga 1 në 2147483647. Nëse nuk e bëj këtë, sistemi do ta caktojë automatikisht.
Prandaj, unë nuk e fus këtë numër, por shkoj menjëherë në komandën e hostit të lejes 192.168.1.130, pasi kjo leje është e vlefshme për një pajisje specifike PC0. Mund të përdor gjithashtu një maskë të kundërt Wildcard, tani do t'ju tregoj se si ta bëni atë.
Më pas, fut komandën moho 192.168.1.128. Meqenëse kemi /26, unë përdor maskën e kundërt dhe plotësoj komandën me të: mohoni 192.168.1.128 0.0.0.63. Kështu, unë mohoj trafikun në rrjetin 192.168.1.128/26.
Në mënyrë të ngjashme, unë bllokoj trafikun nga rrjeti i mëposhtëm: mohoni 192.168.1.0 0.0.0.127. I gjithë trafiku tjetër është i lejuar, kështu që unë vendos lejen e komandës çdo. Më pas duhet ta aplikoj këtë listë në ndërfaqe, kështu që përdor komandën int s0/1/0. Më pas shkruaj ip access-group Secure_Ma_And_Se, dhe sistemi më kërkon të zgjedh një ndërfaqe - në për paketat hyrëse dhe jashtë për ato dalëse. Ne duhet të aplikojmë ACL në ndërfaqen e daljes, kështu që unë përdor komandën e grupit të aksesit ip Secure_Ma_And_Se out.
Le të shkojmë në linjën e komandës PC0 dhe të bëjmë ping adresën IP 192.168.1.194, e cila i përket serverit Server0. Pingu është i suksesshëm sepse kemi përdorur një kusht të veçantë ACL për trafikun PC0. Nëse bëj të njëjtën gjë nga PC1, sistemi do të gjenerojë një gabim: "host i destinacionit nuk është i disponueshëm", pasi trafiku nga adresat IP të mbetura të departamentit të kontabilitetit është i bllokuar nga qasja në dhomën e serverit.
Duke hyrë në CLI të ruterit R2 dhe duke shtypur komandën show ip address-lists, ju mund të shihni se si u drejtua trafiku i rrjetit të departamentit financiar - tregon se sa herë u kalua ping sipas lejes dhe sa herë ishte bllokuar sipas ndalimit.
Ne gjithmonë mund të shkojmë te cilësimet e ruterit dhe të shohim listën e aksesit. Kështu, plotësohen kushtet e detyrave nr.1 dhe nr.4. Më lejoni t'ju tregoj edhe një gjë. Nëse dua të rregulloj diçka, mund të kaloj në modalitetin e konfigurimit global të cilësimeve R2, të fut komandën standarde të listës së aksesit ip Secure_Ma_And_Se dhe më pas komandën "host 192.168.1.130 nuk lejohet" - hosti pa leje 192.168.1.130.
Nëse shikojmë sërish listën e aksesit, do të shohim që linja 10 është zhdukur, na kanë mbetur vetëm linjat 20,30, 40 dhe XNUMX. Kështu, mund ta modifikoni listën e aksesit ACL në cilësimet e ruterit, por vetëm nëse nuk është kompiluar në formën klasike.
Tani le të kalojmë në ACL të tretë, sepse ka të bëjë edhe me ruterin R2. Ai thotë se çdo trafik nga Laptop3 nuk duhet të largohet nga rrjeti i departamentit të shitjeve. Në këtë rast, Laptop2 duhet të komunikojë pa probleme me kompjuterët e departamentit financiar. Për ta testuar këtë, bëj ping adresën IP 192.168.1.130 nga ky laptop dhe sigurohem që gjithçka funksionon.
Tani do të shkoj në linjën e komandës së Laptop3 dhe do të bëj ping adresën 192.168.1.130. Pining është i suksesshëm, por ne nuk kemi nevojë për të, pasi sipas kushteve të detyrës, Laptop3 mund të komunikojë vetëm me Laptop2, i cili ndodhet në të njëjtin rrjet të departamentit të shitjeve. Për ta bërë këtë, ju duhet të krijoni një tjetër ACL duke përdorur metodën klasike.
Do të kthehem te cilësimet R2 dhe do të përpiqem të rikuperoj hyrjen e fshirë 10 duke përdorur komandën e hostit të lejes 192.168.1.130. Ju shikoni që kjo hyrje shfaqet në fund të listës në numrin 50. Megjithatë, qasja ende nuk do të funksionojë, sepse linja që lejon një host specifik është në fund të listës dhe linja që ndalon të gjithë trafikun e rrjetit është në krye. të listës. Nëse përpiqemi të bëjmë ping në laptopin 0 të departamentit të menaxhimit nga PC0, do të marrim mesazhin "hosti i destinacionit nuk është i aksesueshëm", pavarësisht nga fakti se ekziston një hyrje e lejuar në numrin 50 në ACL.
Prandaj, nëse doni të redaktoni një ACL ekzistues, duhet të futni komandën pa leje hosti 2 në modalitetin R192.168.1.130 (config-std-nacl), kontrolloni që rreshti 50 të jetë zhdukur nga lista dhe fut komandën 10 permit host 192.168.1.130. Ne shohim se lista tani është kthyer në formën e saj origjinale, me këtë hyrje të renditur e para. Numrat e sekuencës ndihmojnë në modifikimin e listës në çdo formë, kështu që forma moderne e ACL është shumë më e përshtatshme se ajo klasike.
Tani do të tregoj se si funksionon forma klasike e listës ACL 10. Për të përdorur listën klasike, duhet të futni komandën akses–lista 10? dhe, duke ndjekur prompt, zgjidhni veprimin e dëshiruar: refuzo, lejo ose vërejtje. Më pas futem në linjën e hyrjes në listën 10 të refuzimit të hostit, pas së cilës shkruaj komandën access–list 10 deny 192.168.1.3 dhe shtoj maskën e kundërt. Meqenëse kemi një host, maska e nën-rrjetit përpara është 255.255.255.255, dhe e kundërta është 0.0.0.0. Si rezultat, për të mohuar trafikun e hostit, duhet të fut komandën akses–lista 10 deny 192.168.1.3 0.0.0.0. Pas kësaj, ju duhet të specifikoni lejet, për të cilat unë shkruaj komandën akses–lista 10 permit any. Kjo listë duhet të aplikohet në ndërfaqen G0/1 të ruterit R2, kështu që unë fut në mënyrë sekuenciale komandat në g0/1, ip access-group 10 in. Pavarësisht se cila listë përdoret, klasike apo moderne, të njëjtat komanda përdoren për të aplikuar këtë listë në ndërfaqe.
Për të kontrolluar nëse cilësimet janë të sakta, shkoj te terminali i linjës së komandës Laptop3 dhe përpiqem të bëj ping adresën IP 192.168.1.130 - siç mund ta shihni, sistemi raporton se hosti i destinacionit është i paarritshëm.
Më lejoni t'ju kujtoj se për të kontrolluar listën mund të përdorni komandat e listave të hyrjes në ip dhe komandat e shfaqjes së listave të aksesit. Ne duhet të zgjidhim një problem tjetër, i cili lidhet me ruterin R1. Për ta bërë këtë, unë shkoj në CLI të këtij ruteri dhe shkoj në modalitetin e konfigurimit global dhe fut komandën standarde të listës së aksesit ip Secure_Ma_From_Se. Meqenëse kemi një rrjet 192.168.1.192/27, maska e nënrrjetit të saj do të jetë 255.255.255.224, që do të thotë se maska e kundërt do të jetë 0.0.0.31 dhe duhet të futim komandën moho 192.168.1.192 0.0.0.31. Meqenëse i gjithë trafiku tjetër lejohet, lista përfundon me lejen e komandës any. Për të aplikuar një ACL në ndërfaqen dalëse të ruterit, përdorni komandën e grupit të aksesit ip Secure_Ma_From_Se out.
Tani do të shkoj në terminalin e linjës së komandës të Server0 dhe do të përpiqem të bëj ping Laptop0 të departamentit të menaxhimit në adresën IP 192.168.1.226. Përpjekja ishte e pasuksesshme, por nëse pingova adresën 192.168.1.130, lidhja u krijua pa probleme, domethënë, ne e ndaluam kompjuterin e serverit të komunikonte me departamentin e menaxhimit, por lejuam komunikimin me të gjitha pajisjet e tjera në departamentet e tjera. Kështu, ne i kemi zgjidhur me sukses të 4 problemet.
Më lejoni t'ju tregoj diçka tjetër. Ne hyjmë në cilësimet e ruterit R2, ku kemi 2 lloje ACL - klasike dhe moderne. Le të themi se dua të modifikoj ACL 10, listën standarde të aksesit IP 10, e cila në formën e saj klasike përbëhet nga dy hyrje 10 dhe 20. Nëse përdor komandën do show run, mund të shoh që së pari kemi një listë moderne aksesi prej 4 hyrjet pa numra nën titullin e përgjithshëm Secure_Ma_And_Se, dhe më poshtë janë dy hyrje ACL 10 të formës klasike që përsërisin emrin e së njëjtës listë aksesi 10.
Nëse dua të bëj disa ndryshime, të tilla si heqja e hyrjes së refuzimit të hostit 192.168.1.3 dhe futja e një hyrjeje për një pajisje në një rrjet tjetër, më duhet të përdor komandën e fshirjes vetëm për atë hyrje: nuk ka listën e aksesit 10 mohon hostin 192.168.1.3 .10. Por sapo fut këtë komandë, të gjitha hyrjet e ACL XNUMX zhduken plotësisht. Kjo është arsyeja pse pamja klasike e ACL është shumë e papërshtatshme për t'u modifikuar. Metoda moderne e regjistrimit është shumë më e përshtatshme për t'u përdorur, pasi lejon redaktim falas.
Për të mësuar materialin në këtë mësim video, ju këshilloj ta shikoni përsëri dhe të përpiqeni t'i zgjidhni vetë problemet e diskutuara pa asnjë sugjerim. ACL është një temë e rëndësishme në kursin CCNA dhe shumë janë të hutuar nga, për shembull, procedura për krijimin e një maske të kundërt Wildcard. Ju siguroj, thjesht kuptoni konceptin e transformimit të maskës dhe gjithçka do të bëhet shumë më e lehtë. Mos harroni se gjëja më e rëndësishme në të kuptuarit e temave të kursit CCNA është trajnimi praktik, sepse vetëm praktika do t'ju ndihmojë të kuptoni këtë apo atë koncept Cisco. Praktika nuk është të kopjoni ekipet e mia, por t'i zgjidhni problemet në mënyrën tuaj. Bëjini vetes pyetje: çfarë duhet bërë për të bllokuar qarkullimin e trafikut nga këtu atje, ku të aplikoni kushtet, etj., dhe përpiquni t'u përgjigjeni atyre.
Faleminderit që qëndruat me ne. A ju pëlqejnë artikujt tanë? Dëshironi të shihni përmbajtje më interesante? Na mbështesni duke bërë një porosi ose duke rekomanduar miqve, 30% zbritje për përdoruesit e Habr në një analog unik të serverëve të nivelit të hyrjes, i cili u shpik nga ne për ju: (e disponueshme me RAID1 dhe RAID10, deri në 24 bërthama dhe deri në 40 GB DDR4).
Dell R730xd 2 herë më lirë? Vetëm këtu në Holandë! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - nga 99 dollarë! Lexoni rreth
Burimi: www.habr.com