Еще одна вещь, о которой я забыл упомянуть – ACL не только фильтрует трафик по принципу разрешить/отказать, он выполняет ещё много функций. Например, ACL используется для шифрования трафика VPN, однако для сдачи экзамена CCNA достаточно знать, как он применяется для фильтрации трафика. Вернемся к Задаче №1.
Мы выяснили, что весть трафик бухгалтерии и отдела продаж может быть заблокирован на выходном интерфейсе R2 с помощью приведенного списка ACL.
Не переживайте по поводу формата этого списка, он нужен только как пример для понимания сути ACL. Мы перейдем к правильному формату, как только начнем работу с Packet Tracer.
Задача №2 звучит так: серверная может связываться с любыми хостами, кроме хостов отдела менеджмента. То есть компьютеры серверной могут иметь доступ к любым компьютерам отдела продаж и бухгалтерии, но не должны иметь доступ к компьютерам отдела менеджмента. Это означает, что IT-персонал серверной не должен иметь дистанционный доступ к компьютеру руководителя отдела менеджмента, а в случае неполадок явиться в его кабинет и устранить проблему на месте. Учтите, что эта задача не несет в себе практического смысла, потому что я не знаю причин, по которым бы серверная не могла общаться по сети с отделом менеджмента, так что в данном случае мы просто рассматриваем учебный пример.
Для решения этой задачи сначала нужно определить путь передачи трафика. Данные из серверной поступают на входной интерфейс G0/1 роутера R1 и отправляются в отдел менеджмента через выходной интерфейс G0/0.
Если применить условие Deny 192.168.1.192/27 к входному интерфейсу G0/1, а как вы помните, стандартный ACL размещают поближе к источнику трафика, мы заблокируем вообще весь трафик, в том числе к отделу продаж и бухгалтерии.
Поскольку мы хотим заблокировать только трафик, направленный к отделу менеджмента, то должны применить ACL к выходному интерфейсу G0/0. Решить данную задачу можно только расположив ACL поближе к назначению. При этом трафик из сети бухгалтерии и отдела продаж должен беспрепятственно достигать отдела менеджмента, поэтому последней строчкой списка будет команда Permit any – разрешить любой трафик, кроме трафика, указанного в предыдущем условии.
Перейдем к Задаче №3: ноутбук Laptop 3 из отдела продаж не должен иметь доступ ни к каким устройствам, кроме расположенных в локальной сети отдела продаж. Предположим, что за этим компьютером работает практикант, который не должен выходить за пределы своей LAN.
В этом случае нужно применить ACL на входном интерфейсе G0/1 роутера R2. Если мы присвоим этому компьютеру IP-адрес 192.168.1.3/25, то тогда должно выполняться условие Deny 192.168.1.3/25, а трафик с любого другого IP-адреса не должен блокироваться, поэтому последней строкой списка будет Permit any.
При этом запрет трафика не окажет никакого эффекта на Laptop2.
Следующей будет Задача №4: только компьютер PC0 финансового отдела может иметь доступ к сети серверной, но не отдел менеджмента.
Если вы помните, ACL из Задачи №1 блокирует весь исходящий трафик на интерфейсе S0/1/0 роутера R2, но в Задаче №4 говориться, что нужно обеспечить пропуск трафика только компьютера PC0, поэтому мы должны сделать исключение.
Все задачи, которые мы сейчас решаем, должны помочь вам в реальной ситуации при настройке ACL для офисной сети. Для удобства я использовал классический вид записи, однако советую вам записывать все строки вручную на бумаге или печатать их в компьютере, чтобы иметь возможность вносить исправления в записи. В нашем случае по условиям Задачи №1 составлен классический список ACL. Если мы захотим добавить в него исключение для PC0 типа Permit <IP-адрес PC0>, то сможем разместить эту строку только четвертой в списке, после строки Permit Any. Однако поскольку адрес этого компьютера входит в диапазон адресов проверки условия Deny 192.168.1.128/26, его трафик будет заблокирован сразу же после выполнения данного условия и роутер просто не дойдет до проверки четвертой строки, разрешающей трафик с этого IP-адреса.
Поэтому я должен буду полностью переделать ACL список Задачи №1, удалив первую строку и заменив её строкой Permit 192.168.1.130/26, которая разрешает трафик компьютера PC0, а затем заново вписать строки, запрещающие весь трафик бухгалтерии и отдела продаж.
Таким образом, в первой строке у нас размещена команда для конкретного адреса, а во второй – общая для всей сети, в которой расположен этот адрес. Если вы используете современный тип списка ACL, то легко сможете внести в него изменения, разместив строку Permit 192.168.1.130/26 в качестве первой команды. Если у вас имеется классический ACL, вы должны будете полностью его удалить и затем заново ввести команды в правильном порядке.
Решением Задачи №4 является размещение строки Permit 192.168.1.130/26 в начале списка ACL из Задачи №1, потому что только в этом случае трафик компьютера PC0 беспрепятственно покинет выходной интерфейс роутера R2. Трафик компьютера PC1 будет полностью заблокирован, потому что его IP-адрес попадает под действие запрета, содержащегося во второй строке списка.
Сейчас мы перейдем к Packet Tracer, чтобы сделать необходимые настройки. Я уже настроил IP-адреса всех устройств, потому что упрощенные предыдущие схемы были немного трудны для понимания. Кроме того, я настроил RIP между двумя роутерами. На приведенной топологии сети возможна связь между всеми устройствами 4-х подсетей без всяких ограничений. Но как только мы применим ACL, трафик начнет фильтроваться.
Я начну с компьютера PC1 финансового отдела и попробую пропинговать IP-адрес 192.168.1.194, который принадлежит серверу Server0, расположенному в серверной. Как видите, пингование проходит успешно без всяких проблем. Так же успешно я пингую ноутбук Laptop0 отдела менеджмента. Первый пакет отбрасывается по причине ARP, остальные 3 свободно пингуются.
Для того, чтобы организовать фильтрацию трафика, я захожу в настройки роутера R2, активирую режим глобальной конфигурации и собираюсь создать список ACL современного вида. У нас также имеется ACL 10 классического вида. Для создания первого списка я ввожу команду, в которой необходимо указать то же название списка, что мы записали на бумаге: ip access-list standard ACL Secure_Ma_And_Se. После этого система выдает подсказки возможных параметров: я могу выбрать deny, exit, no, permit или remark, а также ввести порядковый номер Sequence Number от 1 до 2147483647. Если я этого не сделаю, система присвоит его автоматически.
Поэтому я не ввожу этот номер, а сразу перехожу к команде permit host 192.168.1.130, поскольку это разрешение действует для конкретного устройства PC0. Я также могу использовать обратную маску Wildcard Mask, сейчас я покажу, как это делается.
Далее я ввожу команду deny 192.168.1.128. Поскольку у нас имеется /26, я использую обратную маску и дополняю ею команду: deny 192.168.1.128 0.0.0.63. Таким образом я запрещаю трафик сети 192.168.1.128/26.
Аналогично я блокирую трафик следующей сети: deny 192.168.1.0 0.0.0.127. Весь остальной трафик разрешается, поэтому я ввожу команду permit any. Далее я должен применить этот список к интерфейсу, поэтому использую команду int s0/1/0. Затем я набираю ip access-group Secure_Ma_And_Se, и система выдает подсказку с выбором интерфейса – in для входящих пакетов и out для исходящих. Нам нужно применить ACL к выходному интерфейсу, поэтому я использую команду ip access-group Secure_Ma_And_Se out.
Зайдем в командную строку PC0 и пропингуем IP-адрес 192.168.1.194, принадлежащий серверу Server0. Пинг проходит успешно, так как мы использовали особое условие ACL для трафика PC0. Если я проделаю то же самое с компьютера PC1, система выдаст ошибку: «хост назначения не доступен», поскольку трафик с остальных IP-адресов бухгалтерии заблокирован для доступа к серверной.
Зайдя в CLI роутера R2 и набрав команду show ip address-lists, можно увидеть, как обеспечивалась маршрутизация трафика сети финансового отдела – здесь показано, сколько раз пинг был пропущен согласно разрешению и сколько раз заблокирован соответственно запрету.
Мы всегда можем зайти в настройки роутера и посмотреть список доступа. Таким образом, условия Задач №1 и №4 выполнены. Разрешите показать вам ещё одну вещь. Если я захочу что-то исправить, то могу зайти в режим глобальной конфигурации настроек R2, ввести команду ip access-list standard Secure_Ma_And_Se и затем команду «хост 192.168.1.130 не разрешен» — no permit host 192.168.1.130.
Если мы снова посмотрим на список доступа, то увидим, что строка 10 исчезла, у нас остались только строки 20,30 и 40. Таким образом можно редактировать список доступа ACL в настройках роутера, но только если он составлен не в классическом виде.
Теперь перейдем к третьему списку ACL, потому что он тоже касается роутера R2. В нем сказано, что любой трафик с ноутбука Laptop3 не должен покидать пределы сети отдела продаж. При этом Laptop2 должен без проблем связываться с компьютерами финансового отдела. Чтобы проверить это, я пингую с этого ноутбука IP-адрес 192.168.1.130, и убеждаюсь, что все работает.
Сейчас я зайду в командную строку Laptop3 и пропингую адрес 192.168.1.130. Пингование проходит успешно, но нам это не нужно, так как по условию задачи Laptop3 может связываться только с Laptop2, расположенным с ним в одной сети отдела продаж. Для этого нужно создать еще один ACL, используя классический метод.
Я вернусь в настройки R2 и попробую восстановить удаленную запись 10, использовав команду permit host 192.168.1.130. Вы видите, что эта запись появилась в конце списка под номером 50. При этом доступ все равно работать не будет, потому что строка с разрешением конкретного хоста находится в конце списка, а строка, запрещающая весь трафик сети – вверху списка. Если попробовать пропинговать с компьютера PC0 ноутбук Laptop0 отдела менеджмента, мы получим сообщение «хост назначения не доступен», не смотря на то, что в списке ACL имеется разрешающая запись под номером 50.
Поэтому если вы хотите отредактировать существующий список ACL, то нужно в режиме R2(config-std-nacl) ввести команду no permit host 192.168.1.130, проверить, что строка 50 исчезла из списка, и ввести команду 10 permit host 192.168.1.130. Мы видим, что теперь список приобрел свой первоначальный вид, где данная запись заняла первую строчку. Порядковые номера помогают редактировать список в любом виде, поэтому современная форма ACL намного удобней классической.
Сейчас я покажу, как работает классическая форма списка ACL 10. Для использования классического списка нужно ввести команду access–list 10 ?, и, следуя подсказке, выбрать нужное действие: deny, permit или remark. Затем я ввожу строку access–list 10 deny host, после чего набираю команду access–list 10 deny 192.168.1.3 и добавляю обратную маску. Поскольку у нас имеется хост, прямая маска подсети равна 255.255.255.255, а обратная – 0.0.0.0. В итоге для запрета трафика хоста я должен ввести команду access–list 10 deny 192.168.1.3 0.0.0.0. После этого нужно указать разрешения, для чего я набираю команду access–list 10 permit any. Этот список нужно применить для интерфейса G0/1 роутера R2, поэтому я последовательно ввожу команды in g0/1, ip access-group 10 in. Независимо от того, какой список используется, классический или современный, применение этого списка к интерфейсу осуществляется одними и теми же командами.
Чтобы проверить правильность настроек, я захожу в терминал командной строки Laptop3 и пробую пропинговать IP-адрес 192.168.1.130 – как видите, система сообщает, что хост назначения недоступен.
Напомню, что для проверки списка можно использовать как команду show ip access-lists, так и show access-lists. Мы должны решить еще одну задачу, которая относится к роутеру R1. Для этого я захожу в CLI этого роутера и перехожу в режим глобальной конфигурации и ввожу команду ip access-list standard Secure_Ma_From_Se. Поскольку у нас имеется сеть 192.168.1.192/27, её маска подсети будет 255.255.255.224, значит, обратная маска будет 0.0.0.31 и нужно ввести команду deny 192.168.1.192 0.0.0.31. Поскольку весь остальной трафик разрешен, список заканчивается командой permit any. Для того, чтобы применить ACL к выходному интерфейсу роутера, используется команда ip access-group Secure_Ma_From_Se out.
Сейчас я зайду в терминал командной строки сервера Server0 и попробую пропинговать Laptop0 отдела менеджмента по IP-адресу 192.168.1.226. Попытка не удалась, но если я отправлю пинг по адресу 192.168.1.130, связь установится без проблем, то есть мы запретили компьютеру серверной связываться с отделом менеджмента, но разрешили связь со всеми остальными устройствами в других отделах. Таким образом, мы успешно решили все 4 задачи.
Давайте я покажу вам кое-что еще. Мы заходим в настройки роутера R2, где у нас имеются 2 типа ACL – классический и современный. Предположим, я хочу отредактировать ACL 10, Standard IP access list 10, который в классическом виде состоит из двух записей 10 и 20. Если использовать команду do show run, можно увидеть, что сначала у нас расположен современный список доступа из 4-х записей без номеров под общим заголовком Secure_Ma_And_Se, а ниже расположены две записи ACL 10 классической формы с повторением названия одного и того же списка access-list 10.
Если я захочу сделать какие-то изменения, например, удалить запись deny host 192.168.1.3 и ввести запись для устройства из другой сети, мне нужно использовать команду удаления только для этой записи: no access-list 10 deny host 192.168.1.3. Но как только я введу эту команду, полностью исчезнут все записи списка ACL 10. Вот почему классический вид списка ACL очень неудобен для редактирования. Современный способ записи намного удобней в использовании, так как позволяет свободное редактирование.
Для того, чтобы усвоить материал данного видеоурока, я советую вам просмотреть его ещё раз и попробовать самим решить рассмотренные задачи без подсказок. ACL является важной темой курса CCNA, и многих смущает, например, процедура создания обратной маски Wildcard Mask. Уверяю вас – достаточно понять концепцию преобразования маски, и все станет намного проще. Помните, что самое важное в понимании тематики курса CCNA – это практические занятия, потому что только практика поможет понять ту или иную концепцию Cisco. Практика – это не копипаст моих команд, а решение задач своим способом. Задавайте вопросы самим себе: что нужно сделать, чтобы заблокировать поток трафика отсюда туда, где применить условия и так далее, и пробуйте на них ответить.
Хвала вам што сте остали са нама. Да ли вам се свиђају наши чланци? Желите да видите још занимљивијег садржаја? Подржите нас тако што ћете наручити или препоручити пријатељима, 30% попуста за кориснике Хабра на јединствени аналог сервера почетног нивоа, који смо ми измислили за вас: (доступно са РАИД1 и РАИД10, до 24 језгра и до 40 ГБ ДДР4).
Делл Р730кд 2 пута јефтинији? Само овде у Холандији! Делл Р420 - 2к Е5-2430 2.2Гхз 6Ц 128ГБ ДДР3 2к960ГБ ССД 1Гбпс 100ТБ - од 99 долара! Читали о
Извор: ввв.хабр.цом