Hiji deui hal anu kuring poho nyebut éta ACL teu ukur nyaring lalulintas dina dasar ngidinan / mungkir, eta ngalakukeun leuwih loba fungsi. Contona, hiji ACL dipaké pikeun encrypt lalulintas VPN, tapi pikeun lulus ujian CCNA, anjeun ngan kudu nyaho kumaha eta dipaké pikeun nyaring lalulintas. Balik deui ka Masalah No 1.
Urang kapanggih yén lalulintas departemén akuntansi jeung jualan bisa diblokir dina panganteur kaluaran R2 ngagunakeun daptar ACL handap.
Tong hariwang ngeunaan format daptar ieu, éta ngan ukur janten conto pikeun ngabantosan anjeun ngartos naon ACL. Urang bakal asup kana format anu leres saatos urang ngamimitian nganggo Packet Tracer.
Tugas No.. 2 disada kawas kieu: kamar server bisa komunikasi sareng sagala host, iwal ti sarwa departemen manajemén. Nyaéta, komputer kamar server tiasa gaduh aksés ka komputer mana waé dina departemén penjualan sareng akuntansi, tapi henteu kedah gaduh aksés kana komputer di jabatan manajemén. Ieu ngandung harti yén staf IT ti kamar server teu kudu boga aksés jauh ka komputer ti kapala departemén manajemén, tapi bisi aya masalah, datang ka kantor sarta ngalereskeun masalah dina tempat. Catet yén tugas ieu henteu praktis sabab kuring henteu terang alesan naon waé kunaon kamar server henteu tiasa komunikasi dina jaringan sareng departemen manajemén, janten dina hal ieu urang ngan ukur ningali studi kasus.
Pikeun ngajawab masalah ieu, Anjeun mimitina kudu nangtukeun jalur lalulintas. Data ti kamar server datang ka input panganteur G0 / 1 router R1 sarta dikirim ka departemen manajemén ngaliwatan panganteur kaluaran G0 / 0.
Lamun urang nerapkeun kaayaan mungkir 192.168.1.192/27 kana panganteur input G0 / 1, jeung anjeun apal, ACL baku disimpen ngadeukeutan ka sumber lalulintas, urang bakal meungpeuk sakabeh lalulintas, kaasup kana jualan na akuntansi departemén.
Kusabab urang rék meungpeuk ukur lalulintas diarahkeun ka departemen manajemén, urang kudu nerapkeun hiji ACL kana panganteur kaluaran G0 / 0. Masalah ieu ngan bisa direngsekeun ku nempatkeun ACL ngadeukeutan ka tujuan. Dina waktu nu sarua, lalulintas ti jaringan departemén akuntansi jeung jualan kudu kalawan bébas ngahontal departemén manajemén, jadi garis panungtungan daptar bakal Idin sagala paréntah - pikeun ngidinan lalulintas wae, iwal lalulintas dieusian dina kaayaan saméméhna.
Hayu urang ngaléngkah ka Tugas No. 3: Laptop 3 laptop ti departemén jualan teu kudu boga aksés ka alat nu mana wae nu lian ti nu lokasina dina jaringan lokal departemen jualan. Hayu urang nganggap yén hiji palatihan gawé dina komputer ieu teu kudu ngaleuwihan LAN na.
Dina hal ieu, anjeun kudu nerapkeun hiji ACL dina panganteur input G0 / 1 router R2. Lamun urang napelkeun alamat IP 192.168.1.3/25 ka komputer ieu, mangka kaayaan Deny 192.168.1.3/25 kudu patepung, sarta lalulintas ti alamat IP séjén teu kudu diblokir, jadi baris panungtungan daptar bakal Idin. sagala.
Tapi, ngahalangan lalu lintas moal aya pangaruhna kana Laptop2.
Tugas salajengna bakal Tugas No.. 4: ngan PC0 komputer departemén finansial bisa boga aksés ka jaringan server, tapi teu departemén manajemén.
Lamun inget, ACL ti Tugas # 1 blok sagala lalulintas kaluar dina S0 / 1/0 panganteur router R2, tapi Tugas # 4 nyebutkeun yen urang kudu mastikeun yén ngan lalulintas PC0 ngaliwatan, ku kituna urang kudu nyieun iwal.
Sadaya pancén anu ayeuna urang rengsekeun kedah ngabantosan anjeun dina kaayaan nyata nalika nyetél ACL pikeun jaringan kantor. Pikeun genah, kuring nganggo jinis éntri klasik, tapi kuring mamatahan anjeun nyerat sadaya garis sacara manual dina kertas atanapi ngetik kana komputer supados anjeun tiasa ngadamel koréksi kana éntri. Dina kasus urang, dumasar kana kaayaan Tugas No. 1, daptar ACL klasik disusun. Upami urang hoyong nambihan iwal ti éta pikeun PC0 tina jinis Idin , teras urang tiasa nempatkeun garis ieu ngan kaopat dina daptar, saatos garis Idin Sakur. Sanajan kitu, saprak alamat komputer ieu kaasup dina rentang alamat pikeun mariksa kaayaan Deny 0/192.168.1.128, lalulintas na bakal diblokir langsung saatos kaayaan ieu patepung jeung router bakal saukur teu ngahontal garis kaopat dipariksa, sahingga ngamungkinkeun lalulintas ti alamat IP ieu.
Ku alatan éta, kuring kudu lengkep redo daptar ACL tina Tugas No. ti departemén akuntansi sareng penjualan.
Ku kituna, dina baris kahiji urang boga paréntah pikeun alamat husus, sarta kadua - umum pikeun sakabéh jaringan nu alamat ieu lokasina. Upami Anjeun keur make tipe modérn ACL, anjeun bisa kalayan gampang nyieun parobahanana ku nempatkeun idin garis 192.168.1.130/26 salaku paréntah munggaran. Upami anjeun gaduh ACL klasik, anjeun kedah ngahapus lengkep teras asupkeun deui paréntah dina urutan anu leres.
Solusi pikeun Masalah No.. 4 nyaeta nempatkeun Idin garis 192.168.1.130/26 di awal daptar ACL tina Masalah No.. 1, sabab ngan dina hal ieu bakal lalulintas ti PC0 bebas ninggalkeun panganteur kaluaran router R2. Lalu lintas PC1 bakal diblokir lengkep sabab alamat IP na tunduk kana larangan anu aya dina baris kadua daptar.
Urang ayeuna bakal ngaléngkah ka Packet Tracer pikeun ngadamel setélan anu diperyogikeun. Kuring parantos ngonpigurasikeun alamat IP sadaya alat kusabab diagram anu saderhana sateuacana rada sesah ngartos. Sajaba ti éta, kuring ngonpigurasi RIP antara dua routers. Dina topologi jaringan anu dipasihkeun, komunikasi antara sadaya alat tina 4 subnet tiasa dilaksanakeun tanpa aya larangan. Tapi pas urang nerapkeun ACL, lalu lintas bakal mimiti disaring.
Kuring gé mimitian ku departemen keuangan PC1 sarta nyoba ping alamat IP 192.168.1.194, nu milik Server0, lokasina di kamar server. Sakumaha anjeun tiasa tingali, ping suksés tanpa masalah. Kuring ogé hasil ping Laptop0 ti departemen manajemén. Paket kahiji dipiceun kusabab ARP, 3 sésana bébas ping.
Pikeun ngatur panyaring lalu lintas, kuring lebet kana setélan router R2, aktipkeun mode konfigurasi global sareng badé nyiptakeun daptar ACL modern. Kami ogé gaduh tampilan klasik ACL 10. Pikeun nyieun daptar kahiji, kuring nuliskeun paréntah di mana anjeun kudu nangtukeun nami daptar sarua nu urang nulis handap dina kertas: ip access-list standar ACL Secure_Ma_And_Se. Saatos ieu, sistem nyarankeun pikeun parameter mungkin: Abdi tiasa milih mungkir, kaluar, teu, idin atawa komentar, sarta ogé ngasupkeun Jumlah runtuyan ti 1 ka 2147483647. Mun kuring teu ngalakukeun ieu, sistem bakal napelkeun eta otomatis.
Ku alatan éta, kuring teu asupkeun nomer ieu, tapi geuwat buka idin host 192.168.1.130 paréntah, saprak idin ieu valid pikeun alat PC0 husus. Abdi ogé tiasa nganggo Topeng Wildcard sabalikna, ayeuna kuring bakal nunjukkeun anjeun kumaha ngalakukeunana.
Salajengna, kuring asupkeun paréntah mungkir 192.168.1.128. Kusabab urang boga /26, Kuring make topeng sabalikna sarta suplement paréntah kalawan eta: mungkir 192.168.1.128 0.0.0.63. Ku kituna, kuring mungkir lalulintas ka jaringan 192.168.1.128/26.
Nya kitu, kuring meungpeuk lalulintas ti jaringan handap: mungkir 192.168.1.0 0.0.0.127. Kabéh lalulintas séjén diwenangkeun, jadi kuring asupkeun idin paréntah wae. Teras kuring kedah nerapkeun daptar ieu kana antarmuka, janten kuring nganggo paréntah int s0/1/0. Teras kuring ngetik ip aksés-grup Secure_Ma_And_Se, sareng sistem naroskeun kuring pikeun milih antarbeungeut - pikeun pakét asup sareng kaluar pikeun kaluar. Urang kudu nerapkeun ACL ka panganteur kaluaran, jadi kuring make paréntah ip aksés-grup Secure_Ma_And_Se kaluar.
Hayu urang angkat ka garis paréntah PC0 sareng ping alamat IP 192.168.1.194, anu kalebet kana server Server0. Ping suksés sabab kami nganggo kaayaan ACL khusus pikeun lalu lintas PC0. Upami kuring ngalakukeun hal anu sami tina PC1, sistem bakal ngahasilkeun kasalahan: "host tujuan henteu sayogi", sabab lalu lintas tina alamat IP sésa departemén akuntansi diblokir tina aksés ka kamar server.
Ku asup kana CLI router R2 sareng ngetik paréntah daptar alamat-alamat ip, anjeun tiasa ningali kumaha lalu lintas jaringan departemén kauangan dialihkeun - éta nunjukkeun sabaraha kali ping disalurkeun dumasar kana idin sareng sabaraha kali éta. diblokir nurutkeun larangan.
Urang salawasna bisa buka setélan router tur tingal daptar aksés. Ku kituna, sarat Pancén No 1 jeung No 4 dicumponan. Hayu atuh némbongkeun Anjeun hiji hal deui. Mun abdi hoyong ngalereskeun hal, abdi tiasa lebet kana modeu konfigurasi global setélan R2, asupkeun paréntah ip aksés-daftar baku Secure_Ma_And_Se lajeng paréntah "host 192.168.1.130 teu diwenangkeun" - euweuh idin host 192.168.1.130.
Lamun urang tingali dina daptar aksés deui, urang bakal nempo yén garis 10 geus ngiles, urang ngan boga garis 20,30, 40 jeung XNUMX. Ku kituna, Anjeun bisa ngédit daptar aksés ACL dina setélan router, tapi ngan lamun teu disusun. dina wangun klasik.
Ayeuna hayu urang ngaléngkah ka ACL katilu, sabab éta ogé ngeunaan router R2. Éta nyatakeun yén lalu lintas tina Laptop3 henteu kedah ngantunkeun jaringan jabatan penjualan. Dina hal ieu, Laptop2 kedah komunikasi tanpa masalah sareng komputer ti departemen keuangan. Pikeun nguji ieu, kuring ping alamat IP 192.168.1.130 tina laptop ieu sareng pastikeun sadayana jalan.
Ayeuna kuring bakal angkat ka garis paréntah Laptop3 sareng ping alamatna 192.168.1.130. Ping geus suksés, tapi urang teu butuh, sabab nurutkeun kaayaan tugas, Laptop3 ngan bisa komunikasi sareng Laptop2, nu lokasina di jaringan departemen jualan nu sami. Jang ngalampahkeun ieu, anjeun kudu nyieun ACL sejen ngagunakeun métode klasik.
Kuring bakal balik deui ka setélan R2 sareng nyobian ngahapus éntri 10 nganggo paréntah host idin 192.168.1.130. Anjeun ningali yén éntri ieu nembongan dina tungtung daptar di angka 50. Sanajan kitu, aksés tetep moal jalan, sabab baris ngamungkinkeun hiji host husus dina tungtung daptar, sarta garis prohibiting sadaya lalulintas jaringan di luhur. tina daptar. Upami urang nyobian ping Laptop0 departemén manajemén ti PC0, urang bakal nampi pesen "host tujuan henteu tiasa diaksés," sanaos kanyataan yén aya éntri anu diidinan dina nomer 50 dina ACL.
Ku alatan éta, lamun rék ngédit hiji ACL aya, anjeun kudu ngasupkeun paréntah euweuh idin host 2 dina modeu R192.168.1.130 (config-std-nacl), pariksa yen garis 50 geus ngiles tina daptar, sarta asupkeun paréntah 10 ngidinan. host 192.168.1.130. Urang nempo yén daptar ayeuna geus balik ka bentuk aslina, kalawan entri ieu rengking kahiji. Nomer urut ngabantosan ngédit daptar dina bentuk naon waé, janten bentuk ACL modéren langkung saé tibatan anu klasik.
Ayeuna kuring bakal nunjukkeun kumaha bentuk klasik tina daptar ACL 10. Pikeun nganggo daptar klasik, anjeun kedah ngalebetkeun paréntah aksés–daftar 10?, sareng, saatos ajakan, pilih tindakan anu dipikahoyong: mungkir, idin atanapi nyarios. Teras kuring lebetkeun jalur aksés–daftar 10 nampik host, saatos éta kuring ngetik paréntah aksés–daftar 10 nampik 192.168.1.3 sareng nambihan topéng sabalikna. Kusabab urang gaduh host, subnet mask payun 255.255.255.255, sareng sabalikna 0.0.0.0. Hasilna, pikeun mungkir lalulintas host, kuring kudu ngasupkeun paréntah aksés–daftar 10 mungkir 192.168.1.3 0.0.0.0. Saatos ieu, anjeun kedah netepkeun idin, anu kuring ngetik paréntah aksés-daftar 10 idin naon waé. Daptar ieu kudu dilarapkeun ka G0 / 1 panganteur router R2, jadi kuring sequentially asupkeun paréntah di g0 / 1, ip aksés-grup 10 di. Henteu paduli daptar mana anu dianggo, klasik atanapi modern, paréntah anu sami dianggo pikeun nerapkeun daptar ieu kana antarmuka.
Pikeun pariksa naha setélanna leres, kuring angkat ka terminal garis paréntah Laptop3 sareng nyobian ping alamat IP 192.168.1.130 - sakumaha anu anjeun tingali, sistem ngalaporkeun yén host tujuan henteu tiasa dicapai.
Hayu atuh ngingetkeun yén pikeun pariksa daptar Anjeun tiasa make duanana acara aksés-daptar ip sarta némbongkeun aksés-daptar paréntah. Urang kudu ngajawab hiji deui masalah, nu relates to R1 router. Jang ngalampahkeun ieu, kuring buka CLI tina router ieu tur buka modeu konfigurasi global sarta asupkeun paréntah ip aksés-daftar baku Secure_Ma_From_Se. Kusabab urang gaduh jaringan 192.168.1.192/27, subnet mask na bakal 255.255.255.224, anu hartosna masker sabalikna bakal 0.0.0.31 sareng urang kedah ngalebetkeun paréntah 192.168.1.192 0.0.0.31. Kusabab sakabeh lalulintas sejenna diwenangkeun, daptar ditungtungan make idin paréntah sagala. Dina raraga nerapkeun hiji ACL kana panganteur kaluaran router urang, ngagunakeun ip aksés-grup Secure_Ma_From_Se kaluar paréntah.
Ayeuna kuring bakal angkat ka terminal garis paréntah Server0 sareng nyobian ping Laptop0 departemén manajemén dina alamat IP 192.168.1.226. usaha éta gagal, tapi lamun kuring pinged 192.168.1.130, sambungan nu diadegkeun tanpa masalah, nyaeta, urang dilarang komputer server ti komunikasi jeung departemen manajemén, tapi diwenangkeun komunikasi sareng sadaya alat sejenna dina departemén séjén. Ku kituna, urang geus hasil direngsekeun sadayana 4 masalah.
Hayu atuh némbongkeun Anjeun hal sejenna. Urang lebet kana setélan router R2, dimana urang gaduh 2 jinis ACL - klasik sareng modern. Hayu urang nyebutkeun kuring rék ngédit ACL 10, Daptar aksés IP baku 10, nu dina formulir Palasik diwangun ku dua éntri 10 jeung 20. Mun kuring make paréntah do acara ngajalankeun, abdi tiasa ningali yén mimitina urang boga daptar aksés modern 4. éntri tanpa nomer dina judul umum Secure_Ma_And_Se, sareng di handap aya dua éntri ACL 10 tina bentuk klasik anu ngulang nami daptar aksés anu sami 10.
Lamun kuring hayang nyieun sababaraha parobahan, kayaning nyoplokkeun host nampik 192.168.1.3 Éntri tur ngawanohkeun entri pikeun alat dina jaringan béda, abdi kedah nganggo paréntah ngahapus pikeun éntri éta wungkul: euweuh aksés-daftar 10 mungkir host 192.168.1.3. .10. Tapi pas kuring asupkeun paréntah ieu, sakabéh éntri ACL XNUMX ngaleungit lengkep. Ieu naha pintonan Palasik ACL pisan pikaresepeun pikeun ngédit. Metodeu rékaman modéren langkung gampang dianggo, sabab ngamungkinkeun éditan gratis.
Pikeun diajar bahan dina palajaran video ieu, kuring mamatahan anjeun pikeun nonton deui sareng cobian ngarengsekeun masalah anu dibahas ku anjeun nyalira tanpa aya petunjuk. ACL mangrupa topik penting dina kursus CCNA, sarta loba anu bingung ku, Contona, prosedur pikeun nyieun hiji sabalikna Wildcard Topeng. Kuring ngajamin anjeun, ngan ukur ngartos konsép transformasi topéng, sareng sadayana bakal langkung gampang. Émut yén hal anu paling penting dina ngartos topik kursus CCNA nyaéta latihan praktis, sabab ngan ukur prakték bakal ngabantosan anjeun ngartos ieu atanapi konsép Cisco. Prakték sanés nyalin-témpél tim kuring, tapi ngarengsekeun masalah ku cara anjeun nyalira. Nanya ka diri anjeun patarosan: naon anu kudu dipigawé pikeun meungpeuk aliran lalulintas ti dieu ka ditu, dimana nerapkeun kaayaan, jsb, sarta coba mun ngajawab aranjeunna.
Hatur nuhun pikeun tetep sareng kami. Naha anjeun resep artikel kami? Hoyong ningali eusi anu langkung narik? Dukung kami ku cara nempatkeun pesenan atanapi nyarankeun ka babaturan, Diskon 30% pikeun pangguna Habr dina analog unik tina server tingkat éntri, anu diciptakeun ku kami pikeun anjeun: (sadia kalawan RAID1 na RAID10, nepi ka 24 cores sarta nepi ka 40GB DDR4).
Dell R730xd 2 kali langkung mirah? Ngan di dieu di Walanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ti $99! Baca ngeunaan
sumber: www.habr.com