En sak till som jag glömde att nämna är att ACL inte bara filtrerar trafik på basis av tillåt/neka, den utför många fler funktioner. Till exempel används en ACL för att kryptera VPN-trafik, men för att klara CCNA-provet behöver du bara veta hur den används för att filtrera trafik. Låt oss återgå till problem nr 1.
Vi fick reda på att redovisnings- och försäljningsavdelningens trafik kan blockeras på R2-utgångsgränssnittet med hjälp av följande ACL-lista.
Oroa dig inte för formatet på den här listan, den är bara menad som ett exempel för att hjälpa dig förstå vad en ACL är. Vi kommer till rätt format när vi kommer igång med Packet Tracer.
Uppgift nr 2 låter så här: serverrummet kan kommunicera med alla värdar, förutom värdarna på förvaltningsavdelningen. Dvs serverrumsdatorerna kan ha tillgång till vilka datorer som helst på försäljnings- och ekonomiavdelningarna, men ska inte ha tillgång till datorerna på förvaltningsavdelningen. Detta innebär att serverrummets IT-personal inte ska ha fjärråtkomst till chefen för förvaltningsavdelningens dator, utan i händelse av problem, komma till hans kontor och åtgärda problemet på plats. Observera att den här uppgiften inte är praktisk eftersom jag inte vet varför serverrummet inte skulle kunna kommunicera över nätverket med förvaltningsavdelningen, så i det här fallet tittar vi bara på ett handledningsexempel.
För att lösa detta problem måste du först bestämma trafikvägen. Data från serverrummet kommer till ingångsgränssnittet G0/1 på router R1 och skickas till förvaltningsavdelningen via utgångsgränssnittet G0/0.
Om vi tillämpar villkoret Deny 192.168.1.192/27 på ingångsgränssnittet G0/1, och som ni minns, är standard-ACL placerad närmare trafikkällan, kommer vi att blockera all trafik, inklusive till försäljnings- och ekonomiavdelningen.
Eftersom vi endast vill blockera trafik som riktas till förvaltningsavdelningen måste vi tillämpa en ACL på utgångsgränssnittet G0/0. Detta problem kan endast lösas genom att placera ACL närmare destinationen. Samtidigt måste trafik från redovisnings- och försäljningsavdelningens nätverk fritt nå ledningsavdelningen, så den sista raden i listan kommer att vara kommandot Tillåt vilken som helst - för att tillåta all trafik, förutom den trafik som anges i det föregående villkoret.
Låt oss gå vidare till uppgift nr 3: Laptop 3-datorn från försäljningsavdelningen ska inte ha tillgång till andra enheter än de som finns på försäljningsavdelningens lokala nätverk. Låt oss anta att en praktikant arbetar på den här datorn och inte bör gå utanför sitt LAN.
I det här fallet måste du tillämpa en ACL på ingångsgränssnittet G0/1 på router R2. Om vi tilldelar IP-adressen 192.168.1.3/25 till den här datorn måste villkoret Neka 192.168.1.3/25 uppfyllas och trafik från någon annan IP-adress får inte blockeras, så den sista raden i listan blir Permit några.
Blockering av trafik kommer dock inte att ha någon effekt på Laptop2.
Nästa uppgift blir uppgift nr 4: endast dator PC0 på ekonomiavdelningen kan ha tillgång till servernätverket, men inte förvaltningsavdelningen.
Om du kommer ihåg, blockerar ACL från Task #1 all utgående trafik på S0/1/0-gränssnittet för router R2, men Task #4 säger att vi måste se till att endast PC0-trafik passerar igenom, så vi måste göra ett undantag.
Alla uppgifter som vi nu löser bör hjälpa dig i en verklig situation när du ställer upp ACL för ett kontorsnätverk. För enkelhetens skull använde jag den klassiska typen av post, men jag råder dig att skriva ner alla rader manuellt på papper eller skriva in dem i en dator så att du kan göra korrigeringar i posterna. I vårt fall, enligt villkoren för uppgift nr 1, sammanställdes en klassisk ACL-lista. Om vi vill lägga till ett undantag för PC0 av typen Permit , då kan vi placera denna rad endast på fjärde plats i listan, efter raden Permit Any. Men eftersom adressen till denna dator ingår i adressintervallet för att kontrollera Neka-villkoret 0/192.168.1.128, kommer dess trafik att blockeras omedelbart efter att detta villkor är uppfyllt och routern kommer helt enkelt inte att nå den fjärde radens kontroll, vilket tillåter trafik från denna IP-adress.
Därför måste jag göra om ACL-listan för uppgift nr 1 helt och hållet, ta bort den första raden och ersätta den med raden Permit 192.168.1.130/26, som tillåter trafik från PC0, och sedan gå in igen på raderna som förbjuder all trafik från ekonomi- och försäljningsavdelningarna.
På den första raden har vi alltså ett kommando för en specifik adress, och i den andra - ett allmänt för hela nätverket där denna adress finns. Om du använder en modern typ av ACL kan du enkelt göra ändringar i den genom att placera raden Permit 192.168.1.130/26 som första kommando. Om du har en klassisk ACL måste du ta bort den helt och sedan skriva in kommandona igen i rätt ordning.
Lösningen på problem nr 4 är att placera linjen Permit 192.168.1.130/26 i början av ACL från problem nr 1, eftersom endast i detta fall kommer trafik från PC0 fritt att lämna utgångsgränssnittet på router R2. PC1:s trafik kommer att blockeras helt eftersom dess IP-adress är föremål för förbudet i den andra raden i listan.
Vi går nu vidare till Packet Tracer för att göra de nödvändiga inställningarna. Jag har redan konfigurerat IP-adresserna för alla enheter eftersom de förenklade tidigare diagrammen var lite svåra att förstå. Dessutom konfigurerade jag RIP mellan de två routrarna. På den givna nätverkstopologin är kommunikation mellan alla enheter med 4 subnät möjlig utan några begränsningar. Men så fort vi tillämpar ACL kommer trafiken att börja filtreras.
Jag börjar med ekonomiavdelningen PC1 och försöker pinga IP-adressen 192.168.1.194, som tillhör Server0, som finns i serverrummet. Som du kan se är ping framgångsrikt utan problem. Jag har också framgångsrikt pingat Laptop0 från förvaltningsavdelningen. Det första paketet kasseras på grund av ARP, de återstående 3 pingas fritt.
För att organisera trafikfiltrering går jag in i inställningarna för R2-routern, aktiverar det globala konfigurationsläget och ska skapa en modern ACL-lista. Vi har även den klassiska ACL 10. För att skapa den första listan anger jag ett kommando där du måste ange samma listnamn som vi skrev ner på papper: ip access-list standard ACL Secure_Ma_And_Se. Efter detta frågar systemet efter möjliga parametrar: Jag kan välja neka, avsluta, nej, tillåta eller anmärka, och även ange ett sekvensnummer från 1 till 2147483647. Om jag inte gör detta kommer systemet att tilldela det automatiskt.
Därför anger jag inte detta nummer, utan går omedelbart till kommandot tillståndsvärd 192.168.1.130, eftersom denna behörighet är giltig för en specifik PC0-enhet. Jag kan också använda en omvänd jokerteckenmask, nu ska jag visa dig hur du gör.
Därefter anger jag kommandot deny 192.168.1.128. Eftersom vi har /26 använder jag den omvända masken och kompletterar kommandot med den: deny 192.168.1.128 0.0.0.63. Därmed nekar jag trafik till nätverket 192.168.1.128/26.
På samma sätt blockerar jag trafik från följande nätverk: neka 192.168.1.0 0.0.0.127. All annan trafik är tillåten, så jag anger kommandot tillåter någon. Därefter måste jag tillämpa den här listan på gränssnittet, så jag använder kommandot int s0/1/0. Sedan skriver jag ip access-group Secure_Ma_And_Se, och systemet uppmanar mig att välja ett gränssnitt - in för inkommande paket och ut för utgående. Vi måste tillämpa ACL på utgångsgränssnittet, så jag använder kommandot ip access-group Secure_Ma_And_Se out.
Låt oss gå till PC0-kommandoraden och pinga IP-adressen 192.168.1.194, som tillhör Server0-servern. Pingen lyckades eftersom vi använde ett speciellt ACL-villkor för PC0-trafik. Om jag gör samma sak från PC1 kommer systemet att generera ett felmeddelande: "destinationsvärden är inte tillgänglig", eftersom trafik från ekonomiavdelningens återstående IP-adresser blockeras från att komma åt serverrummet.
Genom att logga in på R2-routerns CLI och skriva kommandot show ip address-lists kan du se hur ekonomiavdelningens nätverkstrafik dirigerades - den visar hur många gånger pingen skickades enligt behörigheten och hur många gånger den var spärrad enligt förbudet.
Vi kan alltid gå till routerns inställningar och se åtkomstlistan. Därmed är villkoren i arbetsuppgifterna nr 1 och nr 4 uppfyllda. Låt mig visa dig en sak till. Om jag vill fixa något kan jag gå in i det globala konfigurationsläget för R2-inställningar, ange kommandot ip access-list standard Secure_Ma_And_Se och sedan kommandot "host 192.168.1.130 is not allowed" - no permit host 192.168.1.130.
Om vi tittar på åtkomstlistan igen så ser vi att rad 10 har försvunnit, vi har bara raderna 20,30, 40 och XNUMX kvar. Du kan alltså redigera ACL-åtkomstlistan i routerns inställningar, men bara om den inte är kompilerad i klassisk form.
Låt oss nu gå vidare till den tredje ACL, eftersom det också gäller R2-routern. Där står det att all trafik från Laptop3 inte ska lämna försäljningsavdelningens nätverk. I det här fallet bör Laptop2 kommunicera utan problem med ekonomiavdelningens datorer. För att testa detta pingar jag IP-adressen 192.168.1.130 från den här bärbara datorn och ser till att allt fungerar.
Nu ska jag gå till kommandoraden för Laptop3 och pinga adressen 192.168.1.130. Pingning är framgångsrik, men vi behöver det inte, eftersom enligt villkoren för uppgiften kan Laptop3 bara kommunicera med Laptop2, som ligger i samma säljavdelningsnätverk. För att göra detta måste du skapa en annan ACL med den klassiska metoden.
Jag går tillbaka till R2-inställningarna och försöker återställa raderad post 10 med kommandot permit host 192.168.1.130. Du ser att denna post visas i slutet av listan vid nummer 50. Åtkomsten kommer dock fortfarande inte att fungera, eftersom linjen som tillåter en specifik värd finns i slutet av listan, och raden som förbjuder all nätverkstrafik är överst av listan. Om vi försöker pinga förvaltningsavdelningens bärbara dator0 från PC0 kommer vi att få meddelandet "destinationsvärden är inte tillgänglig", trots att det finns en tillåten post vid nummer 50 i ACL.
Därför, om du vill redigera en befintlig ACL, måste du ange kommandot no permit host 2 i R192.168.1.130-läge (config-std-nacl), kontrollera att rad 50 har försvunnit från listan och ange kommandot 10 permit. värd 192.168.1.130. Vi ser att listan nu har återgått till sin ursprungliga form, med denna post rankad först. Sekvensnummer hjälper till att redigera listan i alla former, så den moderna formen av ACL är mycket bekvämare än den klassiska.
Nu ska jag visa hur den klassiska formen av ACL 10-listan fungerar. För att använda den klassiska listan måste du ange kommandot access–list 10? och, efter uppmaningen, välj önskad åtgärd: neka, tillåta eller anmärka. Sedan går jag in i line access–list 10 deny host, varefter jag skriver kommandot access–list 10 deny 192.168.1.3 och lägger till den omvända masken. Eftersom vi har en värd är den framåtriktade subnätmasken 255.255.255.255, och omvänt är 0.0.0.0. Som ett resultat, för att neka värdtrafik, måste jag ange kommandot access–list 10 deny 192.168.1.3 0.0.0.0. Efter detta måste du ange behörigheter, för vilka jag skriver kommandot access–list 10 allow any. Den här listan måste tillämpas på G0/1-gränssnittet för router R2, så jag anger kommandona sekventiellt i g0/1, ip-åtkomstgrupp 10 in. Oavsett vilken lista som används, klassisk eller modern, används samma kommandon för att tillämpa denna lista på gränssnittet.
För att kontrollera om inställningarna är korrekta går jag till Laptop3 kommandoradsterminal och försöker pinga IP-adressen 192.168.1.130 - som du kan se rapporterar systemet att destinationsvärden inte går att nå.
Låt mig påminna dig om att du kan använda både visa ip-åtkomstlistor och visa åtkomstlistor för att kontrollera listan. Vi måste lösa ytterligare ett problem, som relaterar till R1-routern. För att göra detta går jag till CLI för denna router och går till globalt konfigurationsläge och anger kommandot ip access-list standard Secure_Ma_From_Se. Eftersom vi har ett nätverk 192.168.1.192/27 kommer dess subnätmask att vara 255.255.255.224, vilket innebär att den omvända masken blir 0.0.0.31 och vi måste ange kommandot deny 192.168.1.192 0.0.0.31. Eftersom all annan trafik är tillåten, slutar listan med kommandot tillåt någon. För att tillämpa en ACL på routerns utgångsgränssnitt, använd kommandot ip access-group Secure_Ma_From_Se out.
Nu ska jag gå till kommandoradsterminalen för Server0 och försöka pinga Laptop0 på förvaltningsavdelningen på IP-adressen 192.168.1.226. Försöket misslyckades, men om jag pingade adressen 192.168.1.130 upprättades anslutningen utan problem, det vill säga vi förbjöd serverdatorn att kommunicera med förvaltningsavdelningen, men tillät kommunikation med alla andra enheter på andra avdelningar. Således har vi framgångsrikt löst alla fyra problemen.
Låt mig visa dig något annat. Vi går in på inställningarna för R2-routern, där vi har 2 typer av ACL - klassiskt och modernt. Låt oss säga att jag vill redigera ACL 10, Standard IP-åtkomstlista 10, som i sin klassiska form består av två poster 10 och 20. Om jag använder kommandot do show run kan jag se att vi först har en modern åtkomstlista på 4 poster utan nummer under den allmänna rubriken Secure_Ma_And_Se, och nedan finns två ACL 10-poster i den klassiska formen som upprepar namnet på samma åtkomstlista 10.
Om jag vill göra några ändringar, som att ta bort posten deny host 192.168.1.3 och införa en post för en enhet på ett annat nätverk, behöver jag bara använda delete-kommandot för den posten: no access-list 10 deny host 192.168.1.3 .10. Men så fort jag anger det här kommandot försvinner alla poster i ACL XNUMX. Det är därför den klassiska vyn av ACL är mycket obekväm att redigera. Den moderna inspelningsmetoden är mycket bekvämare att använda, eftersom den tillåter fri redigering.
För att lära dig materialet i den här videolektionen råder jag dig att titta på det igen och försöka lösa problemen som diskuteras på egen hand utan några tips. ACL är ett viktigt ämne i CCNA-kursen och många blir förvirrade av till exempel proceduren för att skapa en omvänd jokerteckenmask. Jag försäkrar dig, förstå bara konceptet med maskomvandling, och allt kommer att bli mycket lättare. Kom ihåg att det viktigaste för att förstå CCNA-kursämnena är praktisk träning, eftersom endast övning hjälper dig att förstå det ena Cisco-konceptet. Övning är inte att kopiera och klistra in mina team, utan att lösa problem på ditt eget sätt. Ställ dig själv frågor: vad som behöver göras för att blockera trafikflödet härifrån och dit, var du ska tillämpa villkor etc., och försök att besvara dem.
Tack för att du stannar hos oss. Gillar du våra artiklar? Vill du se mer intressant innehåll? Stöd oss genom att lägga en beställning eller rekommendera till vänner, 30 % rabatt för Habr-användare på en unik analog av nybörjarservrar, som uppfanns av oss för dig: (tillgänglig med RAID1 och RAID10, upp till 24 kärnor och upp till 40 GB DDR4).
Dell R730xd 2 gånger billigare? Bara här i Nederländerna! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - från $99! Läs om
Källa: will.com