Jambo moja zaidi ambalo nilisahau kutaja ni kwamba ACL haichungi trafiki tu kwa msingi wa kuruhusu / kukataa, hufanya kazi nyingi zaidi. Kwa mfano, ACL hutumiwa kusimba trafiki ya VPN, lakini ili kupitisha mtihani wa CCNA, unahitaji tu kujua jinsi inavyotumiwa kuchuja trafiki. Wacha turudi kwenye Tatizo nambari 1.
Tuligundua kuwa trafiki ya idara ya uhasibu na mauzo inaweza kuzuiwa kwenye kiolesura cha pato cha R2 kwa kutumia orodha ifuatayo ya ACL.
Usijali kuhusu umbizo la orodha hii, inakusudiwa tu kama mfano kukusaidia kuelewa ACL ni nini. Tutafikia umbizo sahihi mara tutakapoanza kutumia Packet Tracer.
Kazi Nambari 2 inaonekana kama hii: chumba cha seva kinaweza kuwasiliana na majeshi yoyote, isipokuwa kwa wasimamizi wa idara ya usimamizi. Hiyo ni, kompyuta za chumba cha seva zinaweza kufikia kompyuta yoyote katika idara za mauzo na uhasibu, lakini haipaswi kufikia kompyuta katika idara ya usimamizi. Hii ina maana kwamba wafanyakazi wa IT wa chumba cha seva hawapaswi kuwa na upatikanaji wa kijijini kwa kompyuta ya mkuu wa idara ya usimamizi, lakini katika kesi ya matatizo, kuja ofisi yake na kurekebisha tatizo papo hapo. Kumbuka kuwa kazi hii si ya vitendo kwa sababu sijui sababu yoyote kwa nini chumba cha seva hakitaweza kuwasiliana kwenye mtandao na idara ya usimamizi, kwa hivyo katika kesi hii tunaangalia uchunguzi wa kifani.
Ili kutatua tatizo hili, kwanza unahitaji kuamua njia ya trafiki. Data kutoka kwa chumba cha seva hufika kwenye kiolesura cha ingizo G0/1 cha kipanga njia R1 na hutumwa kwa idara ya usimamizi kupitia kiolesura cha pato G0/0.
Ikiwa tutatumia hali ya Kataa 192.168.1.192/27 kwenye kiolesura cha G0/1, na kama unavyokumbuka, ACL ya kawaida imewekwa karibu na chanzo cha trafiki, tutazuia trafiki yote, ikiwa ni pamoja na idara ya mauzo na uhasibu.
Kwa kuwa tunataka kuzuia trafiki inayoelekezwa kwa idara ya usimamizi pekee, ni lazima tutumie ACL kwenye kiolesura cha pato G0/0. Tatizo hili linaweza tu kutatuliwa kwa kuweka ACL karibu na lengwa. Wakati huo huo, trafiki kutoka kwa mtandao wa idara ya uhasibu na mauzo lazima ifikie kwa uhuru idara ya usimamizi, hivyo mstari wa mwisho wa orodha itakuwa Ruhusa amri yoyote - kuruhusu trafiki yoyote, isipokuwa kwa trafiki iliyotajwa katika hali ya awali.
Hebu tuendelee kwenye Kazi Nambari ya 3: Laptop 3 kutoka kwa idara ya mauzo haipaswi kufikia vifaa vingine isipokuwa vile vilivyo kwenye mtandao wa ndani wa idara ya mauzo. Hebu tuchukulie kwamba mwanafunzi anafanya kazi kwenye kompyuta hii na hapaswi kwenda zaidi ya LAN yake.
Katika kesi hii, unahitaji kutumia ACL kwenye interface ya pembejeo G0/1 ya router R2. Ikiwa tutaweka anwani ya IP 192.168.1.3/25 kwa kompyuta hii, basi sharti la Deny 192.168.1.3/25 lazima litimizwe, na trafiki kutoka kwa anwani nyingine yoyote ya IP haipaswi kuzuiwa, kwa hivyo mstari wa mwisho wa orodha utakuwa Ruhusa. yoyote.
Hata hivyo, kuzuia trafiki hakutakuwa na athari yoyote kwenye Laptop2.
Kazi inayofuata itakuwa Kazi Nambari 4: PC0 ya kompyuta tu ya idara ya fedha inaweza kupata mtandao wa seva, lakini si idara ya usimamizi.
Ikiwa unakumbuka, ACL kutoka Task #1 inazuia trafiki yote inayotoka kwenye kiolesura cha S0/1/0 cha kipanga njia R2, lakini Kazi #4 inasema kwamba tunahitaji kuhakikisha kuwa trafiki ya PC0 pekee inapita, kwa hivyo ni lazima tufanye ubaguzi.
Kazi zote ambazo tunatatua sasa zinapaswa kukusaidia katika hali halisi wakati wa kusanidi ACL kwa mtandao wa ofisi. Kwa urahisi, nilitumia aina ya classic ya kuingia, lakini nakushauri kuandika mistari yote kwa mikono kwenye karatasi au kuandika kwenye kompyuta ili uweze kufanya marekebisho kwa maingizo. Kwa upande wetu, kwa mujibu wa masharti ya Kazi ya 1, orodha ya ACL ya classic iliundwa. Ikiwa tunataka kuongeza ubaguzi kwake kwa PC0 ya aina ya Ruhusa , basi tunaweza kuweka mstari huu wa nne tu kwenye orodha, baada ya Ruhusa Yoyote ya mstari. Walakini, kwa kuwa anwani ya kompyuta hii imejumuishwa katika anuwai ya anwani za kuangalia hali ya Kukataa 0/192.168.1.128, trafiki yake itazuiwa mara baada ya hali hii kufikiwa na router haitafikia ukaguzi wa mstari wa nne, ikiruhusu. trafiki kutoka kwa anwani hii ya IP.
Kwa hiyo, nitalazimika kufanya upya kabisa orodha ya ACL ya Task No. kutoka idara za uhasibu na mauzo.
Kwa hiyo, katika mstari wa kwanza tuna amri kwa anwani maalum, na kwa pili - ya jumla kwa mtandao mzima ambao anwani hii iko. Ikiwa unatumia aina ya kisasa ya ACL, unaweza kuifanyia mabadiliko kwa urahisi kwa kuweka Kibali cha mstari 192.168.1.130/26 kama amri ya kwanza. Ikiwa una ACL ya kawaida, utahitaji kuiondoa kabisa na kisha uingize tena amri kwa mpangilio sahihi.
Suluhisho la Tatizo la 4 ni kuweka kibali cha mstari 192.168.1.130/26 mwanzoni mwa ACL kutoka kwa Tatizo namba 1, kwa sababu tu katika kesi hii trafiki kutoka kwa PC0 itaondoka kwa uhuru interface ya pato la router R2. Trafiki ya PC1 itazuiwa kabisa kwa sababu anwani yake ya IP inakabiliwa na marufuku iliyo katika mstari wa pili wa orodha.
Sasa tutahamia Packet Tracer ili kufanya mipangilio muhimu. Tayari nimesanidi anwani za IP za vifaa vyote kwa sababu michoro za awali zilizorahisishwa zilikuwa ngumu kidogo kuelewa. Kwa kuongeza, nilisanidi RIP kati ya ruta mbili. Kwenye topolojia iliyotolewa ya mtandao, mawasiliano kati ya vifaa vyote vya subnets 4 inawezekana bila vikwazo vyovyote. Lakini mara tu tunapotumia ACL, trafiki itaanza kuchujwa.
Nitaanza na idara ya fedha PC1 na kujaribu kuweka anwani ya IP 192.168.1.194, ambayo ni ya Server0, iliyoko kwenye chumba cha seva. Kama unaweza kuona, ping inafanikiwa bila shida yoyote. Pia nilifaulu kupiga Laptop0 kutoka kwa idara ya usimamizi. Pakiti ya kwanza inatupwa kwa sababu ya ARP, 3 iliyobaki ni pinged kwa uhuru.
Ili kuandaa uchujaji wa trafiki, ninaenda kwenye mipangilio ya router ya R2, kuamsha hali ya usanidi wa kimataifa na nitaunda orodha ya kisasa ya ACL. Pia tunayo mtindo wa kawaida wa ACL 10. Ili kuunda orodha ya kwanza, ninaingiza amri ambayo lazima ueleze jina la orodha sawa na tuliloandika kwenye karatasi: ip access-list standard ACL Secure_Ma_And_Se. Baada ya hayo, mfumo unapendekeza kwa vigezo vinavyowezekana: Ninaweza kuchagua kukataa, kuondoka, hapana, kibali au maoni, na pia ingiza Nambari ya Mlolongo kutoka 1 hadi 2147483647. Ikiwa sitafanya hivyo, mfumo utawapa moja kwa moja.
Kwa hiyo, siingizii nambari hii, lakini mara moja nenda kwa amri ya mwenyeji wa kibali 192.168.1.130, kwa kuwa ruhusa hii ni halali kwa kifaa maalum cha PC0. Ninaweza pia kutumia Kinyago cha nyuma cha Wildcard, sasa nitakuonyesha jinsi ya kuifanya.
Ifuatayo, ninaingiza amri ya kukataa 192.168.1.128. Kwa kuwa tunayo /26, ninatumia mask ya nyuma na kuongeza amri nayo: kukataa 192.168.1.128 0.0.0.63. Kwa hivyo, ninakataa trafiki kwa mtandao 192.168.1.128/26.
Vile vile, mimi huzuia trafiki kutoka kwa mtandao wafuatayo: kukataa 192.168.1.0 0.0.0.127. Trafiki zingine zote zinaruhusiwa, kwa hivyo ninaingiza kibali cha amri yoyote. Ifuatayo lazima nitumie orodha hii kwenye kiolesura, kwa hivyo mimi hutumia amri int s0/1/0. Kisha mimi huandika ip access-group Secure_Ma_And_Se, na mfumo hunihimiza kuchagua kiolesura - kwa pakiti zinazoingia na kutoka kwa zinazotoka. Tunahitaji kutumia ACL kwenye kiolesura cha pato, kwa hivyo ninatumia ip access-group Secure_Ma_And_Se out amri.
Hebu tuende kwenye mstari wa amri ya PC0 na tupige anwani ya IP 192.168.1.194, ambayo ni ya seva ya Server0. Ping imefaulu kwa sababu tulitumia hali maalum ya ACL kwa trafiki ya PC0. Ikiwa nitafanya vivyo hivyo kutoka kwa PC1, mfumo utazalisha hitilafu: "mwenyeji wa marudio haipatikani", kwa kuwa trafiki kutoka kwa anwani za IP zilizobaki za idara ya uhasibu zimezuiwa kufikia chumba cha seva.
Kwa kuingia kwenye CLI ya kipanga njia cha R2 na kuandika amri ya orodha ya anwani ya ip, unaweza kuona jinsi trafiki ya mtandao wa idara ya fedha ilipitishwa - inaonyesha ni mara ngapi ping ilipitishwa kulingana na ruhusa na ni mara ngapi. imefungwa kwa mujibu wa marufuku.
Tunaweza kwenda kwenye mipangilio ya router kila wakati na kuona orodha ya ufikiaji. Kwa hivyo, masharti ya Kazi Nambari 1 na No. Ngoja nikuonyeshe jambo moja zaidi. Ikiwa ninataka kurekebisha kitu, naweza kwenda kwenye hali ya usanidi wa kimataifa wa mipangilio ya R4, ingiza amri ip access-list standard Secure_Ma_And_Se na kisha amri "mwenyeji 2 hairuhusiwi" - hakuna mwenyeji wa kibali 192.168.1.130.
Ikiwa tunatazama orodha ya kufikia tena, tutaona kwamba mstari wa 10 umetoweka, tuna mistari ya 20,30, 40 na XNUMX tu. Kwa hivyo, unaweza kuhariri orodha ya upatikanaji wa ACL katika mipangilio ya router, lakini tu ikiwa haijajumuishwa. katika fomu ya classic.
Sasa hebu tuendelee kwenye ACL ya tatu, kwa sababu pia inahusu kipanga njia cha R2. Inasema kwamba trafiki yoyote kutoka kwa Laptop3 haipaswi kuondoka kwenye mtandao wa idara ya mauzo. Katika kesi hii, Laptop2 inapaswa kuwasiliana bila matatizo na kompyuta za idara ya fedha. Ili kujaribu hili, ninapiga anwani ya IP 192.168.1.130 kutoka kwa kompyuta hii ya mbali na hakikisha kila kitu kinafanya kazi.
Sasa nitaenda kwenye mstari wa amri ya Laptop3 na ping anwani 192.168.1.130. Pinging inafanikiwa, lakini hatuitaji, kwa kuwa kwa mujibu wa masharti ya kazi, Laptop3 inaweza tu kuwasiliana na Laptop2, ambayo iko katika mtandao huo wa idara ya mauzo. Ili kufanya hivyo, unahitaji kuunda ACL nyingine kwa kutumia njia ya classic.
Nitarudi kwenye mipangilio ya R2 na kujaribu kurejesha ingizo 10 iliyofutwa kwa kutumia amri ya mwenyeji wa kibali 192.168.1.130. Unaona kwamba ingizo hili linaonekana mwishoni mwa orodha kwa nambari 50. Hata hivyo, ufikiaji bado hautafanya kazi, kwa sababu mstari unaoruhusu mwenyeji maalum ni mwisho wa orodha, na mstari unaokataza trafiki yote ya mtandao iko juu. ya orodha. Tukijaribu kubashiri Laptop0 ya idara ya usimamizi kutoka kwa PC0, tutapokea ujumbe "mwenyeji lengwa hapatikani," licha ya ukweli kwamba kuna idhini ya kuingia kwa nambari 50 katika ACL.
Kwa hivyo, ikiwa unataka kuhariri ACL iliyopo, unahitaji kuingiza amri hakuna mwenyeji wa kibali 2 katika hali ya R192.168.1.130 (config-std-nacl), angalia kwamba mstari wa 50 umetoweka kutoka kwenye orodha, na uingize kibali cha amri 10. mwenyeji 192.168.1.130. Tunaona kwamba orodha sasa imerejea katika hali yake ya asili, na ingizo hili likiwa la kwanza. Nambari za mlolongo husaidia kuhariri orodha kwa njia yoyote, kwa hivyo aina ya kisasa ya ACL inafaa zaidi kuliko ile ya zamani.
Sasa nitaonyesha jinsi fomu ya classic ya orodha ya ACL 10 inavyofanya kazi. Ili kutumia orodha ya classic, unahitaji kuingiza upatikanaji wa amri-orodha 10?, na, kufuatia haraka, chagua hatua inayotakiwa: kukataa, kuruhusu au kutaja. Kisha mimi huingiza ufikiaji wa mstari-orodha 10 ya kukataa mwenyeji, baada ya hapo ninaandika ufikiaji wa amri-orodha 10 kataa 192.168.1.3 na kuongeza kinyago cha nyuma. Kwa kuwa tuna mwenyeji, mask ya subnet ya mbele ni 255.255.255.255, na kinyume chake ni 0.0.0.0. Kwa hivyo, ili kukataa trafiki ya mwenyeji, lazima niweke idhini ya kufikia-amri 10 kataa 192.168.1.3 0.0.0.0. Baada ya hayo, unahitaji kutaja ruhusa, ambayo ninaandika ufikiaji wa amri-orodhesha 10 kibali chochote. Orodha hii inahitaji kutumika kwa kiolesura cha G0/1 cha kipanga njia R2, kwa hivyo mimi huingiza amri kwa mpangilio katika g0/1, ip access-group 10 in. Bila kujali ni orodha gani inayotumiwa, ya kisasa au ya kisasa, amri sawa hutumiwa kutumia orodha hii kwenye interface.
Ili kuangalia ikiwa mipangilio ni sahihi, nenda kwenye terminal ya mstari wa amri ya Laptop3 na jaribu kuweka anwani ya IP 192.168.1.130 - kama unaweza kuona, mfumo unaripoti kuwa mwenyeji wa mwisho hawezi kufikiwa.
Acha nikukumbushe kwamba ili kuangalia orodha unaweza kutumia orodha zote mbili za ufikiaji wa ip na kuonyesha amri za orodha za ufikiaji. Ni lazima kutatua tatizo moja zaidi, ambalo linahusiana na router R1. Ili kufanya hivyo, nenda kwa CLI ya kipanga njia hiki na nenda kwa modi ya usanidi wa kimataifa na ingiza amri ip upatikanaji-orodha ya kiwango Secure_Ma_From_Se. Kwa kuwa tuna mtandao 192.168.1.192/27, mask yake ya subnet itakuwa 255.255.255.224, ambayo ina maana mask ya nyuma itakuwa 0.0.0.31 na tunahitaji kuingia amri kukataa 192.168.1.192 0.0.0.31. Kwa kuwa trafiki nyingine zote zinaruhusiwa, orodha inaisha na kibali cha amri yoyote. Ili kutumia ACL kwenye kiolesura cha pato cha kipanga njia, tumia amri ya kikundi cha ufikiaji cha IP Secure_Ma_From_Se out.
Sasa nitaenda kwenye terminal ya mstari wa amri ya Server0 na kujaribu ping Laptop0 ya idara ya usimamizi kwenye anwani ya IP 192.168.1.226. Jaribio halikufanikiwa, lakini ikiwa nilipiga anwani 192.168.1.130, uunganisho ulianzishwa bila matatizo, yaani, tulikataza kompyuta ya seva kuwasiliana na idara ya usimamizi, lakini tuliruhusu mawasiliano na vifaa vingine vyote katika idara nyingine. Kwa hivyo, tumefanikiwa kutatua shida zote 4.
Ngoja nikuonyeshe kitu kingine. Tunaingia kwenye mipangilio ya router ya R2, ambapo tuna aina 2 za ACL - classic na kisasa. Wacha tuseme ninataka kuhariri ACL 10, orodha ya 10 ya ufikiaji wa IP ya kawaida, ambayo katika hali yake ya kawaida ina maingizo mawili 10 na 20. Ikiwa ninatumia amri ya do show run, naweza kuona kwamba kwanza tunayo orodha ya kisasa ya kufikia 4. maingizo yasiyo na nambari chini ya kichwa cha jumla Secure_Ma_And_Se, na chini ni maingizo mawili ya ACL 10 ya muundo wa kitamaduni yanayorudia jina la orodha sawa ya ufikiaji 10.
Ikiwa ninataka kufanya mabadiliko kadhaa, kama vile kuondoa ingizo la kukataa 192.168.1.3 na kuanzisha ingizo la kifaa kwenye mtandao tofauti, ninahitaji kutumia amri ya kufuta kwa ingizo hilo pekee: hakuna orodha ya ufikiaji 10 kataa mwenyeji 192.168.1.3 .10. Lakini mara tu ninapoingiza amri hii, maingizo yote ya ACL XNUMX yanatoweka kabisa. Hii ndiyo sababu mtazamo wa kawaida wa ACL ni vigumu sana kuhariri. Njia ya kisasa ya kurekodi ni rahisi zaidi kutumia, kwani inaruhusu uhariri wa bure.
Ili kujifunza nyenzo katika somo hili la video, nakushauri uangalie tena na ujaribu kutatua matatizo yaliyojadiliwa peke yako bila vidokezo. ACL ni mada muhimu katika kozi ya CCNA, na wengi wamechanganyikiwa na, kwa mfano, utaratibu wa kuunda Mask ya nyuma ya Wildcard. Ninakuhakikishia, tu kuelewa dhana ya mabadiliko ya mask, na kila kitu kitakuwa rahisi zaidi. Kumbuka kwamba jambo muhimu zaidi katika kuelewa mada ya kozi ya CCNA ni mafunzo ya vitendo, kwa sababu mazoezi tu yatakusaidia kuelewa hili au dhana ya Cisco. Mazoezi si kunakili-kubandika timu zangu, lakini kutatua matatizo kwa njia yako mwenyewe. Jiulize maswali: nini kifanyike ili kuzuia mtiririko wa trafiki kutoka hapa hadi pale, wapi kuomba masharti, nk, na jaribu kujibu.
Asante kwa kukaa nasi. Je, unapenda makala zetu? Je, ungependa kuona maudhui ya kuvutia zaidi? Tuunge mkono kwa kuweka agizo au kupendekeza kwa marafiki, Punguzo la 30% kwa watumiaji wa Habr kwenye analogi ya kipekee ya seva za kiwango cha kuingia, ambayo tulikutengenezea: (inapatikana kwa RAID1 na RAID10, hadi cores 24 na hadi 40GB DDR4).
Dell R730xd mara 2 nafuu? Hapa tu nchini Uholanzi! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - kutoka $99! Soma kuhusu
Chanzo: mapenzi.com