Isa pang bagay na nakalimutan kong banggitin ay ang ACL ay hindi lamang nagsasala ng trapiko sa isang allow/deny na batayan, ito ay gumaganap ng marami pang mga function. Halimbawa, ang isang ACL ay ginagamit upang i-encrypt ang trapiko ng VPN, ngunit upang makapasa sa pagsusulit sa CCNA, kailangan mo lamang malaman kung paano ito ginagamit upang i-filter ang trapiko. Balik tayo sa Problema No.
Nalaman namin na ang trapiko ng accounting at sales department ay maaaring i-block sa R2 output interface gamit ang sumusunod na listahan ng ACL.
Huwag mag-alala tungkol sa format ng listahang ito, ito ay sinadya lamang bilang isang halimbawa upang matulungan kang maunawaan kung ano ang ACL. Mapupunta tayo sa tamang format kapag nagsimula na tayo sa Packet Tracer.
Ganito ang tunog ng Gawain No. 2: ang silid ng server ay maaaring makipag-ugnayan sa sinumang mga host, maliban sa mga host ng departamento ng pamamahala. Ibig sabihin, ang mga computer ng server room ay maaaring magkaroon ng access sa anumang mga computer sa mga sales at accounting department, ngunit hindi dapat magkaroon ng access sa mga computer sa management department. Nangangahulugan ito na ang mga kawani ng IT ng silid ng server ay hindi dapat magkaroon ng malayuang pag-access sa computer ng pinuno ng departamento ng pamamahala, ngunit sa kaso ng mga problema, pumunta sa kanyang opisina at ayusin ang problema sa lugar. Tandaan na ang gawaing ito ay hindi praktikal dahil hindi ko alam kung bakit ang silid ng server ay hindi magagawang makipag-ugnayan sa network sa departamento ng pamamahala, kaya sa kasong ito ay tumitingin lamang kami sa isang halimbawa ng tutorial.
Upang malutas ang problemang ito, kailangan mo munang matukoy ang landas ng trapiko. Dumating ang data mula sa server room sa input interface G0/1 ng router R1 at ipinapadala sa management department sa pamamagitan ng output interface G0/0.
Kung ilalapat namin ang Deny 192.168.1.192/27 na kundisyon sa input interface G0/1, at gaya ng naaalala mo, ang karaniwang ACL ay inilalagay na mas malapit sa pinagmumulan ng trapiko, haharangin namin ang lahat ng trapiko, kabilang ang departamento ng pagbebenta at accounting.
Dahil gusto naming harangan lamang ang trapikong nakadirekta sa departamento ng pamamahala, dapat kaming maglapat ng ACL sa output interface G0/0. Ang problemang ito ay malulutas lamang sa pamamagitan ng paglalagay ng ACL na mas malapit sa destinasyon. Kasabay nito, ang trapiko mula sa network ng departamento ng accounting at benta ay dapat malayang maabot ang departamento ng pamamahala, kaya ang huling linya ng listahan ay ang Pahintulot anumang utos - upang payagan ang anumang trapiko, maliban sa trapiko na tinukoy sa nakaraang kundisyon.
Lumipat tayo sa Gawain Blg. 3: ang Laptop 3 na laptop mula sa departamento ng pagbebenta ay hindi dapat magkaroon ng access sa anumang mga device maliban sa mga nasa lokal na network ng departamento ng pagbebenta. Ipagpalagay natin na ang isang trainee ay nagtatrabaho sa computer na ito at hindi dapat lumampas sa kanyang LAN.
Sa kasong ito, kailangan mong mag-apply ng ACL sa input interface G0/1 ng router R2. Kung itatalaga namin ang IP address na 192.168.1.3/25 sa computer na ito, dapat matugunan ang kondisyon ng Deny 192.168.1.3/25, at hindi dapat ma-block ang trapiko mula sa anumang iba pang IP address, kaya ang huling linya ng listahan ay magiging Permit anuman.
Gayunpaman, ang pagharang sa trapiko ay hindi magkakaroon ng anumang epekto sa Laptop2.
Ang susunod na gawain ay ang Gawain No. 4: ang computer PC0 lamang ng departamento ng pananalapi ang maaaring magkaroon ng access sa network ng server, ngunit hindi sa departamento ng pamamahala.
Kung naaalala mo, hinaharangan ng ACL mula sa Task #1 ang lahat ng papalabas na trapiko sa interface ng S0/1/0 ng router R2, ngunit sinasabi ng Task #4 na kailangan nating tiyakin na ang trapiko ng PC0 lang ang dumadaan, kaya dapat tayong gumawa ng exception.
Ang lahat ng mga gawain na nilulutas namin ngayon ay dapat makatulong sa iyo sa totoong sitwasyon kapag nagse-set up ng mga ACL para sa isang network ng opisina. Para sa kaginhawahan, ginamit ko ang klasikong uri ng entry, ngunit ipinapayo ko sa iyo na isulat ang lahat ng mga linya nang manu-mano sa papel o i-type ang mga ito sa isang computer upang makagawa ka ng mga pagwawasto sa mga entry. Sa aming kaso, ayon sa mga kondisyon ng Gawain No. 1, isang klasikong listahan ng ACL ang naipon. Kung gusto naming magdagdag ng exception dito para sa PC0 ng uri ng Permit , pagkatapos ay maaari nating ilagay ang linyang ito sa pang-apat lamang sa listahan, pagkatapos ng linya ng Permit Any. Gayunpaman, dahil ang address ng computer na ito ay kasama sa hanay ng mga address para sa pagsuri sa Deny condition 0/192.168.1.128, ang trapiko nito ay mai-block kaagad pagkatapos matugunan ang kundisyong ito at ang router ay hindi makakarating sa pang-apat na line check, na nagpapahintulot trapiko mula sa IP address na ito.
Samakatuwid, kailangan kong ganap na gawing muli ang listahan ng ACL ng Gawain No. 1, tanggalin ang unang linya at palitan ito ng linyang Permit 192.168.1.130/26, na nagpapahintulot sa trapiko mula sa PC0, at pagkatapos ay muling ipasok ang mga linyang nagbabawal sa lahat ng trapiko mula sa mga departamento ng accounting at pagbebenta.
Kaya, sa unang linya mayroon kaming isang utos para sa isang tiyak na address, at sa pangalawa - isang pangkalahatan para sa buong network kung saan matatagpuan ang address na ito. Kung gumagamit ka ng modernong uri ng ACL, madali kang makakagawa ng mga pagbabago dito sa pamamagitan ng paglalagay ng linyang Permit 192.168.1.130/26 bilang unang command. Kung mayroon kang classic na ACL, kakailanganin mong alisin ito nang buo at pagkatapos ay muling ilagay ang mga command sa tamang pagkakasunod-sunod.
Ang solusyon sa Problema No. 4 ay ilagay ang linyang Permit 192.168.1.130/26 sa simula ng ACL mula sa Problema No. 1, dahil sa kasong ito lamang ay malayang umalis ang trapiko mula sa PC0 sa output interface ng router R2. Ang trapiko ng PC1 ay ganap na maha-block dahil ang IP address nito ay napapailalim sa pagbabawal na nasa ikalawang linya ng listahan.
Magpapatuloy tayo ngayon sa Packet Tracer para gawin ang mga kinakailangang setting. Na-configure ko na ang mga IP address ng lahat ng device dahil medyo mahirap intindihin ang mga naunang diagram. Bilang karagdagan, na-configure ko ang RIP sa pagitan ng dalawang router. Sa ibinigay na topology ng network, ang komunikasyon sa pagitan ng lahat ng device ng 4 na subnet ay posible nang walang anumang paghihigpit. Ngunit sa sandaling ilapat namin ang ACL, magsisimulang ma-filter ang trapiko.
Magsisimula ako sa departamento ng pananalapi PC1 at subukang i-ping ang IP address na 192.168.1.194, na kabilang sa Server0, na matatagpuan sa silid ng server. Tulad ng nakikita mo, matagumpay ang ping nang walang anumang mga problema. Matagumpay din akong nag-ping sa Laptop0 mula sa departamento ng pamamahala. Ang unang packet ay itinapon dahil sa ARP, ang natitirang 3 ay malayang na-ping.
Upang ayusin ang pag-filter ng trapiko, pumunta ako sa mga setting ng R2 router, i-activate ang global configuration mode at gagawa ako ng modernong listahan ng ACL. Mayroon din kaming klasikong mukhang ACL 10. Upang lumikha ng unang listahan, naglalagay ako ng isang utos kung saan dapat mong tukuyin ang parehong pangalan ng listahan na isinulat namin sa papel: ip access-list standard ACL Secure_Ma_And_Se. Pagkatapos nito, mag-prompt ang system para sa mga posibleng parameter: Maaari akong pumili ng tanggihan, lumabas, hindi, pahintulot o puna, at maglagay din ng Sequence Number mula 1 hanggang 2147483647. Kung hindi ko ito gagawin, awtomatiko itong itatalaga ng system.
Samakatuwid, hindi ko ipinasok ang numerong ito, ngunit agad na pumunta sa utos ng permit host 192.168.1.130, dahil ang pahintulot na ito ay wasto para sa isang partikular na PC0 device. Maaari din akong gumamit ng reverse Wildcard Mask, ngayon ay ipapakita ko sa iyo kung paano ito gagawin.
Susunod, ipinasok ko ang command deny 192.168.1.128. Dahil mayroon kaming /26, ginagamit ko ang reverse mask at dinadagdagan ang utos dito: tanggihan ang 192.168.1.128 0.0.0.63. Kaya, tinatanggihan ko ang trapiko sa network 192.168.1.128/26.
Katulad nito, hinaharangan ko ang trapiko mula sa sumusunod na network: tanggihan ang 192.168.1.0 0.0.0.127. Ang lahat ng iba pang trapiko ay pinapayagan, kaya ipinasok ko ang anumang command permit. Susunod na kailangan kong ilapat ang listahang ito sa interface, kaya ginagamit ko ang command int s0/1/0. Pagkatapos ay nagta-type ako ng ip access-group Secure_Ma_And_Se, at sinenyasan ako ng system na pumili ng interface - in para sa mga papasok na packet at out para sa papalabas. Kailangan nating ilapat ang ACL sa output interface, kaya ginagamit ko ang ip access-group Secure_Ma_And_Se out command.
Pumunta tayo sa command line ng PC0 at i-ping ang IP address na 192.168.1.194, na kabilang sa Server0 server. Matagumpay ang ping dahil gumamit kami ng espesyal na kundisyon ng ACL para sa trapiko ng PC0. Kung gagawin ko ang parehong mula sa PC1, ang system ay bubuo ng isang error: "hindi magagamit ang destination host", dahil ang trapiko mula sa natitirang mga IP address ng departamento ng accounting ay naharang mula sa pag-access sa silid ng server.
Sa pamamagitan ng pag-log in sa CLI ng R2 router at pag-type ng show ip address-lists command, makikita mo kung paano naruta ang trapiko sa network ng departamento ng pananalapi - ipinapakita nito kung gaano karaming beses naipasa ang ping ayon sa pahintulot at kung ilang beses ito ginawa hinarangan ayon sa pagbabawal.
Maaari kaming palaging pumunta sa mga setting ng router at makita ang listahan ng access. Kaya, ang mga kondisyon ng Mga Gawain Blg. 1 at Blg. 4 ay natutugunan. Hayaan mong ipakita ko sa iyo ang isa pang bagay. Kung nais kong ayusin ang isang bagay, maaari akong pumunta sa global configuration mode ng mga setting ng R2, ipasok ang command ip access-list standard Secure_Ma_And_Se at pagkatapos ay ang command na "host 192.168.1.130 ay hindi pinapayagan" - walang permit host 192.168.1.130.
Kung titingnan natin muli ang listahan ng pag-access, makikita natin na ang linya 10 ay nawala, mayroon na lamang tayong mga linya 20,30, 40 at XNUMX. Kaya, maaari mong i-edit ang listahan ng access sa ACL sa mga setting ng router, ngunit kung hindi ito pinagsama-sama. sa klasikong anyo.
Ngayon ay lumipat tayo sa pangatlong ACL, dahil may kinalaman din ito sa R2 router. Ito ay nagsasaad na ang anumang trapiko mula sa Laptop3 ay hindi dapat umalis sa network ng departamento ng pagbebenta. Sa kasong ito, dapat makipag-usap ang Laptop2 nang walang problema sa mga computer ng departamento ng pananalapi. Upang subukan ito, pina-ping ko ang IP address na 192.168.1.130 mula sa laptop na ito at siguraduhing gumagana ang lahat.
Ngayon ay pupunta ako sa command line ng Laptop3 at i-ping ang address na 192.168.1.130. Ang pag-ping ay matagumpay, ngunit hindi namin ito kailangan, dahil ayon sa mga kondisyon ng gawain, ang Laptop3 ay maaari lamang makipag-usap sa Laptop2, na matatagpuan sa parehong network ng departamento ng pagbebenta. Upang gawin ito, kailangan mong lumikha ng isa pang ACL gamit ang klasikong pamamaraan.
Babalik ako sa mga setting ng R2 at susubukan kong bawiin ang tinanggal na entry 10 gamit ang permit host 192.168.1.130 na utos. Nakikita mo na ang entry na ito ay lilitaw sa dulo ng listahan sa numero 50. Gayunpaman, ang pag-access ay hindi pa rin gagana, dahil ang linya na nagpapahintulot sa isang partikular na host ay nasa dulo ng listahan, at ang linya na nagbabawal sa lahat ng trapiko sa network ay nasa itaas. ng listahan. Kung susubukan naming i-ping ang Laptop0 ng departamento ng pamamahala mula sa PC0, makakatanggap kami ng mensaheng "hindi naa-access ang destination host," sa kabila ng katotohanan na mayroong allow entry sa numero 50 sa ACL.
Samakatuwid, kung gusto mong i-edit ang isang umiiral na ACL, kailangan mong ipasok ang command na walang permit host 2 sa R192.168.1.130 mode (config-std-nacl), suriin na ang linya 50 ay nawala mula sa listahan, at ipasok ang command 10 permit host 192.168.1.130. Nakikita namin na ang listahan ay bumalik na ngayon sa orihinal nitong anyo, na ang entry na ito ay na-rank muna. Nakakatulong ang mga sequence number na i-edit ang listahan sa anumang anyo, kaya ang modernong anyo ng ACL ay mas maginhawa kaysa sa classic.
Ngayon ay ipapakita ko kung paano gumagana ang klasikong anyo ng listahan ng ACL 10. Upang magamit ang klasikong listahan, kailangan mong ipasok ang command access–list 10?, at, kasunod ng prompt, piliin ang gustong aksyon: tanggihan, pahintulutan o puna. Pagkatapos ay ipinasok ko ang line access–list 10 deny host, pagkatapos ay i-type ko ang command access–list 10 deny 192.168.1.3 at idagdag ang reverse mask. Dahil mayroon kaming host, ang forward subnet mask ay 255.255.255.255, at ang reverse ay 0.0.0.0. Bilang resulta, upang tanggihan ang trapiko ng host, kailangan kong ilagay ang command access–list 10 deny 192.168.1.3 0.0.0.0. Pagkatapos nito, kailangan mong tukuyin ang mga pahintulot, kung saan tina-type ko ang command access–list 10 permit any. Ang listahang ito ay kailangang ilapat sa G0/1 interface ng router R2, kaya sunud-sunod kong ipinasok ang mga command sa g0/1, ip access-group 10 in. Anuman ang ginagamit na listahan, klasiko o moderno, ang parehong mga utos ay ginagamit upang ilapat ang listahang ito sa interface.
Upang suriin kung tama ang mga setting, pumunta ako sa terminal ng command line ng Laptop3 at subukang i-ping ang IP address na 192.168.1.130 - tulad ng nakikita mo, iniulat ng system na ang destinasyong host ay hindi maabot.
Hayaan akong ipaalala sa iyo na upang suriin ang listahan maaari mong gamitin ang parehong mga show ip access-list at ipakita ang mga access-list na command. Dapat nating lutasin ang isa pang problema, na nauugnay sa R1 router. Upang gawin ito, pumunta ako sa CLI ng router na ito at pumunta sa global configuration mode at ipasok ang command ip access-list standard Secure_Ma_From_Se. Dahil mayroon tayong network na 192.168.1.192/27, ang subnet mask nito ay magiging 255.255.255.224, na nangangahulugang ang reverse mask ay magiging 0.0.0.31 at kailangan nating ipasok ang deny 192.168.1.192 0.0.0.31 command. Dahil pinapayagan ang lahat ng iba pang trapiko, nagtatapos ang listahan sa anumang command permit. Upang makapaglapat ng ACL sa output interface ng router, gamitin ang ip access-group Secure_Ma_From_Se out command.
Ngayon ay pupunta ako sa terminal ng command line ng Server0 at susubukan kong i-ping ang Laptop0 ng departamento ng pamamahala sa IP address na 192.168.1.226. Ang pagtatangka ay hindi matagumpay, ngunit kung na-ping ko ang address na 192.168.1.130, ang koneksyon ay naitatag nang walang mga problema, iyon ay, ipinagbawal namin ang server computer mula sa pakikipag-usap sa departamento ng pamamahala, ngunit pinapayagan ang komunikasyon sa lahat ng iba pang mga aparato sa iba pang mga departamento. Kaya, matagumpay naming nalutas ang lahat ng 4 na problema.
Hayaan mong may ipakita ako sa iyo. Pumunta kami sa mga setting ng R2 router, kung saan mayroon kaming 2 uri ng ACL - klasiko at moderno. Sabihin nating gusto kong i-edit ang ACL 10, Standard IP access list 10, na sa klasikong anyo nito ay binubuo ng dalawang entry 10 at 20. Kung gagamitin ko ang do show run command, makikita ko na mayroon muna tayong modernong listahan ng access na 4 mga entry na walang mga numero sa ilalim ng pangkalahatang heading na Secure_Ma_And_Se, at sa ibaba ay dalawang ACL 10 na entry ng classical na form na inuulit ang pangalan ng parehong access-list 10.
Kung gusto kong gumawa ng ilang pagbabago, tulad ng pag-alis ng deny host 192.168.1.3 na entry at pagpapakilala ng entry para sa isang device sa ibang network, kailangan kong gamitin ang delete command para sa entry na iyon lamang: walang access-list 10 deny host 192.168.1.3 .10. Ngunit sa sandaling ipasok ko ang utos na ito, ang lahat ng mga entry sa ACL XNUMX ay ganap na nawala. Ito ang dahilan kung bakit ang klasikong view ng ACL ay napaka-inconvenient na i-edit. Ang modernong paraan ng pag-record ay mas maginhawang gamitin, dahil pinapayagan nito ang libreng pag-edit.
Upang matutunan ang materyal sa araling video na ito, ipinapayo ko sa iyo na panoorin itong muli at subukang lutasin ang mga problemang tinalakay sa iyong sarili nang walang anumang mga pahiwatig. Ang ACL ay isang mahalagang paksa sa kursong CCNA, at marami ang nalilito, halimbawa, ang pamamaraan para sa paggawa ng reverse Wildcard Mask. Tinitiyak ko sa iyo, unawain lamang ang konsepto ng pagbabagong-anyo ng maskara, at ang lahat ay magiging mas madali. Tandaan na ang pinakamahalagang bagay sa pag-unawa sa mga paksa ng kurso sa CCNA ay praktikal na pagsasanay, dahil ang pagsasanay lamang ang tutulong sa iyo na maunawaan ito o ang konseptong iyon ng Cisco. Ang pagsasanay ay hindi kopya-paste ang aking mga koponan, ngunit paglutas ng mga problema sa iyong sariling paraan. Tanungin ang iyong sarili ng mga tanong: kung ano ang kailangang gawin upang harangan ang daloy ng trapiko mula dito patungo doon, kung saan ilalapat ang mga kondisyon, atbp., at subukang sagutin ang mga ito.
Salamat sa pananatili sa amin. Gusto mo ba ang aming mga artikulo? Gustong makakita ng mas kawili-wiling nilalaman? Suportahan kami sa pamamagitan ng pag-order o pagrekomenda sa mga kaibigan, 30% na diskwento para sa mga gumagamit ng Habr sa isang natatanging analogue ng mga entry-level na server, na inimbento namin para sa iyo: (magagamit sa RAID1 at RAID10, hanggang 24 na core at hanggang 40GB DDR4).
Dell R730xd 2 beses na mas mura? Dito lang sa Netherlands! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - mula $99! Basahin ang tungkol sa
Pinagmulan: www.habr.com