Bahsetmeyi unuttuğum bir şey daha, ACL'nin trafiği yalnızca izin ver/reddet temelinde filtrelemekle kalmayıp, daha birçok işlevi yerine getirmesidir. Örneğin, VPN trafiğini şifrelemek için bir ACL kullanılır, ancak CCNA sınavını geçmek için yalnızca trafiği filtrelemek için nasıl kullanıldığını bilmeniz gerekir. 1 Numaralı Soruna dönelim.
Aşağıdaki ACL listesi kullanılarak muhasebe ve satış departmanı trafiğinin R2 çıkış arayüzünde engellenebildiğini öğrendik.
Bu listenin formatı konusunda endişelenmeyin, bu sadece ACL'nin ne olduğunu anlamanıza yardımcı olacak bir örnek olarak verilmiştir. Packet Tracer'a başladığımızda doğru formata ulaşacağız.
Görev No. 2 şuna benziyor: sunucu odası, yönetim departmanının ana bilgisayarları dışında herhangi bir ana bilgisayarla iletişim kurabilir. Yani sunucu odası bilgisayarları, satış ve muhasebe departmanlarındaki tüm bilgisayarlara erişebilir ancak yönetim departmanındaki bilgisayarlara erişim sahibi olmamalıdır. Bu, sunucu odasındaki BT personelinin yönetim departmanı başkanının bilgisayarına uzaktan erişime sahip olmaması gerektiği, ancak sorun olması durumunda ofisine gelip sorunu yerinde çözmesi gerektiği anlamına gelir. Bu görevin pratik olmadığını unutmayın çünkü sunucu odasının ağ üzerinden yönetim departmanıyla iletişim kuramamasının herhangi bir nedenini bilmiyorum, dolayısıyla bu durumda sadece bir örnek olay incelemesine bakıyoruz.
Bu sorunu çözmek için öncelikle trafik yolunu belirlemeniz gerekir. Sunucu odasından gelen veriler, R0 yönlendiricisinin G1/1 giriş arayüzüne ulaşır ve G0/0 çıkış arayüzü aracılığıyla yönetim departmanına gönderilir.
G192.168.1.192/27 giriş arayüzüne Deny 0/1 koşulunu uygularsak ve hatırlayacağınız gibi standart ACL trafik kaynağına daha yakın yerleştirilirse satış ve muhasebe departmanı dahil tüm trafiği bloke etmiş oluruz.
Yalnızca yönetim departmanına yönlendirilen trafiği engellemek istediğimiz için G0/0 çıkış arayüzüne bir ACL uygulamalıyız. Bu sorun ancak ACL'nin hedefe daha yakın yerleştirilmesiyle çözülebilir. Aynı zamanda, muhasebe ve satış departmanı ağından gelen trafiğin yönetim departmanına serbestçe ulaşması gerekir, bu nedenle listenin son satırı, önceki durumda belirtilen trafik dışında herhangi bir trafiğe izin vermek için Her türlü trafiğe izin ver komutu olacaktır.
Görev No. 3'e geçelim: Satış departmanındaki Laptop 3 dizüstü bilgisayarın, satış departmanının yerel ağında bulunan cihazlar dışında hiçbir cihaza erişimi olmamalıdır. Bir stajyerin bu bilgisayarda çalıştığını ve LAN'ının dışına çıkmaması gerektiğini varsayalım.
Bu durumda, R0 yönlendiricisinin G1/2 giriş arayüzüne bir ACL uygulamanız gerekir. Bu bilgisayara 192.168.1.3/25 IP adresini atarsak, Deny 192.168.1.3/25 koşulunun sağlanması ve başka bir IP adresinden gelen trafiğin engellenmemesi gerekir, dolayısıyla listenin son satırı İzin Ver olacaktır. herhangi.
Ancak trafiği engellemenin Laptop2 üzerinde herhangi bir etkisi olmayacaktır.
Bir sonraki görev, Görev No. 4 olacaktır: yalnızca finans departmanının PC0 bilgisayarı sunucu ağına erişebilir, ancak yönetim departmanı erişemez.
Hatırlarsanız, Görev #1'deki ACL, R0 yönlendiricisinin S1/0/2 arayüzündeki tüm giden trafiği engeller, ancak Görev #4, yalnızca PC0 trafiğinin geçtiğinden emin olmamız gerektiğini, dolayısıyla bir istisna yapmamız gerektiğini söylüyor.
Şu anda çözdüğümüz tüm görevler, bir ofis ağı için ACL'leri kurarken gerçek bir durumda size yardımcı olacaktır. Kolaylık sağlamak için klasik giriş türünü kullandım, ancak girişlerde düzeltmeler yapabilmeniz için tüm satırları manuel olarak kağıda yazmanızı veya bir bilgisayara yazmanızı tavsiye ederim. Bizim durumumuzda Görev 1'in koşullarına göre klasik bir ACL listesi derlendi. İzin tipindeki PC0 için buna bir istisna eklemek istersek , o zaman bu satırı listede Herhangi Birine İzin Ver satırından sonra yalnızca dördüncü sıraya yerleştirebiliriz. Ancak bu bilgisayarın adresi, Reddet koşulu 0/192.168.1.128'yı kontrol etmek için kullanılan adres aralığına dahil olduğundan, trafiği bu koşul karşılandıktan hemen sonra bloke edilecek ve yönlendirici dördüncü hat kontrolüne ulaşamayacak, bu da izin verilmesine izin verecektir. Bu IP adresinden gelen trafik.
Bu nedenle, Görev No. 1'in ACL listesini tamamen yeniden yapmam, ilk satırı silmem ve onu PC192.168.1.130'dan gelen trafiğe izin veren İzin 26/0 satırıyla değiştirmem ve ardından tüm trafiği yasaklayan satırları yeniden girmem gerekecek muhasebe ve satış departmanlarından
Böylece, ilk satırda belirli bir adres için bir komutumuz var ve ikincisinde bu adresin bulunduğu tüm ağ için genel bir komut var. Modern bir ACL türü kullanıyorsanız, ilk komut olarak Permit 192.168.1.130/26 satırını yerleştirerek kolayca değişiklik yapabilirsiniz. Klasik bir ACL'niz varsa, onu tamamen kaldırmanız ve ardından komutları doğru sırayla yeniden girmeniz gerekecektir.
4. Sorunun çözümü, Sorun 192.168.1.130'deki ACL'nin başına İzin 26/1 satırını yerleştirmektir, çünkü yalnızca bu durumda PC0'dan gelen trafik, R2 yönlendiricisinin çıkış arayüzünü serbestçe terk edecektir. PC1'in trafiği tamamen engellenecektir çünkü IP adresi listenin ikinci satırında yer alan yasağa tabidir.
Artık gerekli ayarları yapmak için Packet Tracer’a geçeceğiz. Önceki basitleştirilmiş diyagramların anlaşılması biraz zor olduğundan tüm cihazların IP adreslerini zaten yapılandırdım. Ayrıca iki router arasında RIP yapılandırdım. Verilen ağ topolojisinde, 4 alt ağdaki tüm cihazlar arasında herhangi bir kısıtlama olmaksızın iletişim mümkündür. Ancak ACL'yi uyguladığımız anda trafik filtrelenmeye başlayacaktır.
Finans departmanı PC1 ile başlayacağım ve sunucu odasında bulunan Server192.168.1.194'a ait 0 IP adresine ping atmayı deneyeceğim. Gördüğünüz gibi ping sorunsuz bir şekilde başarılı oluyor. Ayrıca yönetim departmanından Laptop0'a başarıyla ping atıyorum. İlk paket ARP nedeniyle atılır, geri kalan 3 paket serbestçe pinglenir.
Trafik filtrelemeyi düzenlemek için R2 yönlendiricinin ayarlarına gidiyorum, global konfigürasyon modunu etkinleştiriyorum ve modern bir ACL listesi oluşturacağım. Ayrıca klasik görünümlü ACL 10'umuz da var. İlk listeyi oluşturmak için kağıda yazdığımız liste adının aynısını belirtmeniz gereken bir komut giriyorum: ip erişim listesi standardı ACL Secure_Ma_And_Se. Bundan sonra sistem olası parametreleri sorar: Reddet, çık, hayır, izin ver veya açıklamayı seçebilirim ve ayrıca 1'den 2147483647'ye kadar bir Sıra Numarası girebilirim. Bunu yapmazsam sistem otomatik olarak atayacaktır.
Bu nedenle bu numarayı girmiyorum, ancak bu izin belirli bir PC192.168.1.130 cihazı için geçerli olduğundan hemen izin ana bilgisayarı 0 komutuna gidiyorum. Ters Joker Karakter Maskesini de kullanabilirim, şimdi size bunu nasıl yapacağınızı göstereceğim.
Daha sonra, 192.168.1.128 reddetme komutunu giriyorum. Elimizde /26 olduğu için ters maskeyi kullanıyorum ve komutu onunla tamamlıyorum: Denk 192.168.1.128 0.0.0.63. Böylece 192.168.1.128/26 ağına giden trafiği reddediyorum.
Benzer şekilde, şu ağdan gelen trafiği engelliyorum: reddet 192.168.1.0 0.0.0.127. Diğer tüm trafiğe izin veriliyor, bu yüzden herhangi birine izin ver komutunu giriyorum. Daha sonra bu listeyi arayüze uygulamam gerekiyor, bu yüzden int s0/1/0 komutunu kullanıyorum. Sonra ip erişim grubu Secure_Ma_And_Se yazıyorum ve sistem benden gelen paketler için giriş ve giden paketler için çıkış olmak üzere bir arayüz seçmemi istiyor. ACL'yi çıkış arayüzüne uygulamamız gerekiyor, bu yüzden ip erişim grubu Secure_Ma_And_Se out komutunu kullanıyorum.
PC0 komut satırına gidip Server192.168.1.194 sunucusuna ait olan 0 IP adresine ping atalım. Ping başarılı çünkü PC0 trafiği için özel bir ACL koşulu kullandık. Aynısını PC1'den yaparsam, muhasebe departmanının kalan IP adreslerinden gelen trafiğin sunucu odasına erişimi engellendiğinden sistem "hedef ana bilgisayar kullanılamıyor" hatası verecektir.
R2 yönlendiricinin CLI'sine giriş yapıp show ip adres listeleri komutunu yazarak, finans departmanı ağ trafiğinin nasıl yönlendirildiğini görebilirsiniz - izne göre ping'in kaç kez iletildiğini ve kaç kez aktarıldığını gösterir. Yasağa göre engellendi.
Her zaman yönlendirici ayarlarına gidebilir ve erişim listesini görebiliriz. Böylece Görev No. 1 ve No. 4'ün koşulları karşılanmıştır. Sana bir şey daha göstereyim. Bir şeyi düzeltmek istersem, R2 ayarlarının genel yapılandırma moduna girebilir, ip erişim listesi standardı Secure_Ma_And_Se komutunu girebilir ve ardından "ana bilgisayar 192.168.1.130'a izin verilmiyor" komutunu girebilirim - izin yok ana bilgisayar 192.168.1.130.
Erişim listesine tekrar baktığımızda 10. satırın kaybolduğunu göreceğiz, sadece 20,30, 40 ve XNUMX. satırlarımız kaldı.Böylece ACL erişim listesini yönlendirici ayarlarında düzenleyebilirsiniz, ancak yalnızca derlenmemişse klasik formda.
Şimdi üçüncü ACL'ye geçelim çünkü bu aynı zamanda R2 yönlendiricisini de ilgilendiriyor. Laptop3'ten gelen hiçbir trafiğin satış departmanının ağından çıkmaması gerektiğini belirtir. Bu durumda Laptop2'nin finans departmanındaki bilgisayarlarla sorunsuz iletişim kurması gerekir. Bunu test etmek için bu dizüstü bilgisayardan 192.168.1.130 IP adresine ping atıyorum ve her şeyin çalıştığından emin oluyorum.
Şimdi Laptop3'ün komut satırına gidip 192.168.1.130 adresine ping atacağım. Ping başarılı ancak buna ihtiyacımız yok çünkü görevin şartlarına göre Laptop3 sadece aynı satış departmanı ağında bulunan Laptop2 ile iletişim kurabiliyor. Bunu yapmak için klasik yöntemi kullanarak başka bir ACL oluşturmanız gerekir.
R2 ayarlarına geri döneceğim ve izin ana bilgisayarı 10 komutunu kullanarak silinen giriş 192.168.1.130'u kurtarmayı deneyeceğim. Bu girişin listenin sonunda 50 numarada göründüğünü görüyorsunuz. Ancak erişim yine de çalışmayacaktır çünkü belirli bir ana bilgisayara izin veren satır listenin sonundadır ve tüm ağ trafiğini yasaklayan satır en üsttedir. listenin. PC0'dan yönetim departmanının Laptop0'ına ping atmayı denediğimizde ACL'de 50 numarada izin ver girişi olmasına rağmen "hedef ana bilgisayara erişilemiyor" mesajı alıyoruz.
Bu nedenle, mevcut bir ACL'yi düzenlemek istiyorsanız, R2 modunda (config-std-nacl) no izin ana bilgisayarı 192.168.1.130 komutunu girmeniz, 50. satırın listeden kaybolduğunu kontrol etmeniz ve 10 izin komutunu girmeniz gerekir. ana bilgisayar 192.168.1.130. Bu girişin ilk sırada yer almasıyla listenin artık orijinal formuna döndüğünü görüyoruz. Sıra numaraları listenin herhangi bir biçimde düzenlenmesine yardımcı olur, bu nedenle ACL'nin modern biçimi klasik olandan çok daha kullanışlıdır.
Şimdi ACL 10 listesinin klasik formunun nasıl çalıştığını göstereceğim.Klasik listeyi kullanmak için erişim listesi 10? komutunu girmeniz ve istemi takiben istediğiniz eylemi seçmeniz gerekir: reddet, izin ver veya açıklama. Daha sonra erişim listesi 10 reddetme ana bilgisayarı satırına giriyorum, ardından erişim listesi 10 reddetme 192.168.1.3 komutunu yazıp ters maskeyi ekliyorum. Bir ana makinemiz olduğundan ileri alt ağ maskesi 255.255.255.255, tersi ise 0.0.0.0'dır. Sonuç olarak, ana bilgisayar trafiğini reddetmek için erişim listesi 10 reddet 192.168.1.3 0.0.0.0 komutunu girmem gerekiyor. Bundan sonra, erişim listesi 10 izin ver komutunu yazdığım izinleri belirtmeniz gerekiyor. Bu listenin R0 yönlendiricisinin G1/2 arayüzüne uygulanması gerekiyor, bu yüzden komutları sırayla g0/1, ip erişim grubu 10'a giriyorum. Klasik veya modern hangi listenin kullanıldığına bakılmaksızın, bu listeyi arayüze uygulamak için aynı komutlar kullanılır.
Ayarların doğru olup olmadığını kontrol etmek için Laptop3 komut satırı terminaline gidiyorum ve 192.168.1.130 IP adresine ping atmaya çalışıyorum - gördüğünüz gibi sistem, hedef ana bilgisayara ulaşılamadığını bildiriyor.
Listeyi kontrol etmek için hem show ip erişim listelerini hem de show erişim listelerini kullanabileceğinizi hatırlatmama izin verin. R1 yönlendiriciyle ilgili bir sorunu daha çözmeliyiz. Bunu yapmak için bu yönlendiricinin CLI'sine gidip global konfigürasyon moduna geçiyorum ve ip erişim listesi standardı Secure_Ma_From_Se komutunu giriyorum. 192.168.1.192/27 ağımız olduğu için alt ağ maskesi 255.255.255.224 olacaktır yani ters maske 0.0.0.31 olacaktır ve 192.168.1.192 0.0.0.31 komutunu girmemiz gerekmektedir. Diğer tüm trafiğe izin verildiği için liste, izin herhangi komutuyla sona erer. Yönlendiricinin çıkış arayüzüne bir ACL uygulamak için ip erişim grubu Secure_Ma_From_Se out komutunu kullanın.
Şimdi Server0'ın komut satırı terminaline gidip yönetim departmanının Laptop0'ına 192.168.1.226 IP adresinden ping atmayı deneyeceğim. Deneme başarısız oldu ancak 192.168.1.130 adresine ping attığımda bağlantı sorunsuz kuruldu yani sunucu bilgisayarın yönetim departmanı ile iletişimini yasakladık ancak diğer departmanlardaki diğer tüm cihazlarla iletişime izin verdik. Böylece 4 sorunu da başarıyla çözdük.
Sana başka bir şey göstereyim. Klasik ve modern olmak üzere 2 tür ACL'ye sahip olduğumuz R2 yönlendiricinin ayarlarına giriyoruz. Diyelim ki klasik formunda 10 ve 10 olmak üzere iki girişten oluşan ACL 10, Standart IP erişim listesi 20'u düzenlemek istiyorum. do show run komutunu kullanırsam ilk önce 4 kişilik modern bir erişim listemiz olduğunu görebilirim. Secure_Ma_And_Se genel başlığı altında numaraları olmayan girişler ve aşağıda aynı erişim listesinin (10) adını tekrarlayan klasik biçimdeki iki ACL 10 girişi bulunmaktadır.
Denk ana bilgisayar 192.168.1.3 girişini kaldırmak ve farklı bir ağdaki bir aygıt için bir giriş eklemek gibi bazı değişiklikler yapmak istersem, yalnızca o giriş için silme komutunu kullanmam gerekir: erişim listesi yok 10 ana bilgisayarı reddet 192.168.1.3 .10. Ancak bu komutu girdiğim anda tüm ACL XNUMX girişleri tamamen kayboluyor, bu nedenle ACL'nin klasik görünümünü düzenlemek çok sakıncalıdır. Modern kayıt yöntemi, ücretsiz düzenlemeye izin verdiği için kullanımı çok daha uygundur.
Bu video dersindeki materyali öğrenmek için tekrar izlemenizi ve tartışılan sorunları hiçbir ipucu olmadan kendi başınıza çözmeye çalışmanızı tavsiye ederim. ACL, CCNA kursunda önemli bir konudur ve çoğu kişinin kafası karışır, örneğin ters Joker Karakter Maskesi oluşturma prosedürü. Sizi temin ederim, sadece maske dönüşümü kavramını anlayın, her şey çok daha kolay hale gelecektir. CCNA kursu konularını anlamada en önemli şeyin pratik eğitim olduğunu unutmayın; çünkü yalnızca pratik, şu veya bu Cisco kavramını anlamanıza yardımcı olacaktır. Alıştırma takımlarımı kopyala-yapıştır yapmak değil, sorunları kendi yönteminizle çözmektir. Kendinize trafik akışının buradan oraya engellenmesi için ne yapılması gerektiği, şartların nereye uygulanması gerektiği gibi sorular sorun ve cevaplamaya çalışın.
Bizimle kaldığın için teşekkürler. Yazılarımızı beğeniyor musunuz? Daha ilginç içerik görmek ister misiniz? Sipariş vererek veya arkadaşlarınıza tavsiye ederek bize destek olun, Habr kullanıcıları için, bizim tarafımızdan sizin için icat ettiğimiz benzersiz bir giriş seviyesi sunucu analogunda %30 indirim: (RAID1 ve RAID10, 24 adede kadar çekirdek ve 40 GB'a kadar DDR4 ile mevcuttur).
Dell R730xd 2 kat daha mı ucuz? Sadece burada Hollanda'da! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99$'dan! Hakkında oku
Kaynak: habr.com