Ще одна річ, яку я забув згадати – ACL не тільки фільтрує трафік за принципом дозволити/відмовити, він виконує ще багато функцій. Наприклад, ACL використовується для шифрування трафіку VPN, однак для складання іспиту CCNA достатньо знати, як він застосовується для фільтрації трафіку. Повернемося до Завдання №1.
Ми з'ясували, що звістка трафік бухгалтерії та відділу продажів може бути заблокована на вихідному інтерфейсі R2 за допомогою наведеного списку ACL.
Не переживайте з приводу формату цього списку, він потрібний лише як приклад для розуміння суті ACL. Ми перейдемо до правильного формату, як почнемо роботу з Packet Tracer.
Завдання №2 звучить так: серверне може зв'язуватися з будь-якими хостами, крім хостів відділу менеджменту. Тобто комп'ютери серверної можуть мати доступ до будь-яких комп'ютерів відділу продажу та бухгалтерії, але не повинні мати доступ до комп'ютерів відділу менеджменту. Це означає, що IT-персонал серверної не повинен мати дистанційний доступ до комп'ютера керівника відділу менеджменту, а у разі неполадок з'явитися до його кабінету та усунути проблему на місці. Врахуйте, що це завдання не несе в собі практичного сенсу, тому що я не знаю причин, з яких серверна не могла б спілкуватися по мережі з відділом менеджменту, так що в даному випадку ми просто розглядаємо навчальний приклад.
Для вирішення цього завдання спочатку потрібно визначити шлях передачі трафіку. Дані серверної надходять на вхідний інтерфейс G0/1 роутера R1 і відправляються у відділ менеджменту через вихідний інтерфейс G0/0.
Якщо застосувати умову Deny 192.168.1.192/27 до вхідного інтерфейсу G0/1, а як ви пам'ятаєте, стандартний ACL розміщують ближче до джерела трафіку, ми взагалі заблокуємо весь трафік, у тому числі до відділу продажу та бухгалтерії.
Оскільки ми хочемо заблокувати лише трафік, спрямований до відділу менеджменту, то маємо застосувати ACL до вихідного інтерфейсу G0/0. Вирішити це завдання можна лише розташувавши ACL ближче до призначення. При цьому трафік з мережі бухгалтерії та відділу продажів повинен безперешкодно досягати відділу менеджменту, тому останнім рядком списку буде команда Permit any – дозволити будь-який трафік, крім трафіку, зазначеного у попередній умові.
Перейдемо до Завдання №3: ноутбук Laptop 3 з відділу продажів не повинен мати доступ до будь-яких пристроїв, крім розташованих у локальній мережі відділу продажів. Припустимо, що з цим комп'ютером працює практикант, який має виходити межі своєї LAN.
У цьому випадку необхідно застосувати ACL на вхідному інтерфейсі G0/1 роутера R2. Якщо ми надамо цьому комп'ютеру IP-адресу 192.168.1.3/25, тоді має виконуватися умова Deny 192.168.1.3/25, а трафік з будь-якої іншої IP-адреси не повинен блокуватися, тому останнім рядком списку буде Permit any.
При цьому заборона трафіку не матиме жодного ефекту на Laptop2.
Наступним буде Завдання №4: тільки комп'ютер PC0 фінансового відділу може мати доступ до серверної мережі, але не відділ менеджменту.
Якщо ви пам'ятаєте, ACL із Завдання №1 блокує весь вихідний трафік на інтерфейсі S0/1/0 роутера R2, але в Завданні №4 говориться, що потрібно забезпечити пропуск трафіку лише комп'ютера PC0, тому ми маємо зробити виняток.
Всі завдання, які ми зараз вирішуємо, повинні допомогти вам у реальній ситуації при налаштуванні ACL для офісної мережі. Для зручності я використовував класичний вид запису, проте раджу вам записувати всі рядки вручну на папері або друкувати їх на комп'ютері, щоб мати можливість вносити виправлення до запису. У нашому випадку за умовами завдання №1 складено класичний список ACL. Якщо ми захочемо додати до нього виняток для PC0 типу Permit , то зможемо розмістити цей рядок лише четвертим у списку, після рядка Permit Any. Однак оскільки адреса цього комп'ютера входить у діапазон адрес перевірки умови Deny 0/192.168.1.128, його трафік буде заблокований відразу ж після виконання цієї умови і роутер просто не дійде до перевірки четвертого рядка, що дозволяє трафік з цієї IP-адреси.
Тому я повинен повністю переробити ACL список Завдання №1, видаливши перший рядок і замінивши його рядком Permit 192.168.1.130/26, який дозволяє трафік комп'ютера PC0, а потім заново вписати рядки, що забороняють весь трафік бухгалтерії та відділу продажів.
Таким чином, у першому рядку у нас розміщена команда для конкретної адреси, а у другому – загальна для всієї мережі, в якій розташована ця адреса. Якщо ви використовуєте сучасний тип списку ACL, легко зможете внести до нього зміни, розмістивши рядок Permit 192.168.1.130/26 в якості першої команди. Якщо у вас є класичний ACL, ви повинні повністю його видалити і потім заново ввести команди в правильному порядку.
Рішенням Завдання №4 є розміщення рядка Permit 192.168.1.130/26 на початку списку ACL із Завдання №1, тому що тільки в цьому випадку трафік комп'ютера PC0 без перешкод покине вихідний інтерфейс роутера R2. Трафік комп'ютера PC1 буде повністю заблокований, тому що його IP-адреса підпадає під дію заборони, що міститься в другому рядку списку.
Зараз ми перейдемо до Packet Tracer, щоб зробити необхідні налаштування. Я вже налаштував IP-адреси всіх пристроїв, тому що спрощені попередні схеми були трохи важкими для розуміння. Крім того, я налаштував RIP між двома роутерами. На наведеній топології мережі можливий зв'язок між усіма пристроями 4-х підмереж без будь-яких обмежень. Але як тільки ми застосуємо ACL, трафік почне фільтруватись.
Я почну з комп'ютера фінансового відділу PC1 і спробую пропінгувати IP-адресу 192.168.1.194, яка належить серверу Server0, розташованому в серверній. Як бачите, пінгування відбувається успішно без жодних проблем. Також успішно я пінгую ноутбук Laptop0 відділу менеджменту. Перший пакет відкидається через ARP, решта 3 вільно пінгуються.
Для того, щоб організувати фільтрацію трафіку, я заходжу до налаштувань роутера R2, активую режим глобальної конфігурації та збираюся створити список ACL сучасного вигляду. Ми також маємо ACL 10 класичного вигляду. Для створення першого списку я вводжу команду, в якій необхідно вказати ту саму назву списку, що ми записали на папері: ip access-list standard ACL Secure_Ma_And_Se. Після цього система підказує можливі параметри: я можу вибрати deny, exit, no, permit або remark, а також ввести порядковий номер Sequence Number від 1 до 2147483647. Якщо я цього не зроблю, система присвоє його автоматично.
Тому я не вводжу цей номер, а відразу переходжу до команди permit host 192.168.1.130, оскільки ця роздільна здатність діє для конкретного пристрою PC0. Я також можу використати зворотну маску Wildcard Mask, зараз я покажу, як це робиться.
Далі я вводжу команду deny 192.168.1.128. Оскільки ми маємо /26, я використовую зворотну маску і доповнюю нею команду: deny 192.168.1.128 0.0.0.63. Таким чином, я забороняю трафік мережі 192.168.1.128/26.
Аналогічно блокую трафік наступної мережі: deny 192.168.1.0 0.0.0.127. Решта трафік дозволяється, тому я вводжу команду permit any. Далі я маю застосувати цей список до інтерфейсу, тому використовую команду int s0/1/0. Потім я набираю ip access-group Secure_Ma_And_Se, і система підказує з вибором інтерфейсу - in для вхідних пакетів і out для вихідних. Нам потрібно застосувати ACL до вихідного інтерфейсу, тому використовую команду ip access-group Secure_Ma_And_Se out.
Зайдемо в командний рядок PC0 і пропінгуємо IP-адресу 192.168.1.194, що належить серверу Server0. Пінг проходить успішно, оскільки ми використовували особливу умову ACL для PC0 трафіку. Якщо я зроблю те саме з комп'ютера PC1, система видасть помилку: «хост призначення не доступний», оскільки трафік з інших IP-адрес бухгалтерії заблокований для доступу до серверної.
Зайшовши в CLI роутера R2 і набравши команду show ip address-lists, можна побачити, як забезпечувалася маршрутизація трафіку мережі фінансового відділу – тут показано, скільки разів пінг був пропущений згідно з дозволом та скільки разів заблокований відповідно до заборони.
Ми завжди можемо зайти в налаштування роутера та переглянути список доступу. Таким чином, умови завдань №1 і №4 виконані. Дозвольте показати вам ще одну річ. Якщо я захочу щось виправити, то можу зайти в режим глобальної конфігурації налаштувань R2, ввести команду ip access-list standard Secure_Ma_And_Se і потім команду "хост 192.168.1.130 не дозволено" - no permit host 192.168.1.130.
Якщо ми знову подивимося на список доступу, то побачимо, що рядок 10 зник, у нас залишилися лише рядки 20,30 і 40. Таким чином можна редагувати список доступу ACL у налаштуваннях роутера, але якщо він складений не в класичному вигляді.
Тепер перейдемо до третього списку ACL, тому що він також стосується роутера R2. У ньому сказано, що будь-який трафік із ноутбука Laptop3 не повинен залишати межі мережі відділу продажів. При цьому Laptop2 має без проблем зв'язуватися із комп'ютерами фінансового відділу. Щоб перевірити це, я пінгую з цього ноутбука IP-адресу 192.168.1.130, і переконуюсь, що все працює.
Зараз я зайду в командний рядок Laptop3 та пропінгу адресу 192.168.1.130. Пінгування проходить успішно, але нам це не потрібно, оскільки за умовою завдання Laptop3 може зв'язуватися тільки з Laptop2, розташованим із ним в одній мережі відділу продажу. Для цього слід створити ще один ACL, використовуючи класичний метод.
Я повернуся до налаштувань R2 і спробую відновити віддалений запис 10, використовуючи команду permit host 192.168.1.130. Ви бачите, що цей запис з'явився наприкінці списку під номером 50. При цьому доступ все одно працювати не буде, тому що рядок з роздільною здатністю конкретного хоста знаходиться в кінці списку, а рядок, що забороняє весь трафік мережі, – вгорі списку. Якщо спробувати пропінгувати з комп'ютера PC0 ноутбук Laptop0 відділу менеджменту, ми отримаємо повідомлення «хост призначення не доступний», незважаючи на те, що у списку ACL є запис під номером 50.
Тому якщо ви хочете відредагувати існуючий список ACL, то потрібно в режимі R2(config-std-nacl) ввести команду no permit host 192.168.1.130, перевірити, чи рядок 50 зник зі списку, та ввести команду 10 permit host 192.168.1.130. Ми бачимо, що тепер список набув свого первісного вигляду, де цей запис зайняв перший рядок. Порядкові номери допомагають редагувати список у будь-якому вигляді, тому сучасна форма ACL набагато зручніша за класичну.
Зараз я покажу, як працює класична форма списку ACL 10. Для використання класичного списку потрібно ввести команду access-list 10?, і, слідуючи підказці, вибрати потрібну дію: deny, permit або remark. Потім вводжу рядок access-list 10 deny host, після чого набираю команду access-list 10 deny 192.168.1.3 і додаю зворотну маску. Оскільки ми маємо хост, пряма маска підмережі дорівнює 255.255.255.255, а зворотна – 0.0.0.0. У результаті для заборони трафіку хоста я маю ввести команду access-list 10 deny 192.168.1.3 0.0.0.0. Після цього потрібно вказати дозволи, навіщо я набираю команду access–list 10 permit any. Цей список потрібно застосувати для інтерфейсу G0/1 роутера R2, тому я послідовно вводжу команди in g0/1, ip access-group 10 in. Незалежно від того, який список використовується, класичний чи сучасний, застосування цього списку до інтерфейсу здійснюється одними й тими самими командами.
Щоб перевірити правильність налаштувань, я заходжу в термінал командного рядка Laptop3 і намагаюся пропінгувати IP-адресу 192.168.1.130 – як бачите, система повідомляє, що призначення недоступне.
Нагадаю, що для перевірки списку можна використовувати як команду show ip access-lists, так і show access-lists. Ми повинні вирішити ще одне завдання, яке відноситься до роутера R1. Для цього я заходжу в CLI цього роутера та переходжу в режим глобальної конфігурації та вводжу команду ip access-list standard Secure_Ma_From_Se. Оскільки ми маємо мережу 192.168.1.192/27, її маска підмережі буде 255.255.255.224, отже, зворотна маска буде 0.0.0.31 і потрібно ввести команду deny 192.168.1.192 0.0.0.31. Оскільки решта всіх трафік дозволено, список закінчується командою permit any. Щоб застосувати ACL до вихідного інтерфейсу роутера, використовується команда ip access-group Secure_Ma_From_Se out.
Зараз я зайду в термінал командного рядка сервера Server0 і спробую пропінгувати Laptop0 відділу менеджменту IP-адресою 192.168.1.226. Спроба не вдалася, але якщо я відправлю пінг за адресою 192.168.1.130, зв'язок встановиться без проблем, тобто ми заборонили комп'ютеру серверного зв'язуватися з відділом менеджменту, але дозволили зв'язок з іншими пристроями в інших відділах. Таким чином, ми успішно вирішили всі 4 завдання.
Давайте я покажу вам щось ще. Ми заходимо в налаштування роутера R2, де у нас є 2 типи ACL – класичний та сучасний. Припустимо, я хочу відредагувати ACL 10, Standard IP access list 10, який у класичному вигляді складається з двох записів 10 та 20. Якщо використовувати команду do show run, можна побачити, що спочатку у нас розташований сучасний список доступу з 4-х записів без номерів під загальним заголовком Secure_Ma_And_Se, а нижче розташовані два записи ACL 10 класичної форми з повторенням назви того самого списку access-list 10.
Якщо я хочу зробити якісь зміни, наприклад, видалити запис deny host 192.168.1.3 і ввести запис для пристрою з іншої мережі, мені потрібно використовувати команду видалення тільки для цього запису: no access-list 10 deny host 192.168.1.3. Але як тільки я введу цю команду, повністю зникнуть всі записи ACL 10. Ось чому класичний вид списку ACL дуже незручний для редагування. Сучасний спосіб запису набагато зручніший у використанні, оскільки дозволяє вільне редагування.
Для того, щоб засвоїти матеріал відеоуроку, я раджу вам переглянути його ще раз і спробувати самим вирішити розглянуті завдання без підказок. ACL є важливою темою курсу CCNA і багатьох бентежить, наприклад, процедура створення зворотної маски Wildcard Mask. Запевняю вас - достатньо зрозуміти концепцію перетворення маски, і все стане набагато простіше. Пам'ятайте, що найважливіше у розумінні тематики курсу CCNA – це практичні заняття, тому що тільки практика допоможе зрозуміти ту чи іншу концепцію Cisco. Практика – це не копіпаст моїх команд, а вирішення завдань своїм способом. Ставте питання самим собі: що потрібно зробити, щоб заблокувати потік трафіку звідси туди, де застосувати умови і так далі, і спробуйте на них відповісти.
Дякую, що залишаєтеся з нами. Вам подобаються наші статті? Бажаєте бачити більше цікавих матеріалів? Підтримайте нас, оформивши замовлення або порекомендувавши знайомим, 30% знижка для користувачів Хабра на унікальний аналог entry-level серверів, який був винайдений нами для Вас: (Доступні варіанти з RAID1 і RAID10, до 24 ядер і до 40GB DDR4).
Dell R730xd у 2 рази дешевше? Тільки в нас у Нідерландах! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – від $99! Читайте про те
Джерело: habr.com