Yana bir narsani eslatib o'tishni unutganim shundaki, ACL nafaqat ruxsat berish/rad etish asosida trafikni filtrlaydi, balki boshqa ko'plab funktsiyalarni bajaradi. Misol uchun, ACL VPN trafigini shifrlash uchun ishlatiladi, lekin CCNA imtihonidan o'tish uchun siz faqatgina trafikni filtrlash uchun qanday ishlatilishini bilishingiz kerak. 1-masalaga qaytaylik.
Buxgalteriya hisobi va savdo bo'limi trafigini R2 chiqish interfeysida quyidagi ACL ro'yxatidan foydalanib bloklash mumkinligini aniqladik.
Ushbu ro'yxatning formati haqida qayg'urmang, bu faqat ACL nima ekanligini tushunishingizga yordam berish uchun misol sifatida mo'ljallangan. Packet Tracer-ni ishga tushirgandan so'ng biz to'g'ri formatga o'tamiz.
2-sonli vazifa shunday eshitiladi: server xonasi boshqaruv bo'limining xostlaridan tashqari har qanday xostlar bilan aloqa qilishi mumkin. Ya'ni, server xonasi kompyuterlari savdo va buxgalteriya bo'limlaridagi istalgan kompyuterlardan foydalanishi mumkin, lekin boshqaruv bo'limidagi kompyuterlarga kirish imkoniga ega bo'lmasligi kerak. Bu shuni anglatadiki, server xonasining IT xodimlari boshqaruv bo'limi boshlig'ining kompyuteriga masofadan kirish imkoniga ega bo'lmasliklari kerak, lekin muammolar yuzaga kelganda, uning kabinetiga kelib, muammoni joyida hal qilishlari kerak. E'tibor bering, bu vazifa amaliy emas, chunki men nima uchun server xonasi boshqaruv bo'limi bilan tarmoq orqali bog'lana olmasligini bilmayman, shuning uchun bu holda biz faqat o'quv misolini ko'rib chiqamiz.
Ushbu muammoni hal qilish uchun siz birinchi navbatda transport yo'lini aniqlashingiz kerak. Server xonasidan olingan ma'lumotlar R0 routerning G1/1 kirish interfeysiga keladi va G0/0 chiqish interfeysi orqali boshqaruv bo'limiga yuboriladi.
Agar biz G192.168.1.192/27 kirish interfeysiga rad etish 0/1 shartini qo'llasak va esingizda bo'lsa, standart ACL trafik manbasiga yaqinroq joylashtirilgan bo'lsa, biz barcha trafikni, shu jumladan savdo va buxgalteriya bo'limiga ham bloklaymiz.
Biz faqat boshqaruv bo'limiga yo'naltirilgan trafikni bloklashni xohlayotganimiz sababli, biz G0/0 chiqish interfeysiga ACLni qo'llashimiz kerak. Bu muammoni faqat ACLni belgilangan joyga yaqinroq joylashtirish orqali hal qilish mumkin. Shu bilan birga, buxgalteriya hisobi va savdo bo'limi tarmog'idan trafik boshqaruv bo'limiga erkin etib borishi kerak, shuning uchun ro'yxatning oxirgi qatori Har qanday ruxsat berish buyrug'i bo'ladi - oldingi holatda ko'rsatilgan trafikdan tashqari har qanday trafikka ruxsat berish.
3-sonli vazifaga o'tamiz: savdo bo'limining Laptop 3 noutbuki savdo bo'limining mahalliy tarmog'ida joylashgan qurilmalardan boshqa qurilmalarga kirish imkoniga ega bo'lmasligi kerak. Faraz qilaylik, stajyor ushbu kompyuterda ishlayapti va uning LAN chegarasidan tashqariga chiqmasligi kerak.
Bunday holda, siz R0 routerining G1/2 kirish interfeysida ACLni qo'llashingiz kerak. Agar biz ushbu kompyuterga 192.168.1.3/25 IP-manzilini belgilasak, u holda Rad etish 192.168.1.3/25 sharti bajarilishi kerak va boshqa IP-manzildan trafik bloklanmasligi kerak, shuning uchun ro'yxatning oxirgi qatori Ruxsat bo'ladi. har qanday.
Biroq, trafikni blokirovka qilish Laptop2-ga hech qanday ta'sir qilmaydi.
Keyingi vazifa 4-sonli vazifa bo'ladi: faqat moliyaviy bo'limning PC0 kompyuteri server tarmog'iga kirishi mumkin, lekin boshqaruv bo'limi emas.
Esingizda bo'lsa, №1 vazifadagi ACL R0 routerining S1/0/2 interfeysidagi barcha chiquvchi trafikni bloklaydi, ammo №4 vazifada aytilishicha, biz faqat PC0 trafigi orqali o'tishini ta'minlashimiz kerak, shuning uchun biz istisno qilishimiz kerak.
Biz hozir hal qilayotgan barcha vazifalar ofis tarmog'i uchun ACL-larni o'rnatishda sizga haqiqiy vaziyatda yordam berishi kerak. Qulaylik uchun men klassik turdagi yozuvdan foydalandim, lekin siz yozuvlarga tuzatishlar kiritishingiz uchun barcha satrlarni qog'ozga qo'lda yozishni yoki ularni kompyuterga yozishni maslahat beraman. Bizning holatda, 1-sonli topshiriq shartlariga ko'ra, klassik ACL ro'yxati tuzilgan. Agar biz ruxsatnoma turidagi PC0 uchun istisno qo'shmoqchi bo'lsak , keyin biz ushbu qatorni ro'yxatda har qanday ruxsat berish satridan keyin faqat to'rtinchi o'ringa qo'yishimiz mumkin. Biroq, ushbu kompyuterning manzili 0/192.168.1.128 rad etish shartini tekshirish uchun manzillar qatoriga kiritilganligi sababli, ushbu shart bajarilgandan so'ng uning trafigini darhol blokirovka qiladi va yo'riqnoma shunchaki to'rtinchi qator tekshiruviga etib bormaydi, bu esa ushbu IP manzildan trafik.
Shuning uchun, men 1-sonli vazifaning ACL ro'yxatini to'liq qayta tiklashim kerak, birinchi qatorni o'chirib tashlab, uni PC192.168.1.130 dan trafikka ruxsat beruvchi ruxsatnoma 26/0 qatoriga almashtirib, keyin barcha trafikni taqiqlovchi qatorlarni qaytadan kiritishim kerak. buxgalteriya va savdo bo'limlaridan.
Shunday qilib, birinchi qatorda bizda ma'lum bir manzil uchun buyruq mavjud, ikkinchisida - bu manzil joylashgan butun tarmoq uchun umumiy. Agar siz zamonaviy ACL turidan foydalanayotgan bo'lsangiz, birinchi buyruq sifatida Ruxsat 192.168.1.130/26 qatorini qo'yib, unga osongina o'zgartirishlar kiritishingiz mumkin. Agar sizda klassik ACL bo'lsa, uni butunlay olib tashlashingiz va keyin buyruqlarni to'g'ri tartibda qayta kiritishingiz kerak bo'ladi.
4-muammoning yechimi 192.168.1.130-muammodan ACL ro'yxatining boshiga Ruxsat 26/1 qatorini qo'yishdir, chunki faqat bu holatda PC0 dan trafik R2 routerning chiqish interfeysidan erkin chiqib ketadi. PC1 trafigi butunlay bloklanadi, chunki uning IP-manzili ro'yxatning ikkinchi qatorida joylashgan taqiqlangan.
Endi kerakli sozlamalarni o'rnatish uchun Packet Tracer dasturiga o'tamiz. Men barcha qurilmalarning IP manzillarini allaqachon sozlaganman, chunki soddalashtirilgan oldingi diagrammalarni tushunish biroz qiyin edi. Bundan tashqari, men ikkita router o'rtasida RIP-ni sozladim. Ushbu tarmoq topologiyasida 4 ta kichik tarmoqning barcha qurilmalari o'rtasida hech qanday cheklovlarsiz aloqa qilish mumkin. Ammo biz ACLni qo'llashimiz bilanoq, trafik filtrlashni boshlaydi.
Men PC1 moliya bo'limidan boshlayman va server xonasida joylashgan Server192.168.1.194 ga tegishli bo'lgan 0 IP manzilini pinglashga harakat qilaman. Ko'rib turganingizdek, ping hech qanday muammosiz muvaffaqiyatli. Boshqaruv bo'limidan Laptop0 ga ham muvaffaqiyatli ping yuboraman. Birinchi paket ARP tufayli o'chiriladi, qolgan 3 tasi erkin pinglanadi.
Trafik filtrlashni tashkil qilish uchun men R2 router sozlamalariga o'taman, global konfiguratsiya rejimini faollashtiraman va zamonaviy ACL ro'yxatini yaratmoqchiman. Bizda klassik ko'rinishdagi ACL 10 ham bor. Birinchi ro'yxatni yaratish uchun men qog'ozga yozgan bir xil ro'yxat nomini ko'rsatishingiz kerak bo'lgan buyruqni kiritaman: IP kirish ro'yxati standart ACL Secure_Ma_And_Se. Shundan so'ng, tizim mumkin bo'lgan parametrlarni so'raydi: Men rad etish, chiqish, yo'q, ruxsat berish yoki eslatmani tanlashim mumkin, shuningdek, 1 dan 2147483647 gacha tartib raqamini kiritishim mumkin. Agar buni qilmasam, tizim uni avtomatik ravishda tayinlaydi.
Shuning uchun men bu raqamni kiritmayman, lekin darhol ruxsat beruvchi 192.168.1.130 buyrug'iga o'ting, chunki bu ruxsat ma'lum bir PC0 qurilmasi uchun amal qiladi. Men teskari joker maskadan ham foydalanishim mumkin, endi buni qanday qilishni sizga ko'rsataman.
Keyinchalik, rad etish buyrug'ini kiritaman 192.168.1.128. Bizda /26 bo'lganligi sababli, men teskari niqobni ishlataman va u bilan buyruqni to'ldiraman: rad etish 192.168.1.128 0.0.0.63. Shunday qilib, men 192.168.1.128/26 tarmog'iga trafikni rad etaman.
Xuddi shunday, men quyidagi tarmoqdan trafikni bloklayman: 192.168.1.0 0.0.0.127 ni rad etish. Boshqa barcha trafik ruxsat etiladi, shuning uchun men buyruq ruxsat har qanday kiriting. Keyin men ushbu ro'yxatni interfeysga qo'llashim kerak, shuning uchun int s0/1/0 buyrug'idan foydalanaman. Keyin men Secure_Ma_And_Se IP kirish guruhini yozaman va tizim menga interfeysni tanlashni taklif qiladi - kiruvchi paketlar uchun kirish va chiqish uchun. Biz ACL ni chiqish interfeysiga qo'llashimiz kerak, shuning uchun men IP-ga kirish guruhi Secure_Ma_And_Se out buyrug'idan foydalanaman.
Keling, PC0 buyruq satriga o'tamiz va Server192.168.1.194 serveriga tegishli bo'lgan 0 IP manziliga ping yuboramiz. Ping muvaffaqiyatli bo'ldi, chunki biz PC0 trafigi uchun maxsus ACL shartidan foydalanganmiz. Agar men PC1-dan xuddi shunday qilsam, tizim xato qiladi: "maqsadli xost mavjud emas", chunki buxgalteriya bo'limining qolgan IP-manzillaridan trafik server xonasiga kirishi bloklangan.
R2 marshrutizatorining CLI-ga kirib, IP-manzillar ro'yxatini ko'rsatish buyrug'ini kiritib, siz moliya bo'limining tarmoq trafigi qanday yo'naltirilganligini ko'rishingiz mumkin - bu ruxsatnoma bo'yicha ping necha marta o'tkazilganligini va qancha marta o'tkazilganligini ko'rsatadi. taqiq bo'yicha bloklangan.
Biz har doim router sozlamalariga o'tishimiz va kirish ro'yxatini ko'rishimiz mumkin. Shunday qilib, 1 va 4-sonli topshiriqlarning shartlari bajariladi. Sizga yana bir narsani ko'rsataman. Agar biror narsani tuzatmoqchi bo'lsam, R2 sozlamalarining global konfiguratsiya rejimiga o'tishim mumkin, IP kirish ro'yxati standart Secure_Ma_And_Se buyrug'ini kiriting va keyin "xost 192.168.1.130 ruxsat etilmaydi" buyrug'ini kiriting - 192.168.1.130 xostiga ruxsat yo'q.
Agar biz kirish ro'yxatini yana bir bor ko'rib chiqsak, biz 10-qator yo'qolganini ko'ramiz, bizda faqat 20,30, 40 va XNUMX-qatorlar qoldi.Shunday qilib, siz router sozlamalarida ACL kirish ro'yxatini tahrirlashingiz mumkin, lekin agar u kompilyatsiya qilinmagan bo'lsa. klassik shaklda.
Endi uchinchi ACL ga o'tamiz, chunki u R2 routerga ham tegishli. Unda aytilishicha, Laptop3 dan keladigan har qanday trafik savdo bo'limi tarmog'ini tark etmasligi kerak. Bunday holda, Laptop2 moliya bo'limining kompyuterlari bilan muammosiz aloqa qilishi kerak. Buni sinab ko'rish uchun men ushbu noutbukdan 192.168.1.130 IP manziliga ping yuboraman va hamma narsa ishlayotganiga ishonch hosil qilaman.
Endi men Laptop3 ning buyruq satriga o'taman va 192.168.1.130 manziliga ping yuboraman. Pinglash muvaffaqiyatli, ammo biz bunga muhtoj emasmiz, chunki vazifa shartlariga ko'ra, Laptop3 faqat bitta savdo bo'limi tarmog'ida joylashgan Laptop2 bilan bog'lanishi mumkin. Buning uchun klassik usuldan foydalanib, boshqa ACL yaratishingiz kerak.
Men R2 sozlamalariga qaytaman va ruxsat beruvchi xost 10 buyrug'i yordamida o'chirilgan 192.168.1.130 yozuvni tiklashga harakat qilaman. Ko'ryapsizmi, bu yozuv ro'yxat oxirida 50-raqamda paydo bo'ladi. Biroq, kirish hali ham ishlamaydi, chunki ma'lum bir xostga ruxsat beruvchi qator ro'yxatning oxirida va barcha tarmoq trafigini taqiqlovchi qator tepada joylashgan. ro'yxatidan. Agar biz PC0 dan boshqaruv bo'limining Laptop0 ga ping qo'yishga harakat qilsak, ACLda 50 raqamiga ruxsat berilgan kirish mavjudligiga qaramay, biz "maqsadli xostga kirish imkoni yo'q" xabarini olamiz.
Shuning uchun, agar siz mavjud ACLni tahrir qilmoqchi bo'lsangiz, R2 rejimida (config-std-nacl) 192.168.1.130 ruxsatnomasiz xost buyrug'ini kiritishingiz kerak, 50-qator ro'yxatdan yo'qolganligini tekshiring va 10 ruxsat buyrug'ini kiriting. xost 192.168.1.130. Ko'ramizki, ro'yxat endi asl shakliga qaytdi, bu yozuv birinchi o'rinda turadi. Tartib raqamlari ro'yxatni har qanday shaklda tahrirlashga yordam beradi, shuning uchun ACL ning zamonaviy shakli klassikdan ko'ra ancha qulayroqdir.
Endi men ACL 10 roʻyxatining klassik shakli qanday ishlashini koʻrsataman.Klassik roʻyxatdan foydalanish uchun siz buyruqni kiritishingiz kerak access–list 10?, va soʻrovdan soʻng kerakli amalni tanlang: rad etish, ruxsat berish yoki eslatma. Keyin men liniyaga kirish-list 10 rad etish xostiga kiraman, shundan so'ng men access-list 10 deny 192.168.1.3 buyrug'ini yozaman va teskari niqobni qo'shaman. Bizda xost mavjud bo'lganligi sababli, to'g'ridan-to'g'ri pastki tarmoq niqobi 255.255.255.255, teskarisi esa 0.0.0.0. Natijada, xost trafigini rad etish uchun men kirish buyrug'ini kiritishim kerak - ro'yxat 10 rad etish 192.168.1.3 0.0.0.0. Shundan so'ng siz ruxsatlarni ko'rsatishingiz kerak, ular uchun men kirish buyrug'ini yozaman - 10 ruxsatnoma ro'yxati. Ushbu ro'yxat R0 routerining G1/2 interfeysiga qo'llanilishi kerak, shuning uchun men g0/1, ip kirish guruhi 10 dyuymdagi buyruqlarni ketma-ket kiritaman. Qaysi ro'yxat, klassik yoki zamonaviy bo'lishidan qat'i nazar, ushbu ro'yxatni interfeysga qo'llash uchun bir xil buyruqlar ishlatiladi.
Sozlamalar to'g'ri yoki yo'qligini tekshirish uchun men Laptop3 buyruq qatori terminaliga o'taman va 192.168.1.130 IP-manzilini pinglashga harakat qilaman - ko'rib turganingizdek, tizim maqsad xostga kirish imkoni yo'qligini xabar qiladi.
Eslatib o'taman, ro'yxatni tekshirish uchun siz IP kirish ro'yxatini ko'rsatish va kirish ro'yxatini ko'rsatish buyruqlaridan foydalanishingiz mumkin. R1 router bilan bog'liq yana bir muammoni hal qilishimiz kerak. Buni amalga oshirish uchun men ushbu routerning CLI-ga o'taman va global konfiguratsiya rejimiga o'taman va IP access-list standart Secure_Ma_From_Se buyrug'ini kiritaman. Bizda 192.168.1.192/27 tarmog'i mavjud bo'lgani uchun uning pastki tarmoq maskasi 255.255.255.224 bo'ladi, ya'ni teskari niqob 0.0.0.31 bo'ladi va biz rad etish 192.168.1.192 0.0.0.31 buyrug'ini kiritishimiz kerak. Boshqa barcha trafik ruxsat etilganligi sababli, ro'yxat har qanday ruxsat berish buyrug'i bilan tugaydi. Routerning chiqish interfeysiga ACLni qo'llash uchun IP-ga kirish guruhi Secure_Ma_From_Se out buyrug'idan foydalaning.
Endi men Server0 ning buyruq qatori terminaliga o'taman va 0 IP-manzilidagi boshqaruv bo'limining Laptop192.168.1.226-ga ping qo'yishga harakat qilaman. Urinish muvaffaqiyatsiz tugadi, lekin agar men 192.168.1.130 ga ping yuborsam, ulanish muammosiz o'rnatildi, ya'ni biz server kompyuterini boshqaruv bo'limi bilan aloqa qilishni taqiqladik, lekin boshqa bo'limlardagi barcha boshqa qurilmalar bilan aloqa o'rnatishga ruxsat berdik. Shunday qilib, biz barcha 4 muammoni muvaffaqiyatli hal qildik.
Sizga yana bir narsani ko'rsataman. Biz R2 routerining sozlamalariga o'tamiz, bu erda bizda 2 turdagi ACL mavjud - klassik va zamonaviy. Aytaylik, men ACL 10, Standart IP kirish ro‘yxati 10 ni tahrir qilmoqchiman, uning klassik ko‘rinishida ikkita yozuv 10 va 20 dan iborat. Agar men do show run buyrug‘idan foydalansam, birinchi navbatda bizda 4 ta zamonaviy kirish ro‘yxati borligini ko‘raman. Secure_Ma_And_Se umumiy sarlavhasi ostida raqamlarsiz yozuvlar va quyida bir xil kirish ro'yxati 10 nomini takrorlaydigan klassik shakldagi ikkita ACL 10 yozuvlari mavjud.
Agar men 192.168.1.3 rad etish xostini olib tashlash va boshqa tarmoqdagi qurilma uchun yozuvni kiritish kabi ba'zi o'zgarishlarni amalga oshirmoqchi bo'lsam, men faqat shu yozuv uchun o'chirish buyrug'ini ishlatishim kerak: kirish ro'yxati yo'q 10 xostni rad etish 192.168.1.3. .10. Lekin men bu buyruqni kiritishim bilan barcha ACL XNUMX yozuvlari butunlay yo'qoladi.Shuning uchun ham ACL ning klassik ko'rinishi tahrir qilish uchun juda noqulay. Zamonaviy yozish usulidan foydalanish ancha qulayroq, chunki u bepul tahrir qilish imkonini beradi.
Ushbu video darsdagi materialni o'rganish uchun men uni yana ko'rishni maslahat beraman va muhokama qilingan muammolarni o'zingiz hal qilishga harakat qiling. ACL CCNA kursidagi muhim mavzu bo'lib, ko'pchilik, masalan, teskari Wildcard niqobini yaratish tartibi bilan chalkashib ketadi. Sizni ishontirib aytamanki, niqobni o'zgartirish tushunchasini tushunib oling va hamma narsa ancha osonlashadi. Esda tutingki, CCNA kursi mavzularini tushunishda eng muhim narsa amaliy mashg'ulotdir, chunki faqat amaliyot sizga u yoki bu Cisco kontseptsiyasini tushunishga yordam beradi. Amaliyot mening jamoalarimni nusxalash emas, balki muammolarni o'z yo'lida hal qilishdir. O'zingizga savollar bering: bu yerdan u erga transport oqimini to'sish uchun nima qilish kerak, shartlarni qayerda qo'llash kerak va hokazo va ularga javob berishga harakat qiling.
Biz bilan qolganingiz uchun tashakkur. Bizning maqolalarimiz sizga yoqdimi? Yana qiziqarli tarkibni ko'rishni xohlaysizmi? Buyurtma berish yoki do'stlaringizga tavsiya qilish orqali bizni qo'llab-quvvatlang, Habr foydalanuvchilari uchun biz siz uchun ixtiro qilingan boshlang'ich darajadagi serverlarning noyob analogiga 30% chegirma: (RAID1 va RAID10, 24 tagacha yadro va 40 Gb gacha DDR4 bilan mavjud).
Dell R730xd 2 barobar arzonmi? Faqat shu yerda Gollandiyada! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 dollardan! Haqida o'qing
Manba: www.habr.com
