我忘记提及的另一件事是,ACL 不仅在允许/拒绝的基础上过滤流量,它还执行更多功能。 例如,ACL 用于加密 VPN 流量,但要通过 CCNA 考试,您只需要知道它如何用于过滤流量即可。 让我们回到第一个问题。
我们发现可以使用以下 ACL 列表在 R2 输出接口上阻止会计和销售部门流量。
不必担心此列表的格式,它只是作为示例来帮助您了解 ACL 是什么。 一旦我们开始使用 Packet Tracer,我们就会得到正确的格式。
任务二听起来是这样的:服务器机房可以与除管理部门主机之外的任何主机进行通信。 即机房计算机可以访问销售部门和会计部门的任意计算机,但不能访问管理部门的计算机。 这意味着服务器机房的IT人员不应该远程访问管理部门主管的计算机,而是当出现问题时,来到他的办公室并当场解决问题。 请注意,此任务并不实际,因为我不知道服务器机房无法通过网络与管理部门进行通信的任何原因,因此在本例中我们只是看一个案例研究。
要解决这个问题,首先需要确定流量路径。 来自机房的数据到达路由器R0的输入接口G1/1,并通过输出接口G0/0发送到管理部门。
如果我们将拒绝 192.168.1.192/27 条件应用于输入接口 G0/1,并且您还记得,标准 ACL 放置在更靠近流量源的位置,我们将阻止所有流量,包括流向销售和会计部门的流量。
由于我们只想阻止流向管理部门的流量,因此必须将 ACL 应用于输出接口 G0/0。 这个问题只能通过将ACL放置在离目的地更近的地方来解决。 同时,来自会计和销售部门网络的流量必须自由到达管理部门,因此列表的最后一行将是 Permit any 命令 - 允许任何流量,但前面条件中指定的流量除外。
让我们继续执行任务 3:销售部门的 Laptop 3 笔记本电脑不应访问销售部门本地网络上的设备以外的任何设备。 我们假设一名学员正在这台计算机上工作,并且不应超出他的 LAN。
在这种情况下,您需要在路由器 R0 的输入接口 G1/2 上应用 ACL。 如果我们将 IP 地址 192.168.1.3/25 分配给这台计算机,则必须满足 Deny 192.168.1.3/25 条件,并且不得阻止来自任何其他 IP 地址的流量,因此列表的最后一行将为 Permit任何。
然而,阻塞流量不会对 Laptop2 产生任何影响。
接下来的任务是任务4:只有财务部门的计算机PC0可以访问服务器网络,管理部门不能访问。
如果您还记得,任务 #1 中的 ACL 会阻止路由器 R0 的 S1/0/2 接口上的所有传出流量,但任务 #4 表示我们需要确保只有 PC0 流量通过,因此我们必须例外。
我们现在解决的所有任务应该可以帮助您在实际情况中为办公网络设置 ACL。 为了方便起见,我使用了经典的条目类型,但我建议您在纸上手动写下所有行或将其输入计算机中,以便您可以对条目进行更正。 在我们的例子中,根据任务1的条件,编制了一个经典的ACL列表。 如果我们想为 Permit 类型的 PC0 添加例外,那么我们可以将此行放在列表中的第四行,位于 Permit Any 行之后。 但是,由于该计算机的地址包含在检查 Deny 条件的地址范围 0/192.168.1.128 中,因此满足该条件后,其流量将立即被阻止,路由器将根本无法到达第四行检查,从而允许来自该 IP 地址的流量。
因此,我必须完全重做1号任务的ACL列表,删除第一行并替换为允许来自PC192.168.1.130的流量的Permit 26/0行,然后重新输入禁止所有流量的行来自会计和销售部门。
因此,在第一行中,我们有一个针对特定地址的命令,在第二行中,我们有一个针对该地址所在的整个网络的通用命令。 如果您使用的是现代类型的 ACL,则可以通过将 Permit 192.168.1.130/26 行作为第一个命令轻松对其进行更改。 如果您有经典 ACL,则需要将其完全删除,然后以正确的顺序重新输入命令。
问题 4 的解决方案是将行 Permit 192.168.1.130/26 放置在问题 1 的 ACL 开头,因为只有在这种情况下,来自 PC0 的流量才会自由地离开路由器 R2 的输出接口。 PC1 的流量将被完全阻止,因为它的 IP 地址受到列表第二行中包含的禁止。
我们现在将继续使用 Packet Tracer 进行必要的设置。 我已经配置了所有设备的IP地址,因为之前的简化图有点难以理解。 另外,我在两个路由器之间配置了RIP。 在给定的网络拓扑上,4 个子网的所有设备之间可以不受任何限制地进行通信。 但是一旦我们应用 ACL,流量就会开始被过滤。
我先从财务部门的PC1开始,尝试Ping IP地址192.168.1.194,该IP地址属于服务器机房的Server0。 如您所见,ping 成功,没有任何问题。 我也成功从管理部门ping Laptop0。 第一个数据包因 ARP 被丢弃,其余 3 个数据包可自由 ping。
为了组织流量过滤,我进入 R2 路由器的设置,激活全局配置模式,并创建一个现代 ACL 列表。 我们还有外观经典的 ACL 10。 为了创建第一个列表,我输入了一个命令,您必须在其中指定我们在纸上写下的相同列表名称:ip access-list standard ACL Secure_Ma_And_Se。 此后,系统提示可能的参数:我可以选择拒绝、退出、否、允许或备注,还可以输入从 1 到 2147483647 的序列号。如果我不这样做,系统将自动分配它。
因此,我没有输入这个数字,而是立即转到permit host 192.168.1.130命令,因为这个权限对于特定的PC0设备有效。 我还可以使用反向通配符掩码,现在我将向您展示如何操作。
接下来,我输入命令拒绝 192.168.1.128。 由于我们有 /26,我使用反向掩码并用它补充命令:deny 192.168.1.128 0.0.0.63。 因此,我拒绝流向网络 192.168.1.128/26 的流量。
同样,我阻止来自以下网络的流量:deny 192.168.1.0 0.0.0.127。 允许所有其他流量,因此我输入命令 Permit Any。 接下来我必须将此列表应用于接口,因此我使用命令 int s0/1/0。 然后我输入 ip access-group Secure_Ma_And_Se,系统提示我选择一个接口 - in 用于传入数据包,out 用于传出。 我们需要将 ACL 应用于输出接口,因此我使用 ip access-group Secure_Ma_And_Se out 命令。
我们进入PC0命令行,ping一下IP地址192.168.1.194,该地址属于Server0服务器。 ping 成功是因为我们对 PC0 流量使用了特殊的 ACL 条件。 如果我在 PC1 上执行相同操作,系统将生成错误:“目标主机不可用”,因为来自会计部门剩余 IP 地址的流量被阻止访问服务器机房。
通过登录 R2 路由器的 CLI 并输入 show ip address-lists 命令,您可以看到财务部门网络流量是如何路由的 - 它显示了根据权限进行 ping 的次数以及通过的次数根据禁令封锁。
我们随时可以进入路由器设置并查看访问列表。 因此,满足任务No.1和No.4的条件。 让我再告诉你一件事。 如果我想修复某些问题,我可以进入 R2 设置的全局配置模式,输入命令 ip access-list standard Secure_Ma_And_Se,然后输入命令“host 192.168.1.130 is not allowed” - 不允许主机 192.168.1.130。
如果我们再次查看访问列表,我们会看到第10行已经消失,只剩下第20,30、40和XNUMX行。因此,您可以在路由器设置中编辑ACL访问列表,但前提是它未编译以经典形式。
现在让我们继续讨论第三个 ACL,因为它也涉及 R2 路由器。 它规定来自 Laptop3 的任何流量都不应离开销售部门的网络。 在这种情况下,Laptop2 与财务部门的计算机通信应该没有问题。 为了测试这一点,我从这台笔记本电脑上 ping IP 地址 192.168.1.130 并确保一切正常。
现在我将进入 Laptop3 的命令行并 ping 地址 192.168.1.130。 Ping 成功,但我们不需要它,因为根据任务条件,Laptop3 只能与位于同一销售部门网络的 Laptop2 通信。 为此,您需要使用经典方法创建另一个 ACL。
我将返回 R2 设置并尝试使用 Permit Host 10 命令恢复已删除的条目 192.168.1.130。 您会看到该条目出现在列表末尾的第 50 号处。但是,访问仍然无法进行,因为允许特定主机的行位于列表的末尾,而禁止所有网络流量的行位于顶部列表中的。 如果我们尝试从 PC0 ping 管理部门的 Laptop0,我们将收到消息“目标主机不可访问”,尽管 ACL 中的第 50 号有一个允许条目。
因此,如果要编辑现有的 ACL,需要在 R2 模式(config-std-nacl)下输入命令 no Permit Host 192.168.1.130,检查第 50 行是否已从列表中消失,然后输入命令 10 Permit主机192.168.1.130。 我们看到该列表现在已恢复到原来的形式,该条目排在第一位。 序列号有助于以任何形式编辑列表,因此现代形式的 ACL 比经典形式方便得多。
现在我将展示ACL 10列表的经典形式是如何工作的,要使用经典列表,您需要输入命令access-list 10?,然后根据提示选择所需的操作:拒绝、允许或评论。 然后输入 access-list 10 deny host 行,然后键入命令 access-list 10 deny 192.168.1.3 并添加反向掩码。 由于我们有一个主机,因此正向子网掩码是255.255.255.255,反向子网掩码是0.0.0.0。 因此,要拒绝主机流量,我必须输入命令 access-list 10 Deny 192.168.1.3 0.0.0.0。 之后,您需要指定权限,为此我键入命令 access-list 10 Permit Any。 该列表需要应用于路由器 R0 的 G1/2 接口,因此我依次输入 g0/1、ip access-group 10 中的命令。 无论使用哪个列表(经典列表或现代列表),都使用相同的命令将此列表应用到界面。
为了检查设置是否正确,我进入 Laptop3 命令行终端并尝试 ping IP 地址 192.168.1.130 - 如您所见,系统报告目标主机无法访问。
让我提醒您,要检查列表,您可以使用 show ip access-lists 和 show access-lists 命令。 我们还必须解决一个与 R1 路由器相关的问题。 为此,我进入该路由器的 CLI,进入全局配置模式,然后输入命令 ip access-list standard Secure_Ma_From_Se。 由于我们有一个网络192.168.1.192/27,它的子网掩码将为255.255.255.224,这意味着反向掩码将为0.0.0.31,我们需要输入命令deny 192.168.1.192 0.0.0.31。 由于允许所有其他流量,因此列表以允许任何命令结尾。 要将 ACL 应用于路由器的输出接口,请使用 ip access-group Secure_Ma_From_Se out 命令。
现在我到Server0的命令行终端,尝试ping管理部门的Laptop0,IP地址192.168.1.226。 尝试不成功,但是如果我ping地址192.168.1.130,连接建立没有问题,也就是说,我们禁止服务器计算机与管理部门通信,但允许与其他部门的所有其他设备通信。 至此,我们已经成功解决了所有4个问题。
让我给你看点别的东西。 我们进入 R2 路由器的设置,其中有 2 种类型的 ACL - 经典和现代。 假设我要编辑 ACL 10,即标准 IP 访问列表 10,其经典形式由两个条目 10 和 20 组成。如果我使用 do show run 命令,我可以看到首先我们有一个包含 4 的现代访问列表总标题 Secure_Ma_And_Se 下没有数字的条目,下面是经典形式的两个 ACL 10 条目,重复相同访问列表 10 的名称。
如果我想进行一些更改,例如删除拒绝主机 192.168.1.3 条目并为不同网络上的设备引入条目,我只需对该条目使用删除命令: no access-list 10拒绝主机 192.168.1.3 .10. 但是一旦我输入这个命令,所有ACL XNUMX条目就完全消失了,这就是为什么ACL的经典视图编辑起来非常不方便。 现代录音方法使用起来更加方便,因为它允许自由编辑。
为了学习本视频课程中的内容,我建议您再观看一次,并尝试在没有任何提示的情况下自行解决讨论的问题。 ACL 是 CCNA 课程中的一个重要主题,许多人对创建反向通配符掩码的过程等感到困惑。 我向你保证,只要理解掩模变换的概念,一切都会变得容易得多。 请记住,理解 CCNA 课程主题最重要的是实践培训,因为只有实践才能帮助您理解这个或那个 Cisco 概念。 练习不是复制粘贴我的团队,而是用自己的方式解决问题。 问自己一些问题:需要做什么来阻止从这里到那里的交通流,在哪里应用条件等等,并尝试回答它们。
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的内容? 通过下订单或推荐给朋友来支持我们, 在我们为您发明的独特的入门级服务器模拟上,Habr 用户可享受 30% 的折扣: (适用于 RAID1 和 RAID10,最多 24 个内核和最多 40GB DDR4)。
戴尔R730xd便宜2倍? 只有这里 在荷兰! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 美元起! 阅读
来源: habr.com