Хабрахабр

[Перевод] Тренинг Cisco 200-125 CCNA v3.0. День 27. Введение в AСL. Часть 2

Еще одна вещь, о которой я забыл упомянуть – ACL не только фильтрует трафик по принципу разрешить/отказать, он выполняет ещё много функций. Например, ACL используется для шифрования трафика VPN, однако для сдачи экзамена CCNA достаточно знать, как он применяется для фильтрации трафика. Вернемся к Задаче №1.

Мы выяснили, что весть трафик бухгалтерии и отдела продаж может быть заблокирован на выходном интерфейсе R2 с помощью приведенного списка ACL.

Мы перейдем к правильному формату, как только начнем работу с Packet Tracer.
Задача №2 звучит так: серверная может связываться с любыми хостами, кроме хостов отдела менеджмента. Не переживайте по поводу формата этого списка, он нужен только как пример для понимания сути ACL. Это означает, что IT-персонал серверной не должен иметь дистанционный доступ к компьютеру руководителя отдела менеджмента, а в случае неполадок явиться в его кабинет и устранить проблему на месте. То есть компьютеры серверной могут иметь доступ к любым компьютерам отдела продаж и бухгалтерии, но не должны иметь доступ к компьютерам отдела менеджмента. Учтите, что эта задача не несет в себе практического смысла, потому что я не знаю причин, по которым бы серверная не могла общаться по сети с отделом менеджмента, так что в данном случае мы просто рассматриваем учебный пример.

Данные из серверной поступают на входной интерфейс G0/1 роутера R1 и отправляются в отдел менеджмента через выходной интерфейс G0/0. Для решения этой задачи сначала нужно определить путь передачи трафика.

168. Если применить условие Deny 192. 192/27 к входному интерфейсу G0/1, а как вы помните, стандартный ACL размещают поближе к источнику трафика, мы заблокируем вообще весь трафик, в том числе к отделу продаж и бухгалтерии. 1.

Решить данную задачу можно только расположив ACL поближе к назначению. Поскольку мы хотим заблокировать только трафик, направленный к отделу менеджмента, то должны применить ACL к выходному интерфейсу G0/0. При этом трафик из сети бухгалтерии и отдела продаж должен беспрепятственно достигать отдела менеджмента, поэтому последней строчкой списка будет команда Permit any – разрешить любой трафик, кроме трафика, указанного в предыдущем условии.

Предположим, что за этим компьютером работает практикант, который не должен выходить за пределы своей LAN.
В этом случае нужно применить ACL на входном интерфейсе G0/1 роутера R2. Перейдем к Задаче №3: ноутбук Laptop 3 из отдела продаж не должен иметь доступ ни к каким устройствам, кроме расположенных в локальной сети отдела продаж. 168. Если мы присвоим этому компьютеру IP-адрес 192. 3/25, то тогда должно выполняться условие Deny 192. 1. 1. 168. 3/25, а трафик с любого другого IP-адреса не должен блокироваться, поэтому последней строкой списка будет Permit any.

При этом запрет трафика не окажет никакого эффекта на Laptop2.

Следующей будет Задача №4: только компьютер PC0 финансового отдела может иметь доступ к сети серверной, но не отдел менеджмента.

Если вы помните, ACL из Задачи №1 блокирует весь исходящий трафик на интерфейсе S0/1/0 роутера R2, но в Задаче №4 говориться, что нужно обеспечить пропуск трафика только компьютера PC0, поэтому мы должны сделать исключение.

Для удобства я использовал классический вид записи, однако советую вам записывать все строки вручную на бумаге или печатать их в компьютере, чтобы иметь возможность вносить исправления в записи. Все задачи, которые мы сейчас решаем, должны помочь вам в реальной ситуации при настройке ACL для офисной сети. Если мы захотим добавить в него исключение для PC0 типа Permit <IP-адрес PC0>, то сможем разместить эту строку только четвертой в списке, после строки Permit Any. В нашем случае по условиям Задачи №1 составлен классический список ACL. 168. Однако поскольку адрес этого компьютера входит в диапазон адресов проверки условия Deny 192. 128/26, его трафик будет заблокирован сразу же после выполнения данного условия и роутер просто не дойдет до проверки четвертой строки, разрешающей трафик с этого IP-адреса.
Поэтому я должен буду полностью переделать ACL список Задачи №1, удалив первую строку и заменив её строкой Permit 192. 1. 1. 168. 130/26, которая разрешает трафик компьютера PC0, а затем заново вписать строки, запрещающие весь трафик бухгалтерии и отдела продаж.

Если вы используете современный тип списка ACL, то легко сможете внести в него изменения, разместив строку Permit 192. Таким образом, в первой строке у нас размещена команда для конкретного адреса, а во второй – общая для всей сети, в которой расположен этот адрес. 1. 168. Если у вас имеется классический ACL, вы должны будете полностью его удалить и затем заново ввести команды в правильном порядке. 130/26 в качестве первой команды.

168. Решением Задачи №4 является размещение строки Permit 192. 130/26 в начале списка ACL из Задачи №1, потому что только в этом случае трафик компьютера PC0 беспрепятственно покинет выходной интерфейс роутера R2. 1. Трафик компьютера PC1 будет полностью заблокирован, потому что его IP-адрес попадает под действие запрета, содержащегося во второй строке списка.

Я уже настроил IP-адреса всех устройств, потому что упрощенные предыдущие схемы были немного трудны для понимания. Сейчас мы перейдем к Packet Tracer, чтобы сделать необходимые настройки. На приведенной топологии сети возможна связь между всеми устройствами 4-х подсетей без всяких ограничений. Кроме того, я настроил RIP между двумя роутерами. Но как только мы применим ACL, трафик начнет фильтроваться.

168. Я начну с компьютера PC1 финансового отдела и попробую пропинговать IP-адрес 192. 194, который принадлежит серверу Server0, расположенному в серверной. 1. Так же успешно я пингую ноутбук Laptop0 отдела менеджмента. Как видите, пингование проходит успешно без всяких проблем. Первый пакет отбрасывается по причине ARP, остальные 3 свободно пингуются.

У нас также имеется ACL 10 классического вида. Для того, чтобы организовать фильтрацию трафика, я захожу в настройки роутера R2, активирую режим глобальной конфигурации и собираюсь создать список ACL современного вида. После этого система выдает подсказки возможных параметров: я могу выбрать deny, exit, no, permit или remark, а также ввести порядковый номер Sequence Number от 1 до 2147483647. Для создания первого списка я ввожу команду, в которой необходимо указать то же название списка, что мы записали на бумаге: ip access-list standard ACL Secure_Ma_And_Se. Если я этого не сделаю, система присвоит его автоматически.

168. Поэтому я не ввожу этот номер, а сразу перехожу к команде permit host 192. 130, поскольку это разрешение действует для конкретного устройства PC0. 1. Я также могу использовать обратную маску Wildcard Mask, сейчас я покажу, как это делается.

168. Далее я ввожу команду deny 192. 128. 1. 168. Поскольку у нас имеется /26, я использую обратную маску и дополняю ею команду: deny 192. 128 0. 1. 0. 0. Таким образом я запрещаю трафик сети 192. 63. 1. 168. 128/26.

168. Аналогично я блокирую трафик следующей сети: deny 192. 0 0. 1. 0. 0. Весь остальной трафик разрешается, поэтому я ввожу команду permit any. 127. Затем я набираю ip access-group Secure_Ma_And_Se, и система выдает подсказку с выбором интерфейса – in для входящих пакетов и out для исходящих. Далее я должен применить этот список к интерфейсу, поэтому использую команду int s0/1/0. Нам нужно применить ACL к выходному интерфейсу, поэтому я использую команду ip access-group Secure_Ma_And_Se out.

168. Зайдем в командную строку PC0 и пропингуем IP-адрес 192. 194, принадлежащий серверу Server0. 1. Если я проделаю то же самое с компьютера PC1, система выдаст ошибку: «хост назначения не доступен», поскольку трафик с остальных IP-адресов бухгалтерии заблокирован для доступа к серверной. Пинг проходит успешно, так как мы использовали особое условие ACL для трафика PC0.

Зайдя в CLI роутера R2 и набрав команду show ip address-lists, можно увидеть, как обеспечивалась маршрутизация трафика сети финансового отдела – здесь показано, сколько раз пинг был пропущен согласно разрешению и сколько раз заблокирован соответственно запрету.

Таким образом, условия Задач №1 и №4 выполнены. Мы всегда можем зайти в настройки роутера и посмотреть список доступа. Если я захочу что-то исправить, то могу зайти в режим глобальной конфигурации настроек R2, ввести команду ip access-list standard Secure_Ma_And_Se и затем команду «хост 192. Разрешите показать вам ещё одну вещь. 1. 168. 168. 130 не разрешен» — no permit host 192. 130. 1.

Таким образом можно редактировать список доступа ACL в настройках роутера, но только если он составлен не в классическом виде. Если мы снова посмотрим на список доступа, то увидим, что строка 10 исчезла, у нас остались только строки 20,30 и 40.

В нем сказано, что любой трафик с ноутбука Laptop3 не должен покидать пределы сети отдела продаж. Теперь перейдем к третьему списку ACL, потому что он тоже касается роутера R2. Чтобы проверить это, я пингую с этого ноутбука IP-адрес 192. При этом Laptop2 должен без проблем связываться с компьютерами финансового отдела. 1. 168. 130, и убеждаюсь, что все работает.

168. Сейчас я зайду в командную строку Laptop3 и пропингую адрес 192. 130. 1. Для этого нужно создать еще один ACL, используя классический метод. Пингование проходит успешно, но нам это не нужно, так как по условию задачи Laptop3 может связываться только с Laptop2, расположенным с ним в одной сети отдела продаж.

168. Я вернусь в настройки R2 и попробую восстановить удаленную запись 10, использовав команду permit host 192. 130. 1. При этом доступ все равно работать не будет, потому что строка с разрешением конкретного хоста находится в конце списка, а строка, запрещающая весь трафик сети – вверху списка. Вы видите, что эта запись появилась в конце списка под номером 50. Если попробовать пропинговать с компьютера PC0 ноутбук Laptop0 отдела менеджмента, мы получим сообщение «хост назначения не доступен», не смотря на то, что в списке ACL имеется разрешающая запись под номером 50.

168. Поэтому если вы хотите отредактировать существующий список ACL, то нужно в режиме R2(config-std-nacl) ввести команду no permit host 192. 130, проверить, что строка 50 исчезла из списка, и ввести команду 10 permit host 192. 1. 1. 168. Мы видим, что теперь список приобрел свой первоначальный вид, где данная запись заняла первую строчку. 130. Порядковые номера помогают редактировать список в любом виде, поэтому современная форма ACL намного удобней классической.

Для использования классического списка нужно ввести команду access–list 10 ?, и, следуя подсказке, выбрать нужное действие: deny, permit или remark. Сейчас я покажу, как работает классическая форма списка ACL 10. 168. Затем я ввожу строку access–list 10 deny host, после чего набираю команду access–list 10 deny 192. 3 и добавляю обратную маску. 1. 255. Поскольку у нас имеется хост, прямая маска подсети равна 255. 255, а обратная – 0. 255. 0. 0. В итоге для запрета трафика хоста я должен ввести команду access–list 10 deny 192. 0. 1. 168. 0. 3 0. 0. 0. Этот список нужно применить для интерфейса G0/1 роутера R2, поэтому я последовательно ввожу команды in g0/1, ip access-group 10 in. После этого нужно указать разрешения, для чего я набираю команду access–list 10 permit any. Независимо от того, какой список используется, классический или современный, применение этого списка к интерфейсу осуществляется одними и теми же командами.

168. Чтобы проверить правильность настроек, я захожу в терминал командной строки Laptop3 и пробую пропинговать IP-адрес 192. 130 – как видите, система сообщает, что хост назначения недоступен. 1.

Мы должны решить еще одну задачу, которая относится к роутеру R1. Напомню, что для проверки списка можно использовать как команду show ip access-lists, так и show access-lists. Поскольку у нас имеется сеть 192. Для этого я захожу в CLI этого роутера и перехожу в режим глобальной конфигурации и ввожу команду ip access-list standard Secure_Ma_From_Se. 1. 168. 255. 192/27, её маска подсети будет 255. 224, значит, обратная маска будет 0. 255. 0. 0. 168. 31 и нужно ввести команду deny 192. 192 0. 1. 0. 0. Поскольку весь остальной трафик разрешен, список заканчивается командой permit any. 31. Для того, чтобы применить ACL к выходному интерфейсу роутера, используется команда ip access-group Secure_Ma_From_Se out.

168. Сейчас я зайду в терминал командной строки сервера Server0 и попробую пропинговать Laptop0 отдела менеджмента по IP-адресу 192. 226. 1. 168. Попытка не удалась, но если я отправлю пинг по адресу 192. 130, связь установится без проблем, то есть мы запретили компьютеру серверной связываться с отделом менеджмента, но разрешили связь со всеми остальными устройствами в других отделах. 1. Таким образом, мы успешно решили все 4 задачи.

Мы заходим в настройки роутера R2, где у нас имеются 2 типа ACL – классический и современный. Давайте я покажу вам кое-что еще. Если использовать команду do show run, можно увидеть, что сначала у нас расположен современный список доступа из 4-х записей без номеров под общим заголовком Secure_Ma_And_Se, а ниже расположены две записи ACL 10 классической формы с повторением названия одного и того же списка access-list 10. Предположим, я хочу отредактировать ACL 10, Standard IP access list 10, который в классическом виде состоит из двух записей 10 и 20.

168. Если я захочу сделать какие-то изменения, например, удалить запись deny host 192. 3 и ввести запись для устройства из другой сети, мне нужно использовать команду удаления только для этой записи: no access-list 10 deny host 192. 1. 1. 168. Но как только я введу эту команду, полностью исчезнут все записи списка ACL 10. 3. Современный способ записи намного удобней в использовании, так как позволяет свободное редактирование. Вот почему классический вид списка ACL очень неудобен для редактирования.

ACL является важной темой курса CCNA, и многих смущает, например, процедура создания обратной маски Wildcard Mask. Для того, чтобы усвоить материал данного видеоурока, я советую вам просмотреть его ещё раз и попробовать самим решить рассмотренные задачи без подсказок. Помните, что самое важное в понимании тематики курса CCNA – это практические занятия, потому что только практика поможет понять ту или иную концепцию Cisco. Уверяю вас – достаточно понять концепцию преобразования маски, и все станет намного проще. Задавайте вопросы самим себе: что нужно сделать, чтобы заблокировать поток трафика отсюда туда, где применить условия и так далее, и пробуйте на них ответить. Практика – это не копипаст моих команд, а решение задач своим способом.

Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 ТВ от $199 в Нидерландах! Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel TetraDeca-Core Xeon 2x E5-2697v3 2. 2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB — от $99! Читайте о том Как построить инфраструктуру корп. Dell R420 — 2x E5-2430 2. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть