Хабрахабр

[Перевод] Тренинг Cisco 200-125 CCNA v3.0. День 28. Углубленное изучение AСL

Сегодня мы продолжим тему видеоурока 27-го дня и займемся углубленным изучением ACL: мы немного поговорим об обратной маске Wildcard Mask, расширенном списке ACL, настройке расширенного списка ACL и командах, помогающих диагностировать неполадки в дизайне сети.
На предыдущем уроке мы познакомились с новой для нас концепции обратной маски, и сейчас я расскажу о Wildcard Mask более подробно. Если вы помните, маска подсети помогает нам визуально разделить сеть на адресную часть сети и адресную часть хоста.

Обратная маска очень похожа на маску подсети, только в «перевернутом» виде – там, где в маске подсети имеются единицы, в обратной маске находятся нули, и наоборот. Если перейти на битовый уровень, можно увидеть, что маска подсети состоит из серии единиц, обозначающих сетевую часть, и серии нулей, которые обозначают часть хоста. Это не является обязательным правилом – в отдельных случаях обратная маска формируется по другому принципу, на при изучении CCNA это правило действует всегда.

255. Наилучшим способом вычисления обратной маски является отнимание октетов маски подсети от глобальной маски, которая всегда выглядит как 255. 255.
Итак, чтобы вычислить обратную маску для маски подсети 255. 255. 255. 255. 0. 0, мы просто отнимаем её от глобальной маски и получим 0. 255. 0.

168. В этом примере мы рассматривали сеть 192. 255/24, а сейчас давайте рассмотрим сеть /26. 100. Если у вас имеется /26, то последний октет маски подсети будет равен 192.

Если вы посмотрите на битовую форму представления этих IP-адресов, то увидите, что маска подсети содержит 26 единичных и 6 нулевых битов.

Как мы уже говорили, те места, где расположены 0, показывают совпадающие параметры адресов, а места, где расположены единицы, вы можете игнорировать. В таком случае обратная маска должна состоять из 26 нулей и 6 единиц.

Последний октет обратной маски соответствует числу 63, и я могу отобразить её в виде 0. Чтобы было понятнее, я напишу сверху IP-адрес в десятичной форме. 0. 0. проще говоря, /26 означает, что 26 нулей, или 3 первых октета IP-адреса совпадают, а последние 6 битов могут быть какими угодно – нулями или единицами. 63.

Таким образом, обратная маска показывает, что подсеть с IP-адресами, последний октет которых расположен в диапазоне от 192 до 255, то есть часть сети 192. Смотрите – если мы заменим эти последние 6 битов IP-адреса нулями, то получим число 192, а если единицами – число 255. 100. 168. 225/26, попадает под действие указанного условия ACL.

Я сам задавал этот вопрос, когда был студентом, и до сих пор многие люди, даже работая в Cisco, задаются этим вопросом. Вы можете спросить, зачем нужны две маски: маска подсети и Wildcard-маска. В общем случае маска подсети и обратная маска показывают одно и то же, если это касается подсети, то есть части IP-адреса, обозначающей сеть. Попробую на него ответить. Когда мы идентифицируем целую сеть, то обратная маска представляет собой просто «перевернутый» вариант прямой маски.

Если вы хотите идентифицировать целую подсеть со всеми входящими в неё адресами, можно использовать маску подсети. Однако с идентификацией хоста дело обстоит по-другому. Но если вам нужно идентифицировать всего лишь несколько хостов из этой сети, чтобы избирательно применить к ним правила ACL, нужна обратная маска.

Wildcard поэтому и называется «дикой», потому что может состоять из любой последовательности единиц и нулей. Вы никогда не встретите маску подсети, которая бы состояла из чередующихся единиц и нулей – в ней всегда сначала идут единицы, а в конце – нули. Чтобы вам стало понятнее, давайте решим задачу: «идентифицируйте хосты данной сети, имеющие четные числа в четвертом октете».

168. Это нужно для создания правила ACL такого типа: permit 192. 0 <обратная маска>, то есть трафик будет разрешен для IP-адресов данной подсети только с четными четвертыми октетами. 100. Не думаю, потому что четвертый октет обычной маски подсети может содержать только одно конкретное число. Можно ли проделать это с помощью маски подсети? Давайте посмотрим на 4 октет обратной маски.

Я объясню, что это такое. В последнем октете обратной маски можно разместить такие биты: 11111110. Если мы говорим о подсети /24, то у неё только последний октет может содержать четное число. Если в 4-м октете содержатся четные числа, то последний бит октета обязательно равен 0, а если последний бит равен 1, значит, число нечетное.

В случае обратной маски в первых трех октетах расположены 0, а семь первых битов четвертого октета нас не волнуют, главное, чтобы восьмой бит октета равнялся нулю, потому что он должен совпасть с последним октетом IP-адреса сети, который равен 0.

Таким образом, только если последний октет любого IP-адреса нашей подсети будет оканчиваться 0, то есть будет четным, у нас выполнится условие совпадения с обратной маской, которая тоже заканчивается 0, и условие ACL «разрешить все адреса с четным 4-м октетом» будет удовлетворено. Если последний бит IP-адреса будет равен 1, данный адрес будет запрещен, сейчас я добавлю условие в наш список ACL – Deny any. В противном случае, то есть для всех нечетных IP-адресов, будет действовать условие «запретить любой» — deny any.

Если бы мы использовали обычную маску подсети, нам потребовалось бы создать отдельную запись для каждого IP-адреса, имеющего четный 4-й октет. Таким образом, нас не волнует, какое точное значение будет иметь четный октет – 2,4,6, 8 и так далее, главное, что он будет иметь в конце нулевой бит. В этом случае будет установлено общее правило, permit или deny, для всех IP-адресов подсети, имеющих нечетный 4-й октет. Использование обратной маски позволяет заменить все эти записи одной.
Точно такой же принцип действует и для нечетных чисел 4-го октета, просто последний бит обратной маски в этом случае должен быть равен 1. Посмотрите, как выглядит этот пример в десятичной форме.

0. Если я использую обратную маску 0. 254, наша задача будет решена: все хосты с четным четвертым октетом разрешены, а все остальные хосты — запрещены. 0. Вам не стоит особо беспокоиться о специфических обратных масках, потому что тематика CCNA этого не требует. Преимущество обратной маски состоит в том, что при создании ACL её можно настроить под свои нужды. 255. Достаточно просто запомнить правило: обратная маска получается при отнимании маски подсети от глобальной маски 255. 255. 255. Учтите, что курс CCNA в больше степени затрагивает тематику подсетей, а не хостов.

Давайте вернемся к предыдущему слайду, и я расскажу ещё об одном способе вычисления Wildcard-маски.

Если этот блок равен 64, последний октет обратной маски будет иметь значение (64-1)=63. Если вы помните из нашей «волшебной» таблицы, /26 означает размер блока битов, равный 64. Это еще одна подсказка для облегчения вычисления значения обратной маски. Если у нас имеется /25, размер блока будет 128, значит, последний октет обратной маски будет (128-1)=127. Но если вы не хотите им пользоваться, применяйте обычный способ, отнимая маску подсети от глобальной маски.

Как и в случае стандартного ACL, существует два вида записи команд: классический и современный. А теперь перейдем к рассмотрению синтаксиса команд расширенного ACL.

Таким образом, первая команда расширенного ACL отличается от команды стандартного ACL указанием протокола, а не критерия. Классическая команда представляет собой запись access-list < номер ACL> <запретить /разрешить > < протокол >. Напомню, что в Википедии имеется статья с перечнем всех протоколов и соответствующим им номерам портов.
Далее следует строка команды < IP источника > < обратная маска > [информация протокола]. Это означает, что здесь фильтрация трафика производится не по IP-адресу источника или назначения, а по используемому протоколу.
Во всех случаях мы используем протокол IP, который бывает трех видов: ICMP, или известный нам пинг, TCP, который зависит от конкретного порта 21,23 и так далее, и UDP. То есть в предыдущей команде в качестве < протокол > вы указываете ICMP, TCP или UDP, а во второй команде в качестве параметра [информация протокола] указываете номер порта 21,23 и т.д. Информация протокола означает указание номера порта.

Третья строка команды – это < IP назначения > < обратная маска > [информация протокола], то есть параметры, касающиеся назначения.

В связи с этим в первой строке, касающейся источника трафика, вы указываете [информацию протокола] назначения, например, FTP, то есть протокола того устройства, чей трафик хотите заблокировать. Если вы помните по предыдущим урокам, номер порта источника представляет собой случайное число, потому что устройство, посылающее трафик, создает для этого порт под случайным номером.

Напомню, что для внесения изменений в список расширенного ACL классического типа вам придется заново сформировать весь список вручную, как и в случае стандартного ACL классического типа.

Итак, в первой строке имеется ключевое слово ip, параметр «расширенный access-list» и номер или имя списка ACL. Команда современного вида начинается с выражения ip, который не имеет никакого отношения к протоколу IP, это просто ключевое слово. После выполнения первой команды вы переходите в решим подкоманд config-ext-nacl и вводите <запретить /разрешить > < протокол >, как мы уже обсудили выше.

Иногда может потребоваться указать порт источника, однако в CCNA в большинстве случаев на этот параметр можно не обращать внимания. Далее следуют две команды < IP источника > < обратная маска > [информация протокола] и < IP назначения > < обратная маска > [информация протокола], причем в первой обычно игнорируется параметр [информация протокола источника], а вместо него используется параметр [информация протокола назначения].

Здесь также нужно указать интерфейс устройства, к которому применяется список, затем использовать параметр ip access-group, номер или имя списка ACL и направление потока трафика – входящий или исходящий. Применение расширенного ACL аналогично применению стандартного ACL. В предыдущем видео мы уже обсуждали, каким образом определяется направление трафика для конкретного порта.

Задача №1 звучит так: «Компьютеры сети отдела менеджмента и сети финансового отдела могут иметь доступ по протоколам HTTP(80) и FTP(21) только к серверу Server0, находящемуся в сети серверной». Давайте прейдем к схеме и настроим расширенный список ACL, используя топологию сети из предыдущего урока.

Если помните, расширенный ACL должен применяться поближе к источнику, поэтому для отдела менеджмента его следует применить к порту G0/0 роутера R1, а для бухгалтерии – к порту G0/0 роутера R2. При этом разрешается не весь трафик, а только тот, что исходит из портов 80 и 21, то есть, например, трафик по протоколу SSH должен блокироваться. Присвоим списку ACL номер 101 и составим перечень строк, который он должен содержать, используя классический подход. По отношению к роутеру мы блокируем входящий трафик, поэтому в командах списка используем параметр IN.

168. Первая строка разрешает TCP, потому что HTTP порт 80 означает TCP, далее указываем сеть отдела менеджмента, 192. 224/28. 1. Сеть менеджмента является источником трафика, после неё указывается IP-адрес назначения 192. В данном примере я опускаю обратную маску, мы используем её в Packet Tracer, пока что нам важен сам принцип формирования списка. 1. 168. 168. 194/32, где 194 – это последний октет адреса Server0, а /32 означает, что условие касается только данного конкретного устройства, расположенного в подсети 192. 192/27. 1. В конце строки мы указываем разрешенный порт назначения 80, предназначенный для HTTP-трафика.

Я не пишу третью строку, которая по умолчанию выглядит как Deny any и запрещает любой исходящий трафик с устройств, не принадлежащих данной подсети. Таким же образом формируется запись для порта 21, используемого для передачи FTP-трафика. Далее необходимо указать, что список применяется к порту G0/0 роутера R1 в направлении IN, то есть для входящего трафика.

Аналогично мы поступаем при составлении записей ACL Allow_Acc для финансового отдела, разрешая TCP-трафик с портов 80 и 21 и применяя данный список для входного интерфейса G0/0 роутера R2.

Это значит, что для связи с сервером компьютеры отдела продаж могут использовать протоколы HTTP, SSH, FTP – любые протоколы, кроме ICMP. Задача №2 звучит так: «Компьютеры сети отдела продаж могут пользоваться всеми протоколами, кроме PING (ICMP), только на сервере Server1, расположенном в сети серверной». В этом случае список условий ACL будет выглядеть таким образом.

В данной записи указывается идентификатор подсети отдела продаж 192. В первой строке мы запрещаем весь трафик по протоколу ICMP, размещая конкретное условие в начале списка, а общее – в конце списка. 1. 168. 168. 0/25, IP-адрес конкретного сервера Server 1 - 192. 195/32. 1. Параметр echo означает трафик в виде пинга, то есть пакет, который отправляется к серверу, чтобы вернуться назад к компьютеру, должен быть запрещен.

168. Вторая строка разрешает весь остальной трафик, исходящий из подсети 192. 0/25 на адрес сервера 192. 1. 1. 168. Как обычно, в конце списка по умолчанию располагается строка Deny any, означающая, что если компьютеры отдела продаж попытаются связаться с финансовым отделом, такой трафик будет отброшен. 195/32. Далее мы указываем, к какому интерфейсу роутера следует применить ACL, и вторая задача решена.

Предположим, что за этими устройствами работают руководители отделов продаж и бухгалтерии, которые могут общаться с финансовым директором CFO, находящимся в отделе менеджмента. Задача №3 звучит так: «Ноутбук Laptop2 отдела продаж и компьютер PC0 финансового отдела могут иметь доступ к ноутбуку Laptop0 отдела менеджмента». При этом нет никаких ограничений относительно используемых протоколов, включая ICMP.

В данный момент Laptop2 не может связаться с Laptop0, потому это противоречит условиям Задачи №3. У нас уже имеется три списка ACL, примененные к интерфейсам, которые я обвел на схеме красными окружностями.

Чтобы организовать связь этих двух устройств, необходимо добавить дополнительные условия в список ACL Allow_Sa.

Аналогично нужно добавить условия в список ACL Allow_Acc, чтобы PC0 мог свободно связаться с Laptop0.

В обоих списках мы добавляем строки с параметром Permit IP, что означает разрешение трафика по любому IP-протоколу.

В нашей ситуации, если Laptop2 адресует пинг Laptop0, трафик свободно поступит в сеть отдела менеджмента. Как вы знаете, ICMP использует трафик двух направлений: вы отсылаете пинг, а echo возвращает его обратно. Так как обратный трафик не соответствует ни одному из условий данного списка, он будет заблокирован. Однако при возвращении пакета обратно ноутбуку отдела продаж, он попадет в интерфейс G0/0 роутера R1, где действует список ACL 101. Поэтому нам нужно дополнить список ACL101 разрешающими условиями как для пинга с Laptop2 отдела продаж, так и для пинга с компьютера PC0 финансового отдела.

Мы решили Задачу №3 и теперь перейдем к решению Задачи №4: «Ноутбук Laptop3 отдела продаж может иметь доступ только к собственной сети SALES и только к службе Web Service через порт 80 на компьютере Server 1».

Однако согласно второй части задачи, этот компьютер должен иметь доступ к Web Service, находящейся за пределами сети SALES. Первая часть задачи означает, что как только Laptop3 попытается выйти из сети SALES, его трафик будет заблокирован роутером R2. Это означает, что блокируется весь трафик кроме трафика, направленного в серверную.

Поэтому нам нужно изменить данный список, в первую очередь добавив в него строку «разрешить TCP к серверу 1 через порт 80» такого вида: Permit TCP 192. Из предыдущих задач мы знаем, что трафик, исходящий из отдела продаж, регулируется списком ACL Allow_Sa, который мы применили ко входному интерфейсу G0/1 роутера R2. 1. 168. 168. 3/32 192. 195/32 80 1.

168. Первая строка означает, что любой HTTP-трафик достигнет сервера, а вторая Deny IP 192. 3/32 any означает, что весть остальной трафик, например, FTP, поступающий с Laptop3, будет отброшен. 1. Далее мы оставляем без изменений три следующие строки предыдущего списка ACL, решив таким образом Задачу №4.

Обращаю ваше внимание, что если просто дописать решение четвертой задачи в конце списка ACL, добавив две строки, система их проигнорирует, потому что условия, расположенные выше, поглощают эти правила. Я уже говорил, что советую вам записывать решения этих задач на бумаге или набирать вручную на компьютере, потому что они изменяются, а на бумаге или в компьютере всегда можно добавить, зачеркнуть или удалить строки. 168. Поскольку вторая строка старого списка разрешает весь трафик, условие Deny IP 192. 3/32, расположенное в конце списка, просто не будет выполняться. 1.

Сначала вам следует разработать логическую цепочку операций и расположить строки так, чтобы они не противоречили друг другу. Таким образом, правильная последовательность записей ACL имеет огромное значение. Теперь давайте перейдем к Packet Tracer и выполним все настройки согласно решениям задач.

Я использую команду show access-list, чтобы показать, что список ACL на данный момент отсутствует. Начнем настройку с первого роутера Router1. Далее с помощью команды show ip route я показываю, что RIP между двумя роутерами уже настроен и работает.

168. Перейдём к ноутбуку Laptop0 и пропингуем Server1 по адресу 192. 195. 1. Так же свободно мне удается пропинговать Server0. Как видите, пингование проходит удачно, так как у нас нет никаких ACL, запрещающих или фильтрующих трафик.

Для этого я набираю команду access-list 101 permit tcp. Теперь перейдем к роутеру Router1, войдем в режим глобальных настроек и создадим список ACL 101. Обратите внимание – система выдает подсказку, какое значение параметра, кроме tcp, можно использовать в данной команде.

При изучении курса CCNA в основном будут использоваться протоколы ip, ismp, tcp и udp. Это может быть esp, icmp, osfp и так далее.

168. Нам нужно разрешить трафик целой сети, поэтому я ввожу команду access-list 101 permit tcp 192. 224. 1. 0. Параметр /28 означает блок размером 16 битов, поэтому обратная маска будет 0. 15. 0.

Вы также получите это число, если отнимите от глобальной маски значение маски данной подсети. Слеш 28 означает 4 заимствованных бита, если заимствован 1 бит, размер блока равен 128, если 2 бита – 64, три бита – 32, 4 бита означает размер блока 16, значит, последний октет обратной маски будет (16-1) =15. 168. Поскольку рассматривается трафик к конкретному серверу, в конце команды необходимо набрать слово host и его IP-адрес, в результате команда будет иметь вид: access-list 101 permit tcp 192. 224 0. 1. 0. 0. 168. 15 host 192. 194. 1.

После её ввода система выдаст подсказки, каким должен быть следующий параметр, который характеризует порт, обрабатывающий данный трафик.

В нашем курсе мы будем использовать номер конкретного порта, поэтому в конце команды нужно ввести eq. Можно применить параметр dscp, при этом будут пропускаться пакеты с соответствующим значением, параметр eq, при котором разрешены только пакеты с данным конкретным номером порта, gt – пропуск пакетов с номером порта большим, чем указано, lt – пакеты с меньшим номером порта и т.д. После этого система выдаст подсказки относительно возможных значений следующего параметра.

Для FTP это порт 21, для SMTP – порт 25, можно просто ввести www – это будет означать HTTP-трафик через порт 80. Это может быть как номер порта от 0 до 65535, так и название протокола, которому соответствует определенный порт. Следующая команда будет полностью аналогична, за исключением номера порта, вместо 80 у нас теперь будет 21: access-list 101 permit tcp 192. В нашем случае мы вводим просто номер порта 80.
Если с помощью команды do show run посмотреть на текущую конфигурацию, видно, что система автоматически заменила число 80 на значение www. 1. 168. 0. 224 0. 15 host 192. 0. 1. 168. 194 eq 21.

Для этого я набираю access-list 101 permit icmp. Далее мы должны создать записи для ICMP-трафика, чтобы разрешить пинг. 168. Далее я могу набрать host, как мы поступили выше, или выбрать обычный способ и набрать IP-адрес 192. 226 и обратную маску 0. 1. 0. 0. Затем я продолжаю команду словом host и IP-адресом Laptop2 – 192. 0, которая представляет собой не что иное, как хост. 1. 168. После этого система выдаст подсказку относительно значения следующего параметра команды – здесь нужно указать, какие именно сообщения мы разрешаем. 2.

Это означает, что мы разрешаем только сообщения пинга. В нашем случае нужно разрешить ответный пинг, поэтому в конце команды необходимо указать echo-replay. 168. В результате условие примет такой окончательный вид: access-list 101 permit icmp192. 226 0. 1. 0. 0. 168. 0 host 192. 2 echo-replay. 1. 168. Следующее условие будет выглядеть так: access-list 101 permit icmp 192. 226 0. 1. 0. 0. 168. 0 host 192. 130 echo-replay. 1.

Зайдем в настройки Laptop0 и проверим пинг адреса 192. Теперь нужно применить созданный список, для чего я последовательно ввожу команды int g0/0 и ip access-group, добавляю номер списка 101 и указываю входящий или исходящий, в нашем случае это входящий IN. 1. 168. Как видим, теперь система сообщает, что хост назначения не доступен. 194, который до создания ACL проходил без проблем. 168. Даже если поменять IP-адрес на 192. 195, мы все равно получим такое же сообщение. 1.

Однако мы разрешили только HTTP и FTP- трафик через порты 80 и 21, но не разрешали ICMP-трафик, то есть пинг. Если помните, условием одной из задач была доступность Server0 с ноутбука Laptop0 отдела менеджмента. 168. Вот почему пингование окончилось неудачей.
Но если попробовать веб-трафик, то есть зайти в браузер и набрать в адресной строке 192. 194, мы без труда соединимся с веб-сервером Server0. 1.

168. Если попытаться связаться с другим сервером по адресу 192. 195, попытка закончится неудачей, так как примененный ACL не разрешает такой трафик. 1.

Я убеждаюсь, что никакого ACL в данный момент не существует, перехожу к глобальным настройкам и использую современную версию синтаксиса команд. Для окончательного решения Задачи №1 нужно перейти к настройкам роутера R2 и составить список ACL для финансового отдела – Allow_Ac. Для этого я ввожу команду ip access-list extended Allow_Ac и перехожу на уровень подкоманд.

168. Далее я ввожу permit tcp 192. 128. 1. 0. Поскольку у нас имеется /26, которое означает два заимствованных бита, а вы помните, что один заимствованный бит – это размер блока 128, два бита – размер блока 64, значит, обратная маска будет 0. 63. 0. 255. То же значение обратной маски вы можете получить другим способом, отняв маску данной подсети 255. 192 от глобальной маски 255. 255. 255. 255. В итоге мы получаем команду permit tcp 192. 255. 1. 168. 0. 128 0. 63 host 192. 0. 1. 168. Аналогично создается команда для другого порта: permit tcp 192. 194 eq 80. 1. 168. 0. 128 0. 63 host 192. 0. 1. 168. 194 eq 21.

Для этого я ввожу команду permit ip host 192. Остается выполнить последнее условие Задачи №1 – разрешить любой трафик с компьютера PC0 финансового отдела в адрес ноутбука финансового директора Laptop0 отдела менеджмента. 1. 168. 168. 130 host 192. 226 без указания номера порта, потому что это условие касается трафика по любому протоколу. 1.

Как я сказал, PC0 не должен иметь возможность пинговать Server 0, но может связываться с веб-сервисом данного сервера. Далее нужно применить этот ACL к интерфейсу g0/0, для чего используется команда ip access-group Allow_Ac IN. 168. Если набрать в браузере PC0 адрес 192. 194, можно войти в Packet Tracer, однако пропинговать этот сервер не удается, поскольку роутер R2 блокирует такой трафик. 1.

168. Приступим к созданию нового ACL для компьютеров отдела продаж, для чего используем команды ip access-list extended Allow_Sa и permit tcp host 192. 3 host 192. 1. 1. 168. Таким образом, мы разрешаем только HTTP-трафик и запрещаем весь остальной трафик, исходящий от данного хоста в любом направлении, командой deny ip host 192. 195 eq 80. 1. 168. 3 any.

Поэтому я запрещаю пинг командой deny icmp 192. Далее нужно записать условие, разрешающее любой трафик, кроме пинга. 1. 168. Здесь у нас имеется /25, означающий 1 заимствованный бит, размер блока составит 128 бит, значит, обратная маска будет иметь вид 0. 0. 0. 0. Этот трафик в виде обратного ответа пинга должен быть заблокирован в направлении хоста 192. 127. 1. 168. В итоге запись ACL будет выглядеть так: deny icmp 192. 195, который представляет собой Server2. 1. 168. 0. 0 0. 127 host 192. 0. 1. 168. 195 echo.

168. Далее мы записываем команду на выполнение условий 4-й строки списка, которая разрешает весь остальной трафик сети отдела продаж, адресованный этому же серверу: permit ip 192. 0 0. 1. 0. 0. 168. 127 host 192. 195. 1.

Для этого используется команда permit host 192. Затем мы записываем условие, разрешающее трафик Laptop2 в направлении Laptop0. 1. 168. 168. 2 host 192. 226, после чего список приписывает к интерфейсу g0/1 командой ip access-group Allow_Sa IN. 1.

Пинг в адрес сервера 192. Проверим, как работают списки ACL в отношении ноутбука Laptop3, и попробуем выяснить, можно ли с него что-нибудь пропинговать. 1. 168. 168. 195 не проходит, как и пинг компьютера PC по адресу 192. 130 и пинг ноутбука финансового директора по адресу 192. 1. 1. 168. Единственное, что может этот ноутбук – это пользоваться веб-сервисом сервера Server1. 226.

Как видите, это условие выполняется, и мы наблюдаем ответный пинг с адреса 192. Laptop2 должен иметь возможность отсылать любой трафик в адрес Laptop0, включая пинг. 1. 168. Пинг в адрес второго ноутбука отдела менеджмента Laptop1 не проходит, так как условия списка ACL запрещают любой трафик, кроме адресованного Laptop0. 226. 168. Точно также Laptop2 не может отправить пинг серверу Server1 по адресу 192. 195, но может пользоваться веб-сервисом этого сервера. 1. Таким образом, мы удовлетворили условия всех 4-х задач, создав и настроив соответствующие списки ACL.

В этом и заключается прелесть ACL или любого другого инструмента для создания сетей – здесь не существует единственно правильного решения, любую задачу можно решить множеством способов. Я не знаю, является ли данный способ оптимальным для решения задач подобного рода, но я предпочитаю решать их именно таким образом. Они зависят от ваших требований к сети, от разработанного вами дизайна, потому что вы можете создавать сети любым способом, который посчитаете подходящим.

Я буду рад, если вы решите эти задачи своим собственным способом и опишите его в комментариях к данному видео. Преимущество CCNA состоит в изучении всех концепций развития сетей, и лучшим способом усвоения материала является разработка дизайна своей собственной сети. Кроме того, на основании рассмотренной топологии сети вы можете придумать другие задачи и попытаться решить их самостоятельно.

Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 ТВ от $199 в Нидерландах! Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel TetraDeca-Core Xeon 2x E5-2697v3 2. 2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB — от $99! Читайте о том Как построить инфраструктуру корп. Dell R420 — 2x E5-2430 2. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть