Cisco tanulás, hozzáférés-vezérlési lista

Access Control List, vagy ACL (vagy egyszerűen Access List) - szabályok listáját, amelyek lehetővé teszik, hogy figyelemmel kísérje és szűrő forgalmat. Szabályból ACL hozzáférés-szabályozás bejegyzések (ACE).

A fő használata ACL (Access List - Access List) - szűrés forgalmat, de azt is, hogy használják más funkciók a hálózati berendezések.

Az Access Control List cisco-eszközök két csoportba sorolhatjuk:

Mielőtt rátérnénk a gyakorlat szükséges tudni, hogy mi a helyettesítő maszk.

Helyettesítő maszk

Azt már tudjuk, hogy mi a maszkot, és hogyan alakul ki. Helyettesítő maszk is egy maszk, csak a „furcsa” vagy „fordított” (szóközt az interneten). Van, hogy többet tudjon meg, mert használják az ACL.

Ez az úgynevezett „fordított”, mert a nullák és egyesek a maszk változtatni jelentésüket. 0 - a hálózat száma, és 1 a fogadó területen.

„Meg kell összehasonlítani”, így azt javaslom, hogy hasonlítsa össze a hagyományos maszk helyettesítő maszk. Kezdjük az osztály maszkokat.

4.1 táblázat összehasonlítása a „normál” maszk helyettesítő maszk

Hogyan számoljuk ki a helyettesítő maszk, amelynek egy közönséges maszk?

Nézzük az esetben az osztály nem egy maszkot (ami összetöri az oktett a hálózati rész és a fogadó, részletek itt), azaz Egy oktett szám 0-tól eltérő, és 255 (oktett „görbe”). Kezdetben minden oktett a „normál” maszk értéke 255, meg fog felelni 0 a helyettesítő maszk, és az értéke 0, a „normális” maszkot a joker - 255. Ezt követően meg kell venni az oktett, amely eltér a 0 és 255 között ( „görbe” oktett), és vonjuk ki a 255 számot, így megkapjuk az értéke az oktett ( „görbe” oktett) a helyettesítő maszk. Pl maszk 255.255.240.0, meg fog felelni Helyettesítő maszk - 0.0.15.255, 255-240 = 15.

A gyakorlatban ez lesz nagyon sok levél és a képeket, kérjük, legyen türelemmel.

általános információk

Packet Tracer verzió: 6.2.0

Típus: Elmélet és gyakorlat

Már kapott: 14 felhasználók

Kap a teljesítmény

Az aktiváló kód állítható elő végző gyakorlati feladat

16 felhasználók már kapott

a kezdeti adatok

Az összes „manipuláció” alkalmazásával lehet végezni PC0 (vagy más PC a hálózaton).

4.1 ábra: reakcióvázlatban a hálózat a gyakorlati munka

• Hozzon létre egy normál ACL-eket.
• Szűrjük forgalom révén létrehozott ACL.

Kiterjesztett ACL.

• Készítsen Extended ACL.
• Szűrjük forgalom révén létrehozott ACL.

végrehajtás

Normál ACL

Bármilyen ACL (Standard vagy Extended), akkor létrehozhat egy hívó access-list parancs <номер> <действие> <критерий>. Nézzük bedugni.

ACL szám - egy szám, amely meghatározza, hogy mely ACL jön létre, Standard vagy Extended:

• 1-99 - Normál
• 100-199 - Extended

Elkezdjük össze egy csapatot. Már most világos, hogy milyen számok lehet használni, hogy hozzon létre egy normál ACL-eket.

Mi továbbra is össze egy csapatot, add kereset - ban.

A kritérium egy kicsit bonyolultabb, de megérti. Három változatai a következő kritériumoknak:

hozzáférés-lista 11 tagadja fogadó 172.16.27.110

Nagy, de van még egy nagyon fontos pont.

ACL állhat több szabályok, amelyek úgynevezett Access Control bejegyzések (ACE). Fontos tudni, hogy mi van benne az egyes ACL van egy rejtett szabály, amely tiltja az összes. Ezért abban az esetben, „tiltják csak ... és megoldja az összes többi”, a végén meg kell világosan jelzi - „lehetővé teszi mindenki számára.”

A fentiek alapján hozzon létre egy másik szabály „lehetővé teszi az összes”.

hozzáférés-lista 11 vonhatók

Azt javaslom, hogy vezessenek be ezeket a szabályokat a router, és meg kell vizsgálni a parancsot show access-list.

Nézzük a kimeneti show access-list (meg kell jegyezni, hogy ez a parancs megjeleníti az összes létrehozott ACL). Az első sor azt jelzi, hogy standard ACL szám 11 megy ACE felsorolás. Minden ACE saját sorozatszámmal. Alapértelmezésben az első ACE 10-es számú, a második 20, és így tovább ACE minden lépésben 10-et (a jövőben is megtanulják, hogyan kell használni). Most ismét egy nagyon fontos pont.

4.2 ábra ellenőrzése a hálózat rendelkezésre állását 172.16.20.0/22 ​​a PC3, mielőtt a szűrés

4.3 ábra ellenőrzése hálózati rendelkezésre állás 172.16.20.0/22 ​​a PC3, alkalmazása után a szűrési

A 4.2 ábra mutatja a hálózati rendelkezésre állás ellenőrzéséhez 172.16.20.0/22 ​​a PC3, nevezetesen PC3 a PC0. Mint látható, van kapcsolat. Ezután állítsa be az ACL a FastEthernet 0/1 interface parancs ip access-group 11. Nézzük meg, hogy miért a FastEthernet 0/1 interfésze, valamint, hogy miért ezt a paramétert. Ha olyan mozgást csomagot PC3, ez egyszerű. Interface Fa0 / 1 - a legközelebb felület PC3 és kiszűrje a bejövő csomagokat kell a PC3, akkor ezen az jelzi, hogy a paramétereket.

4.3 ábrán Ismét ellenőrizze megközelíthetősége PC3 a PC0, de mint látjuk, a router hibát ad vissza „specifikus gazda nem áll rendelkezésre.” A kép alatt képviselt 4,3 következtetésre mutat access-list parancs, amely megjelent öltés (4 mérkőzés (ek)). Rámutat arra, hogy a jelen szabályok szerint kapott 4 csomag.

Most azt javaslom, hogy a szabály száma 20 művek is (sőt általában dolgoznak ki megfelelően a rekord (483 mérkőzés (ek)). De még mindig jobb, hogy ez a gyakorlatban) ezzel a rendelkezésre álló ellenőrzést CiscoLearning hogy PC0, 4.4 ábra. A kép alatt képviseli a kimeneti mutatják access-list parancs.

4.4 ábra Érdeklõdjön CiscoLearning hogy PC0

Mint látható, az első számú szabály 20 is működik (mint a nagyszámú találat (gyufa) annak a ténynek köszönhető, hogy a háttérben fut lekérdezi a rendelkezésre álló néhány házigazdák és áthaladnak a router). Ha ezt a szabályt nem, akkor minden forgalmat blokkolja „implicit” (láthatatlan) szabály tagadja (további fogjuk próbálni a gyakorlatban).

Most egy kicsit „költészet”, mielőtt a létre egy új ACL. Van egy másik lehetőség, ahol sikerült beállítani az ACL 11, a Fa0 / 0 interfész a irányának. Aztán, hogy kiszűrje a kimenő forgalmat, és a célunk is lehet elérni. DE! Ha a forgalom leszűrjük, mint amik, ami azt jelenti, hogy átmegy a marási folyamatot, és tölti a router csomag feldolgozása erőforrásokat, és csak ezután szűrjük, hogy nem helyes. Ezért javasoljuk, hogy állítsa be a szűrési szabályok, a lehető legközelebb a forrás, hogy ne pazarolja a hardver hálózati eszközök az „extra” tevékenység.

ACL jön létre, szükség van, hogy „lógni” a saját felület. Mielőtt ezeket a tippeket, hogy győződjön meg arról, hogy az összefüggés PC1 és CiscoLearning jelen. Szűrés viszi a Fa0 / 0 interfész. bejövő forgalmat.

Ellenőrizze a rendelkezésre álló, között, PC1 és CiscoLearning, 4.5 ábra. Mi lehet újra látni a hibát, „mondta a gazda nem áll rendelkezésre.”

4.5 ábra Szabad közötti PC1 és CiscoLearnin

Most a kérdésre, hogy hogyan tudod, hogy az ACL az interfészen telepítve? Ez megtalálható a parancsot show running-config (ahol láthatjuk az összes létrehozott ACL), valamint a show ip interface paranccsal. A kimenet az utolsó parancs kell keresni sor kimenő hozzáférési lista ... (kimenő szűrés) és a Bejövő hozzáférési lista ... (szűrés a bejövő forgalom).

Mielőtt a figyelmet a kiterjesztett ACL-t. távolítsa szűrés interfészek és egy ACL-t. Mindent elkövetnek segítségével a „hatalmas” nincs parancs. (Eltávolítása egyes ACL szabályok később tárgyaljuk). ( „Remove” az ACL-t a 12 interfészt, de ne távolítsa el, ha azt akarjuk, hogy egy eredmény!)

kiterjesztett ACL

Most kérdezzük meg a célból, hogy meg kell kiszűrni.

Kiterjesztett ACL kerül meghatározásra a parancs hozzáférési listát <номер> <действие> <тип фильтрации> <критерий>. Mint látható, most van egy másik típusú szűrést. ez annak tudható be, a kritériumoknak, de egy jobb elsajátítását az anyag megkülönböztetik külön tételként.

Amint azt fentebb már ismertettük a ACL száma a 100-tól 199 - kiterjesztett ACL. így elkezd létrehozni ACL lehet - hozzáférés-lista 120.

Továbbá, mivel a Standard ACL. meg kell adnia a műveletet. Például egy tilalmat, majd tovább, hogy össze egy csapat get - hozzáférés-lista 120 tagadja.

Szempontok elemzik részletesen. Először is meg kell határozni, hogy milyen típusú szűrőt kell használni a szabályt. Sokféle, elemzik a legfontosabbak:

Kezdjük egy egyszerű típusú ip. Ezután a csapat lesz átalakult - hozzáférés-lista 120 tagadja ip

Kiváló! Most hozzunk létre az ACL 120, „lefagy” a saját Fa0 / 0 interfész, szűrés az összes bejövő forgalmat. Ne felejtsük el, hogy ha nem oldja meg a többi közlekedési alapértelmezés szerint, hogy nem tartozik a szabályokat az ACL lesz tiltva! Ezért, csak adj egy szabály „lehetővé teszi az összes”.

A 4.6 ábra mutatja ellenőrzése közötti kapcsolat PC2 és sw-kívül-1. Megrajzolása után 4,6, megtalálja az eredmények azt mutatják, access-list parancs.

Ábra 4.6 Szabad közötti PC2 és sw-kívül-1

• eq - ez áll a egyenlő (egyenlő). Például, ekvivalens 70. eszközzel 70-edik port.
• neq - jelentése nem azonos (nem egyenlő). Például, neq 90. eszközökkel nem egyenlő a 90-edik port.
• GT - jelentése nagyobb, mint (nagyobb, mint). Például, GT 1023. azt jelentené tartományban 1.024-65.535 (65535 - ez a legmagasabb port száma).
• LT - jelentése kevesebb, mint (kisebb, mint). Például, LT 2024. azt jelentené, egy sor 1-2023.
• tartományban - ez az attribútum azokat az adott tartományban (tartomány). Például, a 100 és 200 átlagos tartománya 100-200.

És most egy szabályt, amely tagadja az összes többi hozzáférési CiscoLearning 80-as porton, a következő - hozzáférés-lista 120 tagadja tcp minden olyan fogadó 172.16.27.92 ekvivalens 80.

Megtanulják, hogyan kell hozzáadni egy meglévő szabályok ACL, és ugyanabban az időben vegye ki a különleges szabályok az ACL-t. (Legyen nagyon óvatos, távolítsa el a szabályt engedély ip minden olyan - akkor elveszíti a hozzáférést r1!)

Légy bátor! Nem sok.

A parancs ip hozzáférés-lista kiterjesztett 120 mentünk az ACL konfigurációs mód 120 (as parancs ip access-list szabvány <номер>. akkor kapcsoljuk be a standard ACL konfigurációs módban). Csapat nincs 10. eltávolítottuk a 10. szabály, amely korábban alapított. Következő lépésként adja meg, amely az első számú szabály a 7. és 13. Ha nem adja meg a számát az új szabályok, akkor kap egy számot egyenlő a maximális számát az összes szabályt + 10. Mindezek után machinációk, amely eredmények azt mutatják, access-list parancs. tanulni magad (80 helyett számjegyek cisco helyettesíti a szó www).

Elérhetőség CiscoLaerning szerver porton 80 PC1 eszközzel, 4.7 ábra. Önellenőrzés rendelkezésre állás PC0 és újra hivatkozhat a parancsot show access-list. megvizsgálja, hogy a forgalom alá került a szabályokat.

4.7 ábra ellenőrzése a rendelkezésre álló Kiszolgalo1 a 80-as port

Továbbra is az utolsó -, hogy hozzon létre ACL lehetővé teszi a hozzáférést csak CiscoLearning, tacacsGUI és sw-kívül-1.

ACL létrehozásához, akkor más módon, az alábbi parancsot ip access-list <номер | имя>. szimbólum | Ez azt jelenti sem. Megjegyzendő, hogy ezt a parancsot, tudjuk meg a nevét, a ACL, ami sokkal kényelmesebb, mint a beállított számot. Tehát, hogy hozzon létre egy ACL nevű szuper PUPER-acl. meg kell használni a parancsot - ip hozzáférés-lista kiterjesztett szuper PUPER-acl. És akkor a konfigurációs üzemmódban adni ezt ACL szabályt.

Hoztunk létre ACL nevű szuper PUPER-acl. A beállítás az ACL mód. Szabály hozzáadása engedély ip 172.16.27.88 0.0.0.7 bármely (a jelen szabályok szerint, és kap CiscoLearning tacacsGUI), mint nem adja meg a számát, és ez az első szabály, akkor automatikusan hozzárendeli a szám 10. A második szabály, világosan jelzi a szám - 40. FONTOS! Nem adjuk hozzá a szabály „hogy az összes”, így, ha a forgalom nem vonatkoznak ezek a szabályok, akkor blokkolja a rejtett szabály (ezen szabály alapján kapja PC3).

Most magad "hang" ACL szuper PUPER-acl. felületi Fa0 / 1 (a parancs ip access-group szuper PUPER-ACL) és lekérdezi a rendelkezésre álló hálózat CiscoLearning 172.16.20.0/22. És azt is ellenőrizze a rendelkezésre álló hálózat PC3.

ACL nincs hatása által generált forgalom a router maga. Más szóval, a csomagokat az eszköz által keltett maga nem tartoznak az ACL szabály lógott ki minden felületen.

Ha eljut a végéig, akkor kész!

a kezdeti adatok

4.8 ábra reakcióvázlat Laboratorki

A beállítás ellenőrzéséhez használt Connectivity tesztek, azaz ellenőrizni bizonyos kikötők egyes számítógépeken. Ez ad szabad kezet, hogy hozzon létre saját ACL.

Ha megtalálta a hibát a szövegben jelölje ki a szöveget, majd nyomja meg a Ctrl + Enter