شيء آخر نسيت أن أذكره هو أن ACL لا تقوم فقط بتصفية حركة المرور على مبدأ السماح / الرفض ، فهي تؤدي وظائف أخرى كثيرة. على سبيل المثال ، يتم استخدام ACL لتشفير حركة مرور VPN ، ولكن لاجتياز اختبار CCNA ، تحتاج فقط إلى معرفة كيفية استخدامه لتصفية حركة المرور. العودة إلى المشكلة رقم 1.
وجدنا أنه يمكن حظر حركة مرور قسم المبيعات والمبيعات على واجهة خروج R2 باستخدام قائمة ACL المدرجة.
لا تقلق بشأن تنسيق هذه القائمة ، فهناك حاجة فقط كمثال لفهم جوهر قائمة ACL. سنصل إلى التنسيق الصحيح بمجرد بدء استخدام Packet Tracer.
المشكلة رقم 2 هي كما يلي: يمكن للخادم التواصل مع أي مضيفين باستثناء مضيفي قسم الإدارة. بمعنى أنه يمكن لأجهزة كمبيوتر الخادم الوصول إلى أي أجهزة كمبيوتر تابعة لقسم المبيعات والمحاسبة ، ولكن لا ينبغي أن يكون لها حق الوصول إلى أجهزة كمبيوتر قسم الإدارة. هذا يعني أنه لا ينبغي أن يكون لدى موظفي تكنولوجيا المعلومات بالخادم وصول عن بعد إلى كمبيوتر رئيس قسم الإدارة ، وفي حالة حدوث عطل ، تعال إلى مكتبه وحل المشكلة على الفور. ضع في اعتبارك أن هذه المهمة ليس لها أي معنى عملي ، لأنني لا أعرف الأسباب التي تجعل غرفة الخادم غير قادرة على التواصل عبر الشبكة مع قسم الإدارة ، لذلك في هذه الحالة ننظر في دراسة الحالة فقط.
لحل هذه المشكلة ، تحتاج أولاً إلى تحديد طريقة نقل حركة المرور. تنتقل البيانات من الخادم إلى واجهة الإدخال G0 / 1 لجهاز التوجيه R1 ويتم إرسالها إلى قسم الإدارة عبر واجهة الإخراج G0 / 0.
إذا طبقنا شرط الرفض 192.168.1.192/27 على واجهة الإدخال G0 / 1 ، وكما تتذكر ، يتم وضع قوائم ACL القياسية بالقرب من مصدر حركة المرور ، وسنعترض على كل حركة المرور على الإطلاق ، بما في ذلك قسم المبيعات والمحاسبة.
نظرًا لأننا نريد حظر حركة المرور الموجهة إلى قسم الإدارة فقط ، يجب علينا تطبيق قوائم ACL على واجهة الإخراج G0 / 0. يمكنك حل هذه المشكلة فقط عن طريق وضع ACL أقرب إلى الوجهة. في الوقت نفسه ، يجب أن تصل حركة المرور من شبكة المحاسبة وقسم المبيعات بحرية إلى قسم الإدارة ، وبالتالي فإن السطر الأخير من القائمة هو السماح بأي أمر - السماح بأي حركة مرور باستثناء حركة المرور المحددة في الحالة السابقة.
دعنا ننتقل إلى المشكلة 3: يجب ألا يكون الكمبيوتر المحمول 3 من قسم المبيعات قادرًا على الوصول إلى أي أجهزة أخرى غير تلك الموجودة على الشبكة المحلية لقسم المبيعات. افترض أن أحد المتدربين يعمل على هذا الكمبيوتر ولا يجب أن يتجاوز شبكة LAN الخاصة به.
في هذه الحالة ، تحتاج إلى تطبيق ACL على واجهة الإدخال G0 / 1 لجهاز التوجيه R2. إذا قمنا بتعيين عنوان IP 192.168.1.3/25 لهذا الكمبيوتر ، فيجب أن يكون شرط الرفض 192.168.1.3/25 راضيًا ، ويجب ألا يتم حظر حركة المرور من أي عنوان IP آخر ، لذا فإن السماح بأي سيكون هو السطر الأخير من القائمة.
في الوقت نفسه ، لن يكون لحظر المرور أي تأثير على Laptop2.
سيكون التالي هو المهمة 4: يمكن فقط للكمبيوتر PC0 التابع لوزارة المالية الوصول إلى شبكة الخادم ، ولكن ليس إلى قسم الإدارة.
إذا كنت تتذكر ، فإن قائمة التحكم في الوصول (ACL) من Task No. 1 تحظر كل حركة المرور الصادرة على واجهة S0 / 1/0 الخاصة بالموجه R2 ، لكن المهمة رقم 4 تنص على أنه يجب السماح فقط لجهاز PC0 بتمرير حركة المرور ، لذلك يجب علينا استثناء.
يجب أن تساعدك جميع المهام التي نحلها حاليًا في وضع حقيقي عند إعداد قوائم ACL لشبكة المكتب. للراحة ، استخدمت الشكل الكلاسيكي للتسجيل ، لكنني أنصحك بكتابة جميع الأسطر يدويًا على الورق أو طباعتها على جهاز كمبيوتر حتى تتمكن من إجراء تصحيحات على التسجيلات. في حالتنا ، وفقًا لشروط المهمة رقم 1 ، يتم تجميع قائمة ACL الكلاسيكية. إذا أردنا إضافة استثناء له على PC0 من النوع Permit <IP address of PC0> ، فيمكننا وضع هذا السطر في المرتبة الرابعة فقط في القائمة ، بعد السطر Permit Any. ومع ذلك ، نظرًا لأن عنوان هذا الكمبيوتر موجود في نطاق عنوان التحقق من حالة رفض 192.168.1.128/26 ، فسيتم حظر حركة المرور الخاصة به فور الوفاء بهذا الشرط ولن يصل جهاز التوجيه ببساطة إلى السطر الرابع الذي يسمح بحركة المرور من عنوان IP هذا.
لذلك ، سيتعين علي إعادة ACL للمهمة 1 بالكامل ، وحذف السطر الأول واستبداله بسطر التصاريح 192.168.1.130/26 ، الذي يسمح بحركة مرور PC0 ، ثم أعد إدخال الخطوط التي تحظر جميع زيارات إدارة المحاسبة والمبيعات.
وبالتالي ، في السطر الأول ، لدينا أمر لعنوان محدد ، وفي السطر الثاني - أمر مشترك للشبكة بالكامل التي يوجد بها هذا العنوان. إذا كنت تستخدم نوعًا حديثًا من ACL ، فيمكنك إجراء تغييرات عليه بسهولة من خلال وضع سطر التصاريح 192.168.1.130/26 كأمر أول. إذا كان لديك ACL كلاسيكي ، فستحتاج إلى إزالته بالكامل ثم إعادة إدخال الأوامر بالترتيب الصحيح.
يتمثل حل المشكلة رقم 4 في وضع سطر التصاريح 192.168.1.130/26 في الجزء العلوي من قائمة التحكم في الوصول من المهمة رقم 1 ، لأنه في هذه الحالة فقط ستترك حركة مرور PC0 واجهة الإخراج الخاصة بالموجه R2 دون عائق. سيتم حظر حركة مرور PC1 تمامًا لأن عنوان IP الخاص به يخضع للحظر الوارد في السطر الثاني من القائمة.
سننتقل الآن إلى Packet Tracer لإجراء الإعدادات اللازمة. لقد قمت بالفعل بتهيئة عناوين IP لجميع الأجهزة لأن المخططات السابقة المبسطة كانت صعبة الفهم قليلاً. بالإضافة إلى ذلك ، قمت بتكوين RIP بين الموجهين. في طبولوجيا الشبكة المعطاة ، يمكن الاتصال بين جميع الأجهزة المكونة من 4 شبكات فرعية دون أي قيود. ولكن بمجرد تطبيق ACL ، ستبدأ تصفية حركة المرور.
سأبدأ من قسم المالية PC1 وأحاول تنفيذ الأمر ping على عنوان IP 192.168.1.194 ، الذي ينتمي إلى Server0 الموجود في غرفة الخادم. كما ترون ، فإن اختبار ping ناجح دون أي مشاكل. لقد نجحت أيضًا في اختبار الكمبيوتر المحمول التابع لقسم الإدارة Laptop0. يتم التخلص من الحزمة الأولى بسبب ARP ، أما العناصر الثلاثة المتبقية فهي تتعرض لضغوطات بحرية.
من أجل تنظيم تصفية حركة المرور ، انتقل إلى إعدادات جهاز التوجيه R2 ، وقم بتنشيط وضع التكوين العام وسأقوم بإنشاء قائمة ACLs ذات المظهر العصري. لدينا أيضا ACL 10 الكلاسيكية. لإنشاء القائمة الأولى ، أقوم بإدخال أمر تحتاج فيه إلى تحديد نفس اسم القائمة الذي كتبناه على الورق: ACL Secure_Ma_And_Se القياسي لقائمة وصول IP. بعد ذلك ، يعطي النظام تلميحات للمعلمات المحتملة: يمكنني تحديد الرفض أو الخروج أو لا أو التصريح أو الملاحظة ، وكذلك إدخال رقم التسلسل من 1 إلى 2147483647. إذا لم أقوم بذلك ، فسيقوم النظام بتعيينه تلقائيًا.
لذلك ، لا أقوم بإدخال هذا الرقم ، لكنني على الفور انتقل إلى الأمر host host 192.168.1.130 ، لأن هذا الإذن صالح لجهاز PC0 معين. يمكنني أيضًا استخدام قناع البدل ، والآن سأعرض كيفية القيام بذلك.
بعد ذلك ، أدخِل الأمر "رفض 192.168.1.128". نظرًا لأن لدينا / 26 ، أستخدم القناع الخلفي وأكمل الأمر به: رفض 192.168.1.128 0.0.0.63. وبالتالي ، أرفض 192.168.1.128/26 حركة مرور الشبكة.
وبالمثل ، أحظر حركة المرور من الشبكة التالية: رفض 192.168.1.0 0.0.0.127. كل حركة المرور الأخرى مسموح بها ، لذلك أنا أدخل تصريح أي أمر. بعد ذلك ، لا بد لي من تطبيق هذه القائمة على الواجهة ، ولذا فإنني استخدم الأمر int s0 / 1/0. ثم اكتب ip access-group Secure_Ma_And_Se ، ويعطي النظام تلميحًا مع اختيار واجهة - للحزم الواردة والخروج للحزم الصادرة. نحتاج إلى تطبيق قائمة التحكم في الوصول (ACL) على واجهة المخرجات ، ولذا فإنني أستخدم الأمر Secure -Ma_And_Se-out - group access-ip.
نذهب إلى سطر الأوامر PC0 ونجري ping لعنوان IP 192.168.1.194 ، الذي ينتمي إلى Server0. Ping ناجح ، حيث استخدمنا شرط ACL خاص لحركة مرور PC0. إذا فعلت نفس الشيء من PC1 ، فسيقوم النظام بخطأ: "المضيف الوجهة غير متوفر" ، لأن حركة المرور من عناوين IP محاسبية أخرى محظورة للوصول إلى الخادم.
من خلال تسجيل الدخول إلى جهاز توجيه CLI of R2 وكتابة أمر show ip-lists ، يمكنك أن ترى كيف تم توجيه حركة مرور شبكة الإدارة المالية - إنها توضح عدد المرات التي تم فيها تخطي ping وفقًا للإذن وعدد المرات التي تم حظرها وفقًا للحظر.
يمكننا دائمًا الانتقال إلى إعدادات جهاز التوجيه ومشاهدة قائمة الوصول. وبالتالي ، يتم استيفاء شروط المهام رقم 1 ورقم 4. اسمحوا لي أن أريك شيئا آخر. إذا كنت ترغب في إصلاح شيء ما ، فيمكنني إدخال وضع التكوين العام لإعدادات R2 ، وإدخال أمر Secure_Ma_And_Se في قائمة وصول بروتوكول الإنترنت القياسي ، ثم الأمر "المضيف 192.168.1.130 غير مسموح به" - لا يوجد مضيف إذن 192.168.1.130.
إذا نظرنا إلى قائمة الوصول مرة أخرى ، فسنرى أن السطر 10 قد اختفى ، ولم يتبق سوى سطور 20 و 30 و 40. وبهذه الطريقة ، يمكنك تحرير قائمة وصول ACL في إعدادات جهاز التوجيه ، ولكن فقط إذا لم يكن ذلك في شكل كلاسيكي.
الآن دعنا ننتقل إلى ACL الثالث ، لأنه يتعلق أيضًا بجهاز التوجيه R2. تقول أن أي حركة مرور من Laptop3 يجب ألا تترك شبكة قسم المبيعات. في هذه الحالة ، يجب أن يتصل Laptop2 بأجهزة الكمبيوتر التابعة للإدارة المالية دون أي مشاكل. للتحقق من ذلك ، أقوم بإجراء اختبار ping لعنوان IP 192.168.1.130 من هذا الكمبيوتر المحمول وتأكد من أن كل شيء يعمل.
الآن سوف أذهب إلى سطر الأوامر الخاص بـ Laptop3 وأجري ping على العنوان 192.168.1.130. نجاح Pinging ، لكننا لسنا في حاجة إليه ، نظرًا لحالة المهمة ، لا يمكن للكمبيوتر المحمول سوى التواصل مع Laptop2 الموجود على نفس شبكة قسم المبيعات. للقيام بذلك ، قم بإنشاء ACL آخر باستخدام الطريقة الكلاسيكية.
سأرجع إلى إعدادات R2 وأحاول استرداد السجل المحذوف 10 باستخدام أمر مضيف التصريح 192.168.1.130. سترى أن هذا الإدخال ظهر في نهاية القائمة بالرقم 50. ومع ذلك ، لن يعمل الوصول على أي حال ، لأن السطر الذي يحتوي على دقة مضيف معين يقع في نهاية القائمة ، والخط الذي يحظر كل حركة مرور الشبكة في أعلى القائمة. إذا حاولنا إجراء اختبار ping لجهاز الكمبيوتر المحمول لإدارة Laptop0 من جهاز الكمبيوتر PC0 ، فسوف نحصل على الرسالة "المضيف الوجهة غير متوفر" ، على الرغم من أن قائمة ACL لديها سجل السماح في الرقم 50.
لذلك ، إذا كنت ترغب في تحرير قائمة ACL حالية ، فأنت بحاجة إلى إدخال الأمر 192.168.1.130 لمضيف التصريح في وضع R2 (config-std-nacl) ، والتحقق من أن السطر 50 قد اختفى من القائمة ، وأدخل الأمر 10.1 192.168.1.130 لمضيف التصريح. نرى الآن أن القائمة اكتسبت شكلها الأصلي ، حيث أخذ هذا الإدخال السطر الأول. تساعد أرقام التسلسل في تحرير القائمة بأي شكل ، وبالتالي فإن نموذج ACL الحديث أكثر ملاءمة من النموذج الكلاسيكي.
الآن سأوضح كيف يعمل النموذج الكلاسيكي ACL 10. لاستخدام القائمة الكلاسيكية ، تحتاج إلى إدخال قائمة الوصول 10 - الأوامر ، وبعد المطالبة ، حدد الإجراء المطلوب: الرفض أو التصريح أو الملاحظة. ثم أقوم بإدخال الوصول إلى السطر - قائمة رفض 10 المضيف ، وبعد ذلك اكتب الوصول إلى الأمر - قائمة 10 رفض 192.168.1.3 وإضافة قناع إلى الوراء. نظرًا لأن لدينا مضيفًا ، يكون قناع الشبكة الفرعية المباشر هو 255.255.255.255 ، والعائد هو 0.0.0.0. نتيجة لذلك ، لحظر حركة مرور المضيف ، يجب أن أدخل الأمر access - list 10 deny 192.168.1.3 0.0.0.0. بعد ذلك ، تحتاج إلى تحديد أذونات ، والتي اكتب الوصول إلى الأوامر - قائمة 10 تسمح بها. يجب تطبيق هذه القائمة على واجهة G0 / 1 لجهاز التوجيه R2 ، لذلك أقوم بالتسلسل بإدخال الأوامر في g0 / 1 و ip access-group 10 in. بغض النظر عما إذا كانت القائمة مستخدمة أم كلاسيكية أم حديثة ، يتم تنفيذ هذه القائمة على الواجهة بنفس الأوامر.
للتحقق من الإعدادات ، انتقل إلى محطة سطر الأوامر Laptop3 وأحاول تنفيذ الأمر ping على عنوان IP 192.168.1.130 - كما ترون ، يبلغ النظام أن المضيف الوجهة غير متوفر.
اسمحوا لي أن أذكرك أنه يمكنك استخدام الأمر show ip access-lists والأمر show access-lists للتحقق من القائمة. يجب أن نحل مشكلة أخرى تتعلق بجهاز التوجيه R1. للقيام بذلك ، انتقل إلى CLI لهذا الموجه وانتقل إلى وضع التكوين العام وأدخل الأمر Secure -Ma_From_Se في قائمة الوصول إلى قائمة IP القياسية. نظرًا لأن لدينا شبكة 192.168.1.192/27 ، سيكون قناع الشبكة الفرعية هو 255.255.255.224 ، مما يعني أن القناع العكسي سيكون 0.0.0.31 وستحتاج إلى إدخال الأمر رفض 192.168.1.192 0.0.0.31. نظرًا لأن كل حركة المرور الأخرى مسموح بها ، فإن القائمة تنتهي بالتصريح بأي أمر. من أجل تطبيق قائمة التحكم في الوصول (ACL) على واجهة الإخراج الخاصة بالموجه ، يتم استخدام الأمر Secure_Ma_From_Se out-group-group ip access.
سأنتقل الآن إلى سطر أوامر Server0 الخاص بالخادم وأحاول اختبار الأمر Management0 Laptop0 على عنوان IP 192.168.1.226. أخفقت المحاولة ، لكن إذا أرسلت رسالة ping إلى العنوان 192.168.1.130 ، فسيتم إنشاء الاتصال دون مشاكل ، أي نمنع كمبيوتر الخادم من التواصل مع قسم الإدارة ، لكن سمحنا بالتواصل مع جميع الأجهزة الأخرى في الأقسام الأخرى. وبالتالي ، نجحنا في حل جميع المشاكل 4.
اسمحوا لي أن أريك شيئا آخر. نذهب إلى إعدادات جهاز التوجيه R2 ، حيث لدينا نوعان من قوائم ACL - الكلاسيكية والحديثة. لنفترض أنني أريد تحرير ACL 10 ، قائمة الوصول إلى IP القياسية 10 ، والتي تتكون في الشكل الكلاسيكي من إدخالي 10 و 20. إذا كنت تستخدم الأمر do show run ، يمكنك أن ترى أنه في البداية لدينا قائمة وصول حديثة من 4 إدخالات دون الأرقام تحت العنوان العام Secure_Ma_And_Se ، وأدناه مدخلات ACL 10 من النموذج الكلاسيكي مع تكرار اسم قائمة الوصول نفسها 10.
إذا أردت إجراء بعض التغييرات ، على سبيل المثال ، حذف إدخال رفض المضيف 192.168.1.3 وأدخل إدخال الجهاز من شبكة أخرى ، فأنا بحاجة إلى استخدام أمر الحذف لهذا الإدخال فقط: لا توجد قائمة وصول 10 تمنع المضيف 192.168.1.3. ولكن بمجرد إدخال هذا الأمر ، ستختفي جميع الإدخالات في ACL 10. تمامًا ، ولهذا السبب فإن المظهر الكلاسيكي لـ ACL غير مريح للغاية للتحرير. طريقة التسجيل الحديثة هي أكثر ملاءمة للاستخدام ، لأنها تسمح بالتحرير المجاني.
لكي تتعلم مادة هذا الفيديو التعليمي ، أنصحك بمراجعته مرة أخرى ومحاولة حل المشكلات بنفسك دون مطالبات. دوري أبطال آسيا هو موضوع مهم في دورة CCNA ، والكثير منهم يشعرون بالحرج ، على سبيل المثال ، من خلال إنشاء قناع بدل. أؤكد لكم أنه يكفي فهم مفهوم تحويل القناع ، وسيصبح كل شيء أكثر بساطة. تذكر أن أهم شيء في فهم مواضيع دورة CCNA هو التدريب العملي ، لأن الممارسة فقط سوف تساعدك على فهم مفهوم Cisco معين. الممارسة ليست نسخة من فرقي بل هي حل المشكلات بطريقتي الخاصة. اطرح الأسئلة على نفسك: ما يجب القيام به لمنع تدفق حركة المرور من هنا إلى مكان تطبيق الشروط وما إلى ذلك ، ومحاولة الإجابة عليها.
شكرا لك على البقاء معنا. هل تحب مقالاتنا؟ تريد أن ترى المزيد من المواد المثيرة للاهتمام؟ ادعمنا عن طريق تقديم طلب أو التوصية به لأصدقائك ،
خصم 30 ٪ لمستخدمي Habr على تناظرية فريدة من خوادم الدخول التي اخترعناها لك: الحقيقة الكاملة حول VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1 جيجابت في الثانية من 20 $ أو كيفية تقسيم الخادم؟ (تتوفر خيارات مع RAID1 و RAID10 ، ما يصل إلى 24 مركزًا وما يصل إلى 40 جيجابايت من ذاكرة DDR4).
ديل R730xd 2 مرات أرخص؟ فقط لدينا
2 من Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6 جيجا هرتز 14 جيجا بايت 64 جيجا بايت DDR4 4 × 960 جيجا بايت SSD 1 جيجابت في الثانية 100 TV من 199 دولار في هولندا! Dell R420 - 2x E5-2430 سعة 2 جيجا هرتز 6 جيجا بايت 128 جيجا بايت ذاكرة DDR3 2x960GB SSD بسرعة 1 جيجابت في الثانية 100 تيرابايت - من 99 دولارًا! اقرأ عن
كيفية بناء البنية التحتية فئة باستخدام خوادم V4 R730xd E5-2650d تكلف 9000 يورو عن بنس واحد؟