что такое обратная маска подсети
Динамическая маршрутизация на протоколах RIP и EIGRP
Протокол OSPF
OSPF ( Open Shortest Path First ) — протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала link-state ( LSA ). Основан на алгоритме для поиска кратчайшего пути. Отслеживание состояния канала требует отправки объявлений о состоянии канала ( LSA ) на активные интерфейсы всех доступных маршрутизаторов зоны. В этих объявлениях содержится описание всех каналов маршрутизатора и стоимость каждого канала. LSA сообщения отправляются, только если произошли какие-либо изменения в сети, но раз в 30 минут LSA сообщения отправляются в принудительном порядке. Протокол реализует деление автономной системы на зоны (areas). Использование зон позволяет снизить нагрузку на сеть и процессоры маршрутизаторов и уменьшить размер таблиц маршрутизации.
Описание работы протокола:
Прямая и обратная маска
Шаблонная маска (wildcard mask) — маска, указывающая на количество хостов сети. Является дополнением для маски подсети. Вычисляется по формуле для каждого из октетов маски подсети как 255-маска_подсети. Например, для сети 192.168.1.0 и маской подсети 255.255.255.242 шаблонная маска будет выглядеть как 0.0.0.13. Шаблонная маска используется в настройке некоторых протоколов маршрутизации, а также является удобным параметром ограничений в списках доступа.
Расчёт Wildcard mask
Самостоятельно
Дана прямая маска 255.255.255.248. Выполните расчет и докажите, что обратная равна 0.0.0.7.
Практическая работа 8-2-1. Пример конфигурирования протокола OSPF для 4-х устройств
Соберите схему, изображенную на рис. 8.18.
Настройка роутеров
Выполним конфигурирование R1 ( рис. 8.19).
Теперь выполним настройки R2 ( рис. 8.20).
Если вам потребуется в CPT сбросить настройки роутера, то следует выключить его тумблер питания, а затем снова включить.
Проверка результата
Для проверки маршрутизации пропингуем ПК из разных сетей ( рис. 8.21).
Практическая работа 8-2-2. Настройка маршрутизации по протоколу OSPF для 6 устройств
Постройте следующую схему ( рис. 8.22).
Настроим loopback интерфейс на R1
На R1 настроим программный loopback интерфейс — алгоритм, который направляет полученный сигнал (или данные) обратно отправителю ( рис. 8.23).
IPv4-адрес, назначенный loopback-интерфейсу, может быть необходим для процессов маршрутизатора, в которых используется IPv4-адрес интерфейса в целях идентификации. Один из таких процессов — алгоритм кратчайшего пути (OSPF). При включении интерфейса loopback для идентификации маршрутизатор будет использовать всегда доступный адрес интерфейса loopback, а не IP-адрес, назначенный физическому порту, работа которого может быть нарушена. На маршрутизаторе можно активировать несколько интерфейсов loopback. IPv4-адрес для каждого интерфейса loopback должен быть уникальным и не должен быть задействован другим интерфейсом.
Настраиваем протокол OSPF на R1
Включаем OSPF на R1, все маршрутизаторы должны быть в одной зоне area 0 ( рис. 8.24).
Подводим курсор мыши к R1 и наблюдаем результат наших настроек ( рис. 8.25).
Обратите внимание, что физически порта 192.168.100.1 нет, он существует только логически (программно).
Настроим loopback интерфейс на R2
На R2 настроим программный loopback интерфейс по аналогии с R1 ( рис. 8.26).
Настраиваем OSPF на R2
Включаем протокол OSPF на R2, все маршрутизаторы должны быть в одной зоне area 0 ( рис. 8.27).
Подводим курсор мыши к R2 и наблюдаем результат наших настроек ( рис. 8.28).
Настраиваем loopback интерфейс на R3
Делаем все аналогично ( рис. 8.29).
Настраиваем протокол OSPF на R3
Здесь делаем все, как раньше ( рис. 8.30).
Проверяем работу сети
Убеждаемся, что роутер R3 видит R2 и R1 ( рис. 8.32).
Теперь посмотрим таблицу маршрутизации для R3 ( рис. 8.33).
В этой таблице запись с буквой «О» говорит о том, что данный маршрут прописан протоколом OSPF. Мы видим, что сеть 192.168.1.0 доступна для R3 через адрес 10.10.11.1 (это порт gig0/1 маршрутизатора R1). Аналогично, сеть 192.168.2.0 доступна для R3 через адрес 10.10.12.1 (это порт gig0/1 маршрутизатора R2).
Теперь проверяем доступность разных сетей ( рис. 8.34).
Выполняю установку, настройку, сопровождение серверов. Для уточнения деталей используйте форму обратной связи
В оборудовании cisco (а может быть и других) иногда приходится использовать обратную маску, то есть не привычную нам 255.255.255.0, а 0.0.0.255. Когда же нужно использовать прямую, а когда обратную? Об этом поговорим в этой статье.
Сразу скажу, что в англоязычной литературе используются такие термины
— Wildcard mask — обратная маска
— Subnet mask — прямая маска
Обратная маска используется в access list’ах (кроме cisco ASA), описании сетей в OSPF. Прямая маска используется во всех остальных случаях. Количество прямых масок — 33, обратных — 4294967296.
Связь, между обратной и прямой маской: в сумме эти маски по каждому разряду должны составлять 255. Пример:
прямая — 255.255.255.248, обратная будет — 0.0.0.7.
Очень хорошо пример использования обратных масок представлен здесь. А здесь более подробное объяснение.
Для его она может применяться?
Например, вы сможете выделить во всех подсетях хосты с адресом 10.5.Х.123 и разрешить им доступ в Интернет. Или отделить все чётные адреса от нечётных и реализовать распределение трафика ровно пополам на основе адреса отправителя.
Отличие заключается также в том, что прямая маска оперирует сетями, а обратная — хостами.
Обратная маска
Класс A: 8 бит для номера сети 24 бита для номера хоста
Класс B: 16 бит на сеть и 16 бит на хост
Класс C: 24 бита на сеть 8 бит на хост
Представление маски подобным образом, вполне, соотносится с термином битовой маски, т.е. единицы и нули определяют действия над конкретными битами в исходном числе, но плохо соотносится с форматом IP адреса – номер сети всегда определяется битами вначале, номер хоста битами в конце. Поэтому представление маски в виде 32-х битного поля является избыточным. Для однозначного определения маски можно определить только количество подряд идущих единиц с начала IP адреса от 0 до 32 – префиксное обозначение, обычно записывается через дробь после IP адреса: для примера выше 10.10.0.1/22 – 22 бита номер сети и 32-22=10 бит номер хоста. Если говорит про IPv6 адрес, то там определяется только префиксная запись маски/адреса – 2001:d8:a15e::1/48
Теперь представим маску таким образом, чтобы единицы определяли те биты в IP адресе которые формируют номер хоста, а нули те биты которые формируют номер сети, в результате получаем инверсную маску:
Это то что умеет делать любой, или почти любой, сетевой калькулятор, здесь не двоичная арифметика, точнее не арифметика, а базовые манипуляции по переводу чисел между системами счисления.
Получение инверсной маски из прямой, и обратное действие осуществляется инвертированием битового поля – замена 0 на 1, а 1 на 0. Если использовать десятичное представление то получение инверсной маски вычисляется следующим образом: от 255 отнимается число соответствующее значению октета в прямой маске, для примера выше:
Используя термин инверсная маска, я умышленно исказил общепринятое название русскоязычного термина – обратная маска (invers mask, wildcard mask) – потому что обратная маска это гораздо более мощный механизм чем просто другое обозначение битов для нумерации сети и хоста в IP адресе. Обратная маска не обязана содержать подряд идущие единицы или нули, и единицы это не просто обозначение области хоста в IP адресе. Единицы это обозначение битов в IP адресе, которые могут меняться при проверке условий, а нули фиксируют неизменные биты. То есть русскоязычный термин обратная маска больше соответствует «wildcard mask», нежели «invers mask», хотя в технической документации употребляется оба в одинаковых смыслах.
Область применения обратной маски это условные операции с IP адресами в cisco like интерфейсе и идеологии (не только cisco устройства). К этим областям относятся в частности списки доступа (ACL) – позволяет создавать не просто условия хост из этой сети, а гораздо более гибкие правила и определение сетей, а также в конфигурировании протоколов маршрутизации, OSPF например – позволяет создавать компактные правила для анонса не подряд идущих сетей.
Решим задачу запрета доступа с нечётных хостов из сети 192.168.0.0/24 куда либо. Если в нашем распоряжении есть только прямая маска, то нам надо составить правило на каждое из нечётных чисел в этой сети. От 192.168.0.1 до 192.168.0.253. IP 192.168.0.255 является широковещательным адресом и нам его обрабатывать не надо. Получаем (в нотации cisco):
access-list 101 deny ip 192.168.0.1 255.255.255.255 any
В конце мы разрешили доступ всему что мы не запретили. Теперь надо ассоциировать этот ACL с нужным интерфейсом, Fa0/1 например:
Используем обратную маску, напомню, что 1 – биты которые могут меняться, 0 которые не могут. Маска /24 = 255.255.255.0 в инверсной маске имеет 0.0.0.255 или 00000000.00000000.00000000.11111111. То есть последний октет может меняться во всех битах, но мы знаем что 0 бит надо оставить неизменным, поэтому изменим обратную маску следующим образом: 00000000.00000000.00000000.11111110 или 0.0.0.254. Заметим что если мы преобразуем эту запись в прямую маску, по правилам для инверсной маски то получится 255.255.255.1, что является неверной записью для маски, и с этим сетевой калькулятор уже не справится (или я их не видел).
Значит наша сеть 192.168.0.0/24 должна в последнем октете нулевом бите всегда иметь 1, то есть 192.168.0.1 с обратной маской 0.0.0.254.
Единицы в обратной маске это изменяемые биты в адресе — это биты в последнем октете со 1 по 7, с их использованием и нулевым битом всегда равным единице, мы можем составить любое нечётное число от 1 до 255.
Теперь напишем ACL, т.к. значение IP 192.168.0.255, имеет специальный смысл, разрешим его в первой строчке, иначе оно тоже будет запрещено:
Итого: 3 строчки вместо 128, можно сказать «Ого!».
Усложним задачу, нечётным должен быть предпоследний октет в подсетях 192.168.0.0/16. То есть для сетей 192.168.1.0/24, 192.168.3.0/24 и т.д. доступ надо закрыть. Изменим нашу обратную маску – инверсная маска для /16 = 0.0.255.255, предпоследний октет, мы по аналогии с первым примером сделаем 254, итого получим 0.0.254.255. И наши сети должны иметь нечётный предпослений октет 192.168.1.0 с обратной маской 0.0.254.255.
В качестве закрепления материала, можно попробовать составить последний ACL с использованием только инверсной маски (т.е. где 0 и 1 идут строго подряд, в начале и соответственно в конце записи), и посчитать выгоду в количестве строчек.
Возможный вопрос, что делать если надо запретить чётные сети: в чётных числах нулевой бит всегда равен 0, соответственно вместо единички ставим 0. Для первого примера, всё тоже, но чётные хосты:
Очень много споров слышал по поводу: насколько часто данный механизм применяется на практике. За 4 года работы в отрасли применял только один раз, но этот раз позволил сократить ACL с несколько тысяч записей, если бы использовались стандартные маски (или просто инверсия к стандартной маске) до одной, собственно пример этого есть выше.
ИТ База знаний
Полезно
— Онлайн генератор устойчивых паролей
— Онлайн калькулятор подсетей
— Руководство администратора FreePBX на русском языке
— Руководство администратора Cisco UCM/CME на русском языке
— Руководство администратора по Linux/Unix
Навигация
Серверные решения
Телефония
FreePBX и Asterisk
Настройка программных телефонов
Корпоративные сети
Протоколы и стандарты
Wildcard в ACL: бинарные обратные маски
Полный курс по Сетевым Технологиям
В курсе тебя ждет концентрат ТОП 15 навыков, которые обязан знать ведущий инженер или senior Network Operation Engineer
Обратные маски, такие как значения dotted-decimal number (DDN), фактически представляют собой 32-разрядное двоичное число. Как 32-разрядное число, маска WC фактически направляет логику маршрутизатора бит за битом. Короче говоря, бит маски WC (wildcard), равный 0, означает, что сравнение должно выполняться как обычно, но двоичный 1 означает, что бит является подстановочным знаком и может быть проигнорирован при сравнении чисел.
Вы можете игнорировать двоичную маску WC. Почему? Что ж, обычно мы хотим сопоставить диапазон адресов, которые можно легко идентифицировать по номеру подсети и маске, будь то реальная подсеть или сводный маршрут, который группирует подсети вместе. Если вы можете указать диапазон адресов с помощью номера подсети и маски, вы можете найти числа для использования в вашем ACL с помощью простой десятичной математики, как описано далее.
Если вы действительно хотите знать логику двоичной маски, возьмите два номера DDN, которые ACL будет сравнивать (один из команды access-list, а другой из заголовка пакета), и преобразуйте оба в двоичный код. Затем также преобразуйте маску WC в двоичную. Сравните первые два двоичных числа бит за битом, но также игнорируйте любые биты, для которых маска WC случайно перечисляет двоичный 1, потому что это говорит вам игнорировать бит. Если все биты, которые вы проверили, равны, это совпадение!
Нахождения правильной обратной маски, соответствующей подсети
Во многих случаях ACL должен соответствовать всем хостам в определенной подсети. Чтобы соответствовать подсети с помощью ACL, вы можете использовать следующие сочетания:
Например, для подсети 172.16.8.0 255.255.252.0 используйте номер подсети (172.16.8.0) в качестве параметра адреса, а затем выполните следующие вычисления, чтобы найти обратную маску:
Продолжая этот пример, завершенная команда для той же подсети будет следующей:
Соответствие любому/всем адресам
В некоторых случаях вам может понадобиться одна команда ACL для сопоставления всех без исключения пакетов, которые достигают этой точки в ACL. Во-первых, вы должны знать (простой) способ сопоставить все пакеты с помощью ключевого слова any. Что еще более важно, вам нужно подумать о том, когда сопоставить все без исключения пакеты.
Во-первых, чтобы сопоставить все пакеты с помощью команды ACL, просто используйте ключевое слово any для адреса. Например, чтобы разрешить все пакеты:
Итак, когда и где вы должны использовать такую команду? Помните, что все ACL Cisco IP заканчиваются неявным отрицанием любой концепции в конце каждого ACL. То есть, если маршрутизатор сравнивает пакет с ACL, и пакет не соответствует ни одному из настроенных операторов, маршрутизатор отбрасывает пакет. Хотите переопределить это поведение по умолчанию? Настроить permit any в конце ACL.
Вы также можете явно настроить команду для запрета всего трафика (например, access-list 1 deny any) в конце ACL. Почему, когда та же самая логика уже находится в конце ACL? Что ж, ACL показывает счетчики списка для количества пакетов, соответствующих каждой команде в ACL, но нет счетчика для этого не явного запрета любой концепции в конце ACL. Итак, если вы хотите видеть счетчики количества пакетов, совпадающих с логикой deny any в конце ACL, настройте явное deny any.
Внедрение стандартных IP ACL
В этой лекции уже представлены все этапы настройки по частям. Далее суммируются все эти части в единую конфигурацию. Эта конфигурация основана на команде access-list, общий синтаксис которой повторяется здесь для справки:
Этап 1. Спланируйте локацию (маршрутизатор и интерфейс) и направление (внутрь или наружу) на этом интерфейсе:
Этап 2. Настройте одну или несколько команд глобальной конфигурации списка доступа для создания ACL, учитывая следующее:
Этап 3. Включите ACL на выбранном интерфейсе маршрутизатора в правильном направлении, используя подкоманду ip access-group number
Далее рассмотрим несколько примеров.
Стандартный нумерованный список ACL, пример 1
В первом примере показана конфигурация для тех же требований, что и на рисунках 4 и 5. Итак, требования для этого ACL следующие:
В примере 1 показана завершенная правильная конфигурация, начиная с процесса настройки, за которым следует вывод команды show running-config.
Во-первых, обратите внимание на процесс настройки в верхней части примера. Обратите внимание, что команда access-list не изменяет командную строку из приглашения режима глобальной конфигурации, поскольку команда access-list является командой глобальной конфигурации. Затем сравните это с выводом команды show running-config: детали идентичны по сравнению с командами, которые были добавлены в режиме конфигурации. Наконец, не забудьте указать ip access-group 1 в команде под интерфейсом R2 S0/0/1, который включает логику ACL (как локацию, так и направление).
В примере 2 перечислены некоторые выходные данные маршрутизатора R2, которые показывают информацию об этом ACL. Команда show ip access-lists выводит подробную информацию только о списках ACL IPv4, а команда show access-lists перечисляет сведения о списках ACL IPv4, а также о любых других типах ACL, настроенных в настоящее время, например, списки ACL IPv6.
Вывод этих команд показывает два примечания. В первой строке вывода в этом случае указывается тип (стандарт) и номер. Если существовало более одного ACL, вы бы увидели несколько разделов вывода, по одной на каждый ACL, каждая со строкой заголовка, подобной этой. Затем эти команды перечисляют счетчики пакетов для количества пакетов, которые маршрутизатор сопоставил с каждой командой. Например, на данный момент 107 пакетов соответствуют первой строке в ACL.
Наконец, в конце примера перечислены выходные данные команды show ip interface. Эта команда перечисляет, среди многих других элементов, номер или имя любого IP ACL, включенного на интерфейсе для подкоманды интерфейса ip access-group.
Стандартный нумерованный список ACL, пример 2
Если вы просмотрите все запросы начальника, требования могут быть сокращены до следующего:
Как оказалось, вы не можете сделать все, что просил ваш начальник, с помощью стандартного ACL. Например, рассмотрим очевидную команду для требования номер 2: access-list 2 permit 10.2.2.1. Это разрешает весь трафик с исходным IP-адресом 10.2.2.1 (сервер S1). Следующее требование просит вас фильтровать (отклонять) пакеты, полученные с того же IP-адреса! Даже если вы добавите другую команду, которая проверяет исходный IP-адрес 10.2.2.1, маршрутизатор никогда не доберется до него, потому что маршрутизаторы используют логику первого совпадения при поиске в ACL. Вы не можете проверить и IP-адрес назначения, и исходный IP-адрес, потому что стандартные ACL не могут проверить IP-адрес назначения.
Чтобы решить эту проблему, вам следует переосмыслить проблему и изменить правила. В реальной жизни вы, вероятно, вместо этого использовали бы расширенный ACL, который позволяет вам проверять как исходный, так и целевой IP-адрес.
Представьте себе, что ваш начальник позволяет вам изменять требования, чтобы попрактиковаться в другом стандартном ACL. Во-первых, вы будете использовать два исходящих ACL, оба на маршрутизаторе R1. Каждый ACL разрешает пересылку трафика с одного сервера в эту подключенную локальную сеть со следующими измененными требованиями:
Пример 3 показывает конфигурацию, которая удовлетворяет этим требованиям.
Как показано в примере, решение с номером ACL 2 разрешает весь трафик с сервера S1, при этом эта логика включена для пакетов, выходящих из интерфейса F0/0 маршрутизатора R1. Весь другой трафик будет отброшен из-за подразумеваемого запрета all в конце ACL. Кроме того, ACL 3 разрешает трафик от сервера S2, которому затем разрешается выходить из интерфейса F0/1 маршрутизатора R1. Также обратите внимание, что решение показывает использование параметра примечания списка доступа, который позволяет оставить текстовую документацию, которая остается в ACL.
Когда маршрутизаторы применяют ACL для фильтрации пакетов в исходящем направлении, как показано в Примере 2, маршрутизатор проверяет пакеты, которые он направляет, по списку ACL. Однако маршрутизатор не фильтрует пакеты, которые сам маршрутизатор создает с помощью исходящего ACL. Примеры таких пакетов включают сообщения протокола маршрутизации и пакеты, отправленные командами ping и traceroute на этом маршрутизаторе.
Советы по устранению неполадок и проверке
Устранение неполадок в списках ACL IPv4 требует внимания к деталям. В частности, вы должны быть готовы посмотреть адрес и обратную маску и с уверенностью предсказать адреса, соответствующие этим двум комбинированным параметрам.
Например, в примере 4 показана обновленная версия ACL 2 из примера 3, на этот раз с добавленным ключевым словом log. Внизу примера затем показано типичное сообщение журнала, в котором показано результирующее совпадение на основе пакета с исходным IP-адресом 10.2.2.1 (в соответствии с ACL) с адресом назначения 10.1.1.1.
Когда вы впервые устраняете неисправности на ACL, прежде чем вдаваться в подробности логики сопоставления, подумайте, как об интерфейсе, на котором включен ACL, так и о направлении потока пакетов. Иногда логика сопоставления идеальна, но ACL был включен на неправильном интерфейсе или в неправильном направлении, чтобы соответствовать пакетам, настроенным для ACL.
Онлайн курс по Кибербезопасности
Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии
Тренинг Cisco 200-125 CCNA v3.0. День 28. Углубленное изучение AСL
Сегодня мы продолжим тему видеоурока 27-го дня и займемся углубленным изучением ACL: мы немного поговорим об обратной маске Wildcard Mask, расширенном списке ACL, настройке расширенного списка ACL и командах, помогающих диагностировать неполадки в дизайне сети.
На предыдущем уроке мы познакомились с новой для нас концепции обратной маски, и сейчас я расскажу о Wildcard Mask более подробно. Если вы помните, маска подсети помогает нам визуально разделить сеть на адресную часть сети и адресную часть хоста.
Если перейти на битовый уровень, можно увидеть, что маска подсети состоит из серии единиц, обозначающих сетевую часть, и серии нулей, которые обозначают часть хоста. Обратная маска очень похожа на маску подсети, только в «перевернутом» виде – там, где в маске подсети имеются единицы, в обратной маске находятся нули, и наоборот. Это не является обязательным правилом – в отдельных случаях обратная маска формируется по другому принципу, на при изучении CCNA это правило действует всегда.
Наилучшим способом вычисления обратной маски является отнимание октетов маски подсети от глобальной маски, которая всегда выглядит как 255.255.255.255.
Итак, чтобы вычислить обратную маску для маски подсети 255.255.255.0, мы просто отнимаем её от глобальной маски и получим 0.0.0.255.
В этом примере мы рассматривали сеть 192.168.100.255/24, а сейчас давайте рассмотрим сеть /26. Если у вас имеется /26, то последний октет маски подсети будет равен 192.
Если вы посмотрите на битовую форму представления этих IP-адресов, то увидите, что маска подсети содержит 26 единичных и 6 нулевых битов.
В таком случае обратная маска должна состоять из 26 нулей и 6 единиц. Как мы уже говорили, те места, где расположены 0, показывают совпадающие параметры адресов, а места, где расположены единицы, вы можете игнорировать.
Чтобы было понятнее, я напишу сверху IP-адрес в десятичной форме. Последний октет обратной маски соответствует числу 63, и я могу отобразить её в виде 0.0.0.63. проще говоря, /26 означает, что 26 нулей, или 3 первых октета IP-адреса совпадают, а последние 6 битов могут быть какими угодно – нулями или единицами.
Смотрите – если мы заменим эти последние 6 битов IP-адреса нулями, то получим число 192, а если единицами – число 255. Таким образом, обратная маска показывает, что подсеть с IP-адресами, последний октет которых расположен в диапазоне от 192 до 255, то есть часть сети 192.168.100.225/26, попадает под действие указанного условия ACL.
Вы можете спросить, зачем нужны две маски: маска подсети и Wildcard-маска. Я сам задавал этот вопрос, когда был студентом, и до сих пор многие люди, даже работая в Cisco, задаются этим вопросом. Попробую на него ответить. В общем случае маска подсети и обратная маска показывают одно и то же, если это касается подсети, то есть части IP-адреса, обозначающей сеть. Когда мы идентифицируем целую сеть, то обратная маска представляет собой просто «перевернутый» вариант прямой маски.
Однако с идентификацией хоста дело обстоит по-другому. Если вы хотите идентифицировать целую подсеть со всеми входящими в неё адресами, можно использовать маску подсети. Но если вам нужно идентифицировать всего лишь несколько хостов из этой сети, чтобы избирательно применить к ним правила ACL, нужна обратная маска.
Вы никогда не встретите маску подсети, которая бы состояла из чередующихся единиц и нулей – в ней всегда сначала идут единицы, а в конце – нули. Wildcard поэтому и называется «дикой», потому что может состоять из любой последовательности единиц и нулей. Чтобы вам стало понятнее, давайте решим задачу: «идентифицируйте хосты данной сети, имеющие четные числа в четвертом октете».
В последнем октете обратной маски можно разместить такие биты: 11111110. Я объясню, что это такое. Если в 4-м октете содержатся четные числа, то последний бит октета обязательно равен 0, а если последний бит равен 1, значит, число нечетное. Если мы говорим о подсети /24, то у неё только последний октет может содержать четное число.
В случае обратной маски в первых трех октетах расположены 0, а семь первых битов четвертого октета нас не волнуют, главное, чтобы восьмой бит октета равнялся нулю, потому что он должен совпасть с последним октетом IP-адреса сети, который равен 0.
Если последний бит IP-адреса будет равен 1, данный адрес будет запрещен, сейчас я добавлю условие в наш список ACL – Deny any. Таким образом, только если последний октет любого IP-адреса нашей подсети будет оканчиваться 0, то есть будет четным, у нас выполнится условие совпадения с обратной маской, которая тоже заканчивается 0, и условие ACL «разрешить все адреса с четным 4-м октетом» будет удовлетворено. В противном случае, то есть для всех нечетных IP-адресов, будет действовать условие «запретить любой» — deny any.
Таким образом, нас не волнует, какое точное значение будет иметь четный октет – 2,4,6, 8 и так далее, главное, что он будет иметь в конце нулевой бит. Если бы мы использовали обычную маску подсети, нам потребовалось бы создать отдельную запись для каждого IP-адреса, имеющего четный 4-й октет. Использование обратной маски позволяет заменить все эти записи одной.
Точно такой же принцип действует и для нечетных чисел 4-го октета, просто последний бит обратной маски в этом случае должен быть равен 1. В этом случае будет установлено общее правило, permit или deny, для всех IP-адресов подсети, имеющих нечетный 4-й октет. Посмотрите, как выглядит этот пример в десятичной форме.
Если я использую обратную маску 0.0.0.254, наша задача будет решена: все хосты с четным четвертым октетом разрешены, а все остальные хосты — запрещены. Преимущество обратной маски состоит в том, что при создании ACL её можно настроить под свои нужды. Вам не стоит особо беспокоиться о специфических обратных масках, потому что тематика CCNA этого не требует. Достаточно просто запомнить правило: обратная маска получается при отнимании маски подсети от глобальной маски 255.255.255.255. Учтите, что курс CCNA в больше степени затрагивает тематику подсетей, а не хостов.
Давайте вернемся к предыдущему слайду, и я расскажу ещё об одном способе вычисления Wildcard-маски.
Если вы помните из нашей «волшебной» таблицы, /26 означает размер блока битов, равный 64. Если этот блок равен 64, последний октет обратной маски будет иметь значение (64-1)=63. Если у нас имеется /25, размер блока будет 128, значит, последний октет обратной маски будет (128-1)=127. Это еще одна подсказка для облегчения вычисления значения обратной маски. Но если вы не хотите им пользоваться, применяйте обычный способ, отнимая маску подсети от глобальной маски.
А теперь перейдем к рассмотрению синтаксиса команд расширенного ACL. Как и в случае стандартного ACL, существует два вида записи команд: классический и современный.
Третья строка команды – это [информация протокола], то есть параметры, касающиеся назначения.
Если вы помните по предыдущим урокам, номер порта источника представляет собой случайное число, потому что устройство, посылающее трафик, создает для этого порт под случайным номером. В связи с этим в первой строке, касающейся источника трафика, вы указываете [информацию протокола] назначения, например, FTP, то есть протокола того устройства, чей трафик хотите заблокировать.
Напомню, что для внесения изменений в список расширенного ACL классического типа вам придется заново сформировать весь список вручную, как и в случае стандартного ACL классического типа.
Далее следуют две команды [информация протокола] и [информация протокола], причем в первой обычно игнорируется параметр [информация протокола источника], а вместо него используется параметр [информация протокола назначения]. Иногда может потребоваться указать порт источника, однако в CCNA в большинстве случаев на этот параметр можно не обращать внимания.
Применение расширенного ACL аналогично применению стандартного ACL. Здесь также нужно указать интерфейс устройства, к которому применяется список, затем использовать параметр ip access-group, номер или имя списка ACL и направление потока трафика – входящий или исходящий. В предыдущем видео мы уже обсуждали, каким образом определяется направление трафика для конкретного порта.
Давайте прейдем к схеме и настроим расширенный список ACL, используя топологию сети из предыдущего урока. Задача №1 звучит так: «Компьютеры сети отдела менеджмента и сети финансового отдела могут иметь доступ по протоколам HTTP(80) и FTP(21) только к серверу Server0, находящемуся в сети серверной».
При этом разрешается не весь трафик, а только тот, что исходит из портов 80 и 21, то есть, например, трафик по протоколу SSH должен блокироваться. Если помните, расширенный ACL должен применяться поближе к источнику, поэтому для отдела менеджмента его следует применить к порту G0/0 роутера R1, а для бухгалтерии – к порту G0/0 роутера R2. По отношению к роутеру мы блокируем входящий трафик, поэтому в командах списка используем параметр IN. Присвоим списку ACL номер 101 и составим перечень строк, который он должен содержать, используя классический подход.
Первая строка разрешает TCP, потому что HTTP порт 80 означает TCP, далее указываем сеть отдела менеджмента, 192.168.1.224/28. В данном примере я опускаю обратную маску, мы используем её в Packet Tracer, пока что нам важен сам принцип формирования списка. Сеть менеджмента является источником трафика, после неё указывается IP-адрес назначения 192.168.1.194/32, где 194 – это последний октет адреса Server0, а /32 означает, что условие касается только данного конкретного устройства, расположенного в подсети 192.168.1.192/27. В конце строки мы указываем разрешенный порт назначения 80, предназначенный для HTTP-трафика.
Таким же образом формируется запись для порта 21, используемого для передачи FTP-трафика. Я не пишу третью строку, которая по умолчанию выглядит как Deny any и запрещает любой исходящий трафик с устройств, не принадлежащих данной подсети. Далее необходимо указать, что список применяется к порту G0/0 роутера R1 в направлении IN, то есть для входящего трафика.
Аналогично мы поступаем при составлении записей ACL Allow_Acc для финансового отдела, разрешая TCP-трафик с портов 80 и 21 и применяя данный список для входного интерфейса G0/0 роутера R2.
Задача №2 звучит так: «Компьютеры сети отдела продаж могут пользоваться всеми протоколами, кроме PING (ICMP), только на сервере Server1, расположенном в сети серверной». Это значит, что для связи с сервером компьютеры отдела продаж могут использовать протоколы HTTP, SSH, FTP – любые протоколы, кроме ICMP. В этом случае список условий ACL будет выглядеть таким образом.
Вторая строка разрешает весь остальной трафик, исходящий из подсети 192.168.1.0/25 на адрес сервера 192.168.1.195/32. Как обычно, в конце списка по умолчанию располагается строка Deny any, означающая, что если компьютеры отдела продаж попытаются связаться с финансовым отделом, такой трафик будет отброшен. Далее мы указываем, к какому интерфейсу роутера следует применить ACL, и вторая задача решена.
Задача №3 звучит так: «Ноутбук Laptop2 отдела продаж и компьютер PC0 финансового отдела могут иметь доступ к ноутбуку Laptop0 отдела менеджмента». Предположим, что за этими устройствами работают руководители отделов продаж и бухгалтерии, которые могут общаться с финансовым директором CFO, находящимся в отделе менеджмента. При этом нет никаких ограничений относительно используемых протоколов, включая ICMP.
У нас уже имеется три списка ACL, примененные к интерфейсам, которые я обвел на схеме красными окружностями. В данный момент Laptop2 не может связаться с Laptop0, потому это противоречит условиям Задачи №3.
Чтобы организовать связь этих двух устройств, необходимо добавить дополнительные условия в список ACL Allow_Sa.
Аналогично нужно добавить условия в список ACL Allow_Acc, чтобы PC0 мог свободно связаться с Laptop0.
В обоих списках мы добавляем строки с параметром Permit IP, что означает разрешение трафика по любому IP-протоколу.
Как вы знаете, ICMP использует трафик двух направлений: вы отсылаете пинг, а echo возвращает его обратно. В нашей ситуации, если Laptop2 адресует пинг Laptop0, трафик свободно поступит в сеть отдела менеджмента. Однако при возвращении пакета обратно ноутбуку отдела продаж, он попадет в интерфейс G0/0 роутера R1, где действует список ACL 101. Так как обратный трафик не соответствует ни одному из условий данного списка, он будет заблокирован. Поэтому нам нужно дополнить список ACL101 разрешающими условиями как для пинга с Laptop2 отдела продаж, так и для пинга с компьютера PC0 финансового отдела.
Мы решили Задачу №3 и теперь перейдем к решению Задачи №4: «Ноутбук Laptop3 отдела продаж может иметь доступ только к собственной сети SALES и только к службе Web Service через порт 80 на компьютере Server 1».
Первая часть задачи означает, что как только Laptop3 попытается выйти из сети SALES, его трафик будет заблокирован роутером R2. Однако согласно второй части задачи, этот компьютер должен иметь доступ к Web Service, находящейся за пределами сети SALES. Это означает, что блокируется весь трафик кроме трафика, направленного в серверную.
Из предыдущих задач мы знаем, что трафик, исходящий из отдела продаж, регулируется списком ACL Allow_Sa, который мы применили ко входному интерфейсу G0/1 роутера R2. Поэтому нам нужно изменить данный список, в первую очередь добавив в него строку «разрешить TCP к серверу 1 через порт 80» такого вида: Permit TCP 192.168.1.3/32 192.168.1.195/32 80
Первая строка означает, что любой HTTP-трафик достигнет сервера, а вторая Deny IP 192.168.1.3/32 any означает, что весть остальной трафик, например, FTP, поступающий с Laptop3, будет отброшен. Далее мы оставляем без изменений три следующие строки предыдущего списка ACL, решив таким образом Задачу №4.
Я уже говорил, что советую вам записывать решения этих задач на бумаге или набирать вручную на компьютере, потому что они изменяются, а на бумаге или в компьютере всегда можно добавить, зачеркнуть или удалить строки. Обращаю ваше внимание, что если просто дописать решение четвертой задачи в конце списка ACL, добавив две строки, система их проигнорирует, потому что условия, расположенные выше, поглощают эти правила. Поскольку вторая строка старого списка разрешает весь трафик, условие Deny IP 192.168.1.3/32, расположенное в конце списка, просто не будет выполняться.
Таким образом, правильная последовательность записей ACL имеет огромное значение. Сначала вам следует разработать логическую цепочку операций и расположить строки так, чтобы они не противоречили друг другу. Теперь давайте перейдем к Packet Tracer и выполним все настройки согласно решениям задач.
Начнем настройку с первого роутера Router1. Я использую команду show access-list, чтобы показать, что список ACL на данный момент отсутствует. Далее с помощью команды show ip route я показываю, что RIP между двумя роутерами уже настроен и работает.
Перейдём к ноутбуку Laptop0 и пропингуем Server1 по адресу 192.168.1.195. Как видите, пингование проходит удачно, так как у нас нет никаких ACL, запрещающих или фильтрующих трафик. Так же свободно мне удается пропинговать Server0.
Теперь перейдем к роутеру Router1, войдем в режим глобальных настроек и создадим список ACL 101. Для этого я набираю команду access-list 101 permit tcp. Обратите внимание – система выдает подсказку, какое значение параметра, кроме tcp, можно использовать в данной команде.
Это может быть esp, icmp, osfp и так далее. При изучении курса CCNA в основном будут использоваться протоколы ip, ismp, tcp и udp.
Нам нужно разрешить трафик целой сети, поэтому я ввожу команду access-list 101 permit tcp 192.168.1.224. Параметр /28 означает блок размером 16 битов, поэтому обратная маска будет 0.0.0.15.
Слеш 28 означает 4 заимствованных бита, если заимствован 1 бит, размер блока равен 128, если 2 бита – 64, три бита – 32, 4 бита означает размер блока 16, значит, последний октет обратной маски будет (16-1) =15. Вы также получите это число, если отнимите от глобальной маски значение маски данной подсети. Поскольку рассматривается трафик к конкретному серверу, в конце команды необходимо набрать слово host и его IP-адрес, в результате команда будет иметь вид: access-list 101 permit tcp 192.168.1.224 0.0.0.15 host 192.168.1.194.
После её ввода система выдаст подсказки, каким должен быть следующий параметр, который характеризует порт, обрабатывающий данный трафик.
Можно применить параметр dscp, при этом будут пропускаться пакеты с соответствующим значением, параметр eq, при котором разрешены только пакеты с данным конкретным номером порта, gt – пропуск пакетов с номером порта большим, чем указано, lt – пакеты с меньшим номером порта и т.д. В нашем курсе мы будем использовать номер конкретного порта, поэтому в конце команды нужно ввести eq. После этого система выдаст подсказки относительно возможных значений следующего параметра.
Это может быть как номер порта от 0 до 65535, так и название протокола, которому соответствует определенный порт. Для FTP это порт 21, для SMTP – порт 25, можно просто ввести www – это будет означать HTTP-трафик через порт 80. В нашем случае мы вводим просто номер порта 80.
Если с помощью команды do show run посмотреть на текущую конфигурацию, видно, что система автоматически заменила число 80 на значение www. Следующая команда будет полностью аналогична, за исключением номера порта, вместо 80 у нас теперь будет 21: access-list 101 permit tcp 192.168.1.224 0.0.0.15 host 192.168.1.194 eq 21.
Далее мы должны создать записи для ICMP-трафика, чтобы разрешить пинг. Для этого я набираю access-list 101 permit icmp. Далее я могу набрать host, как мы поступили выше, или выбрать обычный способ и набрать IP-адрес 192.168.1.226 и обратную маску 0.0.0.0, которая представляет собой не что иное, как хост. Затем я продолжаю команду словом host и IP-адресом Laptop2 – 192.168.1.2. После этого система выдаст подсказку относительно значения следующего параметра команды – здесь нужно указать, какие именно сообщения мы разрешаем.
В нашем случае нужно разрешить ответный пинг, поэтому в конце команды необходимо указать echo-replay. Это означает, что мы разрешаем только сообщения пинга. В результате условие примет такой окончательный вид: access-list 101 permit icmp192.168.1.226 0.0.0.0 host 192.168.1.2 echo-replay. Следующее условие будет выглядеть так: access-list 101 permit icmp 192.168.1.226 0.0.0.0 host 192.168.1.130 echo-replay.
Теперь нужно применить созданный список, для чего я последовательно ввожу команды int g0/0 и ip access-group, добавляю номер списка 101 и указываю входящий или исходящий, в нашем случае это входящий IN. Зайдем в настройки Laptop0 и проверим пинг адреса 192.168.1.194, который до создания ACL проходил без проблем. Как видим, теперь система сообщает, что хост назначения не доступен. Даже если поменять IP-адрес на 192.168.1.195, мы все равно получим такое же сообщение.
Если помните, условием одной из задач была доступность Server0 с ноутбука Laptop0 отдела менеджмента. Однако мы разрешили только HTTP и FTP- трафик через порты 80 и 21, но не разрешали ICMP-трафик, то есть пинг. Вот почему пингование окончилось неудачей.
Но если попробовать веб-трафик, то есть зайти в браузер и набрать в адресной строке 192.168.1.194, мы без труда соединимся с веб-сервером Server0.
Если попытаться связаться с другим сервером по адресу 192.168.1.195, попытка закончится неудачей, так как примененный ACL не разрешает такой трафик.
Для окончательного решения Задачи №1 нужно перейти к настройкам роутера R2 и составить список ACL для финансового отдела – Allow_Ac. Я убеждаюсь, что никакого ACL в данный момент не существует, перехожу к глобальным настройкам и использую современную версию синтаксиса команд. Для этого я ввожу команду ip access-list extended Allow_Ac и перехожу на уровень подкоманд.
Далее я ввожу permit tcp 192.168.1.128. Поскольку у нас имеется /26, которое означает два заимствованных бита, а вы помните, что один заимствованный бит – это размер блока 128, два бита – размер блока 64, значит, обратная маска будет 0.0.0.63. То же значение обратной маски вы можете получить другим способом, отняв маску данной подсети 255.255.255.192 от глобальной маски 255.255.255.255. В итоге мы получаем команду permit tcp 192.168.1.128 0.0.0.63 host 192.168.1.194 eq 80. Аналогично создается команда для другого порта: permit tcp 192.168.1.128 0.0.0.63 host 192.168.1.194 eq 21.
Остается выполнить последнее условие Задачи №1 – разрешить любой трафик с компьютера PC0 финансового отдела в адрес ноутбука финансового директора Laptop0 отдела менеджмента. Для этого я ввожу команду permit ip host 192.168.1.130 host 192.168.1.226 без указания номера порта, потому что это условие касается трафика по любому протоколу.
Далее нужно применить этот ACL к интерфейсу g0/0, для чего используется команда ip access-group Allow_Ac IN. Как я сказал, PC0 не должен иметь возможность пинговать Server 0, но может связываться с веб-сервисом данного сервера. Если набрать в браузере PC0 адрес 192.168.1.194, можно войти в Packet Tracer, однако пропинговать этот сервер не удается, поскольку роутер R2 блокирует такой трафик.
Приступим к созданию нового ACL для компьютеров отдела продаж, для чего используем команды ip access-list extended Allow_Sa и permit tcp host 192.168.1.3 host 192.168.1.195 eq 80. Таким образом, мы разрешаем только HTTP-трафик и запрещаем весь остальной трафик, исходящий от данного хоста в любом направлении, командой deny ip host 192.168.1.3 any.
Далее нужно записать условие, разрешающее любой трафик, кроме пинга. Поэтому я запрещаю пинг командой deny icmp 192.168.1.0. Здесь у нас имеется /25, означающий 1 заимствованный бит, размер блока составит 128 бит, значит, обратная маска будет иметь вид 0.0.0.127. Этот трафик в виде обратного ответа пинга должен быть заблокирован в направлении хоста 192.168.1.195, который представляет собой Server2. В итоге запись ACL будет выглядеть так: deny icmp 192.168.1.0 0.0.0.127 host 192.168.1.195 echo.
Далее мы записываем команду на выполнение условий 4-й строки списка, которая разрешает весь остальной трафик сети отдела продаж, адресованный этому же серверу: permit ip 192.168.1.0 0.0.0.127 host 192.168.1.195.
Затем мы записываем условие, разрешающее трафик Laptop2 в направлении Laptop0. Для этого используется команда permit host 192.168.1.2 host 192.168.1.226, после чего список приписывает к интерфейсу g0/1 командой ip access-group Allow_Sa IN.
Проверим, как работают списки ACL в отношении ноутбука Laptop3, и попробуем выяснить, можно ли с него что-нибудь пропинговать. Пинг в адрес сервера 192.168.1.195 не проходит, как и пинг компьютера PC по адресу 192.168.1.130 и пинг ноутбука финансового директора по адресу 192.168.1.226. Единственное, что может этот ноутбук – это пользоваться веб-сервисом сервера Server1.
Laptop2 должен иметь возможность отсылать любой трафик в адрес Laptop0, включая пинг. Как видите, это условие выполняется, и мы наблюдаем ответный пинг с адреса 192.168.1.226. Пинг в адрес второго ноутбука отдела менеджмента Laptop1 не проходит, так как условия списка ACL запрещают любой трафик, кроме адресованного Laptop0. Точно также Laptop2 не может отправить пинг серверу Server1 по адресу 192.168.1.195, но может пользоваться веб-сервисом этого сервера. Таким образом, мы удовлетворили условия всех 4-х задач, создав и настроив соответствующие списки ACL.
Я не знаю, является ли данный способ оптимальным для решения задач подобного рода, но я предпочитаю решать их именно таким образом. В этом и заключается прелесть ACL или любого другого инструмента для создания сетей – здесь не существует единственно правильного решения, любую задачу можно решить множеством способов. Они зависят от ваших требований к сети, от разработанного вами дизайна, потому что вы можете создавать сети любым способом, который посчитаете подходящим.
Преимущество CCNA состоит в изучении всех концепций развития сетей, и лучшим способом усвоения материала является разработка дизайна своей собственной сети. Я буду рад, если вы решите эти задачи своим собственным способом и опишите его в комментариях к данному видео. Кроме того, на основании рассмотренной топологии сети вы можете придумать другие задачи и попытаться решить их самостоятельно.