Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

Cisco CCENT/CCNA R&S – ICND1 100-105 v3.0 Teil 4 – Infrastructure Services

Eine IPv4-Standard-ACL konfigurieren

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Machen Sie sich anhand dieses Videos mit den erforderlichen Schritten vertraut, um eine IPv4-Standard-Access-Control-List zu konfigurieren.
06:18

Transkript

Das Konfigurieren einer IPv4 Standard Access Control List ist das Thema in diesem Video. Ich möchte in dieser Topologie folgende Konfiguration umsetzen. Dass sämtliche Systeme aus dem Netzwerk 172.16.0.0/16, also das wäre dann dieses Netzwerk, dieses Netzwerk, auch das Netzwerk, auch das Netzwerk und dieses Netzwerk, also alle Netzwerke und Systeme, die eine IP-Adresse haben 172.16, mit diesen Zahlen beginnend, möchte ich daran hindern, dass sie mit dem Internet kommunizieren können; beispielsweise das Internet hier symbolisch dargestellt mit 192.168.0.1. Ja, selbstverständlich, es ist mir klar, das ist eine private IP-Adresse. Es soll aber symbolisch zeigen, wie eine Access Control List konfiguriert werden kann. Wenn ich nun also diesen Datenverkehr unterbinden will, dann muss ich nun entscheiden: Wo muss ich diese Access Control List konfigurieren? Und wenn ich das komplette Netzwerk 172.16. blockieren möchte, dann ist es wohl am sinnvollsten, wenn ich die Konfiguration auf dieses Interface ansetze, auf s0/3/0 auf Router 2. Wenn ich hier diese Access Control List konfiguriere, dann können die Systeme nicht mehr das Internet anpingen. Das testen wir jetzt zuerst. Ich öffne die Eigenschaften von PC-A, navigiere zum Command Prompt, dann ein wenig nach unten und ich pinge das Internet an mit ping 192.168.0.1. Das funktioniert jetzt wunderbar; Sie sehen, der Ping ist erfolgreich. Und nun konfigurieren wir die Access List auf Router 2. Ich öffne also Router 2, navigiere zum Command Line Interface, dann ein wenig breiter machen, damit Sie das besser sehen können. Nun wechsle ich in den Enable-Modus und anschließend in den globalen Konfigurationsmodus. Und jetzt erstelle ich eine Access List, die Access List mit einer Nummer 1. Die Nummer 1 indiziert, dass es sich um eine Standard Access List handelt. Und als Erstes möchte ich den Wert setzen deny und nun das eigentliche Netzwerk 172.16.0.0 mit einer Wildcardmask von 0.0.255.255, also das komplette Netzwerk 172.16, das möchte ich blockieren. Das ist der erste Wert, den ich gesetzt habe. Und nun der nächste Wert ist wiederum access-list, dann die Nummer 1 und ich wähle permit. Ich möchte anschließend sämtlichen Datenverkehr erlauben, also, nur das 172.16er-Netzwerk blockieren; allen anderen Datenverkehr möchte ich zulassen. Und nun ist diese Konfiguration ebenfalls getätigt. Und jetzt wechsle ich in das Interface und das Interface ist s0/3/0, damit ich diese Access List, die ich eben erstellt habe, nun auf dieses Interface anwenden kann. Und dazu verwende ich den Befehl ip access-group, und ich muss nun die Nummer angeben. Die Access-Group-Nummer ist 1, weil unsere Access List hat die Nummer 1, darum der Befehl ip access-group 1. Und nun muss ich die Richtung angeben, wie diese Access List angewendet werden soll. Ist es inbound oder ist es outbound? Und ich möchte dies selbstverständlich outbound, also ausgehend, anwenden. Diese Konfiguration ist nun getätigt. Mit end navigiere ich zurück und mit sh run kann ich die aktuelle Konfiguration anschauen. Und dann müsste sichtbar werden, dass wir eine Access List angewendet haben auf das Interface s0/3/0 und das ist auch hier tatsächlich beschrieben: ip access-group 1 out, ausgehend. Wir haben also die Konfiguration getätigt. Nun sollte der Zugriff auf das Internet von sämtlichen Systemen mit 172.16 beginnend unterbunden sein. Zuerst testen wir wieder auf PC-A. Ich navigiere wieder zum Command Prompt, da ein wenig nach unten, wiederhole den letzten Befehl -- ping 192.168.0.1 -- und wir sehen: "Destination host unreachable". Das bedeutet also, die Access List hat erfolgreich gewirkt. Wir können das selbstverständlich auch auf PC-B testen. Ebenfalls navigieren wir zu Desktop Command Prompt, geben ein ping 192.168.0.1. Und auch da erhalten wir die Meldung "Destination host unreachable". Wir haben also erfolgreich auf Router 2 eine Standard Access Control List konfiguriert, auf das Interface s0/3/0, und ausgehend, also in diese Richtung, Richtung Internet. Dass unsere Access Control List auch tatsächlich funktioniert hat, können wir ebenfalls eine Kontrolle durchführen. Ich öffne Router 2, dann wiederum navigiere ich zum Command Line Interface. Und mit folgendem Befehl, sh ip access-lists 1, können wir verifizieren, dass tatsächlich bei diesem Eintrag, bei deny 172.16.0.0 und mit der Wildcardmask. Hier haben acht Matches stattgefunden. Die Pings, die wir eben versucht haben abzusetzen, wurden hier gezählt und entsprechend aufgezeichnet. Wir haben also in diesem Video erfolgreich eine Standard Access Control List konfiguriert.

Cisco CCENT/CCNA R&S – ICND1 100-105 v3.0 Teil 4 – Infrastructure Services

Bereiten Sie sich mit diesem und vier weiteren Trainings auf die Cisco-Zertifizierungsprüfung 100-105 v3.0 vor und erlernen Sie umfassende Kenntnisse zur Einrichtung und Administration von Netzwerken.

1 Std. 42 min (16 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!