CCNA Router ACL Skill Exam

把 30 號的 Skill Exam 關於 ACL 部份整理了一下

ACL(Access Control List)最麻煩在於決定設定的 Router 與其 interface，主要是要區分清楚，要保護誰或限制誰，還有要限制或保護的是屬於這個 interface 的 in/out (同一網段為 in，不同網段為 out；或是說，在這個 interface 所保護的裡面或外面)，還有就是對於針對一整個網段時，子網遮照的換算要注意一下，基本上就是把要"處理"的那個網段的 subnet mask，換為二進位後，0 => 1 / 1 => 0，再換回十進制就可以，以下是今天考試內容，至於網路拓樸由於是紙張(繳回去)，所以就不提，基本上就是建制一個可以互通的 LAB 就是(前面的文章有講到)。

關於今天的 ACL 部份的實作，我們最後兩組有做出來，以下解說我們這組的做法

網段：28.0.0.0 ( 不要懷疑，就是 class A )

子網分割：
原 Class A 的 subnet mask：255.0.0.0 => 11111111.00000000.00000000.00000000
借三位分割子網：11111111.0000000.00000000.00000000 ~ 11111111.11100000.00000000.00000000
28.0.0.0/11 (000)(頭不能用)
28.32.0.0/11 (001)
28.64.0.0/11 (010)
28.96.0.0/11 (011)
28.128.0.0/11 (100)
28.192.0.0/11 (110)
28.224.0/11 (111)(尾不能用)
新 subnet mask：255.224.0.0

設定 Router 部份就跳過，接下來直接講 ACL 部份

* TFTP Server：28.96.0.2
* BOZA 網段：28.32.0.0/11
* EVA 網段：28.32.192.0.0/11

基本上老師要的是，Boza & Eva 的網段裡的 ip 不能連線 tftp 到 TFTP Server，
所以這個 rule 是要設在 Router Boza & Eva 的 Ethernet 0 上

指令如下：
Boza(config)# access-list 100 permit udp 28.32.0.0 0.31.255.255 host 28.96.0.2 eq tftp
Boza(config)# access-list 100 deny tcp any any

Boza(config-if)# ip access-group 100 in

解說：
第一條：
access-list # 指令
100 # extend 的範圍由 100 ~ 199，要指定特定服務跟 host 的要用 extend
udp # tftp 走 udp
28.32.0.0 # Source 網段 指的就是 Boza 這個網段
0.31.255.255 # 子網遮照，這個部份就是把 subnet mask 的二進位反過來，所以
# 11111111.11100000.00000000.00000000 => 00000000.00011111.11111111.11111111
# 得到 0.31.255.255 這部份就看自己的網段去換算
host # 因為要指定特定 Server，所以下 host 關鍵字
28.96.0.2 # TFTP Server ip
eq # equal 相等，也就是後面的服務是這個
tftp # tftp service

第二條：
一樣要設在 access-list 100
deny # 擋掉
tcp # 因為老師說不要任何 tcp service
any any # 任何 source 到 destination

第三條：
要到自己要設定的 interface 上 (Eg:ethernet 0)
ip access-group 100 in # 加進第 100 這個編號的 access-list
# 這裡的 in 跟 out 要釐清一下，這裡的 in/out 指的不是進或出的封包，
# 是指在這個 inetrface 的網段"裡面(in)"或"外面(out)"的網段，也可說成是同一段跟不同段
# 更明白的說，就是屬於這個網段的 ip 為 in，不屬於的為 out
# 由於這個題目是要我們做出 Boza & Eva 的網段的 ip 不能到 tftp server，
# 所以是要針對該 Ethernet 的 "裡面(in)" 的網段，所以要用 in

兩台設定都一樣，就差自個兒網段差異而已

注意：
*我們兩組差點也做不出來，後來才發現 tftp 有傳過去，只是不知道為什麼"發送端"並沒有收到回應
一度以為失敗要放棄，還好有看到 tftp server 的資料夾裡有東西，測試給老師看才過的