Karon magsugod kami sa pagkat-on bahin sa lista sa pagkontrol sa pag-access sa ACL, kini nga hilisgutan magkuha 2 mga leksyon sa video. Atong tan-awon ang configuration sa usa ka standard nga ACL, ug sa sunod nga video tutorial akong hisgutan ang dugang nga listahan.
Niini nga leksyon atong hisgotan ang 3 ka topiko. Ang una mao kung unsa ang ACL, ang ikaduha kung unsa ang kalainan tali sa usa ka sumbanan ug usa ka taas nga lista sa pag-access, ug sa katapusan sa leksyon, ingon usa ka lab, atong tan-awon ang pag-set up sa usa ka sumbanan nga ACL ug pagsulbad sa posible nga mga problema.
Busa unsa ang usa ka ACL? Kung gitun-an nimo ang kurso gikan sa una nga leksyon sa video, nan nahinumduman nimo kung giunsa namon giorganisar ang komunikasyon tali sa lainlaing mga aparato sa network.
Gitun-an usab namo ang static routing sa lain-laing mga protocol aron makakuha og mga kahanas sa pag-organisar sa mga komunikasyon tali sa mga device ug network. Nakaabot na kami sa yugto sa pagkat-on diin kinahanglan nga mabalaka kami bahin sa pagsiguro sa pagkontrol sa trapiko, nga mao, pagpugong sa mga "daotan nga tawo" o dili awtorisado nga tiggamit sa pagsulod sa network. Pananglitan, kini mahimong mabalaka sa mga tawo gikan sa SALES sales department, nga gihulagway niini nga diagram. Dinhi gipakita usab namo ang departamento sa pinansyal nga ACCOUNTS, ang management department MANAGEMENT ug ang server room SERVER ROOM.
Busa, ang departamento sa pagbaligya mahimong adunay usa ka gatos nga mga empleyado, ug dili namo gusto nga bisan kinsa kanila nga makaabot sa lawak sa server sa network. Ang usa ka eksepsiyon gihimo alang sa sales manager nga nagtrabaho sa usa ka Laptop2 computer - siya adunay access sa server room. Ang usa ka bag-ong empleyado nga nagtrabaho sa Laptop3 dili kinahanglan nga adunay ingon nga pag-access, nga mao, kung ang trapiko gikan sa iyang kompyuter makaabut sa router R2, kinahanglan kini ihulog.
Ang tahas sa usa ka ACL mao ang pagsala sa trapiko sumala sa gipiho nga mga parameter sa pagsala. Naglakip sila sa gigikanan nga IP address, destinasyon nga IP address, protocol, gidaghanon sa mga pantalan ug uban pang mga parameter, salamat nga mahimo nimong mailhan ang trapiko ug mahimo’g pipila ka mga aksyon niini.
Busa, ang ACL usa ka layer 3 nga mekanismo sa pagsala sa modelo sa OSI. Kini nagpasabot nga kini nga mekanismo gigamit sa mga routers. Ang nag-unang sukdanan sa pagsala mao ang pag-ila sa stream sa datos. Pananglitan, kung gusto naton nga babagan ang lalaki nga adunay laptop3 nga kompyuter gikan sa pag-access sa server, una sa tanan kinahanglan naton mailhan ang iyang trapiko. Kini nga trapiko naglihok sa direksyon sa Laptop-Switch2-R2-R1-Switch1-Server1 pinaagi sa katugbang nga mga interface sa mga aparato sa network, samtang ang G0/0 nga mga interface sa mga router wala’y kalabotan niini.
Aron mailhan ang trapiko, kinahanglan naton mailhan ang agianan niini. Sa pagbuhat niini, kita makahukom kon asa gayud kita kinahanglan nga-instalar sa filter. Ayaw kabalaka bahin sa mga pagsala sa ilang kaugalingon, atong hisgutan kini sa sunod nga leksyon, sa pagkakaron kinahanglan naton nga masabtan ang prinsipyo kung unsang interface ang kinahanglan nga magamit sa filter.
Kon imong tan-awon ang usa ka router, imong makita nga sa matag higayon nga ang trapiko molihok, adunay usa ka interface diin ang data flow mosulod, ug usa ka interface diin kini nga dagan mogawas.
Adunay tinuod nga 3 nga mga interface: ang input interface, ang output interface ug ang kaugalingong interface sa router. Hinumdomi lang nga ang pagsala mahimo ra magamit sa input o output interface.
Ang prinsipyo sa operasyon sa ACL susama sa usa ka pass sa usa ka kalihokan nga mahimo lang tambongan niadtong mga bisita kansang ngalan anaa sa listahan sa mga dinapit. Ang ACL usa ka lista sa mga parameter sa kwalipikasyon nga gigamit sa pag-ila sa trapiko. Pananglitan, kini nga lista nagpakita nga ang tanan nga trapiko gitugotan gikan sa IP address 192.168.1.10, ug ang trapiko gikan sa tanan nga uban nga mga adres gibalibaran. Sama sa akong giingon, kini nga lista mahimong magamit sa input ug output interface.
Adunay 2 ka matang sa ACLs: standard ug extended. Ang standard nga ACL adunay identifier gikan sa 1 ngadto sa 99 o gikan sa 1300 ngadto sa 1999. Kini mga listahan lamang sa mga ngalan nga walay bisan unsa nga bentaha sa usag usa samtang ang pag-numero nagdugang. Dugang sa numero, mahimo nimong i-assign ang imong kaugalingon nga ngalan sa ACL. Ang mga gipalawig nga ACL gi-numero nga 100 hangtod 199 o 2000 hangtod 2699 ug mahimo usab nga adunay ngalan.
Sa usa ka standard nga ACL, ang klasipikasyon gibase sa gigikanan nga IP address sa trapiko. Busa, kung gamiton ang ingon nga lista, dili nimo mapugngan ang trapiko nga gitumong sa bisan unsang gigikanan, mahimo ra nimo mapugngan ang trapiko nga naggikan sa usa ka aparato.
Ang gipalawig nga ACL nagklasipikar sa trapiko pinaagi sa gigikanan nga IP address, destinasyon nga IP address, protocol nga gigamit, ug numero sa pantalan. Pananglitan, mahimo nimong babagan ang trapiko sa FTP, o ang trapiko sa HTTP lamang. Karon atong tan-awon ang standard nga ACL, ug atong igahin ang sunod nga leksyon sa video ngadto sa gipalapdan nga mga listahan.
Sama sa akong giingon, ang ACL usa ka lista sa mga kondisyon. Human nimo i-apply kini nga lista sa umaabot o mogawas nga interface sa router, susihon sa router ang trapiko batok niini nga lista, ug kung nakab-ot niini ang mga kondisyon nga gilatid sa lista, kini ang magdesisyon kung tugutan ba o isalikway kini nga trapiko. Ang mga tawo kanunay nga naglisud sa pagtino sa input ug output interface sa usa ka router, bisan kung wala’y komplikado dinhi. Kung maghisgot kita bahin sa umaabot nga interface, kini nagpasabut nga ang umaabot nga trapiko ra ang makontrol sa kini nga pantalan, ug ang router dili mag-aplay sa mga pagdili sa paggawas nga trapiko. Sa susama, kung naghisgot kita bahin sa usa ka egress interface, kini nagpasabut nga ang tanan nga mga lagda magamit lamang sa paggawas nga trapiko, samtang ang umaabot nga trapiko sa kini nga pantalan dawaton nga wala’y mga pagdili. Pananglitan, kung ang router adunay 2 port: f0/0 ug f0/1, nan ang ACL magamit ra sa trapiko nga mosulod sa f0/0 interface, o sa trapiko nga naggikan sa f0/1 interface. Ang trapiko nga mosulod o mobiya sa interface f0/1 dili maapektuhan sa lista.
Busa, ayaw kalibog sa umaabot o paggawas nga direksyon sa interface, kini nagdepende sa direksyon sa piho nga trapiko. Busa, human masusi sa router ang trapiko alang sa pagpares sa mga kondisyon sa ACL, makahimo lang kini og duha ka desisyon: tugoti ang trapiko o isalikway kini. Pananglitan, mahimo nimong tugutan ang trapiko nga gitakda alang sa 180.160.1.30 ug isalikway ang trapiko nga gitakda alang sa 192.168.1.10. Ang matag lista mahimong adunay daghang mga kondisyon, apan ang matag usa niini nga mga kondisyon kinahanglan tugotan o isalikway.
Ingnon ta nga naa tay lista:
Pagdili _______
Tugoti ________
Tugoti ________
Pagdili _________.
Una, susihon sa router ang trapiko aron tan-awon kung nahiuyon ba kini sa una nga kondisyon; kung dili kini tugma, susihon niini ang ikaduha nga kondisyon. Kung ang trapiko motakdo sa ikatulo nga kondisyon, ang router mohunong sa pagsusi ug dili itandi kini sa uban nga mga kondisyon sa listahan. Buhaton niini ang "pagtugot" nga aksyon ug magpadayon sa pagsusi sa sunod nga bahin sa trapiko.
Kung wala ka magbutang usa ka lagda alang sa bisan unsang pakete ug ang trapiko moagi sa tanan nga mga linya sa lista nga wala maigo ang bisan unsang mga kondisyon, kini malaglag, tungod kay ang matag lista sa ACL sa default natapos sa pagdumili sa bisan unsang mando - nga mao, isalikway bisan unsang pakete, nga wala mahulog sa bisan unsang mga lagda. Kini nga kondisyon adunay epekto kung adunay labing menos usa ka lagda sa lista, kung dili kini walay epekto. Apan kung ang una nga linya naglangkob sa entry deny 192.168.1.30 ug ang lista wala na maglangkob sa bisan unsang mga kondisyon, nan sa katapusan kinahanglan nga adunay usa ka command permit bisan unsa, nga mao, pagtugot sa bisan unsang trapiko gawas sa gidili sa lagda. Kinahanglan nimong tagdon kini aron malikayan ang mga sayup sa pag-configure sa ACL.
Gusto ko nga imong hinumdoman ang sukaranan nga lagda sa paghimo sa usa ka lista sa ASL: ibutang ang standard nga ASL nga labing duol sa destinasyon, nga mao, sa nakadawat sa trapiko, ug ibutang ang gipalugway nga ASL nga labing duol sa gigikanan, kana mao, sa nagpadala sa trapiko. Kini ang mga rekomendasyon sa Cisco, apan sa praktis adunay mga sitwasyon diin mas makatarunganon ang pagbutang sa usa ka standard nga ACL duol sa tinubdan sa trapiko. Apan kung makit-an nimo ang usa ka pangutana bahin sa mga lagda sa pagbutang sa ACL sa panahon sa eksaminasyon, sunda ang mga rekomendasyon sa Cisco ug tubaga nga dili klaro: ang sukaranan mas duol sa destinasyon, ang gipalawig mas duol sa gigikanan.
Karon atong tan-awon ang syntax sa usa ka standard ACL. Adunay duha ka matang sa command syntax sa router global configuration mode: classic syntax ug modern syntax.
Ang classic command type mao ang access-list . Kon imong i-set ang gikan sa 1 ngadto sa 99, ang device awtomatik nga makasabut nga kini usa ka standard nga ACL, ug kung kini gikan sa 100 ngadto sa 199, nan kini usa ka extended. Tungod kay sa leksyon karon nagtan-aw kami sa usa ka standard nga lista, mahimo namong gamiton ang bisan unsang numero gikan sa 1 hangtod 99. Dayon among gipakita ang aksyon nga kinahanglan i-apply kung ang mga parameter mohaum sa mosunod nga sukdanan - pagtugot o pagdumili sa trapiko. Atong hisgotan ang sukdanan sa ulahi, tungod kay gigamit usab kini sa modernong syntax.
Ang modernong command type gigamit usab sa Rx(config) global configuration mode ug ingon niini: ip access-list standard . Dinhi mahimo nimong gamiton ang bisan unsang numero gikan sa 1 hangtod 99 o ang ngalan sa lista sa ACL, pananglitan, ACL_Networking. Kini nga sugo nagbutang dayon sa sistema sa Rx standard mode subcommand mode (config-std-nacl), diin kinahanglan nimong isulod ang . Ang moderno nga tipo sa mga koponan adunay daghang mga bentaha kung itandi sa klasiko.
Sa usa ka klasiko nga lista, kung imong gi-type ang access-list 10 deny ______, unya i-type ang sunod nga command sa parehas nga klase alang sa lain nga kriterya, ug adunay ka 100 nga ingon nga mga mando, unya aron mabag-o ang bisan unsang mga mando nga gisulod, kinahanglan nimo kuhaa ang tibuok listahan sa access-list 10 uban sa command walay access-list 10. Kini magwagtang sa tanang 100 ka mga sugo tungod kay walay paagi sa pag-edit sa bisan unsa nga indibidwal nga sugo niini nga listahan.
Sa modernong syntax, ang sugo gibahin ngadto sa duha ka linya, ang una niini naglangkob sa listahan nga numero. Pananglit kung ikaw adunay usa ka lista nga lista sa pag-access nga sukaranan 10 pagdumili ________, lista sa pag-access nga sukaranan 20 pagdumili sa ________ ug uban pa, nan adunay ka higayon nga isulud ang mga intermediate nga lista nga adunay uban nga mga pamatasan sa taliwala nila, pananglitan, lista sa pag-access nga sumbanan 15 pagdumili ________ .
Sa laing bahin, mahimo nimong papason ang access-list standard nga 20 ka linya ug i-type kini pag-usab sa lain-laing mga parameter tali sa access-list standard 10 ug access-list standard 30 nga mga linya. Busa, adunay lain-laing mga paagi sa pag-edit sa modernong ACL syntax.
Kinahanglan ka nga mag-amping pag-ayo sa paghimo sa mga ACL. Sama sa imong nahibal-an, ang mga lista gibasa gikan sa taas hangtod sa ubos. Kung ibutang nimo ang usa ka linya sa ibabaw nga nagtugot sa trapiko gikan sa usa ka piho nga host, unya sa ubos mahimo nimong ibutang ang usa ka linya nga nagdili sa trapiko gikan sa tibuuk nga network nga bahin niini nga host, ug ang duha nga mga kondisyon susihon - ang trapiko sa usa ka piho nga host ang tugutan nga makaagi, ug ang trapiko gikan sa tanan nga uban nga mga host kini nga network ma-block. Busa, ibutang kanunay ang piho nga mga entri sa ibabaw sa lista ug ang mga kinatibuk-an sa ubos.
Busa, human ka makahimo ug classic o moderno nga ACL, kinahanglan nimo kining gamiton. Aron mahimo kini, kinahanglan ka nga moadto sa mga setting sa usa ka piho nga interface, pananglitan, f0/0 gamit ang interface command, adto sa interface subcommand mode ug isulod ang command ip access-group . Palihug timan-i ang kalainan: sa pag-compile sa usa ka lista, usa ka access-list ang gigamit, ug kung gipadapat kini, usa ka access-group ang gigamit. Kinahanglan nimo nga mahibal-an kung unsang interface kini nga lista magamit - ang umaabot nga interface o ang mogawas nga interface. Kung ang lista adunay ngalan, pananglitan, Networking, ang parehas nga ngalan gisubli sa mando aron magamit ang lista sa kini nga interface.
Karon magkuha kita usa ka piho nga problema ug sulayan kini nga sulbaron gamit ang pananglitan sa among network diagram gamit ang Packet Tracer. Busa, kami adunay 4 ka network: sales department, accounting department, management ug server room.
Buluhaton No. 1: ang tanan nga trapiko nga gitumong gikan sa mga departamento sa pagbaligya ug pinansyal ngadto sa departamento sa pagdumala ug lawak sa server kinahanglan nga babagan. Ang blocking lokasyon mao ang interface S0/1/0 sa router R2. Una kinahanglan naton maghimo usa ka lista nga adunay sulud nga mosunud nga mga entri:
Tawgon nato ang listahan nga "Management and Server Security ACL", gipamubo nga ACL Secure_Ma_And_Se. Gisundan kini sa pagdili sa trapiko gikan sa network sa departamento sa pinansya 192.168.1.128/26, pagdili sa trapiko gikan sa network sa sales department 192.168.1.0/25, ug pagtugot sa bisan unsang ubang trapiko. Sa katapusan sa lista gipakita nga kini gigamit alang sa outgoing interface S0/1/0 sa router R2. Kung wala kami usa ka Permit Bisan unsang entry sa katapusan sa lista, nan ang tanan nga uban nga trapiko ma-block tungod kay ang default ACL kanunay nga gibutang sa usa ka Deny Any entry sa katapusan sa lista.
Mahimo ba nako nga magamit kini nga ACL sa interface G0/0? Siyempre, mahimo nako, apan sa kini nga kaso ang trapiko lamang gikan sa departamento sa accounting ang mababagan, ug ang trapiko gikan sa departamento sa pagbaligya dili limitado sa bisan unsang paagi. Sa parehas nga paagi, mahimo nimong magamit ang usa ka ACL sa interface sa G0/1, apan sa kini nga kaso ang trapiko sa departamento sa pinansya dili mababagan. Siyempre, makahimo kita og duha ka bulag nga block list alang niini nga mga interface, apan mas episyente ang paghiusa niini ngadto sa usa ka lista ug ipadapat kini sa output interface sa router R2 o sa input interface S0/1/0 sa router R1.
Bisan tuod ang mga lagda sa Cisco nag-ingon nga ang usa ka standard nga ACL kinahanglan ibutang nga duol sa destinasyon kutob sa mahimo, ibutang ko kini nga mas duol sa tinubdan sa trapiko tungod kay gusto nakong babagan ang tanan nga mogawas nga trapiko, ug mas makataronganon nga buhaton kini nga mas duol sa tinubdan aron kini nga trapiko dili mag-usik sa network tali sa duha ka mga router.
Nakalimot kog sulti nimo about sa criteria, so balik ta dayon. Mahimo nimong ipiho ang bisan unsa ingon usa ka sukdanan - sa kini nga kaso, ang bisan unsang trapiko gikan sa bisan unsang aparato ug bisan unsang network ipanghimakak o tugutan. Mahimo usab nimo ipiho ang usa ka host nga adunay identifier - sa kini nga kaso, ang pagsulod mao ang IP address sa usa ka piho nga aparato. Sa kataposan, mahimo nimong ipiho ang tibuok network, pananglitan, 192.168.1.10/24. Niini nga kaso, ang /24 magpasabot sa presensya sa usa ka subnet mask sa 255.255.255.0, apan imposible nga matino ang IP address sa subnet mask sa ACL. Alang niini nga kaso, ang ACL adunay konsepto nga gitawag og Wildcart Mask, o "reverse mask". Busa kinahanglan nimong ipiho ang IP address ug ibalik ang maskara. Ingon niini ang hitsura sa reverse mask: kinahanglan nimo nga ibawas ang direkta nga subnet mask gikan sa kinatibuk-ang subnet mask, nga mao, ang numero nga katumbas sa kantidad sa octet sa forward mask gikuha gikan sa 255.
Busa, kinahanglan nimong gamiton ang parameter 192.168.1.10 0.0.0.255 isip sukdanan sa ACL.
Giunsa kini paglihok? Kung adunay 0 sa return mask octet, ang kriterya giisip nga katumbas sa katugbang nga octet sa subnet IP address. Kung adunay numero sa backmask octet, ang posporo dili susihon. Busa, alang sa usa ka network sa 192.168.1.0 ug usa ka balik nga maskara sa 0.0.0.255, ang tanan nga trapiko gikan sa mga adres kansang unang tulo ka octet katumbas sa 192.168.1., bisan unsa pa ang bili sa ikaupat nga oktet, ma-block o tugutan depende sa ang espesipikong aksyon.
Ang paggamit sa usa ka baligtad nga maskara dali, ug kita mobalik sa Wildcart Mask sa sunod nga video aron akong mapasabut kung giunsa kini pagtrabaho.
28:50 min
Salamat sa pagpabilin kanamo. Ganahan ka ba sa among mga artikulo? Gusto nga makakita og mas makapaikag nga sulod? Suportahi kami pinaagi sa pag-order o pagrekomenda sa mga higala, 30% nga diskwento alang sa mga tiggamit sa Habr sa usa ka talagsaon nga analogue sa mga entry-level server, nga giimbento namo alang kanimo: (anaa sa RAID1 ug RAID10, hangtod sa 24 ka mga core ug hangtod sa 40GB DDR4).
Dell R730xd 2 ka beses nga mas barato? Dinhi lang sa Netherlands! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - gikan sa $99! Basaha ang mahitungod sa
Source: www.habr.com