Heddiw, byddwn yn dechrau dysgu am restr rheoli mynediad ACL, bydd y pwnc hwn yn cymryd 2 wers fideo. Byddwn yn edrych ar ffurfweddiad ACL safonol, ac yn y tiwtorial fideo nesaf byddaf yn siarad am y rhestr estynedig.
Yn y wers hon byddwn yn ymdrin â 3 phwnc. Y cyntaf yw beth yw ACL, yr ail yw beth yw'r gwahaniaeth rhwng safon a rhestr mynediad estynedig, ac ar ddiwedd y wers, fel labordy, byddwn yn edrych ar sefydlu ACL safonol a datrys problemau posibl.
Felly beth yw ACL? Os gwnaethoch chi astudio'r cwrs o'r wers fideo gyntaf un, yna rydych chi'n cofio sut y gwnaethom drefnu cyfathrebu rhwng dyfeisiau rhwydwaith amrywiol.
Buom hefyd yn astudio llwybro statig dros wahanol brotocolau i ennill sgiliau mewn trefnu cyfathrebiadau rhwng dyfeisiau a rhwydweithiau. Rydym bellach wedi cyrraedd y cam dysgu lle dylem fod yn bryderus am sicrhau rheolaeth traffig, hynny yw, atal “dynion drwg” neu ddefnyddwyr anawdurdodedig rhag treiddio i'r rhwydwaith. Er enghraifft, gallai hyn fod yn berthnasol i bobl o'r adran werthu GWERTHIANT, a ddangosir yn y diagram hwn. Yma rydym hefyd yn dangos CYFRIFON yr adran ariannol, yr adran reoli RHEOLI a'r YSTAFELL weinydd yr ystafell weinydd.
Felly, efallai y bydd gan yr adran werthu gant o weithwyr, ac nid ydym am i unrhyw un ohonynt allu cyrraedd yr ystafell weinydd dros y rhwydwaith. Gwneir eithriad ar gyfer y rheolwr gwerthu sy'n gweithio ar gyfrifiadur Laptop2 - gall gael mynediad i ystafell y gweinydd. Ni ddylai gweithiwr newydd sy'n gweithio ar Laptop3 gael mynediad o'r fath, hynny yw, os yw traffig o'i gyfrifiadur yn cyrraedd llwybrydd R2, dylid ei ollwng.
Rôl ACL yw hidlo traffig yn unol â'r paramedrau hidlo penodedig. Maent yn cynnwys y cyfeiriad IP ffynhonnell, cyfeiriad IP cyrchfan, protocol, nifer y porthladdoedd a pharamedrau eraill, diolch y gallwch chi adnabod y traffig a chymryd rhai camau ag ef.
Felly, mae ACL yn fecanwaith hidlo haen 3 o'r model OSI. Mae hyn yn golygu bod y mecanwaith hwn yn cael ei ddefnyddio mewn llwybryddion. Y prif faen prawf ar gyfer hidlo yw nodi'r llif data. Er enghraifft, os ydym am rwystro'r dyn gyda'r cyfrifiadur Laptop3 rhag cael mynediad i'r gweinydd, yn gyntaf oll mae'n rhaid i ni nodi ei draffig. Mae'r traffig hwn yn symud i gyfeiriad Laptop-Switch2-R2-R1-Switch1-Server1 trwy ryngwynebau cyfatebol dyfeisiau rhwydwaith, tra nad oes gan ryngwynebau G0/0 llwybryddion unrhyw beth i'w wneud ag ef.
Er mwyn adnabod traffig, rhaid inni nodi ei lwybr. Ar ôl gwneud hyn, gallwn benderfynu ble yn union y mae angen i ni osod yr hidlydd. Peidiwch â phoeni am yr hidlwyr eu hunain, byddwn yn eu trafod yn y wers nesaf, am y tro mae angen i ni ddeall yr egwyddor o ba ryngwyneb y dylid defnyddio'r hidlydd.
Os edrychwch ar lwybrydd, gallwch weld, bob tro y bydd traffig yn symud, bod rhyngwyneb lle mae'r llif data yn dod i mewn, a rhyngwyneb y mae'r llif hwn yn dod allan drwyddo.
Mewn gwirionedd mae yna 3 rhyngwyneb: y rhyngwyneb mewnbwn, y rhyngwyneb allbwn a rhyngwyneb y llwybrydd ei hun. Cofiwch mai dim ond i'r rhyngwyneb mewnbwn neu allbwn y gellir hidlo.
Mae egwyddor gweithrediad ACL yn debyg i docyn i ddigwyddiad na ellir ond ei fynychu gan y gwesteion hynny y mae eu henw ar y rhestr o bobl a wahoddwyd. Mae ACL yn rhestr o baramedrau cymhwyster a ddefnyddir i nodi traffig. Er enghraifft, mae'r rhestr hon yn nodi y caniateir yr holl draffig o'r cyfeiriad IP 192.168.1.10, a gwrthodir traffig o bob cyfeiriad arall. Fel y dywedais, gellir cymhwyso'r rhestr hon i'r rhyngwyneb mewnbwn ac allbwn.
Mae 2 fath o DOG: safonol ac estynedig. Mae gan ACL safonol ddynodwr o 1 i 99 neu o 1300 i 1999. Yn syml, enwau rhestr yw'r rhain nad oes ganddynt unrhyw fanteision dros ei gilydd wrth i'r rhifo gynyddu. Yn ogystal â'r rhif, gallwch chi aseinio'ch enw eich hun i'r ACL. Mae ACLs estynedig wedi'u rhifo 100 i 199 neu 2000 i 2699 a gallant hefyd fod ag enw.
Mewn ACL safonol, mae'r dosbarthiad yn seiliedig ar gyfeiriad IP ffynhonnell y traffig. Felly, wrth ddefnyddio rhestr o'r fath, ni allwch gyfyngu traffig a gyfeirir at unrhyw ffynhonnell, dim ond traffig sy'n tarddu o ddyfais y gallwch chi ei rwystro.
Mae ACL estynedig yn dosbarthu traffig yn ôl cyfeiriad IP ffynhonnell, cyfeiriad IP cyrchfan, protocol a ddefnyddir, a rhif porthladd. Er enghraifft, gallwch rwystro traffig FTP yn unig, neu draffig HTTP yn unig. Heddiw, byddwn yn edrych ar yr ACL safonol, a byddwn yn neilltuo'r wers fideo nesaf i restrau estynedig.
Fel y dywedais, mae ACL yn rhestr o amodau. Ar ôl i chi gymhwyso'r rhestr hon i ryngwyneb y llwybrydd sy'n dod i mewn neu'n mynd allan, mae'r llwybrydd yn gwirio'r traffig yn erbyn y rhestr hon, ac os yw'n bodloni'r amodau a nodir yn y rhestr, mae'n penderfynu a ddylid caniatáu neu wadu'r traffig hwn. Mae pobl yn aml yn ei chael hi'n anodd pennu rhyngwynebau mewnbwn ac allbwn llwybrydd, er nad oes dim byd cymhleth yma. Pan fyddwn yn siarad am ryngwyneb sy'n dod i mewn, mae hyn yn golygu mai dim ond traffig sy'n dod i mewn fydd yn cael ei reoli ar y porthladd hwn, ac ni fydd y llwybrydd yn gosod cyfyngiadau ar draffig sy'n mynd allan. Yn yr un modd, os ydym yn sôn am ryngwyneb allanfa, mae hyn yn golygu y bydd yr holl reolau'n berthnasol i draffig sy'n mynd allan yn unig, tra bydd traffig sy'n dod i mewn i'r porthladd hwn yn cael ei dderbyn heb gyfyngiadau. Er enghraifft, os oes gan y llwybrydd 2 borthladd: f0/0 a f0/1, yna bydd yr ACL ond yn cael ei gymhwyso i draffig sy'n mynd i mewn i'r rhyngwyneb f0/0, neu dim ond i draffig sy'n tarddu o'r rhyngwyneb f0/1. Ni fydd traffig sy'n mynd i mewn neu'n gadael rhyngwyneb f0/1 yn cael ei effeithio gan y rhestr.
Felly, peidiwch â chael eich drysu gan gyfeiriad sy'n dod i mewn neu'n mynd allan y rhyngwyneb, mae'n dibynnu ar gyfeiriad y traffig penodol. Felly, ar ôl i'r llwybrydd wirio'r traffig am gydweddu'r amodau ACL, dim ond dau benderfyniad y gall ei wneud: caniatáu'r traffig neu ei wrthod. Er enghraifft, gallwch ganiatáu traffig ar gyfer 180.160.1.30 a gwrthod traffig a fwriedir ar gyfer 192.168.1.10. Gall pob rhestr gynnwys amodau lluosog, ond rhaid i bob un o'r amodau hyn ganiatáu neu wadu.
Gadewch i ni ddweud bod gennym restr:
Gwahardd _______
Caniatáu ________
Caniatáu ________
Gwahardd _________.
Yn gyntaf, bydd y llwybrydd yn gwirio'r traffig i weld a yw'n cyd-fynd â'r cyflwr cyntaf; os nad yw'n cyfateb, bydd yn gwirio'r ail gyflwr. Os yw'r traffig yn cyd-fynd â'r trydydd cyflwr, bydd y llwybrydd yn rhoi'r gorau i wirio ac ni fydd yn ei gymharu â gweddill amodau'r rhestr. Bydd yn perfformio'r weithred “caniatáu” ac yn symud ymlaen i wirio'r rhan nesaf o draffig.
Rhag ofn nad ydych wedi gosod rheol ar gyfer unrhyw becyn a bod y traffig yn mynd trwy holl linellau'r rhestr heb daro unrhyw un o'r amodau, caiff ei ddinistrio, oherwydd mae pob rhestr ACL yn ddiofyn yn dod i ben gyda gwrthod unrhyw orchymyn - hynny yw, taflu unrhyw becyn, nad yw'n dod o dan unrhyw un o'r rheolau. Daw'r amod hwn i rym os oes o leiaf un rheol yn y rhestr, fel arall nid yw'n cael unrhyw effaith. Ond os yw'r llinell gyntaf yn cynnwys y cofnod gwadu 192.168.1.30 ac nad yw'r rhestr bellach yn cynnwys unrhyw amodau, yna ar y diwedd dylai fod trwydded gorchymyn unrhyw, hynny yw, caniatáu unrhyw draffig ac eithrio'r hyn a waherddir gan y rheol. Rhaid i chi gymryd hyn i ystyriaeth er mwyn osgoi camgymeriadau wrth ffurfweddu'r ACL.
Rwyf am i chi gofio'r rheol sylfaenol o greu rhestr ASL: gosodwch ASL safonol mor agos â phosibl at y cyrchfan, hynny yw, at dderbynnydd y traffig, a gosodwch ASL estynedig mor agos â phosibl at y ffynhonnell, hynny yw, i anfonwr y traffig. Argymhellion Cisco yw'r rhain, ond yn ymarferol mae sefyllfaoedd lle mae'n gwneud mwy o synnwyr i osod ACL safonol yn agos at ffynhonnell y traffig. Ond os dewch ar draws cwestiwn am reolau lleoli ACL yn ystod yr arholiad, dilynwch argymhellion Cisco ac atebwch yn ddiamwys: mae'r safon yn agosach at y gyrchfan, mae estynedig yn agosach at y ffynhonnell.
Nawr, gadewch i ni edrych ar gystrawen ACL safonol. Mae dau fath o gystrawen gorchymyn yn y modd cyfluniad byd-eang llwybrydd: cystrawen glasurol a chystrawen fodern.
Y math gorchymyn clasurol yw mynediad-rhestr <ACL number> <gwadu/allow> <meini prawf>. Os ydych chi'n gosod <rhif ACL> o 1 i 99, bydd y ddyfais yn deall yn awtomatig mai ACL safonol yw hwn, ac os yw o 100 i 199, yna mae'n un estynedig. Gan ein bod yn edrych ar restr safonol yn y wers heddiw, gallwn ddefnyddio unrhyw rif o 1 i 99. Yna rydym yn nodi'r camau y mae angen eu cymryd os yw'r paramedrau'n cyd-fynd â'r maen prawf canlynol - caniatáu neu wadu traffig. Byddwn yn ystyried y maen prawf yn ddiweddarach, gan ei fod hefyd yn cael ei ddefnyddio mewn cystrawen fodern.
Mae'r math gorchymyn modern hefyd yn cael ei ddefnyddio yn y modd cyfluniad byd-eang Rx(config) ac mae'n edrych fel hyn: safon rhestr mynediad ip <ACL number/name>. Yma gallwch ddefnyddio naill ai rhif o 1 i 99 neu enw'r rhestr ACL, er enghraifft, ACL_Networking. Mae'r gorchymyn hwn yn rhoi'r system ar unwaith yn y modd is-orchymyn modd safonol Rx (config-std-nacl), lle mae'n rhaid i chi nodi <gwadu/galluogi> <meini prawf>. Mae gan y math modern o dimau fwy o fanteision o'i gymharu â'r un clasurol.
Mewn rhestr glasurol, os teipiwch restr mynediad 10 gwadu ______, yna teipiwch y gorchymyn nesaf o'r un math ar gyfer maen prawf arall, a bod gennych 100 o orchmynion o'r fath yn y pen draw, yna i newid unrhyw un o'r gorchmynion a gofnodwyd, bydd angen i chi dileu'r rhestr mynediad-rhestr gyfan 10 gyda'r gorchymyn dim mynediad-rhestr 10. Bydd hyn yn dileu pob un o'r 100 gorchymyn oherwydd nid oes unrhyw ffordd i olygu unrhyw orchymyn unigol yn y rhestr hon.
Mewn cystrawen fodern, mae'r gorchymyn wedi'i rannu'n ddwy linell, a'r gyntaf ohonynt yn cynnwys rhif y rhestr. Tybiwch os oes gennych chi restr mynediad rhestr safon 10 gwadu ________, safon rhestr mynediad 20 gwadu ________ ac yn y blaen, yna mae gennych chi gyfle i fewnosod rhestrau canolradd gyda meini prawf eraill rhyngddynt, er enghraifft, safon rhestr mynediad 15 gwadu ________ .
Fel arall, gallwch ddileu 20 llinell safonol y rhestr-mynediad a'u haildeipio gyda pharamedrau gwahanol rhwng y llinellau mynediad safonol 10 a'r rhestr mynediad safonol 30. Felly, mae sawl ffordd o olygu cystrawen ACL fodern.
Mae angen i chi fod yn ofalus iawn wrth greu ACLs. Fel y gwyddoch, darllenir rhestrau o'r top i'r gwaelod. Os ydych chi'n gosod llinell ar y brig sy'n caniatáu traffig o westeiwr penodol, yna isod gallwch chi osod llinell sy'n gwahardd traffig o'r rhwydwaith cyfan y mae'r gwesteiwr hwn yn rhan ohono, a bydd y ddau gyflwr yn cael eu gwirio - bydd traffig i westeiwr penodol yn yn cael ei ganiatáu, a bydd traffig o bob gwesteiwr arall y rhwydwaith hwn yn cael ei rwystro. Felly, rhowch gofnodion penodol ar frig y rhestr bob amser a rhai cyffredinol ar y gwaelod.
Felly, ar ôl i chi greu ACL clasurol neu fodern, rhaid i chi ei gymhwyso. I wneud hyn, mae angen i chi fynd i osodiadau rhyngwyneb penodol, er enghraifft, f0/0 gan ddefnyddio'r rhyngwyneb gorchymyn <math a slot>, ewch i'r modd is-orchymyn rhyngwyneb a nodwch y gorchymyn ip access-group <ACL number/ enw > . Sylwch ar y gwahaniaeth: wrth lunio rhestr, defnyddir rhestr mynediad, ac wrth ei chymhwyso, defnyddir grŵp mynediad. Rhaid i chi benderfynu i ba ryngwyneb y bydd y rhestr hon yn cael ei chymhwyso - y rhyngwyneb sy'n dod i mewn neu'r rhyngwyneb sy'n mynd allan. Os oes gan y rhestr enw, er enghraifft, Rhwydweithio, ailadroddir yr un enw yn y gorchymyn i gymhwyso'r rhestr ar y rhyngwyneb hwn.
Nawr, gadewch i ni gymryd problem benodol a cheisio ei datrys gan ddefnyddio enghraifft ein diagram rhwydwaith gan ddefnyddio Packet Tracer. Felly, mae gennym 4 rhwydwaith: adran werthu, adran gyfrifo, ystafell reoli a gweinydd.
Tasg Rhif 1: rhaid rhwystro'r holl draffig a gyfeirir o'r adrannau gwerthu ac ariannol i'r adran reoli a'r ystafell weinyddion. Y lleoliad blocio yw rhyngwyneb S0/1/0 y llwybrydd R2. Yn gyntaf mae'n rhaid i ni greu rhestr sy'n cynnwys y cofnodion canlynol:
Gadewch i ni alw'r rhestr "Rheoli a Diogelwch Gweinyddwr ACL", wedi'i dalfyrru fel ACL Secure_Ma_And_Se. Dilynir hyn gan wahardd traffig o rwydwaith yr adran ariannol 192.168.1.128/26, gwahardd traffig o rwydwaith yr adran werthu 192.168.1.0/25, a chaniatáu unrhyw draffig arall. Ar ddiwedd y rhestr, nodir ei fod yn cael ei ddefnyddio ar gyfer rhyngwyneb allanol S0/1/0 y llwybrydd R2. Os nad oes gennym Drwydded Unrhyw gofnod ar ddiwedd y rhestr, yna bydd yr holl draffig arall yn cael ei rwystro oherwydd bod yr ACL rhagosodedig bob amser wedi'i osod i Gwrthod Unrhyw gofnod ar ddiwedd y rhestr.
A allaf gymhwyso'r ACL hwn i ryngwyneb G0/0? Wrth gwrs, gallaf, ond yn yr achos hwn dim ond traffig o'r adran gyfrifo fydd yn cael ei rwystro, ac ni fydd traffig o'r adran werthu yn gyfyngedig mewn unrhyw ffordd. Yn yr un modd, gallwch gymhwyso ACL i'r rhyngwyneb G0/1, ond yn yr achos hwn ni fydd traffig yr adran gyllid yn cael ei rwystro. Wrth gwrs, gallwn greu dwy restr bloc ar wahân ar gyfer y rhyngwynebau hyn, ond mae'n llawer mwy effeithlon eu cyfuno'n un rhestr a'i gymhwyso i ryngwyneb allbwn llwybrydd R2 neu ryngwyneb mewnbwn S0/1/0 y llwybrydd R1.
Er bod rheolau Cisco yn nodi y dylid gosod ACL safonol mor agos at y gyrchfan â phosibl, byddaf yn ei osod yn agosach at ffynhonnell y traffig oherwydd fy mod am rwystro'r holl draffig sy'n mynd allan, ac mae'n gwneud mwy o synnwyr i wneud hyn yn agosach at y ffynhonnell fel nad yw'r traffig hwn yn gwastraffu'r rhwydwaith rhwng dau lwybrydd.
Anghofiais ddweud wrthych am y meini prawf, felly gadewch inni fynd yn ôl yn gyflym. Gallwch nodi unrhyw un fel maen prawf - yn yr achos hwn, bydd unrhyw draffig o unrhyw ddyfais ac unrhyw rwydwaith yn cael ei wrthod neu ei ganiatáu. Gallwch hefyd nodi gwesteiwr gyda'i ddynodwr - yn yr achos hwn, y cofnod fydd cyfeiriad IP dyfais benodol. Yn olaf, gallwch chi nodi rhwydwaith cyfan, er enghraifft, 192.168.1.10/24. Yn yr achos hwn, bydd /24 yn golygu presenoldeb mwgwd subnet o 255.255.255.0, ond mae'n amhosibl nodi cyfeiriad IP y mwgwd is-rwydwaith yn yr ACL. Ar gyfer yr achos hwn, mae gan ACL gysyniad o'r enw Wildcart Mask, neu “fasg gwrthdro”. Felly mae'n rhaid i chi nodi'r cyfeiriad IP a'r mwgwd dychwelyd. Mae'r mwgwd gwrthdro yn edrych fel hyn: rhaid i chi dynnu'r mwgwd is-rwydwaith uniongyrchol o'r mwgwd is-rwydwaith cyffredinol, hynny yw, mae'r rhif sy'n cyfateb i'r gwerth octet yn y mwgwd blaen yn cael ei dynnu o 255.
Felly, dylech ddefnyddio'r paramedr 192.168.1.10 0.0.0.255 fel y maen prawf yn yr ACL.
Sut mae'n gweithio? Os oes 0 yn yr wythawd mwgwd dychwelyd, ystyrir bod y maen prawf yn cyfateb i wythawd cyfatebol y cyfeiriad IP subnet. Os oes rhif yn yr wythawd backmask, ni chaiff y cydweddiad ei wirio. Felly, ar gyfer rhwydwaith o 192.168.1.0 a mwgwd dychwelyd o 0.0.0.255, bydd yr holl draffig o gyfeiriadau y mae eu tri wythawd cyntaf yn hafal i 192.168.1., waeth beth fo gwerth y pedwerydd octet, yn cael ei rwystro neu ei ganiatáu yn dibynnu ar y weithred benodedig.
Mae defnyddio mwgwd cefn yn hawdd, a byddwn yn dod yn ôl at y Wildcart Mask yn y fideo nesaf er mwyn i mi allu esbonio sut i weithio gydag ef.
28:50 mun
Diolch am aros gyda ni. Ydych chi'n hoffi ein herthyglau? Eisiau gweld cynnwys mwy diddorol? Cefnogwch ni trwy osod archeb neu argymell i ffrindiau, Gostyngiad o 30% i ddefnyddwyr Habr ar analog unigryw o weinyddion lefel mynediad, a ddyfeisiwyd gennym ni ar eich cyfer chi: (ar gael gyda RAID1 a RAID10, hyd at 24 craidd a hyd at 40GB DDR4).
Dell R730xd 2 gwaith yn rhatach? Dim ond yma yn yr Iseldiroedd! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - o $99! Darllenwch am
Ffynhonnell: hab.com