Sa lá atá inniu cuirfimid tús le foghlaim faoi liosta rialaithe rochtana ACL, déanfaidh an t-ábhar seo 2 cheacht físeáin. Breathnóimid ar chumraíocht caighdeánach ACL, agus sa chéad fhíseán teagaisc eile beidh mé ag caint faoin liosta leathnaithe.
Sa cheacht seo clúdóimid 3 thopaic. Is é an chéad cheann cad é ACL, is é an dara ceann cad é an difríocht idir liosta caighdeánach agus liosta rochtana sínte, agus ag deireadh an cheachta, mar shaotharlann, féachfaimid ar ACL caighdeánach a bhunú agus fadhbanna féideartha a réiteach.
Mar sin, cad is ACL ann? Má rinne tú staidéar ar an gcúrsa ón gcéad cheacht físe, ansin is cuimhin leat conas a d’eagraíomar cumarsáid idir gléasanna líonra éagsúla.
Rinneamar staidéar freisin ar ródú statach thar phrótacail éagsúla chun scileanna a fháil in eagrú cumarsáide idir gléasanna agus líonraí. Tá an chéim foghlama sroichte againn anois nuair is cóir dúinn a bheith buartha faoi rialú tráchta a chinntiú, is é sin, cosc a chur ar “dhrochdhaoine” nó ar úsáideoirí neamhúdaraithe insíothlú sa líonra. Mar shampla, d'fhéadfadh sé seo a bheith buartha do dhaoine ón roinn díolacháin DÍOLACHÁIN, a léirítear sa léaráid seo. Anseo taispeánann muid freisin CUNTAIS na roinne airgeadais, an roinn bhainistíochta BAINISTÍOCHTA agus an seomra freastalaí SERVER ROOM.
Mar sin, d'fhéadfadh go mbeadh céad fostaí ag an roinn díolacháin, agus nílimid ag iarraidh go mbeadh aon cheann acu in ann an seomra freastalaí a bhaint amach thar an líonra. Déantar eisceacht don bhainisteoir díolacháin a oibríonn ar ríomhaire Laptop2 - is féidir leis rochtain a bheith aige ar an seomra freastalaí. Níor cheart go mbeadh rochtain den sórt sin ag fostaí nua atá ag obair ar Laptop3, is é sin, má shroicheann trácht óna ríomhaire ródaire R2, ba cheart é a scaoileadh.
Is é ról ACL ná trácht a scagadh de réir na bparaiméadar scagtha sonraithe. Áirítear leo an seoladh IP foinse, seoladh IP ceann scríbe, prótacal, líon na gcalafort agus paraiméadair eile, a bhuíochas sin is féidir leat an trácht a aithint agus roinnt gníomhartha a dhéanamh leis.
Mar sin, is meicníocht scagtha ciseal 3 de mhúnla OSI é ACL. Ciallaíonn sé seo go n-úsáidtear an meicníocht seo i ródairí. Is é an príomhchritéar maidir le scagadh ná an sruth sonraí a shainaithint. Mar shampla, más mian linn bac a chur ar an bhfear leis an ríomhaire Laptop3 ó rochtain a fháil ar an bhfreastalaí, ar an gcéad dul síos ní mór dúinn a thrácht a aithint. Gluaiseann an trácht seo i dtreo Glúine-Switch2-R2-R1-Switch1-Server1 trí chomhéadain chomhfhreagracha gléasanna líonra, agus níl baint ar bith ag comhéadain G0/0 ródairí leis.
Chun trácht a aithint, ní mór dúinn a chonair a aithint. Tar éis é seo a dhéanamh, is féidir linn a chinneadh cén áit go díreach a chaithfimid an scagaire a shuiteáil. Ná bíodh imní ort faoi na scagairí féin, déanfaimid iad a phlé sa chéad cheacht eile, faoi láthair ní mór dúinn a thuiscint cén comhéadan ar chóir an scagaire a chur i bhfeidhm.
Má fhéachann tú ar ródaire, is féidir leat a fheiceáil go bhfuil comhéadan ann gach uair a bhogann an trácht, nuair a thagann an sreabhadh sonraí isteach, agus comhéadan trína dtagann an sreabhadh seo amach.
Tá 3 chomhéadain ann i ndáiríre: an comhéadan ionchuir, an comhéadan aschuir agus comhéadan an ródaire féin. Cuimhnigh nach féidir scagadh a chur i bhfeidhm ach ar an gcomhéadan ionchuir nó aschuir.
Tá prionsabal oibríocht ACL cosúil le pas chuig imeacht nach féidir freastal ach ar na haíonna sin a bhfuil a n-ainm ar liosta na ndaoine ar tugadh cuireadh dóibh. Is éard atá in ACL ná liosta paraiméadair cháilíochta a úsáidtear chun trácht a aithint. Mar shampla, léiríonn an liosta seo go gceadaítear an trácht go léir ón seoladh IP 192.168.1.10, agus déantar trácht ó gach seoladh eile a dhiúltú. Mar a dúirt mé, is féidir an liosta seo a chur i bhfeidhm ar an gcomhéadan ionchuir agus aschuir araon.
Tá 2 chineál ACL ann: caighdeánach agus leathnaithe. Tá aitheantóir ó 1 go 99 nó ó 1300 go 1999 ag ACL caighdeánach. Níl iontu seo ach liosta ainmneacha nach bhfuil buntáistí ar bith acu ar a chéile de réir mar a mhéadaíonn an t-uimhriú. Chomh maith leis an uimhir, is féidir leat d'ainm féin a shannadh don ACL. Tá ACLanna sínte uimhrithe 100 go 199 nó 2000 go 2699 agus féadfaidh ainm a bheith orthu freisin.
I ACL caighdeánach, tá an t-aicmiú bunaithe ar an seoladh IP foinse an tráchta. Mar sin, agus a leithéid de liosta á úsáid agat, ní féidir leat an trácht a dhírítear chuig foinse ar bith a shrianadh, ní féidir leat ach trácht a thagann ó ghléas a bhlocáil.
Rangaíonn ACL leathnaithe trácht de réir seoladh IP foinse, seoladh IP ceann scríbe, prótacal a úsáidtear, agus uimhir phoirt. Mar shampla, ní féidir leat ach trácht FTP a bhlocáil, nó trácht HTTP amháin. Sa lá atá inniu beimid ag féachaint ar an ACL caighdeánach, agus beidh muid ag caitheamh an chéad cheacht físeáin eile ar liostaí sínte.
Mar a dúirt mé, is liosta coinníollacha é ACL. Tar éis duit an liosta seo a chur i bhfeidhm ar chomhéadan isteach nó amach an ródaire, seiceálann an ródaire an trácht in aghaidh an liosta seo, agus má chomhlíonann sé na coinníollacha atá leagtha amach sa liosta, cinneann sé an trácht seo a cheadú nó a dhiúltú. Is minic a bhíonn sé deacair ag daoine comhéadain ionchuir agus aschuir ródaire a chinneadh, cé nach bhfuil aon rud casta anseo. Nuair a labhraímid faoi chomhéadan ag teacht isteach, ciallaíonn sé seo nach ndéanfar ach trácht ag teacht isteach a rialú ar an gcalafort seo, agus ní chuirfidh an ródaire srianta ar thrácht amach. Ar an gcaoi chéanna, má táimid ag caint faoi chomhéadan egress, ciallaíonn sé seo nach mbeidh feidhm ag na rialacha go léir ach amháin maidir le trácht amach, agus glacfar le trácht ag teacht isteach ar an gcalafort seo gan srianta. Mar shampla, má tá 2 chalafort ag an ródaire: f0/0 agus f0/1, ansin ní chuirfear an ACL i bhfeidhm ach amháin ar thrácht a théann isteach sa chomhéadan f0/0, nó ar thrácht a thagann as an gcomhéadan f0/1 amháin. Ní bheidh tionchar ag an liosta ar thrácht atá ag dul isteach nó ag fágáil comhéadan f0/1.
Dá bhrí sin, ná bíodh mearbhall ort le treo isteach nó amach an chomhéadain, braitheann sé ar threo an tráchta ar leith. Mar sin, tar éis don ródaire an trácht a sheiceáil chun na coinníollacha ACL a mheaitseáil, ní féidir leis ach dhá chinneadh a dhéanamh: an trácht a cheadú nó é a dhiúltú. Mar shampla, is féidir leat trácht atá i ndán do 180.160.1.30 a cheadú agus trácht atá i ndán do 192.168.1.10 a dhiúltú. Féadfaidh coinníollacha iolracha a bheith i ngach liosta, ach ní mór do gach ceann de na coinníollacha seo a cheadú nó a dhiúltú.
Ligean le rá go bhfuil liosta againn:
Cosc _______
Ceadaigh ________
Ceadaigh ________
Cosc ar _________.
Ar dtús, seiceálfaidh an ródaire an trácht féachaint an bhfuil sé ag teacht leis an gcéad choinníoll; mura n-oireann sé, seiceálfaidh sé an dara coinníoll. Má tá an trácht ag teacht leis an tríú riocht, stopfaidh an ródaire den seiceáil agus ní dhéanfaidh sé é a chur i gcomparáid leis an gcuid eile de choinníollacha an liosta. Déanfaidh sé an gníomh “ceadaigh” agus bogfaidh sé ar aghaidh go dtí an chéad chuid eile den trácht a sheiceáil.
I gcás nach bhfuil riail socraithe agat maidir le haon phaicéad agus go dtéann an trácht trí línte uile an liosta gan aon cheann de na coinníollacha a bhualadh, scriostar é, toisc go gcríochnaíonn gach liosta ACL de réir réamhshocraithe le haon ordú a dhiúltú - is é sin, scriosadh aon phaicéad, nach dtagann faoi aon cheann de na rialacha. Tagann an coinníoll seo i bhfeidhm má tá riail amháin ar a laghad sa liosta, ar shlí eile níl aon éifeacht aige. Ach má tá an iontráil dhiúltú 192.168.1.30 sa chéad líne agus nach bhfuil aon choinníollacha sa liosta a thuilleadh, ansin ag an deireadh ba chóir go mbeadh ceadúnas ordaithe ar bith, is é sin, cead a thabhairt d'aon trácht ach amháin an ceann a thoirmisctear leis an riail. Ní mór duit é seo a chur san áireamh chun botúin a sheachaint agus an ACL á chumrú.
Ba mhaith liom go gcuimhneoidh tú an riail bhunúsach maidir le liosta ASL a chruthú: cuir ASL caighdeánach chomh gar agus is féidir don cheann scríbe, is é sin, d'fhaighteoir an tráchta, agus cuir ASL leathnaithe chomh gar agus is féidir don fhoinse, is é sin, chuig seoltóir an tráchta. Is moltaí Cisco iad seo, ach go praiticiúil tá cásanna ann ina ndéanann sé ciall níos mó ACL caighdeánach a chur gar don fhoinse tráchta. Ach má thagann tú trasna ar cheist faoi rialacha socrúcháin ACL le linn an scrúdaithe, lean moltaí Cisco agus freagair gan athbhrí: tá an caighdeán níos gaire don cheann scríbe, tá síneadh níos gaire don fhoinse.
Anois, déanaimis féachaint ar chomhréir chaighdeán ACL. Tá dhá chineál comhréire ordaithe i mód cumraíochta domhanda an ródaire: comhréir clasaiceach agus comhréir nua-aimseartha.
Is é an cineál ordaithe clasaiceach ná liosta rochtana <ACL number> <deny/allow> <criteria>. Má shocraíonn tú <uimhir ACL> ó 1 go 99, tuigfidh an gléas go huathoibríoch gur ACL caighdeánach é seo, agus má tá sé ó 100 go 199, ansin is ceann sínte é. Ós rud é i gceacht an lae inniu táimid ag féachaint ar liosta caighdeánach, is féidir linn aon uimhir a úsáid ó 1 go 99. Ansin léirímid an gníomh is gá a chur i bhfeidhm má tá na paraiméadair ag teacht leis an gcritéar seo a leanas - trácht a cheadú nó a dhiúltú. Déanfaimid breithniú ar an gcritéar níos déanaí, ós rud é go n-úsáidtear é freisin i gcomhréir nua-aimseartha.
Úsáidtear an cineál ordaithe nua-aimseartha freisin sa mhodh cumraíochta domhanda Rx(config) agus tá an chuma air seo: ip access-list standard <ACL number/name>. Anseo is féidir leat uimhir ó 1 go 99 nó ainm an liosta ACL a úsáid, mar shampla, ACL_Networking. Cuireann an t-ordú seo an córas láithreach i mód fo-ordaithe Rx caighdeánach (config-std-nacl), áit a gcaithfidh tú <deny/enable> <criteria> a chur isteach. Tá buntáistí níos mó ag an gcineál foirne nua-aimseartha i gcomparáid leis an gceann clasaiceach.
I liosta clasaiceach, má chlóscríobhann tú liosta rochtana 10 diúltaigh ______, ansin clóscríobh an chéad ordú eile den chineál céanna le haghaidh critéar eile agus ag críochnú le 100 ordú dá leithéid, ansin chun aon cheann de na horduithe a cuireadh isteach a athrú bheadh ort a scriosadh an liosta rochtain iomlán 10 leis an ordú gan rochtain-liosta 10. Scriosfaidh sé seo gach ordú 100 toisc nach bhfuil aon bhealach a chur in eagar ar aon ordú aonair ar an liosta seo.
I gcomhréir nua-aimseartha, roinntear an t-ordú ina dhá líne, agus tá uimhir an liosta sa chéad cheann acu. Cuir i gcás má tá liosta liosta rochtana-liosta caighdeánach agat 10 diúltaigh ________, caighdeán liosta rochtana 20 diúltaigh ________ agus mar sin de, tá an deis agat liostaí idirmheánacha a bhfuil critéir eile eatarthu a chur isteach, mar shampla, liosta rochtana caighdeánach 15 deny ________ .
Mar mhalairt air sin, is féidir leat na línte caighdeánacha 20 liosta rochtana a scriosadh go simplí agus iad a athchlóscríobh le paraiméadair éagsúla idir an caighdeán liosta rochtana 10 agus línte caighdeánacha liosta rochtana 30. Mar sin, tá bealaí éagsúla ann chun comhréir ACL nua-aimseartha a chur in eagar.
Ní mór duit a bheith an-chúramach agus tú ag cruthú ACLanna. Mar is eol daoibh, léitear liostaí ó bhun go barr. Má chuireann tú líne ag an mbarr a ligeann do thrácht ó óstach ar leith, ansin thíos is féidir leat líne a thoirmeasc ar thrácht ón líonra iomlán a bhfuil an t-óstach seo mar chuid de, agus déanfar an dá choinníoll a sheiceáil - déanfar trácht chuig óstach ar leith. a cheadú tríd, agus cuirfear bac ar thrácht ó gach óstach eile den líonra seo. Mar sin, cuir iontrálacha sonracha ag barr an liosta i gcónaí agus na cinn ghinearálta ag bun an leathanaigh.
Mar sin, tar éis duit ACL clasaiceach nó nua-aimseartha a chruthú, ní mór duit é a chur i bhfeidhm. Chun seo a dhéanamh, ní mór duit dul go dtí na socruithe de chomhéadain ar leith, mar shampla, f0/0 ag baint úsáide as an comhéadan ordaithe <cineál agus sliotán>, téigh go dtí an modh fo-ordú comhéadan agus cuir isteach an ordú ip rochtain-ghrúpa <ACL uimhir/ ainm > . Tabhair faoi deara le do thoil an difríocht: agus liosta á thiomsú, úsáidtear liosta rochtana, agus nuair a chuirtear i bhfeidhm é, úsáidtear grúpa rochtana. Ní mór duit a chinneadh cén comhéadan a gcuirfear an liosta seo i bhfeidhm air - an comhéadan isteach nó an comhéadan amach. Má tá ainm ar an liosta, mar shampla, Líonrú, cuirtear an t-ainm céanna arís agus arís eile san ordú chun an liosta a chur i bhfeidhm ar an gcomhéadan seo.
Anois, déanaimis fadhb shonrach a ghlacadh agus iarracht a dhéanamh í a réiteach ag baint úsáide as sampla ár léaráid líonra ag baint úsáide as Paicéad Tracer. Mar sin, tá 4 líonra againn: roinn díolacháin, roinn chuntasaíochta, seomra bainistíochta agus freastalaí.
Tasc Uimh. 1: ní mór bac a chur ar gach trácht a dhírítear ó na ranna díolacháin agus airgeadais chuig an roinn bhainistíochta agus an seomra freastalaí. Is é an suíomh blocála comhéadan S0/1/0 den ródaire R2. Ar dtús caithfimid liosta a chruthú ina mbeidh na hiontrálacha seo a leanas:
Glaoimid ar an liosta "Bainistíocht agus Slándáil Freastalaí ACL", arna ghiorrú mar ACL Secure_Ma_And_Se. Ina dhiaidh sin cuirtear toirmeasc ar thrácht ó líonra na roinne airgeadais 192.168.1.128/26, toirmeasc a chur ar thrácht ó líonra na roinne díolacháin 192.168.1.0/25, agus aon trácht eile a cheadú. Ag deireadh an liosta léirítear go n-úsáidtear é don chomhéadan amach S0/1/0 den ródaire R2. Mura bhfuil Cead againn Aon iontráil ag deireadh an liosta, ansin cuirfear bac ar gach trácht eile toisc go bhfuil an ACL réamhshocraithe socraithe i gcónaí chun Diúltú Aon iontráil ag deireadh an liosta.
An féidir liom an ACL seo a chur i bhfeidhm ar chomhéadan G0/0? Ar ndóigh, is féidir liom, ach sa chás seo ní dhéanfar ach trácht ón roinn chuntasaíochta a bhac, agus ní bheidh trácht ón roinn díolacháin teoranta ar bhealach ar bith. Ar an mbealach céanna, is féidir leat ACL a chur i bhfeidhm ar an gcomhéadan G0/1, ach sa chás seo ní chuirfear bac ar thrácht na roinne airgeadais. Ar ndóigh, is féidir linn dhá bhlocliosta ar leith a chruthú do na comhéadain seo, ach tá sé i bhfad níos éifeachtaí iad a chomhcheangal i liosta amháin agus é a chur i bhfeidhm ar chomhéadan aschuir an ródaire R2 nó ar an gcomhéadan ionchuir S0/1/0 den ródaire R1.
Cé go ndeir rialacha Cisco gur cheart ACL caighdeánach a chur chomh gar don cheann scríbe agus is féidir, cuirfidh mé é níos gaire don fhoinse tráchta mar ba mhaith liom bac a chur ar gach trácht atá ag dul as oifig, agus déanann sé ciall níos mó é seo a dhéanamh níos gaire don cheann scríbe. foinse ionas nach gcaitheann an trácht seo an líonra idir dhá ródaire.
Rinne mé dearmad a insint duit faoi na critéir, mar sin a ligean ar dul ar ais go tapa. Is féidir leat aon cheann a shonrú mar chritéar - sa chás seo, déanfar aon trácht ó aon fheiste agus aon líonra a dhiúltú nó a cheadú. Is féidir leat a shonrú freisin ina óstach lena aitheantóir - sa chás seo, beidh an iontráil seoladh IP feiste ar leith. Ar deireadh, is féidir leat líonra iomlán a shonrú, mar shampla, 192.168.1.10/24. Sa chás seo, ciallóidh /24 láithreacht masc subnet de 255.255.255.0, ach tá sé dodhéanta seoladh IP an masc subnet a shonrú san ACL. Sa chás seo, tá coincheap ag ACL ar a dtugtar Masc Fiáin, nó “masc droim ar ais”. Mar sin ní mór duit an seoladh IP agus an masc fillte a shonrú. Breathnaíonn an masc droim ar ais mar seo: ní mór duit an masc subnet díreach a dhealú ón masc subnet ginearálta, is é sin, déantar an uimhir a fhreagraíonn don luach octet sa masc tosaigh a dhealú ó 255.
Mar sin, ba cheart duit an paraiméadar 192.168.1.10 0.0.0.255 a úsáid mar chritéar san ACL.
Conas a oibríonn sé? Má tá 0 san octet masc tuairisceáin, meastar go bhfuil an critéar ag teacht le hochtéad comhfhreagrach an seoladh IP subnet. Má tá uimhir san octet backmask, ní dhéantar an meaitseáil a sheiceáil. Mar sin, le haghaidh líonra 192.168.1.0 agus masc fillte de 0.0.0.255, cuirfear bac ar gach trácht ó sheoltaí a bhfuil a gcéad trí octet cothrom le 192.168.1., beag beann ar luach an cheathrú octet, nó a cheadú ag brath ar an gníomh sonraithe.
Tá sé éasca masc droim ar ais a úsáid, agus tiocfaimid ar ais chuig an Wildcart Mask sa chéad fhíseán eile ionas gur féidir liom a mhíniú conas oibriú leis.
28:50 nóim
Go raibh maith agat as fanacht linn. An maith leat ár n-alt? Ag iarraidh ábhar níos suimiúla a fheiceáil? Tacaigh linn trí ordú a dhéanamh nó moladh a thabhairt do chairde, Lascaine 30% d’úsáideoirí Habr ar analóg uathúil de fhreastalaithe leibhéal iontrála, a cheap muid duit: (ar fáil le RAID1 agus RAID10, suas le 24 croíleacan agus suas le 40GB DDR4).
Dell R730xd 2 uair níos saoire? Ach anseo san Ísiltír! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ó $99! Léigh faoi
Foinse: will.com