An-diugh tòisichidh sinn ag ionnsachadh mu liosta smachd ruigsinneachd ACL, gabhaidh an cuspair seo 2 leasanan bhidio. Seallaidh sinn ri rèiteachadh ACL à bhaisteach, agus anns an ath oideachadh bhidio bruidhnidh mi mun liosta leudaichte.
Anns an leasan seo còmhdaichidh sinn 3 cuspairean. Is e aâ chiad fhear dè a thâ ann an ACL, is e an dĂ rna fear an diofar eadar liosta Ă bhaisteach agus liosta ruigsinneachd leudaichte, agus aig deireadh an leasain, mar obair-lann, seallaidh sinn ri bhith aâ stèidheachadh ACL Ă bhaisteach agus aâ fuasgladh dhuilgheadasan a dhâ fhaodadh a bhith ann.
Mar sin dè a thâ ann an ACL? Ma rinn thu sgrĂšdadh air aâ chĂšrsa bhon chiad leasan bhidio, tha cuimhne agad mar a chuir sinn air dòigh conaltradh eadar diofar innealan lĂŹonra.
Rinn sinn sgrĂšdadh cuideachd air slighe statach thairis air diofar phròtacalan gus sgilean fhaighinn ann a bhith ag eagrachadh conaltradh eadar innealan agus lĂŹonraidhean. Tha sinn a-nis air an ĂŹre ionnsachaidh a ruighinn far am bu chòir dragh a bhith oirnn mu bhith dèanamh cinnteach Ă smachd trafaic, is e sin, casg a chuir air âdroch ghilleanâ no luchd-cleachdaidh gun chead bho bhith aâ toirt a-steach an lĂŹonra. Mar eisimpleir, dh'fhaodadh seo dragh a thoirt do dhaoine bhon roinn reic SALES, a tha air a shealltainn san diagram seo. An seo tha sinn cuideachd a 'sealltainn an roinn ionmhais CUNNTASAN, an roinn stiĂširidh RIAGHLADH agus an t-seòmar frithealaidh SEĂMAR frithealaidh.
Mar sin, is dòcha gu bheil ceud neach-obrach aig an roinn reic, agus chan eil sinn airson gum bi e comasach dha gin dhiubh an seòmar frithealaiche a ruighinn thairis air an lÏonra. Tha eisgeachd air a dhèanamh don mhanaidsear reic a tha ag obair air coimpiutair Laptop2 - faodaidh e faighinn gu seòmar an fhrithealaiche. Cha bu chòir gum biodh an leithid de chothrom aig neach-obrach Úr a tha ag obair air Laptop3, is e sin, ma ruigeas trafaic bhon choimpiutair aige an router R2, bu chòir a leigeil sÏos.
Is e dleastanas ACL trafaic a shĂŹoladh a rèir nam paramadairean sĂŹoltachaidh ainmichte. Tha iad aâ toirt a-steach an tĂšs seòladh IP, seòladh IP ceann-uidhe, protocol, Ă ireamh phuirt agus paramadairean eile, leis an urrainn dhut an trafaic aithneachadh agus cuid de ghnĂŹomhan a dhèanamh leis.
Mar sin, tha ACL na inneal sĂŹolaidh còmhdach 3 den mhodal OSI. Tha seo a 'ciallachadh gu bheil an uidheamachd seo air a chleachdadh ann an routers. Is e am prĂŹomh shlat-tomhais airson sĂŹoladh an t-sruth dĂ ta a chomharrachadh. Mar eisimpleir, ma tha sinn airson casg a chuir air aâ ghille leis aâ choimpiutair Laptop3 bho bhith aâ faighinn chun t-seirbheisiche, an toiseach feumaidh sinn an trafaic aige a chomharrachadh. Bidh an trafaic seo aâ gluasad taobh Laptop-Switch2-R2-R1-Switch1-Server1 tro eadar-aghaidh co-fhreagarrach innealan lĂŹonra, fhad âs nach eil dad aig eadar-aghaidh routers G0 / 0 ris.
Gus trafaic a chomharrachadh, feumaidh sinn a shlighe a chomharrachadh. An dèidh seo a dhèanamh, is urrainn dhuinn co-dhÚnadh cà ite dÏreach a dh'fheumas sinn an criathrag a stà ladh. Na gabh dragh mu na sÏoltachain fhèin, bruidhnidh sinn orra san ath leasan, airson a-nis feumaidh sinn tuigsinn dè an eadar-aghaidh a bu chòir an sÏoltachan a chuir an sà s.
Ma choimheadas tu air router, chĂŹ thu, a h-uile uair a ghluaiseas trafaic, gu bheil eadar-aghaidh ann far am bi an sruth dĂ ta a âtighinn a-steach, agus eadar-aghaidh tron âââât-sruth seo aâ tighinn a-mach.
Gu dearbh tha 3 eadar-aghaidh ann: an eadar-aghaidh cuir a-steach, an eadar-aghaidh toraidh agus eadar-aghaidh an router fhèin. DÏreach cuimhnich nach urrainnear sÏoladh a chuir an sàs ach air an eadar-aghaidh cuir a-steach no toraidh.
Tha prionnsapal gnĂŹomhachd ACL coltach ri pas gu tachartas nach urrainn a bhith an lĂ thair ach leis na h-aoighean sin aig a bheil ainm air an liosta de dhaoine a fhuair cuireadh. Tha ACL na liosta de pharaimearan teisteanais a thathas aâ cleachdadh gus trafaic a chomharrachadh. Mar eisimpleir, tha an liosta seo a 'sealltainn gu bheil a h-uile trafaig ceadaichte bhon t-seòladh IP 192.168.1.10, agus tha trafaig bho gach seòladh eile air a dhiĂšltadh. Mar a thuirt mi, faodar an liosta seo a chuir an sĂ s an dĂ chuid don eadar-aghaidh cuir a-steach agus toraidh.
Tha dĂ sheòrsa ACL ann: Ă bhaisteach agus leudaichte. Tha aithnichear aig ACL Ă bhaisteach bho 2 gu 1 no bho 99 gu 1300. Chan eil annta seo ach ainmean liosta aig nach eil buannachdan thairis air a chèile mar a tha an Ă ireamh ag èirigh. A bharrachd air an Ă ireamh, faodaidh tu dâ ainm fhèin a shònrachadh don ACL. Tha ACLan leudaichte air an Ă ireamhachadh 1999 gu 100 no 199 gu 2000 agus faodaidh ainm a bhith orra cuideachd.
Ann an ACL Ă bhaisteach, tha an seòrsachadh stèidhichte air seòladh IP stòr an trafaic. Mar sin, nuair a bhios tu aâ cleachdadh a leithid de liosta, chan urrainn dhut trafaic a tha air a stiĂšireadh gu stòr sam bith a chuingealachadh, chan urrainn dhut ach trafaic bho inneal a bhacadh.
Bidh ACL leudaichte aâ seòrsachadh trafaic a rèir seòladh IP stòr, seòladh IP ceann-uidhe, protocol air a chleachdadh, agus Ă ireamh puirt. Mar eisimpleir, chan urrainn dhut ach trafaic FTP a bhacadh, no dĂŹreach trafaic HTTP. An-diugh seallaidh sinn ris an ACL Ă bhaisteach, agus bheir sinn an ath leasan bhidio do liostaichean leudaichte.
Mar a thuirt mi, tha ACL na liosta de shuidheachaidhean. Ăs deidh dhut an liosta seo a chuir an sĂ s ann an eadar-aghaidh an router a tha a âtighinn a-steach no a-mach, bidh an router aâ sgrĂšdadh an trafaic an aghaidh an liosta seo, agus ma choinnicheas e ris na cumhachan a tha air an comharrachadh san liosta, bidh e a âco-dhĂšnadh am bu chòir an trafaic seo a cheadachadh no a dhiĂšltadh. Gu tric bidh e duilich do dhaoine eadar-aghaidh cuir a-steach agus toraidh router a dhearbhadh, ged nach eil dad iom-fhillte an seo. Nuair a bhios sinn aâ bruidhinn mu eadar-aghaidh a tha aâ tighinn a-steach, tha seo aâ ciallachadh nach bi ach trafaic aâ tighinn a-steach air a smachdachadh air aâ phort seo, agus cha chuir an router bacadh air trafaic a tha aâ falbh. Mar an ceudna, ma tha sinn aâ bruidhinn mu dheidhinn eadar-aghaidh egress, tha seo aâ ciallachadh nach bi a h-uile riaghailt aâ buntainn ach ri trafaic a-mach, agus gun tèid gabhail ri trafaic a-steach don phort seo gun chuingealachaidhean. Mar eisimpleir, ma tha 2 phuirt aig an router: f0/0 agus f0/1, cha tèid an ACL a chuir an sĂ s ach airson trafaic aâ dol a-steach don eadar-aghaidh f0/0, no dĂŹreach ri trafaic a thĂ inig bhon eadar-aghaidh f0/1. Cha toir an liosta buaidh air trafaic aâ tighinn a-steach no aâ fĂ gail eadar-aghaidh f0/1.
Mar sin, na bi troimh-chèile leis an taobh a-staigh no a-mach den eadar-aghaidh, tha e an urra ri stiĂšir trafaic sònraichte. Mar sin, Ă s deidh don router sgrĂšdadh a dhèanamh air an trafaic airson a bhith aâ maidseadh cumhachan ACL, chan urrainn dha ach dĂ cho-dhĂšnadh a dhèanamh: cead a thoirt don trafaic no a dhiĂšltadh. Mar eisimpleir, faodaidh tu cead a thoirt do thrafaig a tha gu bhith airson 180.160.1.30 agus trafaic a dhiĂšltadh airson 192.168.1.10. Faodaidh iomadh suidheachadh a bhith anns gach liosta, ach feumaidh gach aon de na cumhaichean sin a cheadachadh no a dhiĂšltadh.
Seach gu bheil liosta againn:
Toirmeasg _______
Ceadaich ________
Ceadaich ________
Toirmeasg _________.
An toiseach, bheir an router sĂšil air an trafaic gus faicinn a bheil e a rèir a âchiad chumha; mura h-eil e a âmaidseadh, bheir e sĂšil air an dĂ rna suidheachadh. Ma tha an trafaic a rèir an treas suidheachadh, stadaidh an router de sgrĂšdadh agus cha dèan e coimeas eadar e agus an còrr de chumhachan an liosta. NĂŹ e an gnĂŹomh âceadaichâ agus gluaisidh e air adhart gu bhith aâ sgrĂšdadh an ath chuibhreann den trafaic.
Mura h-eil thu air riaghailt a shuidheachadh airson pacaid sam bith agus gu bheil an trafaic aâ dol tro gach loidhne den liosta gun a bhith aâ bualadh air gin de na cumhaichean, thèid a sgrios, leis gu bheil gach liosta ACL gu bunaiteach aâ tighinn gu crĂŹch le diĂšltadh Ă ithne sam bith - is e sin, tilg air falbh pacaid sam bith, gun a bhith fo aon de na riaghailtean. Bidh an suidheachadh seo gu buil ma tha co-dhiĂš aon riaghailt air an liosta, air neo chan eil buaidh sam bith aige. Ach ma tha an inntrigeadh aâ diĂšltadh 192.168.1.30 anns aâ chiad loidhne agus nach eil cumhachan sam bith air an liosta tuilleadh, an uairsin aig an deireadh bu chòir cead Ă ithne a bhith ann, is e sin, cead a thoirt do thrafaig sam bith ach an fheadhainn a tha air an toirmeasg leis an riaghailt. Feumaidh tu seo a thoirt fa-near gus mearachdan a sheachnadh nuair a bhios tu aâ rèiteachadh an ACL.
Tha mi airson gun cuimhnich thu air an riaghailt bhunaiteach airson liosta ASL a chruthachadh: cuir ASL Ă bhaisteach cho faisg âs a ghabhas air aâ cheann-uidhe, is e sin, don neach a gheibh an trafaic, agus cuir ASL leudaichte cho faisg âs a ghabhas air an stòr, is e sin, gu neach a chuir an trafaic. Is iad sin molaidhean Cisco, ach ann an cleachdadh tha suidheachaidhean ann far a bheil e nas ciallaiche ACL Ă bhaisteach a chuir faisg air stòr an trafaic. Ach ma thig thu tarsainn air ceist mu riaghailtean suidheachaidh ACL tron ââââdeuchainn, lean molaidhean Cisco agus freagair gun teagamh: tha inbhe nas fhaisge air aâ cheann-uidhe, tha an leudachadh nas fhaisge air an stòr.
A-nis leig dhuinn sÚil a thoirt air co-chòrdadh ACL à bhaisteach. Tha dà sheòrsa co-chòrdadh à ithne ann am modh rèiteachaidh cruinne an router: co-chòrdadh clasaigeach agus co-chòrdadh Úr-nodha.
Is e an seòrsa Ă ithne clasaigeach liosta ruigsinneachd <ACL number> <deny/allow> <criteria>. Ma shuidhicheas tu <Ă ireamh ACL> bho 1 gu 99, tuigidh an inneal gu fèin-ghluasadach gur e ACL Ă bhaisteach a tha seo, agus ma tha e bho 100 gu 199, is e fear leudaichte a thâ ann. Leis gu bheil sinn ann an leasan an latha an-diugh aâ coimhead air liosta Ă bhaisteach, is urrainn dhuinn Ă ireamh sam bith a chleachdadh bho 1 gu 99. An uairsin bidh sinn aâ comharrachadh na gnĂŹomhan a dhâ fheumar a chuir an sĂ s ma tha na paramadairean a rèir an t-slat-tomhais a leanas - cead a thoirt no diĂšltadh trafaic. Beachdaichidh sinn air an t-slat-tomhais nas fhaide air adhart, leis gu bheil e cuideachd air a chleachdadh ann an co-chòrdadh an latha an-diugh.
Tha an seòrsa Ă ithne Ăšr-nodha cuideachd air a chleachdadh ann am modh rèiteachaidh cruinne Rx (config) agus tha e coltach ri seo: inbhe liosta ruigsinneachd ip <ACL Ă ireamh / ainm>. An seo faodaidh tu Ă ireamh bho 1 gu 99 a chleachdadh no ainm an liosta ACL, mar eisimpleir, ACL_Networking. Bidh an Ă ithne seo sa bhad aâ cur an t-siostam ann am modh fo-cheannard modh Ă bhaisteach Rx (config-std-nacl), far am feum thu a dhol a-steach <deny/enable> <slat-tomhais>. Tha barrachd bhuannachdan aig an seòrsa sgiobaidhean Ăšr-nodha an taca ris an fhear clasaigeach.
Ann an liosta clasaigeach, ma thaidhpeas tu liosta ruigsinneachd 10 Ă icheadh ââ______, an uairsin cuir a-steach an ath Ă ithne den aon sheòrsa airson slat-tomhais eile, agus bidh 100 òrdugh mar sin agad, an uairsin gus gin de na h-òrdughan a chuir thu a-steach atharrachadh, feumaidh tu sguab Ă s an liosta-inntrigidh gu lèir 10 leis an Ă ithne no access-list 10. Sguabaidh seo Ă s a h-uile Ă ithne 100 a chionn 's nach eil dòigh ann air òrdugh fa leth sam bith a dheasachadh san liosta seo.
Ann an co-chòrdadh an latha an-diugh, tha an Ă ithne air a roinn ann an dĂ loidhne, agus anns a 'chiad fhear tha Ă ireamh an liosta. Osbarr ma tha liosta liosta-ruigsinneachd Ă bhaisteach 10 Ă icheadh ââ________, inbhe liosta ruigsinneachd 20 Ă icheadh ââ________ agus mar sin air adhart, tha cothrom agad liostaichean eadar-mheadhanach le slatan-tomhais eile a chuir a-steach eatorra, mar eisimpleir, inbhe liosta-slighe 15 Ă icheadh ââ________ .
Air an là imh eile, faodaidh tu dÏreach na loidhnichean à bhaisteach 20 liosta-inntrigidh a sguabadh às agus an ath-sgrÏobhadh le diofar pharaimearan eadar an inbhe liosta-inntrigidh 10 agus loidhnichean à bhaisteach liosta-inntrigidh 30. Mar sin, tha diofar dhòighean ann air co-chòrdadh ACL an latha an-diugh a dheasachadh.
Feumaidh tu a bhith gu math faiceallach nuair a chruthaicheas tu ACL. Mar a tha fios agad, tha liostaichean air an leughadh bho mhullach gu bonn. Ma chuireas tu loidhne aig aâ mhullach a leigeas le trafaic bho òstair sònraichte, an uairsin gu h-ĂŹosal faodaidh tu loidhne a chuir casg air trafaic bhon lĂŹonra gu lèir a tha an aoigh seo mar phĂ irt dheth, agus thèid an dĂ shuidheachadh a sgrĂšdadh - bidh trafaic gu aoigh sònraichte ceadaichte troimhe, agus thèid trafaic bho gach òstair eile a bhacadh air an lĂŹonra seo. Mar sin, an-còmhnaidh cuir inntrigidhean sònraichte aig mullach an liosta agus feadhainn coitcheann aig aâ bhonn.
Mar sin, Ă s deidh dhut ACL clasaigeach no Ăšr-nodha a chruthachadh, feumaidh tu a chuir an sĂ s. Gus seo a dhèanamh, feumaidh tu a dhol gu roghainnean eadar-aghaidh sònraichte, mar eisimpleir, f0/0 aâ cleachdadh an eadar-aghaidh Ă ithne <type and slot>, rachaibh gu modh fo-òrdugh an eadar-aghaidh agus cuir a-steach an Ă ithne ip access-group <ACL number/ ainm> . Thoir an aire don eadar-dhealachadh: nuair a bhios tu aâ cur ri chèile liosta, thèid liosta-inntrigidh a chleachdadh, agus nuair a chuireas tu a-steach e, bidh buidheann-inntrigidh air a chleachdadh. Feumaidh tu dearbhadh dè an eadar-aghaidh a thèid an liosta seo a chuir an sĂ s - an eadar-aghaidh a tha aâ tighinn a-steach no an eadar-aghaidh a-mach. Ma tha ainm air an liosta, mar eisimpleir, Networking, thèid an aon ainm a-rithist san Ă ithne gus an liosta a chuir an sĂ s air an eadar-aghaidh seo.
A-nis gabhamaid duilgheadas sònraichte agus feuchaidh sinn ri fuasgladh fhaighinn air leis an eisimpleir den diagram lĂŹonra againn aâ cleachdadh Packet Tracer. Mar sin, tha 4 lĂŹonraidhean againn: roinn reic, roinn cunntasachd, seòmar riaghlaidh agus frithealaiche.
GnĂŹomh Ăireamh 1: feumar casg a chuir air a h-uile trafaic a tha air a stiĂšireadh bho na roinnean reic is ionmhais chun roinn riaghlaidh agus seòmar frithealaiche. Is e an t-Ă ite bacaidh eadar-aghaidh S0/1/0 de router R2. An toiseach feumaidh sinn liosta a chruthachadh anns a bheil na h-inntrigidhean a leanas:
Canaidh sinn an liosta âRiaghladh agus Tèarainteachd an Fhrithealaiche ACLâ, air a ghiorrachadh mar ACL Secure_Ma_And_Se. Tha seo air a leantainn le bhith a 'toirmeasg trafaig bho lĂŹonra roinn ionmhasail 192.168.1.128/26, a' toirmeasg trafaig bho lĂŹonra roinn reic 192.168.1.0/25, agus a 'ceadachadh trafaig sam bith eile. Aig deireadh na liosta tha e air a chomharrachadh gu bheil e air a chleachdadh airson an eadar-aghaidh a tha a 'dol a-mach S0/1/0 de router R2. Mura h-eil cead againn inntrigeadh sam bith aig deireadh na liosta, thèid casg a chuir air a h-uile trafaic eile leis gu bheil an ACL bunaiteach an-còmhnaidh air a chuir gu Aicheadh ââââInntrigeadh sam bith aig deireadh na liosta.
An urrainn dhomh an ACL seo a chuir an sàs ann an eadar-aghaidh G0/0? Gu dearbh, is urrainn dhomh, ach anns a 'chÚis seo cha tèid ach trafaig bhon roinn cunntasachd a bhacadh, agus cha bhi trafaig bhon roinn reic cuingealaichte ann an dòigh sam bith. San aon dòigh, faodaidh tu ACL a chuir a-steach don eadar-aghaidh G0/1, ach sa chÚis seo cha tèid trafaic roinn an ionmhais a bhacadh. Gu dearbh, is urrainn dhuinn dà liosta bloca fa leth a chruthachadh airson na h-eadar-aghaidh sin, ach tha e tòrr nas èifeachdaiche an cur còmhla ann an aon liosta agus a chuir an sàs ann an eadar-aghaidh toraidh an router R2 no an eadar-aghaidh cuir a-steach S0 / 1 / 0 de router R1.
Ged a tha riaghailtean Cisco ag rĂ dh gum bu chòir ACL Ă bhaisteach a bhith air a chuir cho faisg air aâ cheann-uidhe âs a ghabhas, cuiridh mi e nas fhaisge air tĂšs an trafaic oir tha mi airson trafaic a tha aâ dol a bhacadh, agus tha e nas ciallaiche seo a dhèanamh nas fhaisge air an stòr gus nach bi an trafaic seo aâ caitheamh an lĂŹonra eadar dĂ routers.
DhĂŹochuimhnich mi innse dhut mu na slatan-tomhais, mar sin rachamaid air ais gu sgiobalta. Faodaidh tu gin a shònrachadh mar shlat-tomhais - sa chĂšis seo, thèid trafaic sam bith bho inneal sam bith agus lĂŹonra sam bith a dhiĂšltadh no a cheadachadh. Faodaidh tu cuideachd òstair a shònrachadh leis an aithnichear aige - sa chĂšis seo, is e an inntrigeadh seòladh IP inneal sònraichte. Mu dheireadh, faodaidh tu lĂŹonra slĂ n a shònrachadh, mar eisimpleir, 192.168.1.10/24. Anns a 'chĂšis seo, bidh /24 a' ciallachadh gu bheil masg subnet de 255.255.255.0 ann, ach tha e do-dhèanta seòladh IP an masg subnet a shònrachadh anns an ACL. Airson a âchĂšis seo, tha bun-bheachd aig ACL ris an canar Wildcart Mask, noâ reverse mask â. Mar sin feumaidh tu an seòladh IP agus an masg tilleadh a shònrachadh. Tha am masg cĂšil a âcoimhead mar seo: feumaidh tu am masg subnet dĂŹreach a thoirt air falbh bhon masg subnet coitcheann, is e sin, tha an Ă ireamh a tha co-chosmhail ri luach octet anns aâ masg air adhart air a thoirt air falbh bho 255.
Mar sin, bu chòir dhut am paramadair 192.168.1.10 0.0.0.255 a chleachdadh mar shlat-tomhais san ACL.
Ciamar a tha e ag obair? Ma tha 0 anns an octet masg tilleadh, thathas den bheachd gu bheil an slat-tomhais a rèir an octet co-fhreagarrach den t-seòladh IP subnet. Ma tha Ă ireamh anns an octet backmask, chan eil an maids air a sgrĂšdadh. Mar sin, airson lĂŹonra de 192.168.1.0 agus masg tilleadh de 0.0.0.255, thèid a h-uile trafaic bho sheòlaidhean aig a bheil a âchiad trĂŹ octets co-ionann ri 192.168.1., ge bith dè an luach a thâ aig a âcheathramh octet, a bhacadh no a cheadachadh a rèir dè an ĂŹre. an gnĂŹomh ainmichte.
Tha e furasta masg cĂšil a chleachdadh, agus thig sinn air ais chun Wildcart Mask anns an ath bhidio gus an urrainn dhomh mĂŹneachadh mar a dhâ obraicheas mi leis.
28:50 mionaid
Tapadh leibh airson fuireach còmhla rinn. An toil leat na h-artaigilean againn? A bheil thu airson susbaint nas inntinniche fhaicinn? Thoir taic dhuinn le bhith aâ cur òrdugh no aâ moladh do charaidean, Lasachadh de 30% airson luchd-cleachdaidh Habr air analog sònraichte de luchd-frithealaidh ĂŹre inntrigidh, a chaidh a chruthachadh leinn dhut: (ri fhaighinn le RAID1 agus RAID10, suas ri 24 cores agus suas ri 40GB DDR4).
Dell R730xd 2 uair nas saoire? A-mhĂ in an seo anns an Ălaind! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - bho $99! Leugh mu dheidhinn
Source: www.habr.com
