An-diugh tòisichidh sinn ag ionnsachadh mu liosta smachd ruigsinneachd ACL, gabhaidh an cuspair seo 2 leasanan bhidio. Seallaidh sinn ri rèiteachadh ACL àbhaisteach, agus anns an ath oideachadh bhidio bruidhnidh mi mun liosta leudaichte.
Anns an leasan seo còmhdaichidh sinn 3 cuspairean. Is e a’ chiad fhear dè a th’ ann an ACL, is e an dàrna fear an diofar eadar liosta àbhaisteach agus liosta ruigsinneachd leudaichte, agus aig deireadh an leasain, mar obair-lann, seallaidh sinn ri bhith a’ stèidheachadh ACL àbhaisteach agus a’ fuasgladh dhuilgheadasan a dh’ fhaodadh a bhith ann.
Mar sin dè a th’ ann an ACL? Ma rinn thu sgrùdadh air a’ chùrsa bhon chiad leasan bhidio, tha cuimhne agad mar a chuir sinn air dòigh conaltradh eadar diofar innealan lìonra.
Rinn sinn sgrùdadh cuideachd air slighe statach thairis air diofar phròtacalan gus sgilean fhaighinn ann a bhith ag eagrachadh conaltradh eadar innealan agus lìonraidhean. Tha sinn a-nis air an ìre ionnsachaidh a ruighinn far am bu chòir dragh a bhith oirnn mu bhith dèanamh cinnteach à smachd trafaic, is e sin, casg a chuir air “droch ghillean” no luchd-cleachdaidh gun chead bho bhith a’ toirt a-steach an lìonra. Mar eisimpleir, dh'fhaodadh seo dragh a thoirt do dhaoine bhon roinn reic SALES, a tha air a shealltainn san diagram seo. An seo tha sinn cuideachd a 'sealltainn an roinn ionmhais CUNNTASAN, an roinn stiùiridh RIAGHLADH agus an t-seòmar frithealaidh SEÒMAR frithealaidh.
Mar sin, is dòcha gu bheil ceud neach-obrach aig an roinn reic, agus chan eil sinn airson gum bi e comasach dha gin dhiubh an seòmar frithealaiche a ruighinn thairis air an lìonra. Tha eisgeachd air a dhèanamh don mhanaidsear reic a tha ag obair air coimpiutair Laptop2 - faodaidh e faighinn gu seòmar an fhrithealaiche. Cha bu chòir gum biodh an leithid de chothrom aig neach-obrach ùr a tha ag obair air Laptop3, is e sin, ma ruigeas trafaic bhon choimpiutair aige an router R2, bu chòir a leigeil sìos.
Is e dleastanas ACL trafaic a shìoladh a rèir nam paramadairean sìoltachaidh ainmichte. Tha iad a’ toirt a-steach an tùs seòladh IP, seòladh IP ceann-uidhe, protocol, àireamh phuirt agus paramadairean eile, leis an urrainn dhut an trafaic aithneachadh agus cuid de ghnìomhan a dhèanamh leis.
Mar sin, tha ACL na inneal sìolaidh còmhdach 3 den mhodal OSI. Tha seo a 'ciallachadh gu bheil an uidheamachd seo air a chleachdadh ann an routers. Is e am prìomh shlat-tomhais airson sìoladh an t-sruth dàta a chomharrachadh. Mar eisimpleir, ma tha sinn airson casg a chuir air a’ ghille leis a’ choimpiutair Laptop3 bho bhith a’ faighinn chun t-seirbheisiche, an toiseach feumaidh sinn an trafaic aige a chomharrachadh. Bidh an trafaic seo a’ gluasad taobh Laptop-Switch2-R2-R1-Switch1-Server1 tro eadar-aghaidh co-fhreagarrach innealan lìonra, fhad ‘s nach eil dad aig eadar-aghaidh routers G0 / 0 ris.
Gus trafaic a chomharrachadh, feumaidh sinn a shlighe a chomharrachadh. An dèidh seo a dhèanamh, is urrainn dhuinn co-dhùnadh càite dìreach a dh'fheumas sinn an criathrag a stàladh. Na gabh dragh mu na sìoltachain fhèin, bruidhnidh sinn orra san ath leasan, airson a-nis feumaidh sinn tuigsinn dè an eadar-aghaidh a bu chòir an sìoltachan a chuir an sàs.
Ma choimheadas tu air router, chì thu, a h-uile uair a ghluaiseas trafaic, gu bheil eadar-aghaidh ann far am bi an sruth dàta a ’tighinn a-steach, agus eadar-aghaidh tron t-sruth seo a’ tighinn a-mach.
Gu dearbh tha 3 eadar-aghaidh ann: an eadar-aghaidh cuir a-steach, an eadar-aghaidh toraidh agus eadar-aghaidh an router fhèin. Dìreach cuimhnich nach urrainnear sìoladh a chuir an sàs ach air an eadar-aghaidh cuir a-steach no toraidh.
Tha prionnsapal gnìomhachd ACL coltach ri pas gu tachartas nach urrainn a bhith an làthair ach leis na h-aoighean sin aig a bheil ainm air an liosta de dhaoine a fhuair cuireadh. Tha ACL na liosta de pharaimearan teisteanais a thathas a’ cleachdadh gus trafaic a chomharrachadh. Mar eisimpleir, tha an liosta seo a 'sealltainn gu bheil a h-uile trafaig ceadaichte bhon t-seòladh IP 192.168.1.10, agus tha trafaig bho gach seòladh eile air a dhiùltadh. Mar a thuirt mi, faodar an liosta seo a chuir an sàs an dà chuid don eadar-aghaidh cuir a-steach agus toraidh.
Tha dà sheòrsa ACL ann: àbhaisteach agus leudaichte. Tha aithnichear aig ACL àbhaisteach bho 2 gu 1 no bho 99 gu 1300. Chan eil annta seo ach ainmean liosta aig nach eil buannachdan thairis air a chèile mar a tha an àireamh ag èirigh. A bharrachd air an àireamh, faodaidh tu d’ ainm fhèin a shònrachadh don ACL. Tha ACLan leudaichte air an àireamhachadh 1999 gu 100 no 199 gu 2000 agus faodaidh ainm a bhith orra cuideachd.
Ann an ACL àbhaisteach, tha an seòrsachadh stèidhichte air seòladh IP stòr an trafaic. Mar sin, nuair a bhios tu a’ cleachdadh a leithid de liosta, chan urrainn dhut trafaic a tha air a stiùireadh gu stòr sam bith a chuingealachadh, chan urrainn dhut ach trafaic bho inneal a bhacadh.
Bidh ACL leudaichte a’ seòrsachadh trafaic a rèir seòladh IP stòr, seòladh IP ceann-uidhe, protocol air a chleachdadh, agus àireamh puirt. Mar eisimpleir, chan urrainn dhut ach trafaic FTP a bhacadh, no dìreach trafaic HTTP. An-diugh seallaidh sinn ris an ACL àbhaisteach, agus bheir sinn an ath leasan bhidio do liostaichean leudaichte.
Mar a thuirt mi, tha ACL na liosta de shuidheachaidhean. Às deidh dhut an liosta seo a chuir an sàs ann an eadar-aghaidh an router a tha a ’tighinn a-steach no a-mach, bidh an router a’ sgrùdadh an trafaic an aghaidh an liosta seo, agus ma choinnicheas e ris na cumhachan a tha air an comharrachadh san liosta, bidh e a ’co-dhùnadh am bu chòir an trafaic seo a cheadachadh no a dhiùltadh. Gu tric bidh e duilich do dhaoine eadar-aghaidh cuir a-steach agus toraidh router a dhearbhadh, ged nach eil dad iom-fhillte an seo. Nuair a bhios sinn a’ bruidhinn mu eadar-aghaidh a tha a’ tighinn a-steach, tha seo a’ ciallachadh nach bi ach trafaic a’ tighinn a-steach air a smachdachadh air a’ phort seo, agus cha chuir an router bacadh air trafaic a tha a’ falbh. Mar an ceudna, ma tha sinn a’ bruidhinn mu dheidhinn eadar-aghaidh egress, tha seo a’ ciallachadh nach bi a h-uile riaghailt a’ buntainn ach ri trafaic a-mach, agus gun tèid gabhail ri trafaic a-steach don phort seo gun chuingealachaidhean. Mar eisimpleir, ma tha 2 phuirt aig an router: f0/0 agus f0/1, cha tèid an ACL a chuir an sàs ach airson trafaic a’ dol a-steach don eadar-aghaidh f0/0, no dìreach ri trafaic a thàinig bhon eadar-aghaidh f0/1. Cha toir an liosta buaidh air trafaic a’ tighinn a-steach no a’ fàgail eadar-aghaidh f0/1.
Mar sin, na bi troimh-chèile leis an taobh a-staigh no a-mach den eadar-aghaidh, tha e an urra ri stiùir trafaic sònraichte. Mar sin, às deidh don router sgrùdadh a dhèanamh air an trafaic airson a bhith a’ maidseadh cumhachan ACL, chan urrainn dha ach dà cho-dhùnadh a dhèanamh: cead a thoirt don trafaic no a dhiùltadh. Mar eisimpleir, faodaidh tu cead a thoirt do thrafaig a tha gu bhith airson 180.160.1.30 agus trafaic a dhiùltadh airson 192.168.1.10. Faodaidh iomadh suidheachadh a bhith anns gach liosta, ach feumaidh gach aon de na cumhaichean sin a cheadachadh no a dhiùltadh.
Seach gu bheil liosta againn:
Toirmeasg _______
Ceadaich ________
Ceadaich ________
Toirmeasg _________.
An toiseach, bheir an router sùil air an trafaic gus faicinn a bheil e a rèir a ’chiad chumha; mura h-eil e a ’maidseadh, bheir e sùil air an dàrna suidheachadh. Ma tha an trafaic a rèir an treas suidheachadh, stadaidh an router de sgrùdadh agus cha dèan e coimeas eadar e agus an còrr de chumhachan an liosta. Nì e an gnìomh “ceadaich” agus gluaisidh e air adhart gu bhith a’ sgrùdadh an ath chuibhreann den trafaic.
Mura h-eil thu air riaghailt a shuidheachadh airson pacaid sam bith agus gu bheil an trafaic a’ dol tro gach loidhne den liosta gun a bhith a’ bualadh air gin de na cumhaichean, thèid a sgrios, leis gu bheil gach liosta ACL gu bunaiteach a’ tighinn gu crìch le diùltadh àithne sam bith - is e sin, tilg air falbh pacaid sam bith, gun a bhith fo aon de na riaghailtean. Bidh an suidheachadh seo gu buil ma tha co-dhiù aon riaghailt air an liosta, air neo chan eil buaidh sam bith aige. Ach ma tha an inntrigeadh a’ diùltadh 192.168.1.30 anns a’ chiad loidhne agus nach eil cumhachan sam bith air an liosta tuilleadh, an uairsin aig an deireadh bu chòir cead àithne a bhith ann, is e sin, cead a thoirt do thrafaig sam bith ach an fheadhainn a tha air an toirmeasg leis an riaghailt. Feumaidh tu seo a thoirt fa-near gus mearachdan a sheachnadh nuair a bhios tu a’ rèiteachadh an ACL.
Tha mi airson gun cuimhnich thu air an riaghailt bhunaiteach airson liosta ASL a chruthachadh: cuir ASL àbhaisteach cho faisg ‘s a ghabhas air a’ cheann-uidhe, is e sin, don neach a gheibh an trafaic, agus cuir ASL leudaichte cho faisg ‘s a ghabhas air an stòr, is e sin, gu neach a chuir an trafaic. Is iad sin molaidhean Cisco, ach ann an cleachdadh tha suidheachaidhean ann far a bheil e nas ciallaiche ACL àbhaisteach a chuir faisg air stòr an trafaic. Ach ma thig thu tarsainn air ceist mu riaghailtean suidheachaidh ACL tron deuchainn, lean molaidhean Cisco agus freagair gun teagamh: tha inbhe nas fhaisge air a’ cheann-uidhe, tha an leudachadh nas fhaisge air an stòr.
A-nis leig dhuinn sùil a thoirt air co-chòrdadh ACL àbhaisteach. Tha dà sheòrsa co-chòrdadh àithne ann am modh rèiteachaidh cruinne an router: co-chòrdadh clasaigeach agus co-chòrdadh ùr-nodha.
Is e an seòrsa àithne clasaigeach liosta ruigsinneachd <ACL number> <deny/allow> <criteria>. Ma shuidhicheas tu <àireamh ACL> bho 1 gu 99, tuigidh an inneal gu fèin-ghluasadach gur e ACL àbhaisteach a tha seo, agus ma tha e bho 100 gu 199, is e fear leudaichte a th’ ann. Leis gu bheil sinn ann an leasan an latha an-diugh a’ coimhead air liosta àbhaisteach, is urrainn dhuinn àireamh sam bith a chleachdadh bho 1 gu 99. An uairsin bidh sinn a’ comharrachadh na gnìomhan a dh’ fheumar a chuir an sàs ma tha na paramadairean a rèir an t-slat-tomhais a leanas - cead a thoirt no diùltadh trafaic. Beachdaichidh sinn air an t-slat-tomhais nas fhaide air adhart, leis gu bheil e cuideachd air a chleachdadh ann an co-chòrdadh an latha an-diugh.
Tha an seòrsa àithne ùr-nodha cuideachd air a chleachdadh ann am modh rèiteachaidh cruinne Rx (config) agus tha e coltach ri seo: inbhe liosta ruigsinneachd ip <ACL àireamh / ainm>. An seo faodaidh tu àireamh bho 1 gu 99 a chleachdadh no ainm an liosta ACL, mar eisimpleir, ACL_Networking. Bidh an àithne seo sa bhad a’ cur an t-siostam ann am modh fo-cheannard modh àbhaisteach Rx (config-std-nacl), far am feum thu a dhol a-steach <deny/enable> <slat-tomhais>. Tha barrachd bhuannachdan aig an seòrsa sgiobaidhean ùr-nodha an taca ris an fhear clasaigeach.
Ann an liosta clasaigeach, ma thaidhpeas tu liosta ruigsinneachd 10 àicheadh ______, an uairsin cuir a-steach an ath àithne den aon sheòrsa airson slat-tomhais eile, agus bidh 100 òrdugh mar sin agad, an uairsin gus gin de na h-òrdughan a chuir thu a-steach atharrachadh, feumaidh tu sguab às an liosta-inntrigidh gu lèir 10 leis an àithne no access-list 10. Sguabaidh seo às a h-uile àithne 100 a chionn 's nach eil dòigh ann air òrdugh fa leth sam bith a dheasachadh san liosta seo.
Ann an co-chòrdadh an latha an-diugh, tha an àithne air a roinn ann an dà loidhne, agus anns a 'chiad fhear tha àireamh an liosta. Osbarr ma tha liosta liosta-ruigsinneachd àbhaisteach 10 àicheadh ________, inbhe liosta ruigsinneachd 20 àicheadh ________ agus mar sin air adhart, tha cothrom agad liostaichean eadar-mheadhanach le slatan-tomhais eile a chuir a-steach eatorra, mar eisimpleir, inbhe liosta-slighe 15 àicheadh ________ .
Air an làimh eile, faodaidh tu dìreach na loidhnichean àbhaisteach 20 liosta-inntrigidh a sguabadh às agus an ath-sgrìobhadh le diofar pharaimearan eadar an inbhe liosta-inntrigidh 10 agus loidhnichean àbhaisteach liosta-inntrigidh 30. Mar sin, tha diofar dhòighean ann air co-chòrdadh ACL an latha an-diugh a dheasachadh.
Feumaidh tu a bhith gu math faiceallach nuair a chruthaicheas tu ACL. Mar a tha fios agad, tha liostaichean air an leughadh bho mhullach gu bonn. Ma chuireas tu loidhne aig a’ mhullach a leigeas le trafaic bho òstair sònraichte, an uairsin gu h-ìosal faodaidh tu loidhne a chuir casg air trafaic bhon lìonra gu lèir a tha an aoigh seo mar phàirt dheth, agus thèid an dà shuidheachadh a sgrùdadh - bidh trafaic gu aoigh sònraichte ceadaichte troimhe, agus thèid trafaic bho gach òstair eile a bhacadh air an lìonra seo. Mar sin, an-còmhnaidh cuir inntrigidhean sònraichte aig mullach an liosta agus feadhainn coitcheann aig a’ bhonn.
Mar sin, às deidh dhut ACL clasaigeach no ùr-nodha a chruthachadh, feumaidh tu a chuir an sàs. Gus seo a dhèanamh, feumaidh tu a dhol gu roghainnean eadar-aghaidh sònraichte, mar eisimpleir, f0/0 a’ cleachdadh an eadar-aghaidh àithne <type and slot>, rachaibh gu modh fo-òrdugh an eadar-aghaidh agus cuir a-steach an àithne ip access-group <ACL number/ ainm> . Thoir an aire don eadar-dhealachadh: nuair a bhios tu a’ cur ri chèile liosta, thèid liosta-inntrigidh a chleachdadh, agus nuair a chuireas tu a-steach e, bidh buidheann-inntrigidh air a chleachdadh. Feumaidh tu dearbhadh dè an eadar-aghaidh a thèid an liosta seo a chuir an sàs - an eadar-aghaidh a tha a’ tighinn a-steach no an eadar-aghaidh a-mach. Ma tha ainm air an liosta, mar eisimpleir, Networking, thèid an aon ainm a-rithist san àithne gus an liosta a chuir an sàs air an eadar-aghaidh seo.
A-nis gabhamaid duilgheadas sònraichte agus feuchaidh sinn ri fuasgladh fhaighinn air leis an eisimpleir den diagram lìonra againn a’ cleachdadh Packet Tracer. Mar sin, tha 4 lìonraidhean againn: roinn reic, roinn cunntasachd, seòmar riaghlaidh agus frithealaiche.
Gnìomh Àireamh 1: feumar casg a chuir air a h-uile trafaic a tha air a stiùireadh bho na roinnean reic is ionmhais chun roinn riaghlaidh agus seòmar frithealaiche. Is e an t-àite bacaidh eadar-aghaidh S0/1/0 de router R2. An toiseach feumaidh sinn liosta a chruthachadh anns a bheil na h-inntrigidhean a leanas:
Canaidh sinn an liosta “Riaghladh agus Tèarainteachd an Fhrithealaiche ACL”, air a ghiorrachadh mar ACL Secure_Ma_And_Se. Tha seo air a leantainn le bhith a 'toirmeasg trafaig bho lìonra roinn ionmhasail 192.168.1.128/26, a' toirmeasg trafaig bho lìonra roinn reic 192.168.1.0/25, agus a 'ceadachadh trafaig sam bith eile. Aig deireadh na liosta tha e air a chomharrachadh gu bheil e air a chleachdadh airson an eadar-aghaidh a tha a 'dol a-mach S0/1/0 de router R2. Mura h-eil cead againn inntrigeadh sam bith aig deireadh na liosta, thèid casg a chuir air a h-uile trafaic eile leis gu bheil an ACL bunaiteach an-còmhnaidh air a chuir gu Aicheadh Inntrigeadh sam bith aig deireadh na liosta.
An urrainn dhomh an ACL seo a chuir an sàs ann an eadar-aghaidh G0/0? Gu dearbh, is urrainn dhomh, ach anns a 'chùis seo cha tèid ach trafaig bhon roinn cunntasachd a bhacadh, agus cha bhi trafaig bhon roinn reic cuingealaichte ann an dòigh sam bith. San aon dòigh, faodaidh tu ACL a chuir a-steach don eadar-aghaidh G0/1, ach sa chùis seo cha tèid trafaic roinn an ionmhais a bhacadh. Gu dearbh, is urrainn dhuinn dà liosta bloca fa leth a chruthachadh airson na h-eadar-aghaidh sin, ach tha e tòrr nas èifeachdaiche an cur còmhla ann an aon liosta agus a chuir an sàs ann an eadar-aghaidh toraidh an router R2 no an eadar-aghaidh cuir a-steach S0 / 1 / 0 de router R1.
Ged a tha riaghailtean Cisco ag ràdh gum bu chòir ACL àbhaisteach a bhith air a chuir cho faisg air a’ cheann-uidhe ’s a ghabhas, cuiridh mi e nas fhaisge air tùs an trafaic oir tha mi airson trafaic a tha a’ dol a bhacadh, agus tha e nas ciallaiche seo a dhèanamh nas fhaisge air an stòr gus nach bi an trafaic seo a’ caitheamh an lìonra eadar dà routers.
Dhìochuimhnich mi innse dhut mu na slatan-tomhais, mar sin rachamaid air ais gu sgiobalta. Faodaidh tu gin a shònrachadh mar shlat-tomhais - sa chùis seo, thèid trafaic sam bith bho inneal sam bith agus lìonra sam bith a dhiùltadh no a cheadachadh. Faodaidh tu cuideachd òstair a shònrachadh leis an aithnichear aige - sa chùis seo, is e an inntrigeadh seòladh IP inneal sònraichte. Mu dheireadh, faodaidh tu lìonra slàn a shònrachadh, mar eisimpleir, 192.168.1.10/24. Anns a 'chùis seo, bidh /24 a' ciallachadh gu bheil masg subnet de 255.255.255.0 ann, ach tha e do-dhèanta seòladh IP an masg subnet a shònrachadh anns an ACL. Airson a ’chùis seo, tha bun-bheachd aig ACL ris an canar Wildcart Mask, no“ reverse mask ”. Mar sin feumaidh tu an seòladh IP agus an masg tilleadh a shònrachadh. Tha am masg cùil a ’coimhead mar seo: feumaidh tu am masg subnet dìreach a thoirt air falbh bhon masg subnet coitcheann, is e sin, tha an àireamh a tha co-chosmhail ri luach octet anns a’ masg air adhart air a thoirt air falbh bho 255.
Mar sin, bu chòir dhut am paramadair 192.168.1.10 0.0.0.255 a chleachdadh mar shlat-tomhais san ACL.
Ciamar a tha e ag obair? Ma tha 0 anns an octet masg tilleadh, thathas den bheachd gu bheil an slat-tomhais a rèir an octet co-fhreagarrach den t-seòladh IP subnet. Ma tha àireamh anns an octet backmask, chan eil an maids air a sgrùdadh. Mar sin, airson lìonra de 192.168.1.0 agus masg tilleadh de 0.0.0.255, thèid a h-uile trafaic bho sheòlaidhean aig a bheil a ’chiad trì octets co-ionann ri 192.168.1., ge bith dè an luach a th’ aig a ’cheathramh octet, a bhacadh no a cheadachadh a rèir dè an ìre. an gnìomh ainmichte.
Tha e furasta masg cùil a chleachdadh, agus thig sinn air ais chun Wildcart Mask anns an ath bhidio gus an urrainn dhomh mìneachadh mar a dh’ obraicheas mi leis.
28:50 mionaid
Tapadh leibh airson fuireach còmhla rinn. An toil leat na h-artaigilean againn? A bheil thu airson susbaint nas inntinniche fhaicinn? Thoir taic dhuinn le bhith a’ cur òrdugh no a’ moladh do charaidean, Lasachadh de 30% airson luchd-cleachdaidh Habr air analog sònraichte de luchd-frithealaidh ìre inntrigidh, a chaidh a chruthachadh leinn dhut: (ri fhaighinn le RAID1 agus RAID10, suas ri 24 cores agus suas ri 40GB DDR4).
Dell R730xd 2 uair nas saoire? A-mhàin an seo anns an Òlaind! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - bho $99! Leugh mu dheidhinn
Source: www.habr.com