Tiştek din a ku min ji bîr kir ku behs bikim ev e ku ACL ne tenê seyrûseferê li ser bingehek destûr / înkar dike, ew gelek fonksiyonên din jî pêk tîne. Mînakî, ACL ji bo şîfrekirina seyrûsefera VPN tê bikar anîn, lê ji bo ku hûn ezmûna CCNA derbas bikin, hûn tenê hewce ne ku hûn zanibin ka ew çawa ji bo fîlterkirina seyrûseferê tê bikar anîn. Werin em vegerin ser Pirsgirêka Hejmar 1.
Me fêr kir ku seyrûsefera beşa hesab û firotanê dikare li ser navbeynkariya derana R2 bi karanîna navnîşa ACL ya jêrîn were asteng kirin.
Li ser forma vê navnîşê xeman nebin, ew tenê wekî mînakek e ku ji we re bibe alîkar ku hûn fêm bikin ka ACL çi ye. Dema ku em dest bi Packet Tracer bikin em ê bigihîjin forma rast.
Peywira No. 2 wiha dixuye: jûreya serverê dikare bi her mêvandar re têkilî daynin, ji bilî mêvandarên beşa rêveberiyê. Ango, komputerên jûreya serverê dikarin bigihîjin her komputerên di beşên firotanê û hesabkirinê de, lê divê negihîjin komputerên di beşa rêveberiyê de. Ev tê wê wateyê ku divê xebatkarên IT-ê yên odeya serverê ji dûr ve negihîjin komputera serokê beşa rêvebirinê, lê heke pirsgirêk çêbibin, werin ofîsa wî û pirsgirêkê di cih de çareser bikin. Têbînî ku ev peywir ne pratîkî ye ji ber ku ez nizanim çima jûreya serverê dê nikaribe li ser torê bi beşa rêveberiyê re têkiliyê deyne, ji ber vê yekê di vê rewşê de em tenê li lêkolînek dozê digerin.
Ji bo çareserkirina vê pirsgirêkê, hûn pêşî hewce ne ku riya trafîkê diyar bikin. Daneyên ji jûreya serverê digihîje navbera têketinê G0/1 ya routerê R1 û bi navgîniya derketinê G0/0 ji beşa rêveberiyê re tê şandin.
Ger em şerta Deny 192.168.1.192/27 li ser navbera têketinê G0/1 bicîh bînin, û wekî ku tê bîra we, ACL-ya standard nêzî çavkaniya seyrûseferê tê danîn, em ê hemî seyrûseferê, tevî beşa firotanê û hesabkirinê, asteng bikin.
Ji ber ku em dixwazin tenê seyrûsefera ku ji beşa rêveberiyê re hatî rêve kirin asteng bikin, pêdivî ye ku em ACL li navrûya derketinê G0/0 bicîh bikin. Ev pirsgirêk tenê bi danîna ACL-ê nêzî mebestê dikare were çareser kirin. Di heman demê de, seyrûsefera ji tora beşa hesab û firotanê pêdivî ye ku bi serbestî bigihîje beşa rêveberiyê, ji ber vê yekê rêza paşîn a navnîşê dê Fermana Destûr be - destûr bide her seyrûseferê, ji bilî seyrûsefera ku di rewşa berê de hatî destnîşan kirin.
Werin em biçin ser Peywira No. 3: Laptop 3 ya ji beşa firotanê pêdivî ye ku ji bilî yên ku li ser tora herêmî ya beşa firotanê ne bigihîje ti cîhazên din. Ka em bihesibînin ku xwendekarek li ser vê komputerê dixebite û divê ji LAN-ya xwe derbas nebe.
Di vê rewşê de, hûn hewce ne ku ACL li ser pêwendiya têketinê G0/1 ya routerê R2 bicîh bikin. Ger em navnîşana IP-ya 192.168.1.3/25 ji vê komputerê re veqetînin, wê hingê divê şerta Deny 192.168.1.3/25 were bicîh kirin, û seyrûsefera ji navnîşanek IP-ya din neyê asteng kirin, ji ber vê yekê rêza paşîn a navnîşê dê Destûr be. herçiyek.
Lêbelê, astengkirina seyrûseferê dê bandorek li ser Laptop2 neke.
Karê din dê Karê No. 4 be: tenê komputer PC0 ya beşa darayî dikare bigihîje tora serverê, lê ne beşa rêveberiyê.
Ger tê bîra we, ACL ji Task #1 hemî seyrûsefera derketinê ya li ser navbeynkariya S0/1/0 ya routerê R2 asteng dike, lê Task #4 dibêje ku divê em pê ewle bin ku tenê seyrûsefera PC0 derbas dibe, ji ber vê yekê divê em îstisnayek çêbikin.
Hemî peywirên ku em naha çareser dikin divê di rewşek rast de ji we re bibin alîkar dema ku ACL-yên ji bo tora nivîsgehê saz dikin. Ji bo rehetiyê, min celeba têketinê ya klasîk bikar anî, lê ez ji we re şîret dikim ku hûn hemî rêzan bi destan li ser kaxezê binivîsin an jî wan li komputerek binivîsin da ku hûn li navnîşan rast bikin. Di rewşa me de, li gorî şert û mercên Task No. 1, navnîşek ACL ya klasîk hate berhev kirin. Heke em dixwazin ji bo PC0-ya celebê Destûra îstîsnayek lê zêde bikin , wê demê em dikarin vê rêzê tenê di lîsteyê de, piştî rêzika Destûra Any, bixin çaremîn. Lêbelê, ji ber ku navnîşana vê komputerê di nav rêza navnîşanan de ye ji bo kontrolkirina şerta Înkarkirinê 0/192.168.1.128, dê seyrûsefera wê tavilê piştî ku ev şert pêk hat were asteng kirin û router dê bi hêsanî negihîje kontrolkirina xeta çaremîn, ku destûrê dide trafîkê ji vê navnîşana IP-ê.
Ji ber vê yekê, ez ê neçar bim ku navnîşa ACL ya Task No. ji beşên hesab û firotanê.
Bi vî rengî, di rêza yekem de fermanek me ji bo navnîşek taybetî heye, û di ya duyemîn de - yek gelemperî ji bo tevaya tora ku ev navnîş tê de ye. Heke hûn celebek nûjen a ACL bikar tînin, hûn dikarin bi hêsanî guheztinan li wê bikin bi danîna rêzika Destûra 192.168.1.130/26 wekî fermana yekem. Ger we ACL-ya klasîk hebe, hûn ê hewce bikin ku wê bi tevahî jê bikin û dûv re fermanan bi rêza rast ji nû ve têkevin.
Çareseriya Pirsgirêka No. 4 ev e ku rêza Destûra 192.168.1.130/26 li destpêka ACL ji Pirsgirêka No. Dê seyrûsefera PC1 bi tevahî were asteng kirin ji ber ku navnîşana IP-ya wê di rêza duyemîn a navnîşê de qedexe ye.
Naha em ê biçin ser Packet Tracer da ku mîhengên pêwîst bikin. Min berê navnîşanên IP-ya hemî cîhazan mîheng kiriye ji ber ku xêzên berê yên sadekirî hinekî dijwar bûn ku fêm bikin. Wekî din, min RIP di navbera her du rêweran de mîheng kir. Li ser topolojiya torê ya diyarkirî, pêwendiya di navbera hemî cîhazên 4 subnetan de bêyî ti sînorkirin gengaz e. Lê gava ku em ACL-ê bicîh bikin, dê seyrûsefer dest bi fîltrekirinê bike.
Ez ê bi beşa darayî PC1 dest pê bikim û hewl bidim navnîşana IP-ya 192.168.1.194, ku girêdayî Server0-ê ye, ku di odeya serverê de ye, ping bikim. Wekî ku hûn dikarin bibînin, pinging bêyî pirsgirêkek serkeftî ye. Di heman demê de min bi serfirazî Laptop0 ji beşa rêveberiyê ping kir. Pakêta yekem ji ber ARP-ê tê avêtin, 3 yên mayî bi serbestî têne ping kirin.
Ji bo ku fîlterkirina trafîkê birêxistin bikim, ez diçim mîhengên routerê R2, moda veavakirina gerdûnî çalak dikim û ez ê navnîşek ACL-ya nûjen biafirînim. Di heman demê de ACL 10-a me ya klasîk jî heye. Ji bo afirandina navnîşa yekem, ez fermanek dinivîsim ku tê de hûn hewce ne ku heman navê navnîşê ku me li ser kaxezê nivîsandiye diyar bike: ip access-list standard ACL Secure_Ma_And_Se. Piştî vê yekê, pergal ji bo parametreyên muhtemel dipirse: Ez dikarim înkar, derçûn, na, destûr an jî têbînîyê bibijêrim, û her weha ji 1-ê heya 2147483647 Hejmarek Rêzdar binivîsim. Ger ez wiya nekim, dê pergal wê bixweber destnîşan bike.
Ji ber vê yekê, ez vê hejmarê nanivîsim, lê tavilê diçim ser fermana destûrnameyê 192.168.1.130, ji ber ku ev destûr ji bo amûrek taybetî ya PC0 derbasdar e. Ez dikarim maskek Wildcard-a berevajî bikar bînim, naha ez ê nîşanî we bidim ka meriv çawa wiya dike.
Dûv re, ez dikevim fermana înkar 192.168.1.128. Ji ber ku me /26 heye, ez maskeya berevajî bikar tînim û fermanê pê re temam dikim: 192.168.1.128 0.0.0.63 înkar bikin. Bi vî rengî, ez seyrûsefera torê 192.168.1.128/26 red dikim.
Bi heman rengî, ez seyrûsefera ji tora jêrîn asteng dikim: 192.168.1.0 0.0.0.127 înkar bikin. Hemî seyrûsefera din destûr e, ji ber vê yekê ez destûrnameya fermanê dinivîsim. Dûv re divê ez vê navnîşê li navrûyê bicîh bikim, ji ber vê yekê ez fermana int s0/1/0 bikar tînim. Dûv re ez koma gihîştina ip-ê Secure_Ma_And_Se dinivîsim, û pergal ji min dipirse ku ez navbeynkarek hilbijêrin - ji bo pakêtên ketinê û ji bo derketinê derkeve. Pêdivî ye ku em ACL-ê li navrûya derketinê bicîh bikin, ji ber vê yekê ez fermana gihîştina ip-ê Secure_Ma_And_Se out bikar tînim.
Ka em biçin rêza fermana PC0 û navnîşana IP-ya 192.168.1.194, ku girêdayî servera Server0 ye, ping bikin. Ping serketî ye ji ber ku me ji bo seyrûsefera PC0 şertek taybetî ya ACL bikar anî. Ger ez heman tiştî ji PC1 bikim, pergal dê xeletiyek çêbike: "mêvandarê armancê tune", ji ber ku seyrûsefera ji navnîşanên IP-yê yên mayî yên beşa hesabkirinê ji gihîştina odeya serverê tê asteng kirin.
Bi têketina CLI-ya routerê R2 û nivîsandina fermana navnîşan-lîsteyên navnîşana ip-ya nîşan bide, hûn dikarin bibînin ka seyrûsefera torê ya beşa darayî çawa hatî rêve kirin - ew destnîşan dike ka çend caran ping li gorî destûr derbas bûye û çend caran derbas bûye. li gorî qedexeyê hatine astengkirin.
Em her gav dikarin biçin mîhengên routerê û navnîşa gihîştinê bibînin. Bi vî awayî şert û mercên Karên Hejmar 1 û 4 pêk tên. Bila ez tiştek din nîşanî we bidim. Ger ez dixwazim tiştek rast bikim, ez dikarim biçim moda veavakirina gerdûnî ya mîhengên R2, têkevim fermana ip-lîsteya standard Secure_Ma_And_Se û dûv re fermana "mêvandar 192.168.1.130 nayê destûr kirin" - mêvandarê destûr tune 192.168.1.130.
Ger em dîsa li navnîşa gihîştinê binêrin, em ê bibînin ku rêza 10 winda bûye, tenê xetên 20,30, 40 û XNUMX mane di forma klasîk de.
Naha em werin ser ACL-ya sêyemîn, ji ber ku ew di heman demê de routerê R2-ê jî eleqedar dike. Ew diyar dike ku her seyrûseferek ji Laptop3 divê ji tora beşa firotanê dernekeve. Di vê rewşê de, Laptop2 divê bêyî pirsgirêk bi komputerên beşa darayî re têkilî daynin. Ji bo ceribandina vê, ez navnîşana IP-ya 192.168.1.130 ji vê laptopê ping dikim û piştrast dikim ku her tişt dixebite.
Naha ez ê herim rêzika fermanê ya Laptop3 û navnîşana 192.168.1.130 ping bikim. Pinging serketî ye, lê em ne hewce ne, ji ber ku li gorî şert û mercên peywirê, Laptop3 tenê dikare bi Laptop2 re, ku di heman tora beşa firotanê de ye, ragihîne. Ji bo vê yekê, hûn hewce ne ku ACL-ya din bi karanîna rêbazê klasîk biafirînin.
Ez ê vegerim mîhengên R2 û bi karanîna fermana destûrnameyê 10 hewl bidim ku têketina jêbirin 192.168.1.130 vegerim. Hûn dibînin ku ev navnîş di dawiya navnîşê de di hejmara 50 de xuya dike. Lêbelê, gihîştin dê dîsa jî nexebite, ji ber ku rêza ku destûr dide mêvandarek taybetî di dawiya navnîşê de ye, û xeta ku hemî seyrûsefera torê qedexe dike li jorê ye. ya lîsteyê. Ger em hewl bidin ku Laptop0-ya beşa rêveberiyê ji PC0 ping bikin, em ê peyama "mêvandarê mebestê ne gihîştî ye" bistînin, tevî ku di ACL de di hejmara 50 de destûrek heye.
Ji ber vê yekê, heke hûn dixwazin ACL-ya heyî biguherînin, divê hûn di moda R2 de (config-std-nacl) fermana bê destûr 192.168.1.130 binivîsin, kontrol bikin ku rêza 50 ji navnîşê winda bûye, û fermana 10 destûr têkevin. host 192.168.1.130. Em dibînin ku navnîş niha vegeriya forma xweya bingehîn, digel vê navnîşê di rêza yekem de. Jimarên rêzikan alîkariya guherandina navnîşê di her formê de dikin, ji ber vê yekê forma nûjen a ACL ji ya klasîk pir hêsantir e.
Naha ez ê nîşan bidim ka forma klasîk a navnîşa ACL 10 çawa dixebite Ji bo ku hûn navnîşa klasîk bikar bînin, hûn hewce ne ku têkevin navnîşa gihîştinê 10?, û, li pey tavilê, çalakiya xwestinê hilbijêrin: înkar, destûr an jî têbînî. Dûv re ez têkevim rêzika gihîştina-lîsteya 10-ê mêvandarê înkarkirinê, dûv re ez fermana gihîştin-lîsteya 10-ê înkar dikim 192.168.1.3 dinivîsim û maskeya berevajî lê zêde dikim. Ji ber ku mêvandarek me heye, maskeya jêrtorê ya pêş 255.255.255.255 e, û berevajî 0.0.0.0 e. Wekî encamek, ji bo redkirina seyrûsefera mêvandar, divê ez têkevim fermana gihîştina-lîsteya 10 înkar 192.168.1.3 0.0.0.0. Piştî vê yekê, hûn hewce ne ku destûran diyar bikin, ji bo ku ez fermana gihîştinê-lîsteya 10 destûrnameyek dinivîsim. Pêdivî ye ku ev navnîş li navrûya G0/1 ya routerê R2 were sepandin, ji ber vê yekê ez bi rêzê fermanan di g0/1, ip access-group 10 de dinivîsim. Kîjan navnîş tê bikar anîn, klasîk an nûjen, heman ferman têne bikar anîn da ku vê navnîşê li navrûyê bicîh bikin.
Ji bo ku kontrol bikim ka mîheng rast in, ez diçim termînala xeta fermanê ya Laptop3 û hewl didim ku navnîşana IP-ya 192.168.1.130 ping bikim - wekî ku hûn dibînin, pergal radigihîne ku mêvandarê armancê negihîştî ye.
Bihêle ez ji we re bînim bîra we ku ji bo kontrolkirina navnîşê hûn dikarin hem navnîşên gihîştina ip-yê nîşan bidin hem jî emrên navnîşên gihîştinê nîşan bidin bikar bînin. Divê em pirsgirêkek din çareser bikin, ku bi routerê R1 ve girêdayî ye. Ji bo vê yekê, ez diçim CLI-ya vê routerê û diçim moda veavakirina gerdûnî û fermana ip-lîsteya standard Secure_Ma_From_Se têkevim. Ji ber ku torgilokek me 192.168.1.192/27 heye, maskeya wê ya subnetê dê bibe 255.255.255.224, ku tê vê wateyê ku maskeya berevajî dê bibe 0.0.0.31 û pêdivî ye ku em têkevin fermana redkirina 192.168.1.192 0.0.0.31. Ji ber ku hemî seyrûsefera din destûr e, navnîş bi destûrnameya fermanê ya yek bi dawî dibe. Ji bo ku hûn ACL li navrûya derketinê ya routerê bicîh bikin, fermana gihîştina ip-ê Secure_Ma_From_Se out bikar bînin.
Naha ez ê biçim termînala xeta fermanê ya Server0 û hewl bidim ku Laptop0 ya beşa rêveberiyê li navnîşana IP-ya 192.168.1.226 ping bikim. Hewldan neserketî bû, lê heke min navnîşana 192.168.1.130 ping kir, pêwendî bê pirsgirêk hate saz kirin, ango, me qedexe kir ku komputera serverê bi beşa rêveberiyê re têkilî dayne, lê destûr da danûstendina bi hemî amûrên din ên di beşên din de. Bi vî awayî, me her 4 pirsgirêk bi serkeftî çareser kirin.
Ez tiştekî din nîşanî we bidim. Em diçin mîhengên routerê R2, ku li wir 2 celeb ACL hene - klasîk û nûjen. Ka em bibêjin ez dixwazim ACL 10, navnîşa gihîştina IP-ya standard 10 biguherînim, ku di forma xweya klasîk de ji du navnîşan 10 û 20 pêk tê. Ger ez fermana do show run bikar bînim, ez dikarim bibînim ku pêşî navnîşek gihîştina me ya nûjen a 4 heye. navnîşên bêyî hejmar di bin sernavê giştî Secure_Ma_And_Se de, û li jêr du navnîşên ACL 10 yên forma klasîk hene ku navê heman navnîşa gihîştinê 10 dubare dikin.
Ger ez bixwazim hin guhertinan bikim, wek mînak rakirina têketina mêvandarê redkirina 192.168.1.3 û danasîna têketinek ji bo amûrek li ser tora cûda, ez hewce dikim ku emrê jêbirinê tenê ji bo wê têketinê bikar bînim: navnîşa gihîştinê tune 10 mêvandarê înkarê 192.168.1.3 .10. Lê gava ku ez têkevim vê fermanê, hemî navnîşên ACL XNUMX bi tevahî winda dibin Ji ber vê yekê dîtina klasîk a ACL ji bo guherandinê pir nerehet e. Rêbaza tomarkirinê ya nûjen ji bo karanîna pir hêsantir e, ji ber ku ew destûrê dide sererastkirina belaş.
Ji bo ku hûn di vê dersa vîdyoyê de materyalê fêr bibin, ez ji we re şîret dikim ku hûn dîsa lê temaşe bikin û hewl bidin ku pirsgirêkên ku hatine nîqaş kirin bi serê xwe bêyî ti nîşanan çareser bikin. ACL di qursa CCNA de mijarek girîng e, û pir kes ji hêla, mînakî, prosedûra çêkirina maskek Wildcard-a berevajî ve tevlihev dibin. Ez ji we re piştrast dikim, tenê têgeha veguherîna maskê fêm bikin, û her tişt dê pir hêsantir bibe. Bînin bîra xwe ku di têgihiştina mijarên qursa CCNA de ya herî girîng perwerdehiya pratîkî ye, ji ber ku tenê pratîk dê ji we re bibe alîkar ku hûn vê an wê têgeha Cisco fam bikin. Pratîk ne kopîkirina tîmên min e, lê çareserkirina pirsgirêkan bi awayê xwe ye. Ji xwe pirsan bipirsin: çi hewce dike ku were kirin da ku herikîna trafîkê ji vir ber bi wir ve were asteng kirin, li ku şert û mercan bicîh bikin, hwd., û hewl bidin ku bersiva wan bidin.
Spas ji bo ku hûn bi me re bimînin. Ma hûn ji gotarên me hez dikin? Ma hûn dixwazin naveroka balkêştir bibînin? Piştgiriya me bikin bi danîna fermanek an pêşniyarkirina hevalan, 30% erzanî ji bo bikarhênerên Habr li ser analogek bêhempa ya pêşkêşkerên asta têketinê, ku ji hêla me ve ji bo we hatî vedîtin: (bi RAID1 û RAID10, heta 24 core û heya 40 GB DDR4 peyda dibe).
Dell R730xd 2 car erzantir? Tenê li vir li Hollanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ji $99! Li ser bixwînin
Source: www.habr.com
