Anio isika dia hanomboka hianatra momba ny lisitry ny fanaraha-maso ny fidirana ACL, ity lohahevitra ity dia handray lesona video 2. Hojerentsika ny fanamafisam-peo ACL mahazatra, ary amin'ny horonan-tsary manaraka dia hiresaka momba ny lisitra lavabe aho.
Amin'ity lesona ity dia hiresaka lohahevitra 3 isika. Ny voalohany dia ny atao hoe ACL, ny faharoa dia ny maha samy hafa ny lisitry ny fidirana manara-penitra sy miitatra, ary amin'ny faran'ny lesona, amin'ny maha laboratoara, dia hijery ny fametrahana ACL manara-penitra sy ny famahana ny olana mety hitranga isika.
Inona àry no atao hoe ACL? Raha nandalina ny taranja tamin'ny lesona video voalohany ianao, dia tadidinao ny fomba nandaminanay fifandraisana teo amin'ireo fitaovana tambajotra isan-karazany.
Nianatra static routing amin'ny protocols isan-karazany ihany koa izahay mba hahazoana fahaiza-manao amin'ny fandaminana ny fifandraisana eo amin'ny fitaovana sy ny tambajotra. Efa tonga amin'ny dingana fianarana isika izao izay tokony hiheverantsika ny fiarovana ny fifamoivoizana, izany hoe ny fisorohana ny "ratsy fanahy" na mpampiasa tsy nahazoana alalana hiditra ao amin'ny tambajotra. Ohatra, mety mahakasika ny olona avy amin'ny departemantan'ny varotra SALES izany, izay aseho amin'ity kisary ity. Eto koa dia asehontsika ny sampana ara-bola ACCOUNTS, ny sampana fitantanana FITANTANANA ary ny efitranon'ny mpizara SERVER ROOM.
Noho izany, ny departemantan'ny varotra dia mety manana mpiasa zato, ary tsy tianay ny iray amin'izy ireo ho afaka mankany amin'ny efitranon'ny mpizara amin'ny tambajotra. Misy exception atao ho an'ny mpitantana varotra miasa amin'ny solosaina Laptop2 - afaka miditra amin'ny efitrano mpizara izy. Ny mpiasa vaovao miasa amin'ny Laptop3 dia tsy tokony hanana fidirana toy izany, izany hoe raha tonga any amin'ny router R2 ny fifamoivoizana avy amin'ny solosainany dia tokony hajanona izany.
Ny andraikitry ny ACL dia ny manivana ny fifamoivoizana araka ny mari-pamantarana fanivanana voafaritra. Anisan'izany ny adiresy IP loharano, ny adiresy IP, ny protocol, ny isan'ny seranana ary ny mari-pamantarana hafa, izay ahafahanao mamantatra ny fifamoivoizana sy manao hetsika miaraka aminy.
Noho izany, ny ACL dia rafitra sivana 3 sosona amin'ny modely OSI. Midika izany fa ity mekanika ity dia ampiasaina amin'ny router. Ny fepetra fototra amin'ny sivana dia ny famantarana ny onjam-peo. Ohatra, raha te hanakana ilay lehilahy manana solosaina Laptop3 tsy hiditra amin'ny server isika dia tsy maintsy fantarina aloha ny fifamoivoizana. Ity fifamoivoizana ity dia mandeha amin'ny làlan'ny Laptop-Switch2-R2-R1-Switch1-Server1 amin'ny alàlan'ny fifandraisana mifanentana amin'ny fitaovana tambajotra, raha toa ka tsy misy ifandraisany amin'izany ny G0/0 interfaces an'ny router.
Mba hamantarana ny fifamoivoizana dia tsy maintsy fantarina ny lalan'izy io. Rehefa vita izany dia afaka manapa-kevitra isika hoe aiza marina no tokony hametrahana ny sivana. Aza manahy momba ny sivana mihitsy, hiresaka momba azy ireo isika amin'ny lesona manaraka, amin'izao fotoana izao dia mila mahatakatra ny fitsipiky ny interface izay tokony hampiharana ny sivana.
Raha mijery ny router ianao dia ho hitanao fa isaky ny mihetsika ny fifamoivoizana dia misy ny interface izay idiran'ny data flow, ary ny interface izay ivoahan'ity fikorianan'ny rivotra ity.
Misy interface 3 raha ny marina: ny interface input, ny interface output ary ny interface an'ny router. Tsarovy fotsiny fa ny fanivanana dia tsy azo ampiharina afa-tsy amin'ny interface input na output.
Ny fitsipiky ny fiasan'ny ACL dia mitovy amin'ny fandalovana amin'ny hetsika iray izay tsy afaka manatrika afa-tsy ireo vahiny manana ny anarany ao amin'ny lisitry ny olona nasaina. Ny ACL dia lisitry ny mari-pamantarana mari-pahaizana ampiasaina hamantarana ny fifamoivoizana. Ohatra, ity lisitra ity dia manondro fa ny fifamoivoizana rehetra dia avela amin'ny adiresy IP 192.168.1.10, ary ny fifamoivoizana avy amin'ny adiresy hafa rehetra dia lavina. Araka ny nolazaiko, ity lisitra ity dia azo ampiharina amin'ny interface input sy output.
Misy karazany 2 ny ACL: mahazatra sy mivelatra. Ny ACL mahazatra dia manana famantarana avy amin'ny 1 ka hatramin'ny 99 na avy amin'ny 1300 ka hatramin'ny 1999. Ireo dia anarana lisitra tsotra izay tsy misy tombony amin'ny tsirairay rehefa mitombo ny isa. Ankoatra ny isa, azonao atao ny manendry ny anaranao amin'ny ACL. Ny ACLs miitatra dia isa 100 hatramin'ny 199 na 2000 hatramin'ny 2699 ary mety manana anarana ihany koa.
Ao amin'ny ACL mahazatra, ny fanasokajiana dia mifototra amin'ny adiresy IP loharanon'ny fifamoivoizana. Noho izany, rehefa mampiasa lisitra toy izany ianao dia tsy afaka mametra ny fifamoivoizana mankany amin'ny loharano rehetra, azonao atao ny manakana ny fifamoivoizana avy amin'ny fitaovana iray ihany.
Ny ACL miitatra dia manasokajy ny fifamoivoizana amin'ny alàlan'ny adiresy IP loharano, adiresy IP ho an'ny toerana, protocol ampiasaina ary laharan'ny seranan-tsambo. Ohatra, azonao atao ny manakana ny fifamoivoizana FTP, na ny fifamoivoizana HTTP ihany. Androany dia hijery ny ACL mahazatra isika, ary hanokana ny lesona amin'ny horonan-tsary manaraka amin'ny lisitra lavabe.
Araka ny nolazaiko, ny ACL dia lisitry ny fepetra. Aorian'ny fampiharanao ity lisitra ity amin'ny seha-pifandraisana miditra na mivoaka an'ny router, dia manamarina ny fifamoivoizana amin'ity lisitra ity ny router, ary raha mahafeno ny fepetra voalaza ao amin'ny lisitra izy dia manapa-kevitra ny hamela na handà an'io fifamoivoizana io. Matetika ny olona no sarotra ny mamaritra ny fidirana sy ny output interfaces ny router, na dia tsy misy sarotra eto. Rehefa miresaka momba ny interface tsara miditra isika dia midika izany fa ny fifamoivoizana miditra ihany no hofehezina amin'ity seranana ity, ary ny router dia tsy hampihatra fameperana amin'ny fifamoivoizana mivoaka. Toy izany koa, raha miresaka momba ny egress interface isika, midika izany fa ny fitsipika rehetra dia mihatra amin'ny fifamoivoizana mivoaka ihany, fa ny fifamoivoizana miditra amin'ity seranana ity dia ekena tsy misy fetra. Ohatra, raha manana seranana 2 ny router: f0/0 sy f0/1, dia ny ACL ihany no ampiharina amin'ny fifamoivoizana miditra amin'ny interface f0/0, na amin'ny fifamoivoizana avy amin'ny interface f0/1 ihany. Ny fifamoivoizana miditra na mivoaka ny interface f0/1 dia tsy hisy fiantraikany amin'ny lisitra.
Noho izany, aza afangaro amin'ny lalana miditra na mivoaka amin'ny interface, miankina amin'ny lalan'ny fifamoivoizana manokana izany. Noho izany, rehefa avy nanamarina ny fifamoivoizana ny router mba hifanaraka amin'ny fepetra ACL, dia afaka mandray fanapahan-kevitra roa ihany izy: avelao ny fifamoivoizana na mandà izany. Ohatra, azonao atao ny mamela ny fifamoivoizana natokana ho an'ny 180.160.1.30 ary mandà ny fifamoivoizana natokana ho an'ny 192.168.1.10. Ny lisitra tsirairay dia mety ahitana fepetra maromaro, saingy ny tsirairay amin'ireo fepetra ireo dia tsy maintsy mamela na mandà.
Andeha atao hoe manana lisitra izahay:
mandrara _______
Avelao ________
Avelao ________
Mandrara _________.
Voalohany, ny router dia hanamarina ny fifamoivoizana mba hahitana raha mifanaraka amin'ny fepetra voalohany izy io; raha tsy mifanaraka izy dia hijery ny fepetra faharoa. Raha mifanandrify amin'ny fepetra fahatelo ny fifamoivoizana, dia hijanona amin'ny fanaraha-maso ny router ary tsy hampitaha azy amin'ny fepetra hafa amin'ny lisitra. Hanatanteraka ny hetsika "avelao" izy io ary hiroso amin'ny fanamarinana ny ampahany manaraka amin'ny fifamoivoizana.
Raha toa ka tsy nametraka fitsipika ho an'ny fonosana rehetra ianao ary mandalo ny andalana rehetra ao amin'ny lisitra ny fifamoivoizana nefa tsy mamely ny fepetra rehetra, dia rava izany, satria ny lisitry ny ACL tsirairay dia mifarana amin'ny mandà ny baiko rehetra - izany hoe, esory fonosana rehetra, tsy tafiditra ao anatin'ny fitsipika. Ity fepetra ity dia manan-kery raha misy fitsipika iray farafahakeliny ao amin'ny lisitra, raha tsy izany dia tsy misy fiantraikany izany. Fa raha ny andalana voalohany dia misy ny fidirana mandà 192.168.1.30 ary ny lisitra dia tsy misy fepetra intsony, dia amin'ny farany dia tokony hisy baiko fahazoan-dalana, izany hoe, mamela ny fifamoivoizana afa-tsy izay voararan'ny fitsipika. Tsy maintsy raisinao izany mba hisorohana ny fahadisoana rehefa manamboatra ny ACL.
Tiako ho tadidinao ny fitsipika fototra amin'ny famoronana lisitra ASL: apetraho akaiky araka izay azo atao ny ASL manara-penitra amin'ny toerana haleha, izany hoe amin'ny mpandray ny fifamoivoizana, ary asio ASL lavitra araka izay azo atao amin'ny loharano, izany hoe, amin'ny mpandefa ny fifamoivoizana. Ireo no tolo-kevitry ny Cisco, saingy amin'ny fampiharana dia misy toe-javatra misy dikany kokoa ny fametrahana ACL mahazatra eo akaikin'ny loharanon'ny fifamoivoizana. Fa raha sendra fanontaniana momba ny fitsipiky ny fametrahana ACL mandritra ny fanadinana ianao, araho ny tolo-kevitry ny Cisco ary valio amin'ny fomba mazava: akaiky kokoa ny toerana haleha ny fenitra, manakaiky kokoa ny loharano.
Andeha hojerentsika ny syntax amin'ny ACL mahazatra. Misy karazany roa ny baikon'ny baiko ao amin'ny maodely fikirakirana manerantany ny router: ny syntax mahazatra sy ny syntax maoderina.
Ny karazana baiko mahazatra dia lisitry ny fidirana <ACL number> <deny/allow> <criteria>. Raha mametraka <ACL number> manomboka amin'ny 1 ka hatramin'ny 99 ianao, dia ho takatr'ilay fitaovana fa ACL manara-penitra io, ary raha 100 ka hatramin'ny 199 izy io, dia lasa lavitra. Satria amin'ny lesona anio dia mijery lisitra mahazatra isika, afaka mampiasa isa rehetra manomboka amin'ny 1 ka hatramin'ny 99. Avy eo dia manondro ny hetsika tokony hampiharina raha mifanaraka amin'ny fepetra manaraka ireto masontsivana ireto - avelao na mandà ny fifamoivoizana. Hodinihintsika any aoriana ny fepetra, satria ampiasaina amin'ny syntax maoderina koa izy io.
Ny karazana baiko maoderina dia ampiasaina ao amin'ny Rx(config) fomba fanamafisam-peo manerantany ary toa izao: ip access-list standard <ACL number/name>. Eto ianao dia afaka mampiasa isa 1 ka hatramin'ny 99 na ny anaran'ny lisitra ACL, ohatra, ACL_Networking. Ity baiko ity dia mametraka avy hatrany ny rafitra ao amin'ny mode subcommand mode Rx (config-std-nacl), izay tsy maintsy idiranao <deny/enable> <criteria>. Ny karazana ekipa maoderina dia manana tombony bebe kokoa raha oharina amin'ny mahazatra.
Ao amin'ny lisitra mahazatra, raha manoratra fidirana-lisitra 10 mandà ______ ianao, dia soraty ny baiko manaraka mitovy karazana ho an'ny fepetra hafa, ary miafara amin'ny baiko 100 toy izany ianao, dia mila manova ny iray amin'ireo baiko nampidirina. esory ny lisitry ny lisitry ny fidirana 10 miaraka amin'ny baiko tsy misy lisitry ny fidirana 10. Izany dia hamafa ny baiko 100 rehetra satria tsy misy fomba hanovana ny baiko tsirairay amin'ity lisitra ity.
Ao amin'ny syntax maoderina, ny baiko dia mizara ho andalana roa, ny voalohany misy ny lisitry ny laharana. Eritrereto hoe raha manana lisitra fidirana-lisitra 10 mandà ________ ianao, fitsipika fidirana lisitra 20 mandà ________ sy ny sisa, dia azonao atao ny mampiditra lisitra manelanelana miaraka amin'ny fepetra hafa eo anelanelan'izy ireo, ohatra, ny fenitra fidirana-lisitra 15 mandà ________ .
Azonao atao ihany koa ny mamafa ny andalana 20 mahazatra amin'ny lisitry ny fidirana ary mametaka azy ireo miaraka amin'ny mari-pamantarana samihafa eo anelanelan'ny andalana fidirana-lisitra 10 sy ny andalana 30 amin'ny lisitry ny fidirana.
Mila mitandrina tsara ianao rehefa mamorona ACL. Araka ny fantatrao, ny lisitra dia vakiana hatrany ambony ka hatrany ambany. Raha mametraka tsipika eo an-tampony ianao izay mamela ny fifamoivoizana avy amin'ny mpampiantrano iray manokana, dia eto ambany ianao dia afaka mametraka tsipika mandrara ny fifamoivoizana amin'ny tambajotra iray manontolo misy an'io mpampiantrano io, ary hojerena ireo fepetra roa ireo - ny fifamoivoizana mankany amin'ny mpampiantrano manokana dia avela hiditra, ary ny fifamoivoizana avy amin'ny mpampiantrano hafa rehetra dia ho voasakana ity tambajotra ity. Noho izany, apetraho foana ny fidirana manokana eo an-tampon'ny lisitra ary ny ankapobeny eo amin'ny farany ambany.
Noho izany, rehefa avy namorona ACL mahazatra na maoderina ianao dia tsy maintsy mampihatra izany. Mba hanaovana izany, dia mila mandeha any amin'ny toe-javatra ny interface tsara, ohatra, f0/0 mampiasa ny baiko interface tsara <karazana sy slot>, mandehana any amin'ny interface subcommand mode ary ampidiro ny baiko ip access-group <ACL number/ anarana> . Azafady, mariho ny fahasamihafana: rehefa manangona lisitra dia misy lisitry ny fidirana, ary rehefa mampihatra izany dia misy vondrona fidirana. Tsy maintsy mamaritra izay interface tsara hampiharana ity lisitra ity ianao - ny interface income na ny interface outgoing. Raha manana anarana ny lisitra, ohatra, Networking, dia miverimberina ao amin'ny baiko hampiharana ny lisitra amin'ity interface ity ilay anarana mitovy.
Andeha isika haka olana manokana ary hiezaka hamaha izany amin'ny alàlan'ny ohatra amin'ny sarin'ny tambajotra mampiasa Packet Tracer. Noho izany, manana tambajotra 4 izahay: departemantan'ny varotra, sampana kaonty, fitantanana ary efitrano mpizara.
Asa laharana 1: tsy maintsy sakanana ny fifamoivoizana rehetra avy amin'ny sampana varotra sy ara-bola mankany amin'ny sampan-draharaham-pitantanana sy ny efitrano mpizara. Ny toerana fanakanana dia ny interface S0/1/0 amin'ny router R2. Voalohany dia tsy maintsy mamorona lisitra misy ireto fidirana manaraka ireto isika:
Andao hiantso ny lisitra "Management and Server Security ACL", nohafohezina hoe ACL Secure_Ma_And_Se. Manaraka izany ny fandrarana ny fifamoivoizana avy amin'ny tambajotran'ny sampan-draharaha ara-bola 192.168.1.128/26, mandrara ny fifamoivoizana avy amin'ny tambajotran'ny varotra 192.168.1.0/25, ary mamela ny fifamoivoizana hafa. Any amin'ny faran'ny lisitra dia voalaza fa ampiasaina amin'ny interface ivelany S0/1/0 amin'ny router R2. Raha tsy manana fahazoan-dàlana izahay amin'ny faran'ny lisitra, dia ho voasakana ny fifamoivoizana hafa rehetra satria ny ACL default dia napetraka amin'ny fidirana Deny Any any amin'ny faran'ny lisitra.
Afaka mampihatra an'io ACL io amin'ny interface G0/0 ve aho? Mazava ho azy fa azoko atao, fa amin'ity tranga ity dia ny fifamoivoizana avy amin'ny departemantan'ny kaonty ihany no hosakanana, ary ny fifamoivoizana avy amin'ny departemantan'ny varotra dia tsy voafetra amin'ny fomba rehetra. Toy izany koa, azonao atao ny mampihatra ACL amin'ny interface G0/1, saingy amin'ity tranga ity dia tsy hosakanana ny fifamoivoizana amin'ny departemantan'ny fitantanam-bola. Mazava ho azy fa afaka mamorona lisitra sakana roa misaraka ho an'ireo interface tsara ireo isika, saingy mahomby kokoa ny manambatra azy ireo ao anaty lisitra iray ary mampihatra izany amin'ny interface output an'ny router R2 na ny interface interface S0/1/0 an'ny router R1.
Na dia milaza aza ny fitsipiky ny Cisco fa ny ACL manara-penitra dia tokony hapetraka akaiky ny toerana haleha araka izay azo atao, dia hataoko akaiky kokoa ny loharanon'ny fifamoivoizana satria te hanakana ny fifamoivoizana mivoaka rehetra aho, ary misy dikany kokoa ny manao izany akaiky kokoa ny fifamoivoizana. loharano mba tsy handany ny tambajotra eo amin'ny router roa ity fifamoivoizana ity.
Adinoko ny milaza aminareo ny momba ny critère fa aleo miverina haingana. Azonao atao ny mamaritra ny iray ho fepetra - amin'ity tranga ity, ny fifamoivoizana rehetra avy amin'ny fitaovana rehetra sy ny tambajotra rehetra dia lavina na avela. Azonao atao ihany koa ny manondro mpampiantrano miaraka amin'ny famantarana azy - amin'ity tranga ity, ny adiresy IP an'ny fitaovana iray manokana ny fidirana. Farany, azonao atao ny mamaritra tambajotra iray manontolo, ohatra, 192.168.1.10/24. Amin'ity tranga ity, /24 dia midika ny fisian'ny saron-tava subnet amin'ny 255.255.255.0, saingy tsy azo atao ny mamaritra ny adiresy IP an'ny saron-tava subnet ao amin'ny ACL. Amin'ity tranga ity, ny ACL dia manana foto-kevitra antsoina hoe Wildcart Mask, na "saron-tava mivadika". Noho izany dia tsy maintsy mamaritra ny adiresy IP ianao ary miverina saron-tava. Toy izao ny saron-tava mivadika: tsy maintsy esorinao amin'ny saron-tava ankapobeny ny saron-tava mivantana, izany hoe ny isa mifanandrify amin'ny sandan'ny octet ao amin'ny saron-tava mandroso dia esorina amin'ny 255.
Noho izany, tokony hampiasa ny parameter 192.168.1.10 0.0.0.255 ho toy ny fepetra ao amin'ny ACL ianao.
Ahoana ny fandehany? Raha misy 0 ao amin'ny octet saron-tava miverina, dia heverina fa mifanaraka amin'ny octet mifanaraka amin'ny adiresy IP subnet ny fepetra. Raha misy isa ao amin'ny octet backmask, dia tsy voamarika ny lalao. Noho izany, ho an'ny tambajotra 192.168.1.0 sy saron-tava miverina amin'ny 0.0.0.255, ny fifamoivoizana rehetra avy amin'ny adiresy misy octet telo voalohany dia mitovy amin'ny 192.168.1., na inona na inona sandan'ny octet fahefatra, dia ho voasakana na avela miankina amin'ny ny hetsika voafaritra.
Mora ny mampiasa saron-tava mivadika, ary hiverina amin'ny Saron-tava Wildcart isika amin'ny horonan-tsary manaraka mba hanazavako ny fomba fiasa amin'izany.
28:50 min
Misaotra anao nijanona niaraka taminay. Tianao ve ny lahatsoratray? Te hahita votoaty mahaliana kokoa? Tohano izahay amin'ny fametrahana baiko na fanolorana amin'ny namana, fihenam-bidy 30% ho an'ny mpampiasa Habr amin'ny analogue tokana amin'ny mpizara ambaratonga fidirana, izay noforoninay ho anao: (misy miaraka amin'ny RAID1 sy RAID10, hatramin'ny 24 cores ary hatramin'ny 40GB DDR4).
Dell R730xd in-2 mora kokoa? Eto ihany any Holandy! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - manomboka amin'ny $99! Vakio ny momba ny
Source: www.habr.com