Cisco Training 200-125 CCNA v3.0။ နေ့ 27. ACL မိတ်ဆက်။ အပိုင်း 1

ယနေ့ကျွန်ုပ်တို့သည် ACL ဝင်ရောက်ထိန်းချုပ်မှုစာရင်းအကြောင်း စတင်လေ့လာပါမည်၊ ဤအကြောင်းအရာသည် ဗီဒီယိုသင်ခန်းစာ 2 ခုယူပါမည်။ ကျွန်ုပ်တို့သည် စံ ACL ၏ဖွဲ့စည်းပုံကိုကြည့်ရှုမည်ဖြစ်ပြီး နောက်ဗီဒီယိုသင်ခန်းစာတွင် တိုးချဲ့စာရင်းအကြောင်းပြောပါမည်။

ဒီသင်ခန်းစာမှာ ခေါင်းစဉ် ၃ ခု ပါ၀င်ပါတယ်။ ပထမတစ်ခုက ACL ဆိုသည်မှာ၊ ဒုတိယမှာ စံတစ်ခုနှင့် တိုးချဲ့ဝင်ရောက်ခွင့်စာရင်းကြား ကွာခြားချက်မှာ အဘယ်နည်း၊ သင်ခန်းစာ၏အဆုံးတွင်၊ ဓာတ်ခွဲခန်းတစ်ခုအနေဖြင့် ကျွန်ုပ်တို့သည် စံ ACL တစ်ခုတည်ဆောက်ခြင်းနှင့် ဖြစ်နိုင်သောပြဿနာများကို ဖြေရှင်းခြင်းတို့ကို ကြည့်ရှုပါမည်။
ဒါဆို ACL ဆိုတာဘာလဲ။ ပထမဆုံး ဗီဒီယိုသင်ခန်းစာကနေ သင်တန်းကို လေ့လာခဲ့တယ်ဆိုရင် ကွန်ရက်ကိရိယာအမျိုးမျိုးကြားက ဆက်သွယ်ရေးကို ဘယ်လိုစီစဉ်ထားသလဲဆိုတာကို သတိရပါ။

စက်ပစ္စည်းများနှင့် ကွန်ရက်များကြားတွင် ဆက်သွယ်မှုများကို စုစည်းရာတွင် ကျွမ်းကျင်မှုရရှိရန် အမျိုးမျိုးသော ပရိုတိုကောများပေါ်တွင် တည်ငြိမ်လမ်းကြောင်းပြောင်းခြင်းကိုလည်း လေ့လာခဲ့သည်။ ယခုအခါတွင် ကျွန်ုပ်တို့သည် “လူဆိုးများ” သို့မဟုတ် ခွင့်ပြုချက်မရှိဘဲ ကွန်ရက်အတွင်းသို့ စိမ့်ဝင်ဝင်ရောက်ခြင်းမှ တားဆီးကာကွယ်ပေးမည့် ယာဉ်ကြောထိန်းချုပ်မှုကို သေချာစေခြင်းအတွက် စိုးရိမ်သင့်သည့် သင်ယူမှုအဆင့်သို့ ရောက်ရှိသွားပါပြီ။ ဥပမာအားဖြင့်၊ ဤပုံတွင်ဖော်ပြထားသော SALES အရောင်းဌာနမှလူများကို ၎င်းသည် သက်ဆိုင်နိုင်ပါသည်။ ဤနေရာတွင် ကျွန်ုပ်တို့သည် ဘဏ္ဍာရေးဌာန အကောင့်များ၊ စီမံခန့်ခွဲမှုဌာန စီမံခန့်ခွဲမှုနှင့် ဆာဗာအခန်း SERVER ROOM တို့ကိုလည်း ပြသထားသည်။
ထို့ကြောင့်၊ အရောင်းဌာနတွင် ဝန်ထမ်းတစ်ရာခန့်ရှိနိုင်ပြီး ၎င်းတို့ထဲမှ တစ်ဦးတစ်ယောက်အား ကွန်ရက်မှတစ်ဆင့် ဆာဗာအခန်းသို့ မရောက်ရှိစေလိုပါ။ Laptop 2 ကွန်ပျူတာတွင်အလုပ်လုပ်သောအရောင်းမန်နေဂျာအတွက်ခြွင်းချက်တစ်ခုဖြစ်သည် - သူသည်ဆာဗာအခန်းသို့ဝင်ရောက်နိုင်သည်။ Laptop3 တွင်အလုပ်လုပ်သောဝန်ထမ်းအသစ်တွင်ထိုကဲ့သို့သောဝင်ရောက်ခွင့်မရှိသင့်ပါ၊ ဆိုလိုသည်မှာ၊ ၎င်း၏ကွန်ပျူတာမှလမ်းကြောင်းသည် router R2 သို့ရောက်ရှိပါက၎င်းကိုဖယ်ရှားသင့်သည်။

ACL ၏ အခန်းကဏ္ဍသည် သတ်မှတ်ထားသော စစ်ထုတ်မှု ကန့်သတ်ချက်များအရ အသွားအလာများကို စစ်ထုတ်ရန် ဖြစ်သည်။ ၎င်းတို့တွင် ရင်းမြစ် IP လိပ်စာ၊ ဦးတည်ရာ IP လိပ်စာ၊ ပရိုတိုကော၊ ပို့တ်အရေအတွက်နှင့် အခြားကန့်သတ်ချက်များ ပါဝင်သဖြင့် သင်သည် ယာဉ်အသွားအလာကို ခွဲခြားသတ်မှတ်နိုင်ပြီး ၎င်းနှင့်လုပ်ဆောင်မှုအချို့ကို လုပ်ဆောင်ပေးသောကြောင့် ၎င်းတို့တွင် ပါဝင်ပါသည်။

ထို့ကြောင့် ACL သည် OSI မော်ဒယ်၏ အလွှာ 3 စစ်ထုတ်သည့် ယန္တရားတစ်ခုဖြစ်သည်။ ဆိုလိုသည်မှာ ဤယန္တရားကို Router များတွင် အသုံးပြုသည်။ စစ်ထုတ်ခြင်းအတွက် အဓိကစံသတ်မှတ်ချက်မှာ ဒေတာစီးကြောင်းကို ဖော်ထုတ်ခြင်းပင်ဖြစ်သည်။ ဥပမာအားဖြင့်၊ Laptop3 ကွန်ပြူတာရှိသူအား ဆာဗာသို့ဝင်ရောက်ခြင်းမှ ပိတ်ဆို့လိုပါက၊ သူ၏လမ်းကြောင်းကို ဦးစွာသိရှိရပါမည်။ ဤအသွားအလာသည် Laptop-Switch2-R2-R1-Switch1-Server1 ၏ဦးတည်ချက်ဖြင့် ရွေ့လျားနေပြီး router များ၏ G0/0 အင်တာဖေ့စ်များသည် ၎င်းနှင့်မသက်ဆိုင်ပါ။

ယာဉ်အသွားအလာကို ခွဲခြားသတ်မှတ်ရန် ၎င်း၏လမ်းကြောင်းကို ဖော်ထုတ်ရမည်ဖြစ်သည်။ ၎င်းကိုလုပ်ဆောင်ပြီးနောက်၊ ကျွန်ုပ်တို့သည် filter ကိုတပ်ဆင်ရန်လိုအပ်သည့်နေရာကိုအတိအကျဆုံးဖြတ်နိုင်သည်။ Filter များကိုယ်တိုင်အတွက် စိတ်မပူပါနှင့်၊ ၎င်းတို့ကို နောက်သင်ခန်းစာတွင် ဆွေးနွေးပါမည်။ ယခုတွင် filter ၏ interface ကိုအသုံးပြုသင့်သည့် နိယာမကို နားလည်ရန်လိုအပ်ပါသည်။

Router ကိုကြည့်လျှင် traffic ရွေ့လျားသည့်အချိန်တိုင်း၊ data flow ဝင်လာသည့် interface တစ်ခုနှင့် ဤ flow ထွက်လာသည့် interface တစ်ခုရှိကြောင်း တွေ့နိုင်သည်။

အမှန်တကယ်တွင် အင်တာဖေ့စ် 3 ခု ရှိသည်- input interface၊ output interface နှင့် router ၏ ကိုယ်ပိုင် interface တို့ဖြစ်သည်။ စစ်ထုတ်ခြင်းကို အဝင် သို့မဟုတ် အထွက် အင်တာဖေ့စ်တွင်သာ အသုံးချနိုင်ကြောင်း သတိရပါ။

ACL လုပ်ဆောင်ချက်၏ နိယာမသည် ဖိတ်ကြားထားသော ပုဂ္ဂိုလ်များစာရင်းတွင် အမည်ပါသော ဧည့်သည်များသာ တက်ရောက်နိုင်သော ပွဲတစ်ခုသို့ လက်မှတ်တစ်ခုနှင့် ဆင်တူသည်။ ACL သည် အသွားအလာကို ခွဲခြားသတ်မှတ်ရန် အသုံးပြုသည့် အရည်အချင်းသတ်မှတ်ချက်များစာရင်းတစ်ခုဖြစ်သည်။ ဥပမာအားဖြင့်၊ ဤစာရင်းသည် အသွားအလာအားလုံးကို IP လိပ်စာ 192.168.1.10 မှ ခွင့်ပြုထားပြီး အခြားလိပ်စာအားလုံးမှ သွားလာမှုအား ငြင်းပယ်ထားသည်။ ငါပြောခဲ့သည့်အတိုင်း၊ ဤစာရင်းကို input နှင့် output interface နှစ်ခုလုံးတွင်အသုံးချနိုင်သည်။

ACL အမျိုးအစား 2 မျိုး ရှိသည်- standard နှင့် extended ။ စံ ACL တွင် 1 မှ 99 မှ သို့မဟုတ် 1300 မှ 1999 အထိ identifier ပါရှိသည်။ ၎င်းတို့သည် နံပါတ်များတိုးလာသည်နှင့်အမျှ တစ်ခုနှင့်တစ်ခုအပေါ်တွင် အားသာချက်မရှိသောစာရင်းအမည်များဖြစ်သည်။ နံပါတ်အပြင်၊ သင်သည်သင်၏ကိုယ်ပိုင်အမည်ကို ACL သို့သတ်မှတ်နိုင်သည်။ Extended ACL များကို 100 မှ 199 သို့မဟုတ် 2000 မှ 2699 အထိ နံပါတ်ပေးထားပြီး နာမည်လည်း ရှိနိုင်ပါသည်။

စံ ACL တွင်၊ အမျိုးအစားခွဲခြားမှုသည် အသွားအလာ၏ အရင်းအမြစ် IP လိပ်စာပေါ်တွင် အခြေခံထားသည်။ ထို့ကြောင့်၊ ထိုသို့သောစာရင်းကိုအသုံးပြုသောအခါ၊ သင်သည် မည်သည့်အရင်းအမြစ်ကိုမဆို ညွှန်ပြသော အသွားအလာကို ကန့်သတ်ထားနိုင်သည်၊ သင်သည် စက်ပစ္စည်းတစ်ခုမှ အစပြုသော အသွားအလာကိုသာ ပိတ်ဆို့နိုင်သည်။

တိုးချဲ့ ACL တစ်ခုသည် အရင်းအမြစ် IP လိပ်စာ၊ ဦးတည်ရာ IP လိပ်စာ၊ အသုံးပြုထားသော ပရိုတိုကောနှင့် ပို့တ်နံပါတ်တို့ဖြင့် အသွားအလာကို အမျိုးအစားခွဲခြားသည်။ ဥပမာအားဖြင့်၊ သင်သည် FTP အသွားအလာ တစ်ခုတည်း သို့မဟုတ် HTTP အသွားအလာကိုသာ ပိတ်ဆို့နိုင်သည်။ ယနေ့ ကျွန်ုပ်တို့သည် စံ ACL ကို ကြည့်ရှုမည်ဖြစ်ပြီး တိုးချဲ့စာရင်းများအတွက် နောက်ဗီဒီယိုသင်ခန်းစာကို မြှုပ်နှံပါမည်။

ငါပြောခဲ့သည့်အတိုင်း ACL သည် အခြေအနေများစာရင်းဖြစ်သည်။ ဤစာရင်းကို router ၏ အဝင် သို့မဟုတ် အထွက် အင်တာဖေ့စ်တွင် သင်အသုံးပြုပြီးနောက်၊ Router သည် ဤစာရင်းနှင့် အသွားအလာကို စစ်ဆေးပြီး၊ ၎င်းသည် စာရင်းတွင်ဖော်ပြထားသည့် အခြေအနေများနှင့် ကိုက်ညီပါက၊ ၎င်းသည် ဤအသွားအလာကို ခွင့်ပြုရန် သို့မဟုတ် ငြင်းပယ်ရန် ဆုံးဖြတ်သည်။ ဤနေရာတွင် ရှုပ်ထွေးသောအရာမရှိသော်လည်း လူများသည် router တစ်ခု၏ input နှင့် output interfaces များကို ဆုံးဖြတ်ရန်ခက်ခဲလေ့ရှိသည်။ ကျွန်ုပ်တို့သည် အဝင်အင်တာဖေ့စ်အကြောင်းပြောသောအခါ၊ ဆိုလိုသည်မှာ ဤ port တွင် အဝင်အသွားအလာများကိုသာ ထိန်းချုပ်ထားမည်ဖြစ်ပြီး၊ router သည် outgoing traffic အတွက် ကန့်သတ်ချက်များကို အသုံးပြုမည်မဟုတ်ပါ။ အလားတူ၊ ကျွန်ုပ်တို့သည် egress interface အကြောင်းပြောနေပါက၊ ဤသည်မှာ စည်းမျဉ်းများအားလုံးသည် အထွက်အသွားအလာအတွက်သာ သက်ရောက်မှုရှိမည်ဖြစ်ပြီး၊ ဤ port ပေါ်ရှိ အဝင်အသွားအလာများကို ကန့်သတ်ချက်များမရှိဘဲ လက်ခံသွားမည်ဖြစ်သည်။ ဥပမာအားဖြင့်၊ အကယ်၍ router တွင် f2/0 နှင့် f0/0 တွင် port 1 ခုရှိပြီး၊ ထို့နောက် ACL သည် f0/0 interface သို့ဝင်ရောက်သည့် traffic အတွက်သာ သို့မဟုတ် f0/1 interface မှအစပြုသော traffic အတွက်သာ အသုံးပြုမည်ဖြစ်သည်။ အဝင်အထွက် သို့မဟုတ် ထွက်ခွာသည့် အင်တာဖေ့စ် f0/1 သည် စာရင်းမှ ထိခိုက်မည်မဟုတ်ပါ။

ထို့ကြောင့်၊ အင်တာဖေ့စ်၏အဝင် သို့မဟုတ် အထွက်လမ်းကြောင်းကို မရောထွေးပါနှင့်၊ ၎င်းသည် သီးခြားလမ်းကြောင်း၏ ဦးတည်ချက်ပေါ်တွင် မူတည်သည်။ ထို့ကြောင့်၊ Router သည် ACL အခြေအနေများနှင့် ကိုက်ညီခြင်းအတွက် အသွားအလာကို စစ်ဆေးပြီးနောက်၊ ၎င်းသည် လမ်းကြောင်းအား ခွင့်ပြုရန် သို့မဟုတ် ငြင်းပယ်ရန် ဆုံးဖြတ်ချက် နှစ်ခုသာ ပြုလုပ်နိုင်သည်။ ဥပမာအားဖြင့် သင်သည် 180.160.1.30 အတွက် ဦးတည်ထားသော လမ်းကြောင်းကို ခွင့်ပြုနိုင်ပြီး 192.168.1.10 အတွက် လမ်းကြောင်းကို ငြင်းပယ်နိုင်သည်။ စာရင်းတစ်ခုစီတွင် အခြေအနေများစွာ ပါဝင်နိုင်သော်လည်း ဤအခြေအနေတစ်ခုစီတွင် ခွင့်ပြုရန် သို့မဟုတ် ငြင်းဆိုရပါမည်။

ကျွန်ုပ်တို့တွင် စာရင်းတစ်ခုရှိသည် ဆိုကြပါစို့။

_______ တားမြစ်
ခွင့်ပြုပါ ________
ခွင့်ပြုပါ ________
_________ တားမြစ်သည်။

ပထမဦးစွာ Router သည် ပထမအခြေအနေနှင့် ကိုက်ညီမှုရှိမရှိ စစ်ဆေးမည်ဖြစ်ပြီး မကိုက်ညီပါက ဒုတိယအခြေအနေအား စစ်ဆေးမည်ဖြစ်သည်။ အသွားအလာသည် တတိယအခြေအနေနှင့် ကိုက်ညီပါက၊ router သည် စစ်ဆေးခြင်းကို ရပ်သွားမည်ဖြစ်ပြီး ကျန်စာရင်းအခြေအနေများနှင့် နှိုင်းယှဉ်မည်မဟုတ်ပါ။ ၎င်းသည် "ခွင့်ပြု" လုပ်ဆောင်ချက်ကို လုပ်ဆောင်ပြီး ယာဉ်အသွားအလာ၏ နောက်အပိုင်းကို စစ်ဆေးခြင်းသို့ ဆက်သွားပါမည်။

မည်သည့်ပက်ကတ်အတွက်မဆို စည်းကမ်းမသတ်မှတ်ထားဘဲ အသွားအလာများသည် အခြေအနေများကို မထိမခိုက်ဘဲ စာရင်း၏လိုင်းအားလုံးကို ဖြတ်သန်းသွားပါက၊ ACL စာရင်းတစ်ခုစီသည် ပုံသေအားဖြင့် မည်သည့် command နှင့်မဆိုအဆုံးသတ်သောကြောင့် ၎င်းကို ဖျက်ဆီးပစ်မည်၊ မည်သည့် packet မဆို စည်းမျဉ်းများအောက်တွင် မကျရောက်ပါ။ စာရင်းတွင် အနည်းဆုံး စည်းမျဉ်းတစ်ခုရှိလျှင် ဤအခြေအနေသည် အကျိုးသက်ရောက်မှု မရှိပါ။ သို့သော် ပထမစာကြောင်းတွင် entry deny 192.168.1.30 ပါရှိပြီး စာရင်းတွင် မည်သည့်အခြေအနေများ မရှိတော့ပါက၊ အဆုံးတွင် စည်းကမ်းချက်မှ တားမြစ်ထားသည့် တားမြစ်ထားသော လမ်းကြောင်းမှလွဲ၍ မည်သည့် command permit ရှိရမည်နည်း။ ACL ကို configure လုပ်သောအခါ အမှားများကို ရှောင်ရှားရန် ၎င်းကို ထည့်သွင်းစဉ်းစားရပါမည်။

ASL စာရင်းတစ်ခုဖန်တီးခြင်း၏ အခြေခံစည်းမျဉ်းကို မှတ်သားထားစေလိုပါသည်- စံ ASL ကို ဦးတည်ရာသို့ တတ်နိုင်သမျှ နီးကပ်အောင်ထားပါ၊ ဆိုလိုသည်မှာ အသွားအလာ လက်ခံသူထံသို့၊ တိုးချဲ့ထားသော ASL ကို အရင်းအမြစ်နှင့် တတ်နိုင်သမျှ နီးစပ်အောင် ထားရန်၊ ဆိုလိုသည်မှာ၊ အသွားအလာပေးပို့သူထံ။ ၎င်းတို့သည် Cisco အကြံပြုချက်များဖြစ်သည်၊ သို့သော် လက်တွေ့တွင် စံ ACL ကို traffic source နှင့် နီးကပ်စွာထားရန် ပို၍သဘောပေါက်သည့် အခြေအနေများရှိသည်။ သို့သော် စာမေးပွဲကာလအတွင်း ACL နေရာချထားခြင်းဆိုင်ရာ စည်းမျဉ်းများနှင့် ပတ်သက်၍ မေးခွန်းတစ်ခုကို သင်တွေ့ပါက Cisco ၏ အကြံပြုချက်များကို လိုက်နာပြီး အတိအကျ မဖြေပါ- စံနှုန်းသည် ဦးတည်ရာနှင့် ပိုနီးစပ်သည်၊ တိုးချဲ့မှုသည် အရင်းအမြစ်နှင့် ပိုနီးစပ်ပါသည်။

ကဲ standard ACL ရဲ့ syntax ကို ကြည့်ရအောင်။ router global configuration mode တွင် command syntax နှစ်မျိုးရှိသည်- classic syntax နှင့် modern syntax.

မူရင်း command အမျိုးအစားမှာ access-list <ACL number> <deny/allow> <criteria> ဖြစ်သည်။ <ACL နံပါတ်> 1 မှ 99 ကို သတ်မှတ်ပါက၊ ၎င်းသည် စံ ACL တစ်ခုဖြစ်ကြောင်း စက်က အလိုအလျောက် နားလည်မည်ဖြစ်ပြီး ၎င်းသည် 100 မှ 199 ဖြစ်ပါက၊ ၎င်းသည် တိုးချဲ့တစ်ခုဖြစ်သည်။ ယနေ့သင်ခန်းစာတွင် ကျွန်ုပ်တို့သည် စံစာရင်းကိုကြည့်ရှုနေသောကြောင့် 1 မှ 99 အထိ မည်သည့်နံပါတ်ကိုမဆို အသုံးပြုနိုင်ပါသည်။ ထို့နောက် ကန့်သတ်ချက်များသည် အောက်ပါစံသတ်မှတ်ချက်များနှင့် ကိုက်ညီပါက အသုံးပြုရန်လိုအပ်သည့်လုပ်ဆောင်ချက်ကို ညွှန်ပြသည် - ယာဉ်အသွားအလာကို ခွင့်ပြုပါ သို့မဟုတ် ငြင်းဆိုပါ။ ခေတ်မီ syntax တွင်လည်း အသုံးပြုထားသောကြောင့် စံသတ်မှတ်ချက်ကို နောက်ပိုင်းတွင် သုံးသပ်ပါမည်။

ခေတ်မီ command အမျိုးအစားကို Rx(config) global configuration mode တွင်လည်း အသုံးပြုထားပြီး ဤကဲ့သို့ ဖြစ်သည်- ip access-list standard <ACL number/name>။ ဤနေရာတွင် သင်သည် 1 မှ 99 မှ နံပါတ်တစ်ခု သို့မဟုတ် ACL စာရင်း၏ အမည်ကို ဥပမာအားဖြင့် ACL_Networking ကိုသုံးနိုင်သည်။ ဤ command သည် system ကို Rx standard mode subcommand mode (config-std-nacl) တွင် <deny/enable> <criteria> ကိုရိုက်ထည့်ရပါမည်။ ခေတ်မီအသင်းများသည် ဂန္တဝင်အသင်းများနှင့် နှိုင်းယှဉ်ပါက ပိုမိုအားသာချက်များရှိသည်။

ဂန္တဝင်စာရင်းတစ်ခုတွင်၊ သင်သည် access-list 10 deny ______ ကိုရိုက်ပါက၊ ထို့နောက် စံသတ်မှတ်ချက်တစ်ခုအတွက် အလားတူအမျိုးအစား၏နောက်ထပ် command ကိုရိုက်ပါ၊ ထို့နောက် သင်သည်ထိုကဲ့သို့သော command 100 ဖြင့်အဆုံးသတ်သွားသည်၊ ထို့နောက်ထည့်သွင်းထားသော command များကိုပြောင်းလဲရန်သင်လိုအပ်လိမ့်မည် access-list list 10 တစ်ခုလုံးကို command no access-list 10 ဖြင့် ဖျက်လိုက်ပါ။ ၎င်းသည် ဤစာရင်းရှိ မည်သည့် command ကိုမဆို တည်းဖြတ်ရန် နည်းလမ်းမရှိသောကြောင့် 100 command အားလုံးကို ဖျက်ပစ်မည်ဖြစ်ပါသည်။

ခေတ်သစ် syntax တွင်၊ command ကို စာကြောင်းနှစ်ကြောင်း ခွဲခြားထားပြီး ပထမတွင် list number ပါရှိသည်။ အကယ်၍ သင့်တွင် စာရင်းဝင်ရောက်ခွင့်စာရင်းစံနှုန်း 10 ငြင်းဆို ________၊ ဝင်ရောက်ခွင့်စာရင်း စံနှုန်း 20 ငြင်းဆို ________ အစရှိသဖြင့်ဆိုလျှင် သင်သည် ၎င်းတို့ကြားရှိ အခြားသတ်မှတ်ချက်များနှင့် အလယ်အလတ်စာရင်းများကို ထည့်သွင်းရန် အခွင့်အရေးရနိုင်သည်၊ ဥပမာ၊ ဝင်ရောက်ခွင့်စာရင်းစံနှုန်း 15 ငြင်းပယ် ________ .

တစ်နည်းအားဖြင့် သင်သည် ဝင်ရောက်စာရင်းစံနှုန်း 20 လိုင်းကို ရိုးရှင်းစွာ ဖျက်ပြီး access-list standard 10 နှင့် access-list standard လိုင်း 30 အကြား မတူညီသော ကန့်သတ်ဘောင်များဖြင့် ၎င်းတို့ကို ပြန်လည်ရိုက်နိုင်သည်။ ထို့ကြောင့်၊ ခေတ်မီ ACL syntax ကို တည်းဖြတ်ရန် နည်းလမ်းအမျိုးမျိုးရှိသည်။

ACL များဖန်တီးရာတွင် အလွန်သတိထားရန်လိုအပ်ပါသည်။ သင်သိသည့်အတိုင်း စာရင်းများကို အပေါ်မှအောက်ခြေအထိ ဖတ်သည်။ အကယ်၍ သင်သည် တိကျသော host မှ traffic ကိုခွင့်ပြုသည့် ထိပ်တွင် လိုင်းတစ်ခုထားပါက၊ အောက်တွင် သင်သည် ဤ host ၏အစိတ်အပိုင်းဖြစ်သော network တစ်ခုလုံးမှ traffic ကိုတားမြစ်သည့်မျဉ်းတစ်ကြောင်းထားနိုင်ပြီး အခြေအနေနှစ်ခုလုံးကို စစ်ဆေးသွားပါမည် - သီးခြား host တစ်ခုထံသို့ traffic ပေးမည် ဖြတ်သန်းခွင့်ပြုထားပြီး ဤကွန်ရက်ကို အခြား host များအားလုံးမှ အသွားအလာ ပိတ်ဆို့သွားပါမည်။ ထို့ကြောင့်၊ စာရင်း၏ထိပ်တွင် တိကျသောထည့်သွင်းမှုများနှင့် အောက်ခြေတွင် အထွေထွေများကို အမြဲထားပါ။

ထို့ကြောင့်၊ သင်သည် ဂန္ထဝင် သို့မဟုတ် ခေတ်မီ ACL တစ်ခုကို ဖန်တီးပြီးပါက ၎င်းကို အသုံးချရမည်ဖြစ်သည်။ ၎င်းကိုလုပ်ဆောင်ရန်၊ သင်သည် သီးခြားအင်တာဖေ့စ်ဆက်တင်များသို့သွားရန်လိုအပ်သည်၊ ဥပမာ၊ command interface <type and slot> ကိုအသုံးပြု၍ f0/0၊ interface subcommand mode သို့သွားကာ command ip access-group <ACL number/ ကိုရိုက်ထည့်ပါ။ နာမည်> . ခြားနားချက်ကို သတိပြုပါ- စာရင်းတစ်ခုကို ပြုစုသောအခါ၊ ဝင်ရောက်ခွင့်စာရင်းကို အသုံးပြုပြီး ၎င်းကို လျှောက်ထားသည့်အခါတွင် ဝင်ရောက်ခွင့်အုပ်စုကို အသုံးပြုပါသည်။ ဤစာရင်းတွင် မည်သည့်အင်တာဖေ့စ်ကို အသုံးပြုမည် - အဝင်အင်တာဖေ့စ် သို့မဟုတ် အထွက်အင်တာဖေ့စ်ကို သင်ဆုံးဖြတ်ရပါမည်။ စာရင်းတွင်အမည်တစ်ခုရှိသည်၊ ဥပမာ၊ Networking၊ ဤအင်တာဖေ့စ်ပေါ်ရှိစာရင်းကိုအသုံးပြုရန် တူညီသောအမည်ကို ထပ်ခါတလဲလဲလုပ်ပါ။

ယခု သတ်သတ်မှတ်မှတ် ပြဿနာတစ်ခုကို ကြည့်ပြီး Packet Tracer ကို အသုံးပြု၍ ကျွန်ုပ်တို့၏ ကွန်ရက်ပုံကြမ်း နမူနာကို အသုံးပြု၍ ၎င်းကို ဖြေရှင်းကြည့်ပါ။ ထို့ကြောင့် ကျွန်ုပ်တို့တွင် အရောင်းဌာန၊ စာရင်းကိုင်ဌာန၊ စီမံခန့်ခွဲမှုနှင့် ဆာဗာအခန်း ကွန်ရက် ၄ ခုရှိသည်။

လုပ်ဆောင်စရာနံပါတ် 1- အရောင်းနှင့်ဘဏ္ဍာရေးဌာနများမှ စီမံခန့်ခွဲရေးဌာနနှင့် ဆာဗာအခန်းများသို့ ညွှန်ကြားထားသော အသွားအလာအားလုံးကို ပိတ်ဆို့ရပါမည်။ ပိတ်ဆို့ခြင်းတည်နေရာသည် R0 R1 ၏ အင်တာဖေ့စ် S0/2/XNUMX ဖြစ်သည်။ ပထမဦးစွာ အောက်ပါအချက်များပါရှိသော စာရင်းတစ်ခုကို ဖန်တီးရပါမည်။

ACL Secure_Ma_And_Se အဖြစ် အတိုကောက် "စီမံခန့်ခွဲမှုနှင့် ဆာဗာလုံခြုံရေး ACL" စာရင်းကို ခေါ်ဆိုကြပါစို့။ ၎င်းနောက်တွင် ဘဏ္ဍာရေးဌာနကွန်ရက် 192.168.1.128/26၊ အရောင်းဌာနကွန်ရက် 192.168.1.0/25 မှ အသွားအလာများကို တားမြစ်ထားပြီး အခြားအသွားအလာများကို ခွင့်ပြုပေးခြင်းဖြင့် လုပ်ဆောင်သည်။ စာရင်း၏အဆုံးတွင် ၎င်းကို router R0 ၏ အထွက် interface S1/0/2 အတွက် အသုံးပြုကြောင်း ညွှန်ပြထားသည်။ စာရင်း၏အဆုံးတွင် မည်သည့် entry ကိုမဆို ခွင့်ပြုချက်မရှိပါက၊ မူရင်း ACL သည် စာရင်း၏အဆုံးတွင် Deny Any entry အဖြစ် အမြဲတမ်းသတ်မှတ်ထားသောကြောင့် အခြားအသွားအလာအားလုံးကို ပိတ်ဆို့သွားမည်ဖြစ်ပါသည်။

ဤ ACL ကို G0/0 ကြားခံအဖြစ် အသုံးချနိုင်ပါသလား။ ဟုတ်ပါတယ်၊ ငါလုပ်နိုင်တယ်၊ ဒါပေမယ့် ဒီကိစ္စမှာ စာရင်းကိုင်ဌာနကပဲ အသွားအလာကို ပိတ်ဆို့သွားမှာ ဖြစ်ပြီး အရောင်းဌာနက လမ်းကြောင်းကို ဘယ်လိုနည်းနဲ့မှ ကန့်သတ်မှာ မဟုတ်ပါဘူး။ အလားတူပင်၊ သင်သည် G0/1 အင်တာဖေ့စ်သို့ ACL ကို အသုံးချနိုင်သော်လည်း ဤအခြေအနေတွင် ဘဏ္ဍာရေးဌာန၏ လမ်းကြောင်းကို ပိတ်ဆို့မည်မဟုတ်ပါ။ ဟုတ်ပါတယ်၊ ဤအင်တာဖေ့စ်များအတွက် သီးခြားပိတ်ဆို့စာရင်းနှစ်ခုကို ဖန်တီးနိုင်သော်လည်း ၎င်းတို့ကို စာရင်းတစ်ခုတည်းတွင် ပေါင်းစပ်ကာ router R2 ၏ output interface သို့မဟုတ် R0 R1 ၏ input interface S0/1/XNUMX တွင် အသုံးပြုရန် ပိုမိုထိရောက်ပါသည်။

Cisco ၏ စည်းမျဉ်းများတွင် standard ACL ကို ဦးတည်ရာနှင့် အနီးစပ်ဆုံးထားသင့်သည်ဟု ဆိုထားသော်လည်း၊ အသွားအလာအားလုံးကို ပိတ်ဆို့ထားလိုသောကြောင့် အသွားအလာ၏ရင်းမြစ်နှင့် ပိုနီးကပ်စေမည်ဖြစ်ပြီး၊ ၎င်းနှင့် ပိုမိုနီးကပ်အောင်လုပ်ဆောင်ခြင်းသည် ပို၍အဓိပ္ပာယ်ရှိပါသည်။ ထို့ကြောင့် ဤလမ်းကြောင်းသည် router နှစ်ခုကြားရှိ ကွန်ရက်ကို မဖြုန်းတီးစေရန် အရင်းအမြစ်ဖြစ်သည်။

သတ်မှတ်ချက်တွေ ပြောပြဖို့ မေ့သွားလို့ မြန်မြန်ပြန်ကြရအောင်။ စံသတ်မှတ်ချက်တစ်ခုအဖြစ် သင်သတ်မှတ်နိုင်သည် - ဤကိစ္စတွင်၊ မည်သည့်စက်ပစ္စည်းနှင့် မည်သည့်ကွန်ရက်မှမဆို အသွားအလာကို ငြင်းပယ်ခြင်း သို့မဟုတ် ခွင့်ပြုပါမည်။ ၎င်း၏ identifier ဖြင့် host တစ်ခုကိုလည်း သင် သတ်မှတ်နိုင်သည် - ဤကိစ္စတွင်၊ ဝင်ရောက်မှုသည် သီးခြားစက်ပစ္စည်းတစ်ခု၏ IP လိပ်စာဖြစ်လိမ့်မည်။ နောက်ဆုံးအနေနဲ့၊ ဥပမာ၊ 192.168.1.10/24 ကွန်ရက်တစ်ခုလုံးကို သင် သတ်မှတ်နိုင်ပါတယ်။ ဤကိစ္စတွင်၊ /24 သည် 255.255.255.0 ၏ subnet mask ၏ရှိနေခြင်းကိုဆိုလိုသည်၊ သို့သော် ACL ရှိ subnet mask ၏ IP လိပ်စာကိုသတ်မှတ်ရန်မဖြစ်နိုင်ပါ။ ဤကိစ္စအတွက်၊ ACL တွင် Wildcart Mask သို့မဟုတ် "ပြောင်းပြန်မျက်နှာဖုံး" ဟုခေါ်သော အယူအဆတစ်ခုရှိသည်။ ထို့ကြောင့် သင်သည် IP လိပ်စာကို သတ်မှတ်ပြီး ပြန်လာရန် မျက်နှာဖုံးကို လိုအပ်သည်။ ပြောင်းပြန် Mask သည် ဤကဲ့သို့ ဖြစ်သည်- ယေဘူယျ subnet mask မှ တိုက်ရိုက် subnet mask ကို နုတ်ရမည်၊ ဆိုလိုသည်မှာ၊ forward mask ရှိ octet တန်ဖိုးနှင့် သက်ဆိုင်သော နံပါတ်ကို 255 မှ နုတ်ပါသည်။

ထို့ကြောင့်၊ သင်သည် ACL ၏စံသတ်မှတ်ချက်အဖြစ် 192.168.1.10 0.0.0.255 ကို အသုံးပြုသင့်သည်။

ဘယ်လိုအလုပ်လုပ်လဲ? return mask octet တွင် 0 ရှိပါက၊ စံသတ်မှတ်ချက်သည် subnet IP address ၏ သက်ဆိုင်ရာ octet နှင့် ကိုက်ညီသည်ဟု ယူဆပါသည်။ backmask octet တွင် နံပါတ်တစ်ခုရှိနေပါက၊ ကိုက်ညီမှုကို မစစ်ဆေးပါ။ ထို့ကြောင့်၊ 192.168.1.0 နှင့် 0.0.0.255 ၏ ကွန်ရက်တစ်ခုအတွက်၊ ပထမ octet သုံးခုသည် 192.168.1 နှင့် ညီမျှသော လိပ်စာများမှ လမ်းကြောင်းအားလုံးကို စတုတ္ထမြောက် octet ၏တန်ဖိုး မည်သို့ပင်ဖြစ်စေ၊ ပိတ်ဆို့ခြင်း သို့မဟုတ် ခွင့်ပြုမည်၊ သတ်မှတ်ထားသောလုပ်ဆောင်ချက်။

ပြောင်းပြန်မျက်နှာဖုံးကို အသုံးပြုခြင်းသည် လွယ်ကူပြီး နောက်ဗီဒီယိုတွင် Wildcart Mask သို့ ပြန်သွားမည်ဖြစ်ပြီး ၎င်းနှင့် မည်သို့လုပ်ဆောင်ရမည်ကို ကျွန်ုပ်ရှင်းပြနိုင်မည်ဖြစ်သည်။

၀၆း၀၀ မိနစ်

ကျွန်ုပ်တို့နှင့်အတူရှိနေသည့်အတွက် ကျေးဇူးတင်ပါသည်။ ကျွန်ုပ်တို့၏ဆောင်းပါးများကို သင်နှစ်သက်ပါသလား။ ပိုစိတ်ဝင်စားစရာကောင်းတဲ့ အကြောင်းအရာတွေကို ကြည့်ချင်ပါသလား။ မှာယူမှုတစ်ခုပြုလုပ်ခြင်း သို့မဟုတ် သူငယ်ချင်းများကို အကြံပြုခြင်းဖြင့် ကျွန်ုပ်တို့အား ပံ့ပိုးကူညီပါ၊ သင့်အတွက်ကျွန်ုပ်တို့တီထွင်ခဲ့သော ဝင်ခွင့်အဆင့်ဆာဗာများ၏ ထူးခြားသော analogue တွင် Habr အသုံးပြုသူများအတွက် 30% လျှော့စျေး- VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps သို့မဟုတ် $20 မှ ဆာဗာတစ်ခုမျှဝေပုံနှင့်ပတ်သက်သော အမှန်တရားတစ်ခုလုံး။ (RAID1 နှင့် RAID10၊ 24 cores အထိနှင့် 40GB DDR4 အထိ)။

Dell R730xd က ၂ ဆ ပိုစျေးသက်သာလား။ ဒီမှာသာ 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV ကို $199 မှ နယ်သာလန်မှာ Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - $99 မှ။ အကြောင်းဖတ်ပါ။ Infrastructure Corp ကို ဘယ်လိုတည်ဆောက်မလဲ။ တစ်ပြားတစ်ချပ်အတွက် ယူရို ၉၀၀၀ တန် Dell R730xd E5-2650 v4 ဆာဗာများကို အသုံးပြုခြင်း။

source: www.habr.com