Cisco Training 200-125 CCNA v3.0။ နေ့ 27. ACL မိတ်ဆက်။ အပိုင်း 2

နောက်ထပ်ပြောဖို့မေ့သွားတဲ့အရာတစ်ခုကတော့ ACL ဟာ အသွားအလာတွေကို ခွင့်ပြု/ငြင်းဆိုမှုကို စစ်ထုတ်ရုံသာမက လုပ်ဆောင်ချက်များစွာကိုလည်း လုပ်ဆောင်ပေးပါတယ်။ ဥပမာအားဖြင့်၊ ACL တစ်ခုသည် VPN အသွားအလာကို ကုဒ်ဝှက်ရန် အသုံးပြုသော်လည်း CCNA စာမေးပွဲကို အောင်မြင်ရန်၊ လမ်းကြောင်းကို စစ်ထုတ်ရန်အတွက် ၎င်းကို သင်အသုံးပြုပုံကို သိရန်သာ လိုအပ်သည်။ ပြဿနာ နံပါတ် ၁ သို့ ပြန်သွားကြပါစို့။

အောက်ဖော်ပြပါ ACL စာရင်းကို အသုံးပြု၍ စာရင်းကိုင်နှင့် အရောင်းဌာန၏ အသွားအလာများကို R2 ထုတ်ပေးသည့် အင်တာဖေ့စ်တွင် ပိတ်ဆို့နိုင်သည်ကို ကျွန်ုပ်တို့ တွေ့ရှိရပါသည်။

ဤစာရင်း၏ဖော်မတ်အတွက် စိတ်မပူပါနှင့်၊ ACL ဆိုသည်မှာ သင့်အား နားလည်ကူညီရန် ဥပမာတစ်ခုအနေဖြင့် ဆိုလိုပါသည်။ Packet Tracer ကို စတင်လိုက်သည်နှင့် ကျွန်ုပ်တို့သည် မှန်ကန်သောဖော်မတ်သို့ ရောက်ရှိသွားပါမည်။

Task No. 2 သည် ဤကဲ့သို့ အသံထွက်သည်- ဆာဗာအခန်းသည် စီမံခန့်ခွဲရေးဌာန၏ host များမှလွဲ၍ မည်သည့် host နှင့်မဆို ဆက်သွယ်နိုင်ပါသည်။ ဆိုလိုသည်မှာ၊ ဆာဗာအခန်းကွန်ပြူတာများသည် အရောင်းနှင့်စာရင်းကိုင်ဌာနများရှိ မည်သည့်ကွန်ပျူတာများကိုမဆို ဝင်ရောက်ကြည့်ရှုနိုင်သော်လည်း စီမံခန့်ခွဲရေးဌာနရှိ ကွန်ပျူတာများကို သုံးစွဲခွင့်မရှိသင့်ပါ။ ဆိုလိုသည်မှာ ဆာဗာအခန်းရှိ အိုင်တီဝန်ထမ်းများသည် စီမံခန့်ခွဲရေးဌာနအကြီးအကဲ၏ ကွန်ပျူတာကို အဝေးမှဝင်ရောက်ခွင့်မရှိစေရ၊ သို့သော် ပြဿနာများရှိလျှင် ၎င်း၏ရုံးခန်းသို့လာရောက်၍ ပြဿနာကို ချက်ခြင်းဖြေရှင်းပါ။ ဆာဗာအခန်းသည် စီမံခန့်ခွဲရေးဌာနနှင့် ကွန်ရက်ပေါ်တွင် အဘယ်ကြောင့် ဆက်သွယ်၍မရသည်ကို ကျွန်ုပ်မသိသောကြောင့် ဤတာဝန်သည် လက်တွေ့မကျကြောင်း သတိပြုပါ၊ ထို့ကြောင့် ဤကိစ္စတွင် ကျွန်ုပ်တို့သည် သင်ခန်းစာနမူနာကို ကြည့်ရုံသာဖြစ်သည်။

ဤပြဿနာကိုဖြေရှင်းရန်၊ သင်ဦးစွာယာဉ်လမ်းကြောင်းကိုဆုံးဖြတ်ရန်လိုအပ်သည်။ ဆာဗာခန်းမှဒေတာသည် router R0 ၏ input interface G1/1 သို့ရောက်ရှိပြီး output interface G0/0 မှတဆင့် စီမံခန့်ခွဲမှုဌာနသို့ ပေးပို့သည်။

အကယ်၍ ကျွန်ုပ်တို့သည် Deny 192.168.1.192/27 အခြေအနေအား ထည့်သွင်းသည့် အင်တာဖေ့စ် G0/1 တွင် ကျင့်သုံးပြီး သင်မှတ်မိသည့်အတိုင်း၊ စံ ACL သည် အသွားအလာအရင်းအမြစ်နှင့် ပိုမိုနီးစပ်ပါက၊ ကျွန်ုပ်တို့သည် အရောင်းနှင့် စာရင်းကိုင်ဌာနအပါအဝင် အသွားအလာအားလုံးကို ပိတ်ဆို့ပါမည်။

ကျွန်ုပ်တို့သည် စီမံခန့်ခွဲရေးဌာနသို့ ညွှန်ကြားထားသည့် အသွားအလာကိုသာ ပိတ်ဆို့လိုသောကြောင့်၊ ကျွန်ုပ်တို့သည် အထွက်အင်တာဖေ့စ် G0/0 တွင် ACL တစ်ခုကို အသုံးပြုရပါမည်။ ACL ကို ဦးတည်ရာသို့ ပိုမိုနီးကပ်စွာထားခြင်းဖြင့်သာ ဤပြဿနာကို ဖြေရှင်းနိုင်ပါသည်။ တစ်ချိန်တည်းမှာပင်၊ စာရင်းကိုင်နှင့် အရောင်းဌာနကွန်ရက်မှ လမ်းကြောင်းများသည် စီမံခန့်ခွဲရေးဌာနသို့ လွတ်လပ်စွာရောက်ရှိရမည်ဖြစ်ပြီး၊ ထို့ကြောင့် စာရင်း၏နောက်ဆုံးစာကြောင်းသည် ယခင်အခြေအနေတွင် သတ်မှတ်ထားသည့် အသွားအလာမှလွဲ၍ မည်သည့်အသွားအလာကိုမဆို ခွင့်ပြုရန် အမိန့်ပေးမည်ဖြစ်သည်။

Task No. 3 သို့ ဆက်သွားကြပါစို့- အရောင်းဌာနမှ Laptop 3 လက်ပ်တော့သည် အရောင်းဌာန၏ ဒေသတွင်းကွန်ရက်ပေါ်ရှိ စက်ပစ္စည်းများမှလွဲ၍ အခြားမည်သည့်စက်ပစ္စည်းကိုမျှ သုံးစွဲခွင့်မရှိသင့်ပါ။ သင်တန်းသားတစ်ဦးသည် ဤကွန်ပြူတာတွင် အလုပ်လုပ်နေပြီး ၎င်း၏ LAN ကို ကျော်လွန်မသွားသင့်ဟု ယူဆကြပါစို့။
ဤကိစ္စတွင်၊ သင်သည် router R0 ၏ input interface G1/2 တွင် ACL ကိုအသုံးပြုရန်လိုအပ်သည်။ အကယ်၍ ကျွန်ုပ်တို့သည် IP လိပ်စာ 192.168.1.3/25 ကို ဤကွန်ပြူတာတွင် သတ်မှတ်ပေးမည်ဆိုပါက၊ ငြင်းဆိုမှု 192.168.1.3/25 အခြေအနေနှင့် ကိုက်ညီရမည်ဖြစ်ပြီး အခြား IP လိပ်စာမှ လမ်းကြောင်းများကို ပိတ်ဆို့ထားရမည်ဖြစ်သောကြောင့် စာရင်း၏ နောက်ဆုံးစာကြောင်းကို ခွင့်ပြုမည် ဖြစ်ပါသည်။ တစ်ခုခု။

သို့သော်၊ အသွားအလာပိတ်ဆို့ခြင်းသည် Laptop2 တွင် မည်သည့်အကျိုးသက်ရောက်မှုမှ ရှိမည်မဟုတ်ပါ။

နောက်တာဝန်မှာ Task No. 4 ဖြစ်သည်- ဘဏ္ဍာရေးဌာန၏ ကွန်ပျူတာ PC0 ကသာ ဆာဗာကွန်ရက်သို့ ဝင်ရောက်နိုင်သော်လည်း စီမံခန့်ခွဲရေးဌာနမှ မဟုတ်ပါ။

သင်မှတ်မိပါက၊ Task #1 မှ ACL သည် router R0 ၏ S1/0/2 interface ရှိ အထွက်အသွားအလာအားလုံးကို ပိတ်ဆို့ထားသော်လည်း Task #4 က ကျွန်ုပ်တို့သည် PC0 အသွားအလာများသာ ဖြတ်သန်းကြောင်း သေချာစေရန် လိုအပ်သည်ဟု ဆိုသည်၊ ထို့ကြောင့် ခြွင်းချက်တစ်ခု ပြုလုပ်ရပါမည်။

ယခုကျွန်ုပ်တို့ဖြေရှင်းနေသည့်အလုပ်များအားလုံးသည် ရုံးကွန်ရက်တစ်ခုအတွက် ACLs ကို စနစ်ထည့်သွင်းသည့်အခါ လက်တွေ့အခြေအနေတွင် သင့်အား ကူညီသင့်သည်။ အဆင်ပြေစေရန်အတွက်၊ ကျွန်ုပ်သည် ဂန္ထဝင်ဝင်စာအမျိုးအစားကိုအသုံးပြုခဲ့သည်၊ သို့သော် စာကြောင်းများအားလုံးကို စာရွက်ပေါ်တွင် ကိုယ်တိုင်ရေးချရန် သို့မဟုတ် ၎င်းတို့ကို ကွန်ပြူတာတွင် ရိုက်ထည့်ရန် အကြံပြုထားသည်။ ကျွန်ုပ်တို့၏အခြေအနေတွင်၊ Task No. 1 ၏အခြေအနေများအရ၊ ဂန္ထဝင် ACL စာရင်းကို ပြုစုခဲ့ပါသည်။ Permit အမျိုးအစား PC0 အတွက်ခြွင်းချက်တစ်ခုထပ်ထည့်လိုပါက ဒါဆို Permit Any line ပြီးရင် ဒီလိုင်းကို စာရင်းထဲမှာ စတုတ္ထနေရာမှာပဲ ထားနိုင်ပါတယ်။ သို့သော်၊ ဤကွန်ပြူတာ၏လိပ်စာသည် Deny condition 0/192.168.1.128 ကိုစစ်ဆေးရန်အတွက် လိပ်စာများ၏အကွာအဝေးတွင် ပါ၀င်သောကြောင့်၊ ဤအခြေအနေနှင့်ပြည့်မီပြီးနောက် ၎င်း၏အသွားအလာကို ချက်ချင်းပိတ်ဆို့သွားမည်ဖြစ်ပြီး၊ Router သည် စတုတ္ထလိုင်းစစ်ဆေးခြင်းသို့ ရောက်ရှိမည်မဟုတ်ပါ။ ဤ IP လိပ်စာမှ အသွားအလာ။
ထို့ကြောင့်၊ ကျွန်ုပ်သည် Task No. 1 ၏ ACL စာရင်းကို လုံးဝပြန်လုပ်ရမည်ဖြစ်ပြီး ပထမလိုင်းကိုဖျက်ကာ PC192.168.1.130 မှ traffic ကိုခွင့်ပြုသည့် လိုင်းပါမစ် 26/0 ဖြင့် အစားထိုးကာ၊ ထို့နောက် အသွားအလာအားလုံးကို တားမြစ်ထားသော လိုင်းများကို ပြန်လည်ထည့်သွင်းပါ။ စာရင်းအင်းနှင့် အရောင်းဌာနများမှ သိရသည်။

ထို့ကြောင့် ပထမစာကြောင်းတွင် သီးခြားလိပ်စာတစ်ခုအတွက် အမိန့်ပေးချက်တစ်ခု ရှိပြီး ဒုတိယတွင် ဤလိပ်စာတည်ရှိသည့် ကွန်ရက်တစ်ခုလုံးအတွက် ယေဘုယျတစ်ခုဖြစ်သည်။ အကယ်၍ သင်သည် ခေတ်မီ ACL အမျိုးအစားကို အသုံးပြုနေပါက၊ Permit 192.168.1.130/26 ကို ပထမ command အဖြစ် ထားခြင်းဖြင့် ၎င်းကို အလွယ်တကူ ပြောင်းလဲနိုင်သည်။ သင့်တွင် ဂန္ထဝင် ACL ရှိပါက၊ ၎င်းကို အပြီးအပိုင် ဖယ်ရှားပြီးနောက် မှန်ကန်သော အစီအစဥ်အတိုင်း အမိန့်များကို ပြန်လည်ထည့်သွင်းရန် လိုအပ်မည်ဖြစ်သည်။

ပြဿနာနံပါတ် 4 အတွက် ဖြေရှင်းချက်မှာ Permit 192.168.1.130/26 ကို ပြဿနာနံပါတ် 1 မှ ACL ၏အစတွင် Line Permit 0/2 ကို ထားရန်ဖြစ်သည်၊ အကြောင်းမှာ ဤကိစ္စတွင်သာလျှင် PC1 မှ လမ်းကြောင်းသည် RXNUMX ၏ output interface ကို လွတ်လွတ်လပ်လပ် ချန်ထားနိုင်သောကြောင့်ဖြစ်သည်။ ၎င်း၏ IP လိပ်စာသည် စာရင်း၏ ဒုတိယစာကြောင်းတွင်ပါရှိသော တားမြစ်ချက်ကြောင့် PCXNUMX ၏ အသွားအလာကို လုံးဝပိတ်ဆို့သွားပါမည်။

လိုအပ်သောဆက်တင်များပြုလုပ်ရန် ယခု ကျွန်ုပ်တို့သည် Packet Tracer သို့သွားပါမည်။ ရိုးရှင်းသော ယခင်ပုံချပ်များသည် နားလည်ရန် အနည်းငယ်ခက်ခဲသောကြောင့် စက်အားလုံး၏ IP လိပ်စာများကို ကျွန်ုပ်ပြင်ဆင်ပြီးဖြစ်သည်။ ထို့အပြင်၊ ကျွန်ုပ်သည် router နှစ်ခုကြား RIP ကို ​​configure လုပ်ခဲ့သည်။ ပေးထားသည့် ကွန်ရက် topology တွင်၊ ကန့်သတ်ချက်မရှိဘဲ 4 subnets ၏ စက်ပစ္စည်းများအားလုံးကြား ဆက်သွယ်မှု ဖြစ်နိုင်သည်။ သို့သော် ကျွန်ုပ်တို့ ACL ကို အသုံးပြုပြီးသည်နှင့် အသွားအလာများကို စတင်စစ်ထုတ်ပါမည်။

ကျွန်ုပ်သည် ဘဏ္ဍာရေးဌာန PC1 ဖြင့် စတင်ပြီး ဆာဗာအခန်းတွင်ရှိသော Server192.168.1.194 မှ ပိုင်ဆိုင်သည့် IP လိပ်စာ 0 ကို ping ရန် ကြိုးစားပါမည်။ သင်မြင်သည့်အတိုင်း ping သည် မည်သည့်ပြဿနာမျှမရှိဘဲ အောင်မြင်သည်။ စီမံခန့်ခွဲမှုဌာနမှ Laptop0 ကို အောင်မြင်စွာ ping လုပ်ပါသည်။ ပထမပက်ကေ့ကို ARP ကြောင့် စွန့်ပစ်လိုက်သည်၊ ကျန် 3 ခုကို လွတ်လပ်စွာ ping လုပ်ထားသည်။

အသွားအလာစစ်ထုတ်ခြင်းကို စုစည်းရန်အတွက် R2 router ၏ဆက်တင်များထဲသို့သွားကာ ကမ္ဘာလုံးဆိုင်ရာဖွဲ့စည်းပုံမုဒ်ကိုဖွင့်ကာ ခေတ်မီ ACL စာရင်းတစ်ခုဖန်တီးတော့မည်ဖြစ်သည်။ ကျွန်ုပ်တို့တွင် ဂန္တဝင်ပုံစံ ACL 10 လည်းရှိသည်။ ပထမစာရင်းကိုဖန်တီးရန်၊ စာရွက်ပေါ်တွင်ကျွန်ုပ်တို့ရေးထားသောတူညီသောစာရင်းအမည်ကိုသတ်မှတ်ရပါမည်- ip access-list standard ACL Secure_Ma_And_Se ကိုထည့်သွင်းပါ။ ၎င်းပြီးနောက်၊ စနစ်သည် ဖြစ်နိုင်ချေရှိသော ကန့်သတ်ချက်များကို တောင်းဆိုသည်- ကျွန်ုပ်သည် ငြင်းပယ်ခြင်း၊ ထွက်ရန်၊ မလို၊ ခွင့်ပြုမိန့် သို့မဟုတ် မှတ်ချက်ကို ရွေးချယ်နိုင်ပြီး နံပါတ် 1 မှ 2147483647 သို့လည်း ထည့်သွင်းနိုင်သည်။ ၎င်းကို ကျွန်ုပ်မလုပ်ပါက၊ စနစ်က ၎င်းကို အလိုအလျောက် သတ်မှတ်ပေးမည်ဖြစ်သည်။

ထို့ကြောင့်၊ ကျွန်ုပ်သည် ဤနံပါတ်ကို မထည့်ပါ၊ သို့သော် ဤခွင့်ပြုချက်သည် သီးခြား PC192.168.1.130 စက်အတွက် တရားဝင်ဖြစ်သောကြောင့်၊ ခွင့်ပြုချက်လက်ခံသူ 0 အမိန့်သို့ ချက်ချင်းသွားပါ။ ပြောင်းပြန် Wildcard Mask ကိုလည်း သုံးနိုင်တယ်၊ အဲဒါ ဘယ်လိုလုပ်ရမလဲဆိုတာ အခုပြောပြမယ်။

ပြီးရင်တော့ 192.168.1.128 ကို deny ဆိုတဲ့ command ကို ရိုက်ထည့်လိုက်ပါမယ်။ ကျွန်ုပ်တို့တွင် /26 ရှိသောကြောင့်၊ ကျွန်ုပ်သည် reverse mask ကိုအသုံးပြုပြီး ၎င်းနှင့် command ကိုဖြည့်စွက်သည်- deny 192.168.1.128 0.0.0.63။ ထို့ကြောင့် ကျွန်ုပ်သည် 192.168.1.128/26 ကွန်ရက်သို့ အသွားအလာကို ငြင်းပယ်ပါသည်။

အလားတူပင်၊ ကျွန်ုပ်သည် အောက်ပါကွန်ရက်မှ အသွားအလာများကို ပိတ်ဆို့ပါသည်- 192.168.1.0 0.0.0.127 ကို ငြင်းပယ်ပါသည်။ အခြားအသွားအလာအားလုံးကို ခွင့်ပြုထားသောကြောင့် ကျွန်ုပ်သည် မည်သည့် command permit ကိုမဆို ထည့်ပါ။ နောက်တစ်ခုက ဒီစာရင်းကို အင်တာဖေ့စ်မှာ အသုံးချရမှာဖြစ်လို့ int s0/1/0 ဆိုတဲ့ command ကို သုံးပါတယ်။ ထို့နောက် ကျွန်ုပ်သည် ip access-group Secure_Ma_And_Se ကိုရိုက်ပြီး စနစ်သည် အဝင်ပက်ကတ်များအတွက် အဝင်နှင့်အထွက်အတွက် အင်တာဖေ့စ်တစ်ခုအား ရွေးချယ်ရန် နှိုးဆော်ထားသည်။ ကျွန်ုပ်တို့သည် ACL ကို output interface တွင်အသုံးပြုရန်လိုအပ်သည်၊ ထို့ကြောင့်ကျွန်ုပ်တို့သည် ip access-group Secure_Ma_And_Se out command ကိုအသုံးပြုသည်။

PC0 command line သို့သွား၍ Server192.168.1.194 server မှပိုင်ဆိုင်သော IP လိပ်စာ 0 ကို ping ကြပါစို့။ PC0 အသွားအလာအတွက် အထူး ACL အခြေအနေကို အသုံးပြုထားသောကြောင့် ping အောင်မြင်ပါသည်။ ကျွန်ုပ်သည် PC1 မှ အလားတူလုပ်ဆောင်ပါက၊ စနစ်သည် အမှားအယွင်းတစ်ခုကို ထုတ်ပေးလိမ့်မည်- "destination host is not available"၊ အဘယ်ကြောင့်ဆိုသော် စာရင်းအင်းဌာန၏ ကျန်ရှိသော IP လိပ်စာများမှ အသွားအလာများကို ဆာဗာခန်းသို့ ဝင်ရောက်ခြင်းမှ ပိတ်ဆို့ထားသည်။

R2 router ၏ CLI သို့ ဝင်ရောက်ပြီး show ip address-lists command ကို ရိုက်ထည့်ခြင်းဖြင့်၊ ဘဏ္ဍာရေးဌာန၏ ကွန်ရက်အသွားအလာကို မည်ကဲ့သို့ လမ်းကြောင်းပြောင်းထားသည်ကို သင်တွေ့နိုင်သည် - ၎င်းသည် ခွင့်ပြုချက်အရ ping ကို အကြိမ်အရေအတွက်နှင့် အကြိမ်မည်မျှကြာကြောင်း ပြသသည် တားမြစ်ချက်အရ ပိတ်ပင်ထားသည်။

ကျွန်ုပ်တို့သည် router ဆက်တင်များသို့ အမြဲသွားနိုင်ပြီး ဝင်ရောက်ခွင့်စာရင်းကို ကြည့်ရှုနိုင်ပါသည်။ ထို့ကြောင့် လုပ်ငန်းအမှတ် ၁ နှင့် အမှတ် ၄ ၏ အခြေအနေများကို ဖြည့်ဆည်းပေးပါသည်။ နောက်ထပ်တစ်ခုပြပါရစေ။ တစ်ခုခုကို ပြင်လိုပါက R1 ဆက်တင်များ၏ ကမ္ဘာလုံးဆိုင်ရာဖွဲ့စည်းပုံမုဒ်သို့သွားကာ၊ command ip access-list standard Secure_Ma_And_Se ကိုရိုက်ထည့်ပြီးနောက် command "host 4 is not allow" - no permit host 2။

ကျွန်ုပ်တို့သည် ဝင်ရောက်ခွင့်စာရင်းကို ထပ်မံကြည့်ရှုပါက လိုင်း 10 ပျောက်ကွယ်သွားသည်ကို တွေ့ရမည်ဖြစ်ပြီး၊ ကျွန်ုပ်တို့တွင် လိုင်း 20,30၊ 40 နှင့် XNUMX များသာ ကျန်ရှိတော့မည်ဖြစ်သည်။ ထို့ကြောင့်၊ Router ဆက်တင်များတွင် ACL ဝင်ရောက်ခွင့်စာရင်းကို သင်တည်းဖြတ်နိုင်သော်လည်း ၎င်းကို မစုစည်းပါက၊ ဂန္ထဝင်ပုံစံ။

ယခု R2 router နှင့်လည်းသက်ဆိုင်သောကြောင့် တတိယ ACL သို့ ဆက်သွားကြပါစို့။ Laptop3 မှ မည်သည့်အသွားအလာမဆို အရောင်းဌာန၏ ကွန်ရက်မှ မထွက်ခွာသင့်ဟု ဖော်ပြထားသည်။ ဤကိစ္စတွင်၊ Laptop2 သည် ဘဏ္ဍာရေးဌာန၏ ကွန်ပျူတာများနှင့် ပြဿနာမရှိဘဲ ဆက်သွယ်သင့်သည်။ ၎င်းကိုစမ်းသပ်ရန်အတွက်၊ ကျွန်ုပ်သည် ဤလက်ပ်တော့မှ IP လိပ်စာ 192.168.1.130 ကို ping လုပ်ပြီး အရာအားလုံးအလုပ်လုပ်ကြောင်းသေချာပါစေ။

အခု ကျွန်တော် Laptop3 ရဲ့ command line ကိုသွားပြီး address 192.168.1.130 ကို ping လုပ်ပါမယ်။ Pinging အောင်မြင်သော်လည်း၊ အလုပ်၏အခြေအနေများအရ Laptop3 သည် တူညီသောအရောင်းဌာနကွန်ရက်တွင်ရှိသော Laptop2 နှင့်သာ ဆက်သွယ်နိုင်သောကြောင့် ၎င်းကို ကျွန်ုပ်တို့မလိုအပ်ပါ။ ဒါကိုလုပ်ဖို့၊ ဂန္ထဝင်နည်းလမ်းကိုသုံးပြီး နောက်ထပ် ACL တစ်ခုကို ဖန်တီးရပါမယ်။

R2 ဆက်တင်များသို့ ပြန်သွားပြီး ခွင့်ပြုချက်လက်ခံသူ 10 အမိန့်ကို အသုံးပြု၍ ဖျက်လိုက်သော entry 192.168.1.130 ကို ပြန်လည်ရယူရန် ကြိုးစားပါမည်။ နံပါတ် 50 တွင် စာရင်း၏အဆုံးတွင် ဤထည့်သွင်းမှုကို သင်တွေ့မြင်ရသည်။ သို့သော်၊ တိကျသော host တစ်ခုကို ခွင့်ပြုသည့်လိုင်းသည် စာရင်း၏အဆုံးတွင်ရှိပြီး ကွန်ရက်အသွားအလာအားလုံးကို တားမြစ်ထားသည့်လိုင်းသည် ထိပ်ဆုံးတွင်ရှိနေသောကြောင့် ဝင်ရောက်သုံးစွဲနိုင်မည်မဟုတ်ပေ။ စာရင်းထဲက။ ကျွန်ုပ်တို့သည် စီမံခန့်ခွဲရေးဌာန၏ Laptop0 ကို PC0 မှ ping ရန်ကြိုးစားပါက ACL တွင် နံပါတ် 50 တွင် ၀င်ခွင့်ရှိသော်လည်း "destination host is accessible" ဆိုတဲ့ မက်ဆေ့ချ်ကို လက်ခံရရှိမှာဖြစ်ပါတယ်။

ထို့ကြောင့်၊ ရှိပြီးသား ACL တစ်ခုကို တည်းဖြတ်လိုပါက၊ R2 မုဒ်တွင် (config-std-nacl) တွင် command no permit host 192.168.1.130 ကိုရိုက်ထည့်ရန် လိုအပ်သည်)၊ line 50 သည် စာရင်းမှ ပျောက်ကွယ်သွားကြောင်း စစ်ဆေးပြီး 10 permit ကို ရိုက်ထည့်ပါ။ လက်ခံသူ 192.168.1.130။ ဤထည့်သွင်းမှုတွင် ပထမအဆင့်ဖြင့် ယခုစာရင်းသည် ၎င်း၏ မူလပုံစံသို့ ပြန်သွားသည်ကို ကျွန်ုပ်တို့တွေ့မြင်ရပါသည်။ Sequence နံပါတ်များသည် စာရင်းကို မည်သည့်ပုံစံတွင်မဆို တည်းဖြတ်ရန် ကူညီပေးသည်၊ ထို့ကြောင့် ACL ၏ ခေတ်မီပုံစံသည် ဂန္ထဝင်ပုံစံထက် များစွာပိုမိုအဆင်ပြေပါသည်။

ယခု ACL 10 စာရင်း၏ ဂန္ထဝင်ပုံစံသည် မည်သို့အလုပ်လုပ်ပုံကို ပြပါမည်။ ဂန္ထဝင်စာရင်းကိုအသုံးပြုရန်၊ သင်သည် command access–list 10? ကိုရိုက်ထည့်ရန် လိုအပ်ပြီး prompt ကို လိုက်နာကာ အလိုရှိသောလုပ်ဆောင်ချက်ကို ရွေးချယ်ပါ- ငြင်းဆို၊ ခွင့်ပြုရန် သို့မဟုတ် မှတ်ချက်။ ထို့နောက် ကျွန်ုပ်သည် line access–list 10 deny host ကိုရိုက်ထည့်ပြီးနောက်၊ command access–list 10 deny 192.168.1.3 ကိုရိုက်ထည့်ပြီး reverse mask ကိုထည့်ပါ။ ကျွန်ုပ်တို့တွင် host တစ်ခုရှိသောကြောင့် forward subnet mask သည် 255.255.255.255 ဖြစ်ပြီး ပြောင်းပြန်သည် 0.0.0.0 ဖြစ်သည်။ ရလဒ်အနေဖြင့် host traffic ကိုငြင်းပယ်ရန်၊ ကျွန်ုပ်သည် command access-list 10 deny 192.168.1.3 0.0.0.0 ကိုထည့်ရပါမည်။ ၎င်းပြီးနောက်၊ ကျွန်ုပ်သည် command access–list 10 ကိုရိုက်ထည့်သည့် ခွင့်ပြုချက်များကို သင်သတ်မှတ်ရန်လိုအပ်သည်။ ဤစာရင်းကို router R0 ၏ G1/2 အင်တာဖေ့စ်တွင် အသုံးချရန်လိုအပ်သည်၊ ထို့ကြောင့် ကျွန်ုပ်သည် g0/1၊ ip access-group 10 in တွင် ညွှန်ကြားချက်များကို ဆက်တိုက်ရိုက်ထည့်ပါသည်။ မည်သည့်စာရင်းကို အသုံးပြုသည်၊ ဂန္ထဝင် သို့မဟုတ် ခေတ်မီသည်ဖြစ်စေ ဤစာရင်းကို အင်တာဖေ့စ်တွင် အသုံးပြုရန် တူညီသောအမိန့်များကို အသုံးပြုသည်။

ဆက်တင်များ မှန်ကန်မှုရှိမရှိ စစ်ဆေးရန်၊ ကျွန်ုပ်သည် Laptop3 command line terminal သို့သွား၍ IP လိပ်စာ 192.168.1.130 ကို ping လုပ်ကြည့်ပါ - သင်တွေ့မြင်ရသည့်အတိုင်း၊ ဦးတည်ရာအိမ်ရှင်သည် ဆက်သွယ်၍မရတော့ကြောင်း စနစ်က သတင်းပို့ပါသည်။

စာရင်းကိုစစ်ဆေးရန် show ip access-lists နှင့် access-lists commands များကိုပြသရန် နှစ်ခုစလုံးကို အသုံးပြုနိုင်ကြောင်း သင့်အား သတိပေးပါရစေ။ R1 router နှင့်သက်ဆိုင်သည့် နောက်ထပ်ပြဿနာတစ်ခုအား ကျွန်ုပ်တို့ဖြေရှင်းရပါမည်။ ဒါကိုလုပ်ဖို့၊ ဒီ router ရဲ့ CLI ကိုသွားပြီး global configuration mode ကိုသွားပြီး command ip access-list standard Secure_Ma_From_Se ကိုရိုက်ထည့်ပါ။ ကျွန်ုပ်တို့တွင် ကွန်ရက် 192.168.1.192/27 ရှိသောကြောင့် ၎င်း၏ subnet mask သည် 255.255.255.224 ဖြစ်လိမ့်မည်၊ ဆိုလိုသည်မှာ ပြောင်းပြန် mask သည် 0.0.0.31 ဖြစ်ပြီး ကျွန်ုပ်တို့သည် deny 192.168.1.192 0.0.0.31 command ကို ထည့်သွင်းရန် လိုအပ်ပါသည်။ အခြားအသွားအလာအားလုံးကို ခွင့်ပြုထားသောကြောင့် စာရင်းသည် မည်သည့် command permit ဖြင့်မဆို အဆုံးသတ်ပါသည်။ Router ၏ output interface သို့ ACL ကိုအသုံးပြုရန်အတွက် ip access-group Secure_Ma_From_Se out command ကိုသုံးပါ။

ယခုကျွန်ုပ်သည် Server0 ၏ command line terminal သို့သွားမည်ဖြစ်ပြီး IP လိပ်စာ 0 တွင် စီမံခန့်ခွဲမှုဌာန၏ Laptop192.168.1.226 ကို ping လုပ်ကြည့်ပါ။ ကြိုးပမ်းမှု မအောင်မြင်သော်လည်း လိပ်စာ 192.168.1.130 ကို ping လုပ်ပါက ပြဿနာမရှိဘဲ ချိတ်ဆက်မှုကို တည်ထောင်ခဲ့သည်၊ ဆိုလိုသည်မှာ ဆာဗာကွန်ပြူတာအား စီမံခန့်ခွဲရေးဌာနနှင့် ဆက်သွယ်ခြင်းမပြုရန် တားမြစ်ထားသော်လည်း အခြားဌာနများရှိ အခြားစက်ပစ္စည်းများနှင့် ဆက်သွယ်မှုကို ခွင့်ပြုထားသည်။ ထို့ကြောင့် ပြဿနာ (၄)ခုလုံးကို အောင်မြင်စွာ ဖြေရှင်းနိုင်ခဲ့ပါသည်။

အခြားတစ်ခုပြပါရစေ။ ကျွန်ုပ်တို့တွင် ACL အမျိုးအစား ၂ မျိုးရှိသည် - ဂန္ထဝင်နှင့်ခေတ်မီသော R2 router ၏ဆက်တင်များသို့သွားပါ။ ACL 2၊ Standard IP access list 10 ကို တည်းဖြတ်လိုသည်ဆိုပါစို့၊ ၎င်း၏ classic form တွင် entry 10 နှင့် 10 နှစ်ခုပါရှိသော do show run command ကိုအသုံးပြုပါက၊ ပထမဦးစွာ ကျွန်ုပ်တို့တွင် modern access list 20 ခုရှိသည်ကို တွေ့နိုင်သည် ။ ယေဘုယျခေါင်းစဉ် Secure_Ma_And_Se အောက်တွင် နံပါတ်များမပါသော ထည့်သွင်းမှုများ၊ အောက်ဖော်ပြပါများသည် တူညီသောဝင်ရောက်ခွင့်စာရင်း 4 ၏ အမည်ကို ထပ်ခါထပ်ခါပြုလုပ်သည့် ရှေးရိုးပုံစံပုံစံ၏ ACL 10 ထည့်သွင်းမှုနှစ်ခုဖြစ်သည်။

အကယ်၍ ကျွန်ုပ်သည် deny host 192.168.1.3 entry ကိုဖယ်ရှားခြင်းနှင့် အခြားကွန်ရက်တစ်ခုရှိ စက်တစ်ခုအတွက် entry တစ်ခုကို မိတ်ဆက်ခြင်းကဲ့သို့သော အပြောင်းအလဲအချို့ပြုလုပ်လိုပါက၊ ကျွန်ုပ်သည် အဆိုပါ entry အတွက်သာ ဖျက်ရန် command ကို အသုံးပြုရန် လိုအပ်ပါသည်- access-list 10 deny host 192.168.1.3 မရှိပါ။ .၁.၃။ ဒါပေမယ့် ဒီ command ကို ကျွန်တော်ထည့်လိုက်တာနဲ့ ACL 10 entry တွေအားလုံး လုံးလုံး ပျောက်သွားပါတယ်။ဒါကြောင့် ACL ရဲ့ classic view က တည်းဖြတ်ဖို့ အရမ်းအဆင်မပြေပါဘူး။ အခမဲ့တည်းဖြတ်ခွင့်ပေးတဲ့အတွက် ခေတ်မီအသံသွင်းနည်းကို အသုံးပြုရတာ ပိုအဆင်ပြေပါတယ်။

ဤဗီဒီယိုသင်ခန်းစာတွင် အကြောင်းအရာများကို လေ့လာရန်အတွက်၊ ၎င်းကို ထပ်မံကြည့်ရှုပြီး အရိပ်အမြွက်မပါဘဲ သင်ကိုယ်တိုင် ဆွေးနွေးထားသည့် ပြဿနာများကို ဖြေရှင်းရန်ကြိုးစားရန် အကြံပြုအပ်ပါသည်။ ACL သည် CCNA သင်တန်းတွင် အရေးကြီးသော အကြောင်းအရာတစ်ခုဖြစ်ပြီး၊ ဥပမာအားဖြင့်၊ ပြောင်းပြန် Wildcard Mask ဖန်တီးခြင်းဆိုင်ရာ လုပ်ထုံးလုပ်နည်းကြောင့် လူအများက ရှုပ်ထွေးနေကြသည်။ မျက်နှာဖုံးအသွင်ပြောင်းခြင်း သဘောတရားကို နားလည်ရုံဖြင့် အရာအားလုံး ပိုမိုလွယ်ကူလာမည်ဟု ကျွန်ုပ်အာမခံပါသည်။ CCNA သင်တန်းအကြောင်းအရာများကို နားလည်ရန် အရေးကြီးဆုံးအရာမှာ လက်တွေ့လေ့ကျင့်ခြင်းဖြစ်သည်၊ အဘယ်ကြောင့်ဆိုသော် အလေ့အကျင့်သာလျှင် သင့်အား ဤသို့မဟုတ် Cisco သဘောတရားကို နားလည်ရန် ကူညီပေးမည်ဖြစ်သောကြောင့် ဖြစ်သည်။ အလေ့အကျင့်သည် ကျွန်ုပ်၏အသင်းများကို ကော်ပီကူးခြင်းမဟုတ်ဘဲ ပြဿနာများကို သင့်ကိုယ်ပိုင်နည်းလမ်းဖြင့် ဖြေရှင်းပါ။ သင့်ကိုယ်သင် မေးခွန်းများမေးပါ- ဤနေရာမှ ကားအသွားအလာ စီးဆင်းမှုကို ပိတ်ဆို့ရန် အဘယ်အရာ လုပ်ဆောင်ရမည်နည်း။

ကျွန်ုပ်တို့နှင့်အတူရှိနေသည့်အတွက် ကျေးဇူးတင်ပါသည်။ ကျွန်ုပ်တို့၏ဆောင်းပါးများကို သင်နှစ်သက်ပါသလား။ ပိုစိတ်ဝင်စားစရာကောင်းတဲ့ အကြောင်းအရာတွေကို ကြည့်ချင်ပါသလား။ မှာယူမှုတစ်ခုပြုလုပ်ခြင်း သို့မဟုတ် သူငယ်ချင်းများကို အကြံပြုခြင်းဖြင့် ကျွန်ုပ်တို့အား ပံ့ပိုးကူညီပါ၊ သင့်အတွက်ကျွန်ုပ်တို့တီထွင်ခဲ့သော ဝင်ခွင့်အဆင့်ဆာဗာများ၏ ထူးခြားသော analogue တွင် Habr အသုံးပြုသူများအတွက် 30% လျှော့စျေး- VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps သို့မဟုတ် $20 မှ ဆာဗာတစ်ခုမျှဝေပုံနှင့်ပတ်သက်သော အမှန်တရားတစ်ခုလုံး။ (RAID1 နှင့် RAID10၊ 24 cores အထိနှင့် 40GB DDR4 အထိ)။

Dell R730xd က ၂ ဆ ပိုစျေးသက်သာလား။ ဒီမှာသာ 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV ကို $199 မှ နယ်သာလန်မှာ Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - $99 မှ။ အကြောင်းဖတ်ပါ။ Infrastructure Corp ကို ဘယ်လိုတည်ဆောက်မလဲ။ တစ်ပြားတစ်ချပ်အတွက် ယူရို ၉၀၀၀ တန် Dell R730xd E5-2650 v4 ဆာဗာများကို အသုံးပြုခြင်း။

source: www.habr.com