نن موږ به د ACL لاسرسي کنټرول لیست په اړه زده کړه پیل کړو، دا موضوع به د 2 ویډیو درسونه واخلي. موږ به د معیاري ACL ترتیب وګورو، او په راتلونکي ویډیو ټیوټوریل کې به زه د پراخ شوي لیست په اړه وغږیږم.
په دې لوست کې به موږ درې موضوعات پوښښ کړو. لومړی دا چې ACL څه شی دی، دوهم هغه څه دي چې د معیاري او پراخ لاسرسي لیست ترمنځ توپیر دی، او د درس په پای کې، د لابراتوار په توګه، موږ به د معیاري ACL تنظیم کولو او د ممکنه ستونزو حلولو ته وګورو.
نو ACL څه شی دی؟ که تاسو کورس د لومړي ویډیو درس څخه زده کړی وي، نو تاسو به په یاد ولرئ چې موږ څنګه د مختلف شبکې وسیلو ترمنځ ارتباط تنظیم کړ.
موږ د مختلف پروتوکولونو جامد روټینګ هم مطالعه کړې ترڅو د وسیلو او شبکو ترمینځ د ارتباطاتو تنظیم کولو کې مهارتونه ترلاسه کړي. موږ اوس د زده کړې مرحلې ته رسیدلي یو چیرې چې موږ باید د ترافیک کنټرول ډاډ ترلاسه کولو په اړه اندیښمن یو ، دا د "بد هلکانو" یا غیر مجاز کارونکو شبکې ته د ننوتلو مخه نیسي. د بیلګې په توګه، دا کیدای شي د پلور پلور څانګې خلک اندیښمن کړي، کوم چې په دې انځور کې ښودل شوي. دلته موږ د مالي څانګې حسابونه، د مدیریت څانګې مدیریت او د سرور خونه SERVER ROOM هم ښکاره کوو.
نو، د پلور څانګه ممکن سل کارمندان ولري، او موږ نه غواړو چې یو یې د شبکې له لارې د سرور خونې ته ورسیږو. یو استثنا د پلور مدیر لپاره رامینځته شوی څوک چې په لپ ټاپ 2 کمپیوټر کې کار کوي - هغه کولی شي د سرور خونې ته لاسرسی ولري. یو نوی کارمند چې په لیپ ټاپ 3 کې کار کوي باید ورته لاسرسی ونلري، دا دی، که چیرې د هغه د کمپیوټر څخه ټرافيک د روټر R2 ته ورسیږي، دا باید پریښودل شي.
د ACL رول د ټاکل شوي فلټر کولو پیرامیټونو سره سم ترافیک فلټر کول دي. پدې کې د سرچینې IP پته، د منزل IP پته، پروتوکول، د بندرونو شمیر او نور پیرامیټونه شامل دي، مننه چې تاسو کولی شئ ټرافيک وپیژنئ او د هغې سره ځینې اقدامات وکړئ.
نو، ACL د OSI ماډل یو پرت 3 فلټر کولو میکانیزم دی. دا پدې مانا ده چې دا میکانیزم په روټرونو کې کارول کیږي. د فلټر کولو اصلي معیار د ډیټا جریان پیژندنه ده. د مثال په توګه، که موږ غواړو د لیپ ټاپ 3 کمپیوټر سره سړی سرور ته د لاسرسي مخه ونیسو، لومړی موږ باید د هغه ټرافيک وپیژنو. دا ترافیک د لیپ ټاپ-Switch2-R2-R1-Switch1-Server1 په لور حرکت کوي د شبکې وسیلو د ورته انٹرفیسونو له لارې ، پداسې حال کې چې د روټرونو G0/0 انٹرفیس پدې اړه هیڅ تړاو نلري.
د ترافیک پیژندلو لپاره ، موږ باید د هغې لاره وپیژنو. د دې کولو سره، موږ کولی شو پریکړه وکړو چې په ریښتیا موږ د فلټر نصبولو ته اړتیا لرو. پخپله د فلټرونو په اړه اندیښنه مه کوئ، موږ به یې په راتلونکي لوست کې وغږیږو، د اوس لپاره موږ باید په دې اصول پوه شو چې فلټر باید په کوم انٹرفیس کې پلي شي.
که تاسو روټر ته وګورئ، تاسو لیدلی شئ چې هرکله چې ټرافيک حرکت کوي، یو انٹرفیس شتون لري چیرې چې د معلوماتو جریان راځي، او یو انٹرفیس چې له لارې دا جریان راځي.
په حقیقت کې 3 انٹرفیسونه شتون لري: د ان پټ انٹرفیس، د محصول انٹرفیس او د روټر خپل انٹرفیس. یوازې په یاد ولرئ چې فلټر کول یوازې د ان پټ یا آؤټ پټ انٹرفیس کې پلي کیدی شي.
د ACL عملیات اصول د یوې غونډې لپاره د پاسپورت سره ورته دي چې یوازې هغه میلمانه ګډون کولی شي چې نوم یې د رابلل شویو کسانو په لیست کې وي. ACL د وړتیا پیرامیټونو لیست دی چې د ترافیک پیژندلو لپاره کارول کیږي. د مثال په توګه، دا لیست په ګوته کوي چې ټول ټرافیک د IP پتې 192.168.1.10 څخه اجازه لري، او د نورو ټولو پتو څخه ټرافيک رد شوی. لکه څنګه چې ما وویل، دا لیست د ان پټ او آوټ پټ انٹرفیس دواړو لپاره پلي کیدی شي.
د ACL دوه ډولونه شتون لري: معیاري او پراخ شوي. یو معیاري ACL له 2 څخه تر 1 یا له 99 څخه تر 1300 پورې یو پیژندونکی لري. دا په ساده ډول د لیست نومونه دي چې د شمیر په زیاتیدو سره یو له بل سره هیڅ ګټه نلري. د شمیر سربیره، تاسو کولی شئ خپل نوم ACL ته وټاکئ. پراخ شوي ACLs له 1999 څخه تر 100 یا 199 څخه تر 2000 پورې شمیرل کیږي او ممکن نوم هم ولري.
په معیاري ACL کې، طبقه بندي د ټرافیک د سرچینې IP پتې پراساس ده. له همدې امله، کله چې دا ډول لیست وکاروئ، تاسو نشئ کولی کومې سرچینې ته لارښود شوي ترافیک محدود کړئ، تاسو کولی شئ یوازې د وسیلې څخه رامینځته شوي ترافیک بند کړئ.
یو پراخ شوی ACL ټرافیک د سرچینې IP پتې، د منزل IP پته، کارول شوي پروتوکول، او د پورټ شمیرې له مخې طبقه بندي کوي. د مثال په توګه، تاسو کولی شئ یوازې د FTP ټرافيک، یا یوازې HTTP ټرافيک بند کړئ. نن ورځ به موږ معیاري ACL وګورو، او موږ به راتلونکی ویډیو درس پراخو لیستونو ته وقف کړو.
لکه څنګه چې ما وویل، ACL د شرایطو لیست دی. وروسته له دې چې تاسو دا لیست د روټر په راتلوونکي یا بهر کېدونکي انٹرفیس کې پلي کړئ ، روټر د دې لیست پروړاندې ترافیک ګوري ، او که چیرې دا په لیست کې ټاکل شوي شرایط پوره کړي ، نو پریکړه کوي چې ایا دې ترافیک ته اجازه ورکړي یا رد کړي. خلک ډیری وختونه د روټر د ننوتلو او محصول انٹرفیسونو ټاکل ستونزمن کوي، که څه هم دلته هیڅ پیچلي ندي. کله چې موږ د راتلوونکي انٹرفیس په اړه وغږیږو، دا پدې مانا ده چې یوازې راتلونکی ټرافیک به په دې بندر کې کنټرول شي، او روټر به د وتلو ټرافیک محدودیتونه پلي نکړي. په ورته ډول ، که موږ د ایګریس انٹرفیس په اړه وغږیږو ، نو دا پدې معنی ده چې ټول مقررات به یوازې په وتلو ترافیک پلي شي ، پداسې حال کې چې پدې بندر کې راتلونکی ترافیک به پرته له کوم محدودیت څخه ومنل شي. د مثال په توګه، که چیرې روټر 2 بندرونه ولري: f0/0 او f0/1، نو بیا ACL به یوازې د f0/0 انٹرفیس ته د ننوتلو ټرافیک ته پلي شي، یا یوازې د f0/1 انٹرفیس څخه رامینځته شوي ټرافیک ته. ټرافیک ته ننوتل یا پریښودل انٹرفیس f0/1 به د لیست لخوا اغیزه ونلري.
له همدې امله ، د انٹرفیس د راتلونکي یا وتلو سمت لخوا مغشوش مه کوئ ، دا د ځانګړي ترافیک سمت پورې اړه لري. نو، وروسته له دې چې روټر د ACL شرایطو سره سمون لپاره ټرافیک چک کړي، دا یوازې دوه پریکړې کولی شي: ټرافیک ته اجازه ورکړئ یا یې رد کړئ. د مثال په توګه، تاسو کولی شئ د 180.160.1.30 لپاره ټاکل شوي ترافیک ته اجازه ورکړئ او د 192.168.1.10 لپاره ټاکل شوي ترافیک رد کړئ. هر لیست کولی شي ډیری شرایط ولري، مګر د دې شرایطو هر یو باید اجازه ورکړي یا رد کړي.
راځئ چې ووایو موږ یو لیست لرو:
منع کول _______
اجازه راکړئ ________
اجازه راکړئ ________
منع کول _________
لومړی، روټر به ټرافیک وګوري ترڅو وګوري چې ایا دا د لومړي حالت سره سمون لري؛ که دا نه وي، دا به دویم حالت وګوري. که ټرافیک د دریم حالت سره سمون ولري، روټر به چک کول ودروي او د لیست پاتې شرایطو سره به پرتله نه کړي. دا به د "اجازه" عمل ترسره کړي او د ترافیک راتلونکي برخې چیک کولو ته لاړ شي.
په هغه صورت کې چې تاسو د کومې کڅوړې لپاره مقررات نه وي ټاکلي او ټرافیک د لیست له ټولو لیکو څخه تیریږي پرته لدې چې کوم شرایط په نښه کړي ، دا له مینځه وړل کیږي ، ځکه چې د ACL هر لیست په ډیفالټ ډول د هر ډول کمانډ انکار سره پای ته رسیږي - دا دی ، رد کړئ. هر پاکټ، د کوم مقرراتو لاندې نه راځي. دا حالت اغیزمن کیږي که چیرې په لیست کې لږترلږه یو قاعده شتون ولري، که نه نو دا هیڅ اغیزه نلري. مګر که په لومړۍ کرښه کې د ننوتلو انکار 192.168.1.30 شامل وي او لیست نور شرایط نلري، نو په پای کې باید د کمانډ جواز شتون ولري، دا د هر ډول ټرافیک اجازه ورکوي پرته له دې چې د قانون لخوا منع شوي وي. تاسو باید دا په پام کې ونیسئ ترڅو د غلطیو څخه مخنیوی وشي کله چې د ACL تنظیم کول.
زه غواړم چې تاسو د ASL لیست رامینځته کولو اساسي اصول په یاد ولرئ: معیاري ASL د امکان تر حده منزل ته نږدې کیږدئ ، دا د ټرافیک ترلاسه کونکي ته ، او د سرچینې سره څومره چې ممکنه وي پراخه ASL ځای په ځای کړئ ، دا دی ، د ټرافیک لیږونکي ته. دا د سیسکو سپارښتنې دي، مګر په عمل کې داسې شرایط شتون لري چیرې چې دا د ټرافیک سرچینې ته نږدې د معیاري ACL ځای پرځای کولو لپاره ډیر احساس کوي. مګر که تاسو د ازموینې په جریان کې د ACL ځای پرځای کولو قواعدو په اړه پوښتنې سره مخ شئ، د سیسکو سپارښتنې تعقیب کړئ او په واضح ډول ځواب ووایاست: معیار منزل ته نږدې دی، پراخ شوی سرچینې ته نږدې دی.
اوس راځئ چې د معیاري ACL ترکیب وګورو. د روټر نړیوال ترتیب حالت کې دوه ډوله کمانډ ترکیب شتون لري: کلاسیک ترکیب او عصري ترکیب.
د کلاسیک کمانډ ډول د لاسرسي لیست دی <ACL شمیره> <منظور</allow> <معیار>. که تاسو <ACL شمیره> له 1 څخه تر 99 پورې تنظیم کړئ، وسیله به په اوتومات ډول پوه شي چې دا یو معیاري ACL دی، او که دا له 100 څخه تر 199 پورې وي، نو دا یو پراخ شوی. ځکه چې د نن ورځې درس کې موږ یو معیاري لیست ګورو، موږ کولی شو له 1 څخه تر 99 پورې هر شمیره وکاروو. بیا موږ هغه عمل ته اشاره کوو چې باید پلي شي که چیرې پیرامیټرونه د لاندې معیارونو سره سمون ولري - ترافیک ته اجازه ورکړئ یا رد کړئ. موږ به وروسته معیار په پام کې ونیسو، ځکه چې دا په عصري نحو کې هم کارول کیږي.
د عصري کمانډ ډول په Rx (config) نړیوال ترتیب حالت کې هم کارول کیږي او داسې ښکاري: د ip لاسرسي لیست معیاري <ACL</name>. دلته تاسو کولی شئ د 1 څخه تر 99 پورې شمیره یا د ACL لیست نوم وکاروئ، د بیلګې په توګه، ACL_Networking. دا کمانډ سمدلاسه سیسټم د Rx معیاري حالت فرعي کمانډ حالت (config-std-nacl) ته اچوي ، چیرې چې تاسو باید <deny/enable> <criteria> داخل کړئ. د ټیمونو عصري ډولونه د کلاسیک په پرتله ډیرې ګټې لري.
په کلاسیک لیست کې، که تاسو د لاسرسي لیست 10 رد کړئ ______ ټایپ کړئ، نو د بل معیار لپاره د ورته ډول راتلونکی کمانډ ټایپ کړئ او د 100 ورته کمانډونو سره پای ته ورسیږئ، نو د داخل شوي کوم کمانډ بدلولو لپاره تاسو اړتیا لرئ حذف کړئ. ټول د لاسرسي لیست لیست 10 د کمانډ سره د لاسرسي لیست 10 نه لري. دا به ټول 100 کمانډونه حذف کړي ځکه چې پدې لیست کې د انفرادي قوماندې ترمیم کولو لپاره هیڅ لاره نشته.
په عصري ترکیب کې، کمانډ په دوه لینونو ویشل شوی، چې لومړی یې د لیست شمیره لري. فرض کړئ که تاسو د لیست لاسرسي لیست معیاري 10 رد ________، د لاسرسي لیست معیاري 20 رد ________ او داسې نور لرئ، نو تاسو فرصت لرئ چې منځګړی لیستونه د نورو معیارونو سره دننه کړئ، د بیلګې په توګه، د لاسرسي لیست معیاري 15 انکار ________ .
په بدیل سره، تاسو کولی شئ په ساده ډول د لاسرسي لیست معیاري 20 لینونه حذف کړئ او د لاسرسي لیست معیاري 10 او د لاسرسي لیست معیاري 30 لینونو ترمینځ مختلف پیرامیټرونو سره یې بیا ټایپ کړئ. پدې توګه ، د عصري ACL ترکیب ترمیم کولو مختلفې لارې شتون لري.
تاسو اړتیا لرئ د ACLs رامینځته کولو پرمهال خورا محتاط اوسئ. لکه څنګه چې تاسو پوهیږئ، لیستونه له پورته څخه ښکته لوستل کیږي. که تاسو په پورتنۍ برخه کې یوه کرښه ځای په ځای کړئ چې د ځانګړي کوربه څخه ترافیک ته اجازه ورکوي ، نو لاندې تاسو کولی شئ داسې کرښه ځای په ځای کړئ چې د ټولې شبکې څخه ترافیک منع کوي چې دا کوربه برخه ده ، او دواړه شرایط به چیک شي - یو ځانګړي کوربه ته ترافیک به له لارې اجازه ورکول کیږي، او د نورو ټولو کوربه توبونو څخه ټرافيک به بند شي. له همدې امله، تل د لیست په پورتنۍ برخه کې ځانګړي ننوتنې ځای په ځای کړئ او عمومي یې په ښکته کې.
نو، وروسته له دې چې تاسو کلاسیک یا عصري ACL جوړ کړئ، تاسو باید دا پلي کړئ. د دې کولو لپاره ، تاسو اړتیا لرئ د ځانګړي انٹرفیس ترتیباتو ته لاړشئ ، د مثال په توګه ، f0/0 د کمانډ انٹرفیس <ډول او سلاټ> په کارولو سره ، د انٹرفیس فرعي کمانډ حالت ته لاړشئ او د کمانډ ip لاسرسي ګروپ <ACL شمیره/ داخل کړئ. نوم> . مهرباني وکړئ توپیر په پام کې ونیسئ: کله چې د لیست ترتیب کول، د لاسرسي لیست کارول کیږي، او کله چې دا پلي کول، د لاسرسي ګروپ کارول کیږي. تاسو باید وټاکئ چې دا لیست به په کوم انٹرفیس کې پلي شي - راتلونکی انٹرفیس یا بهر ته روان انٹرفیس. که لیست یو نوم ولري، د بیلګې په توګه، شبکه کول، ورته نوم په دې انٹرفیس کې د لیست پلي کولو لپاره په کمانډ کې تکرار شوی.
اوس راځئ چې یوه ځانګړې ستونزه واخلو او هڅه وکړو چې د پیکټ ټرسر په کارولو سره زموږ د شبکې ډیاګرام مثال په کارولو سره حل کړئ. نو، موږ 4 شبکې لرو: د پلور څانګه، د محاسبې څانګه، مدیریت او د سرور خونه.
دنده نمبر 1: ټول ټرافیک چې د پلور او مالي څانګو څخه د مدیریت څانګې او سرور خونې ته لارښود شوی باید بند شي. د بلاک کولو ځای د روټر R0 انٹرفیس S1/0/2 دی. لومړی موږ باید یو لیست جوړ کړو چې لاندې ننوتل پکې شامل دي:
راځئ چې د "مدیریت او سرور امنیت ACL" لیست ته ووایو، د ACL Secure_Ma_And_Se په نوم لنډ شوی. دا د مالي ډیپارټمنټ شبکې 192.168.1.128/26 څخه د ترافیک منع کول ، د پلور ډیپارټمنټ شبکې 192.168.1.0/25 څخه ترافیک منع کول ، او کوم بل ترافیک ته اجازه ورکول کیږي. د لیست په پای کې دا اشاره شوې چې دا د روټر R0 S1/0/2 د وتلو انٹرفیس لپاره کارول کیږي. که موږ د لیست په پای کې د ننوتلو اجازه نلرو، نو نور ټول ټرافیک به بند شي ځکه چې ډیفالټ ACL تل د لیست په پای کې د هر ډول ننوتلو څخه انکار ته ټاکل کیږي.
ایا زه کولی شم دا ACL په G0/0 انٹرفیس کې پلي کړم؟ البته ، زه کولی شم ، مګر پدې حالت کې به یوازې د محاسبې څانګې ترافیک بند شي ، او د پلور څانګې ترافیک به په هیڅ ډول محدود نه وي. په ورته ډول، تاسو کولی شئ د G0/1 انٹرفیس ته ACL غوښتنه وکړئ، مګر پدې حالت کې د مالیې څانګې ترافیک به بند نشي. البته، موږ کولی شو د دې انٹرفیسونو لپاره دوه جلا بلاک لیستونه جوړ کړو، مګر دا خورا اغیزمنه ده چې دوی په یو لیست کې یوځای کړئ او دا د روټر R2 یا د روټر R0 د ان پټ انټرفیس S1/0/1 په آوټ پټ انٹرفیس کې پلي کړئ.
که څه هم د سیسکو مقررات وايي چې یو معیاري ACL باید د امکان تر حده منزل ته نږدې کیښودل شي، زه به دا د ټرافیک سرچینې ته نږدې کړم ځکه چې زه غواړم ټول بهر ته تلونکي ترافیک بند کړم، او دا ډیر معنی لري چې دا کار ته نږدې شي. سرچینه د دې لپاره چې دا ترافیک د دوه روټرونو ترمینځ شبکه ضایع نکړي.
ما د معیارونو په اړه تاسو ته ویل هیر کړل، نو ژر تر ژره بیرته لاړ شو. تاسو کولی شئ هر یو د معیار په توګه مشخص کړئ - پدې حالت کې ، د هرې وسیلې او هرې شبکې څخه کوم ترافیک به رد یا اجازه ورکړل شي. تاسو کولی شئ کوربه د هغې د پیژندونکي سره هم مشخص کړئ - پدې حالت کې ، ننوتل به د ځانګړي وسیلې IP پته وي. په پای کې، تاسو کولی شئ ټوله شبکه مشخص کړئ، د بیلګې په توګه، 192.168.1.10/24. پدې حالت کې، /24 به د 255.255.255.0 د سبنیټ ماسک شتون معنی ولري، مګر په ACL کې د سبنیټ ماسک IP پته مشخص کول ناممکن دي. د دې قضیې لپاره، ACL د وائلډ کارټ ماسک، یا "ریورس ماسک" په نوم مفهوم لري. نو تاسو باید د IP پته او بیرته ماسک مشخص کړئ. ریورس ماسک داسې ښکاري: تاسو باید مستقیم سبنیټ ماسک د عمومي سبنیټ ماسک څخه کم کړئ، دا دی، په مخکینۍ ماسک کې د آکټیټ ارزښت سره ورته شمیره له 255 څخه کمه شوې.
له همدې امله، تاسو باید په ACL کې د معیار په توګه 192.168.1.10 0.0.0.255 پیرامیټر وکاروئ.
څنګه کار کوي؟ که چیرې د بیرته راستنیدو ماسک آکټیټ کې 0 شتون ولري ، نو معیار د فرعي نیټ IP پتې اړوند آکټیټ سره سمون لري. که چیرې د بیک ماسک اوکټیټ کې شمیره شتون ولري، لوبه نه چک کیږي. په دې توګه، د 192.168.1.0 شبکې او د 0.0.0.255 د بیرته راستنیدو ماسک لپاره، د پتې څخه ټول ټرافیک چې لومړی درې آکټیټ د 192.168.1 سره مساوي دي، پرته له دې چې د څلورم آکټیټ ارزښت په پام کې ونیول شي، بلاک یا اجازه ورکول کیږي ټاکل شوی عمل
د ریورس ماسک کارول اسانه دي ، او موږ به په راتلونکي ویډیو کې د وائلډ کارټ ماسک ته بیرته راشو نو زه کولی شم تشریح کړم چې څنګه ورسره کار وکړم.
28:50 دقیقې
له موږ سره د پاتې کیدو لپاره مننه. ایا تاسو زموږ مقالې خوښوي؟ غواړئ نور په زړه پورې مینځپانګه وګورئ؟ د امر په ورکولو یا ملګرو ته وړاندیز کولو سره زموږ ملاتړ وکړئ ، د ننوتلو کچې سرورونو ځانګړي انلاګ کې د هابر کاروونکو لپاره 30٪ تخفیف ، کوم چې زموږ لخوا ستاسو لپاره اختراع شوی و: (د RAID1 او RAID10 سره شتون لري، تر 24 کور پورې او تر 40GB DDR4 پورې).
Dell R730xd 2 ځله ارزانه؟ یوازې دلته په هالنډ کې! ډیل R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - له $ 99 څخه! په اړه ولولئ
سرچینه: www.habr.com