یو بل شی چې ما یادونه وکړه هغه دا دی چې ACL نه یوازې د اجازه / رد کولو په اساس ترافیک فلټر کوي ، دا ډیری نور دندې ترسره کوي. د مثال په توګه، ACL د VPN ټرافيک کوډ کولو لپاره کارول کیږي، مګر د CCNA ازموینې پاس کولو لپاره، تاسو یوازې اړتیا لرئ پوه شئ چې دا څنګه د ټرافیک فلټر کولو لپاره کارول کیږي. راځئ چې د ستونزې نمبر 1 ته راستون شو.
موږ وموندله چې د محاسبې او پلور څانګې ترافیک د لاندې ACL لیست په کارولو سره د R2 محصول انٹرفیس کې بند کیدی شي.
د دې لیست د بڼې په اړه اندیښنه مه کوئ، دا یوازې د مثال په توګه دی چې تاسو سره مرسته وکړي چې پوه شي چې ACL څه شی دی. موږ به سم شکل ته ورسیږو کله چې موږ د پیکټ ټرسر سره پیل وکړو.
ټاسک نمبر 2 داسې غږ کوي: د سرور خونه کولی شي له هر کوربه سره اړیکه ونیسي، پرته له دې چې د مدیریت څانګې کوربه وي. دا چې د سرور خونې کمپیوټرونه کولی شي د پلور او محاسبې ډیپارټمنټونو کې هر کمپیوټر ته لاسرسی ولري ، مګر د مدیریت څانګې کمپیوټرونو ته باید لاسرسی ونلري. دا پدې مانا ده چې د معلوماتي ټکنالوژۍ د سرور خونې کارکوونکي باید د مدیریت څانګې د رییس کمپیوټر ته لیرې لاسرسی ونلري، مګر د ستونزې په صورت کې، د هغه دفتر ته راشي او په ځای کې ستونزه حل کړي. په یاد ولرئ چې دا کار عملي ندی ځکه زه نه پوهیږم چې ولې د سرور خونه به د شبکې له لارې د مدیریت څانګې سره اړیکه ونلري، نو پدې حالت کې موږ یوازې د ښوونې مثال ګورو.
د دې ستونزې د حل لپاره، تاسو باید لومړی د ټرافیک لاره وټاکئ. د سرور خونې څخه ډاټا د روټر R0 ان پټ انټرفیس G1/1 ته راځي او د G0/0 د محصول انٹرفیس له لارې مدیریت څانګې ته لیږل کیږي.
که موږ د ان پټ انٹرفیس G192.168.1.192/27 ته د انکار 0/1 شرط پلي کړو، او لکه څنګه چې تاسو په یاد ولرئ، معیاري ACL د ټرافیک سرچینې ته نږدې ځای په ځای شوی، موږ به ټول ټرافیک بند کړو، په شمول د پلور او محاسبې څانګې.
له هغه ځایه چې موږ غواړو یوازې د مدیریت څانګې ته لارښود شوي ترافیک بند کړو ، موږ باید د محصول انٹرفیس G0/0 ته ACL پلي کړو. دا ستونزه یوازې د ACL ځای ته نږدې کولو سره حل کیدی شي. په ورته وخت کې ، د محاسبې او پلور ډیپارټمنټ شبکې څخه ترافیک باید په آزاده توګه د مدیریت څانګې ته ورسیږي ، نو د لیست وروستۍ کرښه به د هر ډول قوماندې اجازه وي - هر ډول ترافیک ته اجازه ورکړي ، پرته لدې چې په مخکني حالت کې مشخص شوي ترافیک.
راځئ چې د کار نمبر 3 ته لاړ شو: د پلور ډیپارټمنټ لیپ ټاپ 3 لیپ ټاپ باید د پلور ډیپارټمنټ په محلي شبکه کې د موقعیت پرته نورو وسیلو ته لاسرسی ونلري. راځئ فرض کړو چې یو زده کونکی په دې کمپیوټر کې کار کوي او باید د خپل LAN څخه بهر لاړ نشي.
پدې حالت کې ، تاسو اړتیا لرئ د روټر R0 G1/2 ان پټ انٹرفیس کې ACL پلي کړئ. که موږ دې کمپیوټر ته IP پته 192.168.1.3/25 وټاکو، نو د انکار 192.168.1.3/25 شرط باید پوره شي، او د کوم بل IP پتې څخه ترافیک باید بند نشي، نو د لیست وروستۍ کرښه به اجازه ولري. کوم
په هرصورت، د ټرافیک بندول به په لیپ ټاپ 2 باندې هیڅ اغیزه ونلري.
بله دنده به څلورمه دنده وي: یوازې د مالي څانګې کمپیوټر PC4 کولی شي د سرور شبکې ته لاسرسی ولري، مګر د مدیریت څانګه نه.
که تاسو په یاد ولرئ، د ټاسک # 1 څخه ACL د روټر R0 S1/0/2 انٹرفیس کې ټول بهر روان ترافیک بندوي، مګر Task #4 وايي چې موږ اړتیا لرو ډاډ ترلاسه کړو چې یوازې د PC0 ترافیک تیریږي، نو موږ باید یو استثناء وکړو.
ټول هغه دندې چې موږ یې اوس حل کوو باید تاسو سره په ریښتیني حالت کې مرسته وکړي کله چې د دفتر شبکې لپاره ACLs تنظیم کړئ. د اسانتیا لپاره ، ما د ننوتلو کلاسیک ډول وکاراوه ، مګر زه تاسو ته مشوره درکوم چې ټولې کرښې په لاسي ډول په کاغذ باندې ولیکئ یا یې په کمپیوټر کې ټایپ کړئ ترڅو تاسو د ننوتلو اصلاح کولی شئ. زموږ په قضیه کې، د ټاسک نمبر 1 شرایطو سره سم، د کلاسیک ACL لیست ترتیب شوی و. که موږ غواړو د PC0 ډول اجازه لیک لپاره پدې کې استثنا اضافه کړو، موږ کولی شو دا کرښه یوازې د اجازه لیک څخه وروسته په لیست کې څلورم ځای ونیسي. په هرصورت، له هغه وخته چې د دې کمپیوټر پته د 0/192.168.1.128 د انکار حالت چک کولو لپاره د پتې په لړ کې شامله ده، د دې حالت تر پوره کیدو وروسته به د دې ټرافیک سمدلاسه بند شي او روټر به په ساده ډول د څلورم لاین چک ته ونه رسیږي، اجازه ورکوي د دې IP پتې څخه ترافیک.
نو ځکه، زه باید د ټاسک نمبر 1 د ACL لیست په بشپړه توګه بیا پیل کړم، لومړۍ کرښه ړنګه کړم او د لاین پرمټ 192.168.1.130/26 سره یې ځای په ځای کړم، کوم چې د PC0 څخه ټرافيک ته اجازه ورکوي، او بیا د ټولو ټرافیک منع کولو لینونو ته بیا ننوتل. د محاسبې او پلور څانګو څخه.
په دې توګه، په لومړۍ کرښه کې موږ د یو ځانګړي پته لپاره کمانډ لرو، او په دویمه برخه کې - د ټولې شبکې لپاره چې دا پته موقعیت لري یو عمومي. که تاسو د ACL عصري ډول کاروئ، تاسو کولی شئ د لومړي کمانډ په توګه د لاین پرمټ 192.168.1.130/26 په ځای کولو سره په اسانۍ سره بدلونونه رامینځته کړئ. که تاسو کلاسیک ACL لرئ، تاسو به اړتیا ولرئ چې دا په بشپړه توګه لیرې کړئ او بیا په سم ترتیب کې کمانډونه بیا دننه کړئ.
د ستونزې نمبر 4 حل دا دی چې د لین پرمټ 192.168.1.130/26 د ACL په پیل کې د ستونزې نمبر 1 څخه ځای په ځای کړي، ځکه چې یوازې پدې حالت کې به د PC0 څخه ترافیک په آزاده توګه د روټر R2 تولید انٹرفیس پریږدي. د PC1 ټرافیک به په بشپړ ډول بند شي ځکه چې د دې IP پته د لیست په دویمه کرښه کې د بندیز تابع دی.
موږ به اوس د بسته ټرسر ته لاړ شو ترڅو اړین ترتیبات جوړ کړو. ما دمخه د ټولو وسیلو IP پتې تنظیم کړې ځکه چې ساده شوي پخواني ډیاګرامونه پوهیدل یو څه ستونزمن وو. سربیره پردې ، ما د دوه روټرونو ترمینځ RIP تنظیم کړ. په ورکړل شوي شبکې ټوپولوژي کې، د 4 فرعي نیټو ټولو وسیلو ترمنځ اړیکه پرته له کوم محدودیت څخه ممکنه ده. مګر هرڅومره ژر چې موږ ACL پلي کړو ، ترافیک به فلټر پیل شي.
زه به د مالیې څانګې PC1 سره پیل وکړم او هڅه وکړم چې IP پته 192.168.1.194 پینګ کړم، کوم چې د Server0 پورې اړه لري، چې په سرور خونه کې موقعیت لري. لکه څنګه چې تاسو لیدلی شئ، پینګ پرته له کومې ستونزې بریالی دی. ما هم په بریالیتوب سره د مدیریت څانګې څخه لیپ ټاپ 0 پینګ کړ. لومړۍ کڅوړه د ARP له امله له مینځه وړل کیږي، پاتې 3 په وړیا توګه پینګ شوي.
د ترافیک فلټر کولو تنظیم کولو لپاره ، زه د R2 روټر تنظیماتو ته لاړم ، د نړیوال تنظیم کولو حالت فعال کړم او د ACL عصري لیست رامینځته کړم. موږ د کلاسیک لید ACL 10 هم لرو. د لومړي لیست رامینځته کولو لپاره ، زه یو کمانډ دننه کړم په کوم کې چې تاسو باید د ورته لیست نوم مشخص کړئ چې موږ یې په کاغذ کې لیکلي: ip لاسرسي لیست معیاري ACL Secure_Ma_And_Se. له دې وروسته، سیسټم د ممکنه پیرامیټونو غوښتنه کوي: زه کولی شم انکار، وتلو، نه، اجازه یا تبصره وټاکم، او همدارنګه د 1 څخه تر 2147483647 پورې د ترتیب شمیره دننه کړم. که زه دا کار ونه کړم، سیسټم به دا په اتوماتيک ډول وټاکي.
له همدې امله ، زه دا شمیره نه داخلوم ، مګر سمدلاسه د جواز کوربه 192.168.1.130 کمانډ ته لاړ شم ، ځکه چې دا اجازه د ځانګړي PC0 وسیلې لپاره اعتبار لري. زه کولی شم د ریورس وائلډ کارډ ماسک هم وکاروم ، اوس زه به تاسو ته وښیم چې دا څنګه وکړم.
بیا، زه د 192.168.1.128 انکار کمانډ ته ننوتم. له هغه ځایه چې موږ /26 لرو، زه ریورس ماسک کاروم او د دې سره کمانډ ضمیمه کوم: رد کړئ 192.168.1.128 0.0.0.63. په دې توګه، زه شبکه 192.168.1.128/26 ته ټرافيک ردوم.
په ورته ډول، زه د لاندې شبکې څخه ټرافيک بندوم: رد کړئ 192.168.1.0 0.0.0.127. نور ټول ټرافیک اجازه لري، نو زه د کمانډ اجازه کوم. بیا زه باید دا لیست په انٹرفیس کې پلي کړم، نو زه د int s0/1/0 کمانډ کاروم. بیا زه د ip access-group Secure_Ma_And_Se ټایپ کړم ، او سیسټم ما ته هڅوي چې یو انٹرفیس غوره کړم - د راتلونکو کڅوړو لپاره دننه او بهر ته د وتلو لپاره. موږ اړتیا لرو چې د محصول انٹرفیس ته ACL پلي کړو ، نو زه د ip لاسرسي ګروپ Secure_Ma_And_Se out کمانډ کاروم.
راځئ چې د PC0 کمانډ لاین ته لاړ شو او د IP پته 192.168.1.194 پینګ کړئ، کوم چې د Server0 سرور پورې اړه لري. پینګ بریالی دی ځکه چې موږ د PC0 ترافیک لپاره ځانګړي ACL حالت کارولی. که زه د PC1 څخه ورته کار وکړم، سیسټم به یوه تېروتنه رامنځته کړي: "د منزل کوربه شتون نلري"، ځکه چې د محاسبې څانګې پاتې IP پتې څخه ټرافيک د سرور خونې ته د لاسرسي مخه نیسي.
د R2 روټر CLI ته ننوتل او د show ip address-lists کمانډ ټایپ کولو سره ، تاسو کولی شئ وګورئ چې د مالي څانګې شبکې ترافیک څنګه وګرځول شو - دا ښیې چې پینګ د اجازې سره سم څو ځله تیر شوی او څو ځله د ممانعت سره سم بند شوی.
موږ کولی شو تل د روټر تنظیماتو ته لاړ شو او د لاسرسي لیست وګورو. په دې توګه، د دندو نمبر 1 او نمبر 4 شرایط پوره کیږي. اجازه راکړئ یو بل شی درته وښیم. که زه غواړم یو څه سم کړم ، زه کولی شم د R2 تنظیماتو نړیوال تنظیم کولو حالت ته لاړ شم ، د کمانډ ip لاسرسي لیست معیاري Secure_Ma_And_Se داخل کړئ او بیا د "میزبان 192.168.1.130 اجازه نه لري" کمانډ داخل کړئ - د کوربه 192.168.1.130 اجازه نشته.
که موږ بیا د لاسرسي لیست ته وګورو، موږ به وګورو چې 10 کرښه ورکه شوې، موږ یوازې 20,30، 40 او XNUMX لاینونه پاتې دي، پدې توګه، تاسو کولی شئ د ACL لاسرسي لیست د روټر ترتیباتو کې ترمیم کړئ، مګر یوازې که دا ترتیب شوی نه وي. په کلاسیک شکل کې.
اوس راځئ چې دریم ACL ته لاړ شو، ځکه چې دا د R2 روټر هم اندیښنه لري. دا وايي چې د لیپ ټاپ 3 څخه کوم ټرافیک باید د پلور څانګې شبکه پریږدي. په دې حالت کې، لپ ټاپ 2 باید د مالي څانګې کمپیوټرونو سره پرته له ستونزو سره اړیکه ونیسي. د دې ازموینې لپاره ، زه د دې لپ ټاپ څخه IP پته 192.168.1.130 پینګ کوم او ډاډ ترلاسه کوم چې هرڅه کار کوي.
اوس به زه د لیپ ټاپ 3 کمانډ لاین ته لاړ شم او پته به 192.168.1.130 پینګ کړم. پینګ کول بریالی دی، مګر موږ دې ته اړتیا نلرو، ځکه چې د دندې شرایطو سره سم، لپ ټاپ 3 یوازې د لیپ ټاپ 2 سره اړیکه نیولی شي، کوم چې د ورته پلور څانګې شبکه کې موقعیت لري. د دې کولو لپاره، تاسو اړتیا لرئ د کلاسیک میتود په کارولو سره بل ACL جوړ کړئ.
زه به بیرته د R2 تنظیماتو ته لاړ شم او د پرمټ کوربه 10 کمانډ په کارولو سره د حذف شوي ننوتلو 192.168.1.130 بیرته راګرځولو هڅه وکړم. تاسو ګورئ چې دا ننوتل د لیست په پای کې په 50 شمیره کې ښکاري. په هرصورت، لاسرسی به لاهم کار ونکړي، ځکه چې هغه کرښه چې یو ځانګړي کوربه ته اجازه ورکوي د لیست په پای کې دی، او هغه کرښه چې د ټولو شبکو ترافیک منع کوي په سر کې دی. د لیست څخه. که موږ د PC0 څخه د مدیریت څانګې لیپ ټاپ 0 پینګ کولو هڅه وکړو، موږ به پیغام ترلاسه کړو "د منزل کوربه د لاسرسي وړ نه دی"، سره له دې چې په ACL کې په 50 نمبر کې د ننوتلو اجازه شتون لري.
له همدې امله، که تاسو غواړئ چې موجوده ACL ترمیم کړئ، تاسو اړتیا لرئ د R2 حالت (config-std-nacl) کې کمانډ no permit host 192.168.1.130 داخل کړئ، وګورئ چې 50 کرښه له لیست څخه ورکه شوې، او کمانډ 10 اجازه داخل کړئ. کوربه 192.168.1.130. موږ ګورو چې لیست اوس خپل اصلي شکل ته راستون شوی ، د دې ننوتلو سره لومړی ځای لري. د ترتیب شمیرې په هر ډول لیست کې ایډیټ کولو کې مرسته کوي، نو د ACL عصري بڼه د کلاسیک په پرتله خورا اسانه ده.
اوس به زه وښیم چې د ACL 10 لست کلاسیک بڼه څنګه کار کوي. د کلاسیک لیست کارولو لپاره، تاسو اړتیا لرئ د کمانډ لاسرسي – لست 10؟ داخل کړئ، او د پرامپټ په تعقیب، مطلوب عمل غوره کړئ: انکار، اجازه یا تبصره. بیا زه لاین لاسرسی ته ننوتم – لیست 10 انکار کوربه ، له هغې وروسته زه د کمانډ لاسرسي ټایپ کړم – لیست 10 انکار 192.168.1.3 او ریورس ماسک اضافه کړم. له هغه ځایه چې موږ کوربه لرو، د فارورډ سبنټ ماسک 255.255.255.255 دی، او ریورس 0.0.0.0 دی. د پایلې په توګه، د کوربه ټرافیک څخه انکار کولو لپاره، زه باید د کمانډ لاسرسي ته ننوځئ- لست 10 رد کړئ 192.168.1.3 0.0.0.0. له دې وروسته ، تاسو اړتیا لرئ اجازې مشخص کړئ ، د کوم لپاره چې زه د کمانډ لاسرسي ټایپ کوم - لیست 10 اجازه لیک کوم. دا لیست باید د روټر R0 G1/2 انٹرفیس کې پلي شي ، نو زه په ترتیب سره په g0/1 کې کمانډونه دننه کړم ، د ip لاسرسي ګروپ 10 in. پرته لدې چې کوم لیست کارول کیږي ، کلاسیک یا عصري ، ورته کمانډونه په انٹرفیس کې د دې لیست پلي کولو لپاره کارول کیږي.
د دې لپاره چې وګورئ چې تنظیمات سم دي، زه د لیپ ټاپ 3 کمانډ لاین ټرمینل ته لاړم او د IP پته 192.168.1.130 پینګ کولو هڅه کوم - لکه څنګه چې تاسو لیدلی شئ، سیسټم راپور ورکوي چې د منزل کوربه د لاسرسي وړ نه دی.
اجازه راکړئ تاسو ته یادونه وکړم چې د لیست چک کولو لپاره تاسو کولی شئ دواړه د شو ip لاسرسي لیستونه وکاروئ او د لاسرسي لیست کمانډونه وکاروئ. موږ باید یوه بله ستونزه حل کړو، کوم چې د R1 روټر پورې اړه لري. د دې کولو لپاره، زه د دې روټر CLI ته لاړم او د نړیوال ترتیب حالت ته لاړ شم او د ip لاسرسي لیست معیاري Secure_Ma_From_Se کمانډ داخل کړم. له هغه ځایه چې موږ شبکه 192.168.1.192/27 لرو، د دې فرعي نیټ ماسک به 255.255.255.224 وي، پدې معنی چې د ریورس ماسک به 0.0.0.31 وي او موږ اړتیا لرو د انکار 192.168.1.192 0.0.0.31 کمانډ ته ننوځو. څرنګه چې نور ټول ټرافیک اجازه لري، لیست د کمانډ اجازه سره پای ته رسیږي. د روټر د محصول انٹرفیس ته د ACL پلي کولو لپاره ، د ip لاسرسي ګروپ Secure_Ma_From_Se out کمانډ وکاروئ.
اوس به زه د سرور0 کمانډ لاین ټرمینل ته لاړ شم او هڅه وکړم چې د مدیریت ډیپارټمنټ لیپ ټاپ 0 په IP پته 192.168.1.226 کې پینګ کړم. هڅه ناکامه شوه، مګر که ما 192.168.1.130 پته پینګ کړه، اړیکه پرته له کومې ستونزې رامینځته شوه، دا دی، موږ د سرور کمپیوټر د مدیریت څانګې سره د اړیکو څخه منع کړی و، مګر په نورو څانګو کې د نورو ټولو وسیلو سره د اړیکو اجازه ورکړه. په دې توګه، موږ په بریالیتوب سره ټولې 4 ستونزې حل کړې.
اجازه راکړئ تاسو ته بل څه وښیم. موږ د R2 روټر تنظیماتو ته ځو ، چیرې چې موږ 2 ډوله ACL لرو - کلاسیک او عصري. راځئ چې ووایو زه غواړم ACL 10، د معیاري IP لاسرسي لیست 10 ترمیم کړم، کوم چې په کلاسیک بڼه کې دوه ننوتنې 10 او 20 لري. که زه د do show run کمانډ وکاروم، زه کولی شم وګورم چې لومړی موږ د 4 عصري لاسرسي لیست لرو. د Secure_Ma_And_Se عمومي سرلیک لاندې د شمیرو پرته ننوتنې، او لاندې د کلاسیک شکل دوه ACL 10 ننوتل دي چې د ورته لاسرسي لیست 10 نوم تکراروي.
که زه غواړم یو څه بدلونونه رامینځته کړم ، لکه د انکار کوربه 192.168.1.3 ننوتل لرې کول او په مختلف شبکه کې د وسیلې لپاره ننوتل معرفي کول ، زه اړتیا لرم یوازې د دې ننوتلو لپاره د حذف کمانډ وکاروم: د لاسرسي لیست 10 انکار کوربه 192.168.1.3 .10. مګر هرڅومره ژر چې زه دې کمانډ ته ننوتم ، د ACL XNUMX ټولې ننوتنې په بشپړ ډول ورکې شوې. له همدې امله د ACL کلاسیک لید د ترمیم کولو لپاره خورا ګران دی. د ثبت کولو عصري میتود د کارولو لپاره خورا اسانه دی ، ځکه چې دا وړیا ترمیم ته اجازه ورکوي.
د دې ویډیو درس کې د موادو زده کولو لپاره، زه تاسو ته مشوره درکوم چې دا بیا وګورئ او هڅه وکړئ پرته له کومې اشارې پرته په خپله بحث شوي ستونزې حل کړئ. ACL د CCNA کورس کې یوه مهمه موضوع ده، او ډیری یې د بیلګې په توګه، د ریورس وائلډ کارډ ماسک جوړولو کړنالرې په اړه مغشوش شوي دي. زه تاسو ته ډاډ درکوم، یوازې د ماسک د بدلون مفهوم درک کړئ، او هرڅه به خورا اسانه شي. په یاد ولرئ چې د CCNA کورس موضوعاتو په پوهیدو کې ترټولو مهم شی عملي روزنه ده، ځکه چې یوازې تمرین به تاسو سره د دې یا هغه سیسکو مفهوم په پوهیدو کې مرسته وکړي. تمرین زما د ټیمونو کاپي پیسټ کول ندي ، مګر ستاسو په لاره کې ستونزې حل کول دي. له ځانه پوښتنې وکړئ: له دې ځایه تر هغه ځایه د ترافیک د جریان مخنیوي لپاره څه کولو ته اړتیا لرئ ، چیرې چې شرایط پلي کړئ ، او داسې نور ، او د ځواب ویلو هڅه وکړئ.
له موږ سره د پاتې کیدو لپاره مننه. ایا تاسو زموږ مقالې خوښوي؟ غواړئ نور په زړه پورې مینځپانګه وګورئ؟ د امر په ورکولو یا ملګرو ته وړاندیز کولو سره زموږ ملاتړ وکړئ ، د ننوتلو کچې سرورونو ځانګړي انلاګ کې د هابر کاروونکو لپاره 30٪ تخفیف ، کوم چې زموږ لخوا ستاسو لپاره اختراع شوی و: (د RAID1 او RAID10 سره شتون لري، تر 24 کور پورې او تر 40GB DDR4 پورې).
Dell R730xd 2 ځله ارزانه؟ یوازې دلته په هالنډ کې! ډیل R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - له $ 99 څخه! په اړه ولولئ
سرچینه: www.habr.com