اڄ اسان ACL رسائي ڪنٽرول لسٽ بابت سکڻ شروع ڪنداسين، هي موضوع 2 وڊيو سبق وٺندو. اسان هڪ معياري ACL جي ترتيب تي نظر ڪنداسين، ۽ ايندڙ وڊيو سبق ۾ آئون وڌايل فهرست بابت ڳالهائيندس.
هن سبق ۾ اسين 3 عنوانن جو احاطو ڪنداسين. پهريون اهو آهي ته ACL ڇا آهي، ٻيو اهو آهي ته هڪ معياري ۽ وڌايل رسائي لسٽ جي وچ ۾ ڇا فرق آهي، ۽ سبق جي آخر ۾، هڪ ليبارٽري جي طور تي، اسان هڪ معياري ACL قائم ڪرڻ ۽ ممڪن مسئلن کي حل ڪرڻ تي غور ڪنداسين.
پوء هڪ ACL ڇا آهي؟ جيڪڏهن توهان پهرين وڊيو سبق کان ڪورس جو مطالعو ڪيو، ته توهان کي ياد آهي ته اسان مختلف نيٽ ورڪ ڊوائيسز جي وچ ۾ رابطي کي ڪيئن منظم ڪيو.
اسان مختلف پروٽوڪولن تي جامد روٽنگ جو پڻ اڀياس ڪيو ته جيئن ڊوائيسز ۽ نيٽ ورڪن جي وچ ۾ ڪميونيڪيشن کي منظم ڪرڻ ۾ مهارت حاصل ڪري. اسان هاڻي سکيا واري مرحلي تي پهچي چڪا آهيون جتي اسان کي ٽريفڪ ڪنٽرول کي يقيني بڻائڻ جي باري ۾ فڪرمند ٿيڻ گهرجي، يعني ”خراب ماڻهن“ يا غير مجاز استعمال ڪندڙن کي نيٽ ورڪ ۾ داخل ٿيڻ کان روڪڻ. مثال طور، اهو شايد ماڻهن سان تعلق رکي ٿو SALES سيلز ڊپارٽمينٽ، جيڪو هن ڊراگرام ۾ ڏيکاريل آهي. هتي اسان پڻ ڏيکاريون ٿا مالي ڊپارٽمينٽ اڪائونٽس، مئنيجمينٽ ڊپارٽمينٽ MANAGEMENT ۽ سرور روم سرور روم.
تنهن ڪري، سيلز ڊپارٽمينٽ ۾ سئو ملازم هوندا، ۽ اسان نٿا چاهيون ته انهن مان ڪو به نيٽ ورڪ تي سرور روم تائين پهچي سگهي. هڪ استثنا سيلز مئنيجر لاءِ ڪيو ويو آهي جيڪو ڪم ڪري ٿو ليپ ٽاپ 2 ڪمپيوٽر تي - هو سرور روم تائين رسائي حاصل ڪري سگهي ٿو. ليپ ٽاپ 3 تي ڪم ڪندڙ نئين ملازم کي اهڙي پهچ نه هئڻ گهرجي، يعني جيڪڏهن سندس ڪمپيوٽر مان ٽريفڪ روٽر R2 تائين پهچي ٿي ته ان کي ڇڏڻ گهرجي.
ACL جو ڪردار ٽريفڪ کي فلٽر ڪرڻ لاءِ مقرر ڪيل فلٽرنگ پيٽرول جي مطابق آهي. انهن ۾ شامل آهي ماخذ IP پتي، منزل جو IP پتو، پروٽوڪول، بندرگاهن جو تعداد ۽ ٻيا پيٽرول، جنهن جي مهرباني توهان ٽرئفڪ جي سڃاڻپ ڪري سگهو ٿا ۽ ان سان ڪجهه ڪارناما وٺي سگهو ٿا.
تنهن ڪري، ACL OSI ماڊل جي هڪ پرت 3 فلٽرنگ ميڪانيزم آهي. هن جو مطلب آهي ته هن ميکانيزم routers ۾ استعمال ڪيو ويندو آهي. فلٽرنگ لاءِ بنيادي معيار ڊيٽا جي وهڪري جي سڃاڻپ آهي. مثال طور، جيڪڏهن اسان ليپ ٽاپ 3 ڪمپيوٽر سان گڏ ماڻهو کي سرور تائين پهچڻ کان روڪڻ چاهيون ٿا، سڀ کان پهريان اسان کي ان جي ٽرئفڪ جي سڃاڻپ ڪرڻ گهرجي. هي ٽريفڪ ليپ ٽاپ-Switch2-R2-R1-Switch1-Server1 جي هدايت ۾ هلندو آهي نيٽ ورڪ ڊوائيسز جي لاڳاپيل انٽرفيس ذريعي، جڏهن ته راؤٽرز جي G0/0 انٽرفيس جو ان سان ڪو به تعلق ناهي.
ٽرئفڪ جي سڃاڻپ ڪرڻ لاء، اسان کي ان جي رستي جي سڃاڻپ ڪرڻ گهرجي. ائين ڪرڻ کان پوء، اسان اهو فيصلو ڪري سگهون ٿا ته اسان کي فلٽر کي نصب ڪرڻ جي ضرورت آهي. پاڻ فلٽرن جي باري ۾ پريشان نه ٿيو، اسان انهن تي ايندڙ سبق ۾ بحث ڪنداسين، هاڻي اسان کي ان اصول کي سمجهڻ جي ضرورت آهي ته فلٽر کي ڪهڙي انٽرفيس تي لاڳو ڪيو وڃي.
جيڪڏهن توهان هڪ روٽر کي ڏسو، توهان ڏسي سگهو ٿا ته هر دفعي ٽرئفڪ هلندي آهي، اتي هڪ انٽرفيس آهي جتي ڊيٽا جي وهڪري ۾ اچي ٿي، ۽ هڪ انٽرفيس جنهن جي ذريعي اهو وهڪرو نڪرندو آهي.
هتي اصل ۾ 3 انٽرفيس آهن: ان پٽ انٽرفيس، آئوٽ پٽ انٽرفيس ۽ روٽر جو پنهنجو انٽرفيس. بس ياد رکو ته فلٽرنگ صرف ان پٽ يا آئوٽ انٽرفيس تي لاڳو ٿي سگهي ٿو.
ACL آپريشن جو اصول هڪ ايونٽ کي پاس ڪرڻ جي برابر آهي جنهن ۾ صرف اهي مهمان شرڪت ڪري سگهن ٿا جن جو نالو مدعو ٿيل ماڻهن جي لسٽ ۾ آهي. ACL قابليت جي ماپن جي هڪ فهرست آهي جيڪا ٽرئفڪ جي سڃاڻپ ڪرڻ لاءِ استعمال ڪئي ويندي آهي. مثال طور، هي فهرست ظاهر ڪري ٿو ته IP پتي 192.168.1.10 کان سڀني ٽرئفڪ جي اجازت ڏني وئي آهي، ۽ ٻين سڀني پتي کان ٽرئفڪ کي رد ڪيو ويو آهي. جيئن مون چيو، هي فهرست ٻنهي ان پٽ ۽ آئوٽ انٽرفيس تي لاڳو ٿي سگهي ٿو.
ACLs جا 2 قسم آھن: معياري ۽ وڌايو ويو. هڪ معياري ACL وٽ 1 کان 99 يا 1300 کان 1999 تائين هڪ سڃاڻپ ڪندڙ آهي. اهي صرف نالا آهن جيڪي هڪ ٻئي تي ڪو به فائدا نه آهن جيئن تعداد وڌائي ٿي. نمبر کان علاوه، توهان پنهنجو نالو تفويض ڪري سگهو ٿا ACL ڏانهن. توسيع ٿيل ACLs نمبر آهن 100 کان 199 يا 2000 کان 2699 ۽ انهن جو نالو پڻ هجي.
معياري ACL ۾، درجه بندي ٽريفڪ جي ماخذ IP پتي تي ٻڌل آهي. تنهن ڪري، جڏهن اهڙي فهرست استعمال ڪندي، توهان ڪنهن به ذريعن ڏانهن هدايت ڪيل ٽرئفڪ کي محدود نه ٿا ڪري سگهو، توهان صرف هڪ ڊوائيس مان پيدا ٿيندڙ ٽرئفڪ کي بلاڪ ڪري سگهو ٿا.
هڪ وڌايو ويو ACL ٽرئفڪ کي ماخذ IP پتي، منزل IP پتي، استعمال ٿيل پروٽوڪول، ۽ پورٽ نمبر ذريعي درجه بندي ڪري ٿو. مثال طور، توهان صرف ايف ٽي پي ٽرئفڪ کي بلاڪ ڪري سگهو ٿا، يا صرف HTTP ٽرئفڪ. اڄ اسين معياري ACL تي نظر ڪنداسين، ۽ اسان اڳتي وڌايو ويو وڊيو سبق کي وڌايون فهرستن لاء وقف ڪنداسين.
جيئن مون چيو، ACL شرطن جي هڪ فهرست آهي. توھان ھن لسٽ کي روٽر جي ايندڙ يا ٻاھرين انٽرفيس تي لاڳو ڪرڻ کان پوءِ، روٽر ھن لسٽ جي خلاف ٽريفڪ کي چيڪ ڪري ٿو، ۽ جيڪڏھن اھو لسٽ ۾ بيان ڪيل شرطن کي پورو ڪري ٿو، اھو فيصلو ڪري ٿو ته ڇا ھن ٽرئفڪ کي اجازت ڏيڻ يا رد ڪرڻ گھرجي. ماڻهو اڪثر ڪري روٽر جي ان پٽ ۽ آئوٽ انٽرفيس کي طئي ڪرڻ ۾ ڏکيائي محسوس ڪندا آهن، جيتوڻيڪ هتي ڪجھ به پيچيده ناهي. جڏهن اسان انڪمنگ انٽرفيس جي باري ۾ ڳالهايون ٿا، ته ان جو مطلب اهو آهي ته هن بندرگاهه تي صرف ايندڙ ٽرئفڪ کي ڪنٽرول ڪيو ويندو، ۽ روٽر ٻاهرئين ٽرئفڪ تي پابنديون لاڳو نه ڪندو. اهڙي طرح، جيڪڏهن اسان هڪ ايگريس انٽرفيس جي باري ۾ ڳالهائي رهيا آهيون، ان جو مطلب اهو آهي ته سڀئي ضابطا صرف ٻاهرئين ٽرئفڪ تي لاڳو ٿيندا، جڏهن ته هن بندرگاهه تي ايندڙ ٽرئفڪ کي بغير پابنديون قبول ڪيو ويندو. مثال طور، جيڪڏهن روٽر وٽ 2 بندرگاهن آهن: f0/0 ۽ f0/1، ته پوءِ ACL صرف f0/0 انٽرفيس ۾ داخل ٿيندڙ ٽرئفڪ تي، يا صرف f0/1 انٽرفيس مان نڪرڻ واري ٽرئفڪ تي لاڳو ڪيو ويندو. انٽرفيس f0/1 ۾ داخل ٿيڻ يا ڇڏڻ واري ٽريفڪ لسٽ کان متاثر نه ٿيندي.
تنهن ڪري، انٽرفيس جي ايندڙ يا ٻاهرئين طرف کان پريشان نه ٿيو، اهو مخصوص ٽرئفڪ جي هدايت تي منحصر آهي. تنهن ڪري، روٽر کان پوء ACL حالتن سان ملائڻ لاء ٽرئفڪ جي چڪاس ڪئي، اهو صرف ٻه فيصلا ڪري سگهي ٿو: ٽرئفڪ جي اجازت ڏيو يا ان کي رد ڪريو. مثال طور، توهان 180.160.1.30 لاءِ مقرر ٿيل ٽرئفڪ جي اجازت ڏئي سگهو ٿا ۽ 192.168.1.10 لاءِ مقرر ڪيل ٽرئفڪ کي رد ڪري سگهو ٿا. هر لسٽ ۾ ڪيترن ئي شرطن تي مشتمل ٿي سگھي ٿو، پر انهن مان هر هڪ شرطن کي اجازت ڏيڻ يا انڪار ڪرڻ گهرجي.
اچو ته اسان وٽ هڪ فهرست آهي:
منع ڪرڻ _______
اجازت ڏيو ________
اجازت ڏيو ________
منع ڪرڻ _________.
پهريون، روٽر ٽريفڪ کي چيڪ ڪندو ته اهو ڏسڻ لاءِ ته ڇا اهو پهرين شرط سان ملندو آهي؛ جيڪڏهن اهو نه ٿو ملي، اهو چيڪ ڪندو ٻيو شرط. جيڪڏهن ٽريفڪ ٽئين شرط سان ملي ٿي، روٽر چيڪ ڪرڻ بند ڪري ڇڏيندو ۽ ان کي لسٽ جي باقي حالتن سان مقابلو نه ڪندو. اهو "اجازت" عمل کي انجام ڏيندو ۽ ٽرئفڪ جي ايندڙ حصي کي جانچڻ لاءِ اڳتي وڌندو.
جيڪڏهن توهان ڪنهن به پيڪيٽ لاءِ ضابطو مقرر نه ڪيو آهي ۽ ٽريفڪ لسٽ جي سڀني لائينن مان گذري ٿي بغير ڪنهن شرط جي، اهو تباهه ٿي ويو آهي، ڇاڪاڻ ته هر ACL لسٽ ڊفالٽ طور تي ختم ٿي ويندي آهي ڪنهن به حڪم کي رد ڪريو - يعني رد ڪريو. ڪو به پيڪٽ، ڪنهن به قاعدن جي تحت نه گرڻ. اها حالت اثر وٺندي آهي جيڪڏهن فهرست ۾ گهٽ ۾ گهٽ هڪ قاعدو آهي، ٻي صورت ۾ ان جو ڪو اثر ناهي. پر جيڪڏهن پهرين لڪير ۾ داخلا رد 192.168.1.30 شامل آهي ۽ لسٽ ۾ هاڻي ڪي به شرط شامل نه آهن، ته پوءِ آخر ۾ هڪ ڪمانڊ پرمٽ هجڻ گهرجي، يعني ڪنهن به ٽريفڪ کي اجازت ڏيو سواءِ قاعدي جي منع ٿيل. ACL کي ترتيب ڏيڻ وقت غلطين کان بچڻ لاءِ توھان کي ھي حساب ۾ رکڻ گھرجي.
مان چاهيان ٿو ته توهان ASL لسٽ ٺاهڻ جو بنيادي قاعدو ياد رکو: معياري ASL کي جيترو ممڪن ٿي سگهي منزل جي ويجهو رکو، يعني ٽريفڪ جي وصول ڪندڙ ڏانهن، ۽ وڌايل ASL کي جيترو ممڪن ٿي سگهي ماخذ جي ويجهو رکو، يعني، ٽرئفڪ جي موڪليندڙ ڏانهن. اهي سسڪو سفارشون آهن، پر عملي طور تي اهي حالتون آهن جتي ٽرئفڪ جي ذريعن جي ويجهو هڪ معياري ACL رکڻ لاء وڌيڪ احساس پيدا ڪري ٿي. پر جيڪڏهن توهان امتحان دوران ACL جي مقرري جي ضابطن جي باري ۾ هڪ سوال ۾ اچو، Cisco جي سفارشن تي عمل ڪريو ۽ غير واضح طور تي جواب ڏيو: معيار منزل جي ويجهو آهي، وڌايو ويو ذريعو جي ويجهو.
هاڻي اچو ته هڪ معياري ACL جي نحو کي ڏسو. روٽر گلوبل ڪنفيگريشن موڊ ۾ ڪمانڊ نحو جا ٻه قسم آھن: کلاسک نحو ۽ جديد نحو.
کلاسک ڪمانڊ جو قسم آهي رسائي-لسٽ <ACL نمبر> <deny </allow> <criteria>. جيڪڏهن توهان <ACL نمبر> 1 کان 99 تائين سيٽ ڪريو ٿا، ڊوائيس خودڪار طريقي سان سمجهي ويندي ته هي هڪ معياري ACL آهي، ۽ جيڪڏهن اهو 100 کان 199 تائين آهي، پوء اهو هڪ وڌايو ويو آهي. جيئن ته اڄ جي سبق ۾ اسان هڪ معياري فهرست ڏسي رهيا آهيون، اسان 1 کان 99 تائين ڪو به نمبر استعمال ڪري سگهون ٿا. پوءِ اسان ان عمل جي نشاندهي ڪريون ٿا جيڪو لاڳو ڪرڻ جي ضرورت آهي جيڪڏهن پيرا ميٽر هيٺين معيار سان ملن ٿا - ٽرئفڪ جي اجازت ڏيو يا رد ڪريو. اسان ان معيار تي بعد ۾ غور ڪنداسين، ڇاڪاڻ ته اهو جديد نحو ۾ پڻ استعمال ٿيندو آهي.
جديد ڪمانڊ جو قسم Rx (config) گلوبل ڪنفيگريشن موڊ ۾ پڻ استعمال ڪيو ويندو آھي ۽ ھن طرح نظر اچي ٿو: ip access-list standard <ACL </name>. هتي توهان استعمال ڪري سگهو ٿا يا ته نمبر 1 کان 99 تائين يا ACL لسٽ جو نالو، مثال طور، ACL_Networking. هي حڪم فوري طور تي سسٽم کي Rx معياري موڊ ذيلي ڪمانڊ موڊ (config-std-nacl) ۾ رکي ٿو، جتي توهان کي داخل ٿيڻ گهرجي <deny/enable> <criteria>. جديد قسم جي ٽيمن ۾ کلاسک جي مقابلي ۾ وڌيڪ فائدا آهن.
هڪ کلاسک لسٽ ۾، جيڪڏهن توهان ٽائيپ ڪريو access-list 10 deny ______، ته پوءِ ٻئي معيار لاءِ ساڳئي قسم جو ايندڙ ڪمانڊ ٽائپ ڪريو، ۽ توهان 100 اهڙن حڪمن سان ختم ڪريو ٿا، پوءِ داخل ڪيل حڪمن مان ڪنهن کي به تبديل ڪرڻ لاءِ، توهان کي ڪرڻو پوندو. مڪمل رسائي لسٽ لسٽ 10 کي ڊليٽ ڪريو ڪمانڊ no access-list 10 سان. هي سڀ 100 ڪمانڊ ختم ڪري ڇڏيندو ڇو ته هن لسٽ ۾ ڪنهن به فرد ڪمانڊ کي ايڊٽ ڪرڻ جو ڪو طريقو ناهي.
جديد نحو ۾، ڪمانڊ ٻن لائينن ۾ ورهايل آهي، جن مان پهرين لسٽ نمبر تي مشتمل آهي. فرض ڪريو جيڪڏھن توھان وٽ آھي ھڪڙي فهرست رسائي-لسٽ معياري 10 انڪار ________، رسائي-لسٽ معيار 20 انڪار ________ وغيره، پوء توھان کي انھن جي وچ ۾ ٻين معيارن سان وچولي لسٽون داخل ڪرڻ جو موقعو آھي، مثال طور، رسائي-لسٽ معيار 15 انڪار ________ .
متبادل طور تي، توھان آسانيءَ سان رسائي لسٽ معياري 20 لائينن کي حذف ڪري سگھو ٿا ۽ انھن کي مختلف پيٽرولن سان ٻيهر ٽائيپ ڪري سگھو ٿا رسائي-لسٽ معياري 10 ۽ رسائي-لسٽ معياري 30 لائينن جي وچ ۾. اھڙي طرح، جديد ACL نحو کي تبديل ڪرڻ جا مختلف طريقا آھن.
ACLs ٺاهڻ وقت توھان کي ڏاڍي محتاط رھڻ جي ضرورت آھي. جيئن توهان ڄاڻو ٿا، فهرستون مٿي کان هيٺان پڙهيا ويندا آهن. جيڪڏهن توهان مٿي تي هڪ لڪير رکو ٿا جيڪا ڪنهن مخصوص ميزبان کان ٽرئفڪ جي اجازت ڏئي ٿي، پوءِ هيٺ توهان هڪ لڪير رکي سگهو ٿا جيڪا سڄي نيٽ ورڪ کان ٽريفڪ کي روڪي ٿي جنهن جو هي ميزبان حصو آهي، ۽ ٻنهي شرطن جي چڪاس ڪئي ويندي - ٽرئفڪ هڪ مخصوص ميزبان ڏانهن ويندي ذريعي اجازت ڏني ويندي، ۽ ٻين سڀني ميزبانن کان ٽرئفڪ کي بلاڪ ڪيو ويندو. تنهن ڪري، هميشه فهرست جي مٿئين حصي تي مخصوص داخلون رکو ۽ هيٺئين پاسي عام.
تنهن ڪري، توهان هڪ کلاسک يا جديد ACL ٺاهڻ کان پوء، توهان کي ان کي لاڳو ڪرڻ گهرجي. هن کي ڪرڻ لاء، توهان کي هڪ مخصوص انٽرفيس جي سيٽنگن ڏانهن وڃڻ جي ضرورت آهي، مثال طور، f0/0 ڪمانڊ انٽرفيس استعمال ڪندي <قسم ۽ سلاٽ>، انٽرفيس سب ڪمانڊ موڊ تي وڃو ۽ ڪمان داخل ڪريو ip access-group <ACL number/ نالو > . مھرباني ڪري نوٽ ڪريو فرق: جڏھن ھڪڙي فهرست کي گڏ ڪرڻ، ھڪڙي رسائي-لسٽ استعمال ڪئي ويندي آھي، ۽ جڏھن ان کي لاڳو ڪرڻ، ھڪڙي رسائي گروپ استعمال ڪيو ويندو آھي. توھان کي اھو طئي ڪرڻو پوندو ته ھي لسٽ ڪھڙي انٽرفيس تي لاڳو ٿيندي - ايندڙ انٽرفيس يا ٻاھر وڃڻ وارو انٽرفيس. جيڪڏهن لسٽ ۾ نالو آهي، مثال طور، نيٽورڪنگ، ساڳئي نالو هن انٽرفيس تي لسٽ لاڳو ڪرڻ لاء حڪم ۾ بار بار ڪيو ويو آهي.
ھاڻي اچو ھڪ خاص مسئلو وٺون ۽ ان کي حل ڪرڻ جي ڪوشش ڪريون اسان جي نيٽ ورڪ ڊاگرام جو مثال استعمال ڪندي Packet Tracer. تنهن ڪري، اسان وٽ 4 نيٽ ورڪ آهن: سيلز ڊپارٽمينٽ، اڪائونٽنگ ڊپارٽمينٽ، انتظام ۽ سرور روم.
ٽاسڪ نمبر 1: سيلز ۽ مالياتي ڊپارٽمنٽ کان مئنيجمينٽ ڊپارٽمينٽ ۽ سرور روم ڏانهن هدايت ڪيل سموري ٽرئفڪ کي بلاڪ ڪيو وڃي. بلاڪ ڪرڻ جو مقام روٽر R0 جو انٽرفيس S1/0/2 آهي. پهرين اسان کي هڪ فهرست ٺاهڻ گهرجي جنهن ۾ هيٺيون داخلون شامل آهن:
اچو ته لسٽ کي سڏين "انتظام ۽ سرور سيڪيورٽي ACL"، مختصر طور ACL Secure_Ma_And_Se. هن جي پٺيان آهي مالياتي ڊپارٽمينٽ نيٽ ورڪ 192.168.1.128/26 کان ٽرئفڪ کي منع ڪرڻ، سيلز ڊپارٽمينٽ نيٽ ورڪ 192.168.1.0/25 کان ٽرئفڪ کي منع ڪرڻ، ۽ ڪنهن ٻئي ٽرئفڪ جي اجازت ڏيڻ. لسٽ جي آخر ۾ اهو ظاهر ڪيو ويو آهي ته اهو روٽر R0 جي ٻاهرئين انٽرفيس S1/0/2 لاءِ استعمال ڪيو ويندو آهي. جيڪڏهن اسان وٽ لسٽ جي آخر ۾ ڪنهن به داخلا جي اجازت نه آهي، ته پوءِ ٻين سڀني ٽرئفڪ کي بلاڪ ڪيو ويندو ڇاڪاڻ ته ڊفالٽ ACL هميشه فهرست جي آخر ۾ ڪنهن به داخلا کي رد ڪرڻ تي مقرر ڪيو ويندو آهي.
ڇا مان هن ACL کي انٽرفيس G0/0 تي لاڳو ڪري سگهان ٿو؟ يقينن، مان ڪري سگهان ٿو، پر هن صورت ۾ صرف اڪائونٽنگ ڊپارٽمينٽ کان ٽرئفڪ کي روڪيو ويندو، ۽ سيلز ڊپارٽمينٽ کان ٽرئفڪ ڪنهن به طريقي سان محدود نه هوندي. ساڳئي طريقي سان، توهان G0/1 انٽرفيس تي ACL لاڳو ڪري سگهو ٿا، پر هن صورت ۾ فنانس ڊپارٽمينٽ ٽرئفڪ کي بلاڪ نه ڪيو ويندو. يقينن، اسان انهن انٽرفيس لاءِ ٻه الڳ بلاڪ لسٽون ٺاهي سگهون ٿا، پر انهن کي هڪ فهرست ۾ گڏ ڪرڻ ۽ ان کي روٽر R2 جي ان پٽ انٽرفيس يا روٽر R0 جي ان پٽ انٽرفيس S1/0/1 تي لاڳو ڪرڻ تمام گهڻو ڪارائتو آهي.
جيتوڻيڪ سسڪو ضابطن ۾ چيو ويو آهي ته هڪ معياري ACL کي ممڪن حد تائين منزل جي ويجهو رکيو وڃي، مان ان کي ٽرئفڪ جي ماخذ جي ويجهو رکندس ڇاڪاڻ ته مان سڀني ٻاهران ايندڙ ٽرئفڪ کي بلاڪ ڪرڻ چاهيان ٿو، ۽ اهو وڌيڪ سمجهه ۾ اچي ٿو ته اهو ڪرڻ جي ويجهو آهي. ذريعو ته جيئن هي ٽرئفڪ ٻن رستن جي وچ ۾ نيٽ ورڪ کي ضايع نه ڪري.
مان توهان کي معيار بابت ٻڌائڻ وساري چڪو آهيان، تنهنڪري اچو ته جلدي واپس وڃو. توھان وضاحت ڪري سگھو ٿا ڪنھن ھڪڙي معيار جي طور تي - ھن صورت ۾، ڪنھن بہ ڊوائيس کان ڪنھن ٽريفڪ ۽ ڪنھن نيٽ ورڪ کي رد يا اجازت ڏني ويندي. توھان پڻ ھڪڙي ميزبان کي ان جي سڃاڻپ ڪندڙ سان بيان ڪري سگھو ٿا - ھن صورت ۾، داخلا ھڪڙي مخصوص ڊوائيس جو IP پتو ھوندو. آخرڪار، توھان وضاحت ڪري سگھو ٿا ھڪڙو سڄو نيٽ ورڪ، مثال طور، 192.168.1.10/24. انهي صورت ۾، /24 جو مطلب ٿيندو 255.255.255.0 جي سب نيٽ ماسڪ جي موجودگي، پر ACL ۾ سب نيٽ ماسڪ جي IP پتي جي وضاحت ڪرڻ ناممڪن آهي. انهي صورت ۾، ACL هڪ تصور آهي وائلڊ ڪارٽ ماسڪ، يا "ريورس ماسڪ". تنهن ڪري توهان کي IP پتو ۽ واپسي ماسڪ بيان ڪرڻ گهرجي. ريورس ماسڪ هن طرح ڏسڻ ۾ اچي ٿو: توهان کي لازمي سب نيٽ ماسڪ کي عام سب نيٽ ماسڪ مان گھٽائڻو پوندو، اهو آهي، اڳتي وڌڻ واري ماسڪ ۾ آڪٽٽ قيمت سان لاڳاپيل نمبر 255 کان گھٽايو ويندو آهي.
تنهن ڪري، توهان کي استعمال ڪرڻ گهرجي پيٽرولر 192.168.1.10 0.0.0.255 ACL ۾ معيار جي طور تي.
اهو ڪيئن ڪم ڪري ٿو؟ جيڪڏهن موٽڻ واري ماسڪ آڪٽٽ ۾ 0 آهي، معيار کي سب نيٽ IP پتي جي لاڳاپيل آڪٽٽ سان ملائڻ لاءِ سمجهيو ويندو آهي. جيڪڏهن بيڪ ماسڪ آڪٽٽ ۾ هڪ نمبر آهي، ميچ چيڪ نه ڪيو ويو آهي. اهڙيءَ طرح، 192.168.1.0 جي نيٽ ورڪ ۽ 0.0.0.255 جي ريٽرن ماسڪ لاءِ، سڀني ٽريفڪ جي ايڊريس جن جي پهرين ٽي آڪٽيٽ 192.168.1 جي برابر آهن.، چوٿين آڪٽٽ جي قيمت جي لحاظ کان، بلاڪ ڪيو ويندو يا اجازت ڏني ويندي. بيان ڪيل عمل.
ريورس ماسڪ استعمال ڪرڻ آسان آهي، ۽ اسان ايندڙ وڊيو ۾ وائلڊ ڪارٽ ماسڪ تي واپس وينداسين ته جيئن آئون وضاحت ڪري سگهان ته ان سان ڪيئن ڪم ڪجي.
28:50 منٽ
اسان سان گڏ رهڻ لاء توهان جي مهرباني. ڇا توهان اسان جا مضمون پسند ڪندا آهيو؟ وڌيڪ دلچسپ مواد ڏسڻ چاهيو ٿا؟ آرڊر ڏيڻ يا دوستن کي سفارش ڪندي اسان جي مدد ڪريو، 30% رعايت Habr استعمال ڪندڙن لاءِ انٽري ليول سرورز جي هڪ منفرد اينالاگ تي، جيڪا اسان توهان لاءِ ايجاد ڪئي هئي: (RAID1 ۽ RAID10 سان دستياب آهي، 24 ڪور تائين ۽ 40GB DDR4 تائين).
ڊيل R730xd 2 ڀيرا سستا؟ صرف هتي هالينڊ ۾! ڊيل R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - $99 کان! جي باري ۾ پڙهو
جو ذريعو: www.habr.com