Maanta waxaan bilaabi doonaa barashada liiska xakameynta gelitaanka ACL, mowduucan wuxuu qaadan doonaa 2 cashar oo muuqaal ah. Waxaan eegi doonaa qaabeynta ACL caadiga ah, iyo casharka fiidiyowga soo socda waxaan ka hadli doonaa liiska la dheereeyay.
Casharkaan waxaan kusoo qaadan doonaa 3 mowduuc. Midda koowaad waa waxa ACL yahay, tan labaad waa maxay farqiga u dhexeeya heerka caadiga ah iyo liiska gelitaanka la dheereeyey, dhammaadka casharka, shaybaar ahaan, waxaan eegi doonaa dejinta heerka ACL iyo xallinta dhibaatooyinka suurtagalka ah.
Haddaba waa maxay ACL? Haddii aad koorsada ka baratay casharkii ugu horreeyay ee fiidiyooga ah, markaa waxaad xasuusataa sida aan u habeynay xiriirka u dhexeeya aaladaha shabakadaha kala duwan.
Waxa kale oo aanu barannay hab-socodka joogtada ah ee hab-maamuuska kala duwan si aan u kasbano xirfado habaynta xidhiidhka ka dhexeeya aaladaha iyo shabakadaha. Waxaan hadda gaadhnay heerkii waxbarasho halkaas oo aan ka walaacsanahay hubinta xakamaynta taraafikada, taas oo ah, ka hortagga "koonka xun" ama isticmaalayaasha aan la oggolayn inay soo galaan shabakadda. Tusaale ahaan, tani waxay khusayn kartaa dadka ka socda waaxda iibka IIBKA, kaas oo lagu sawiray jaantuskan. Halkan waxaan sidoo kale ku tusaynaa xisaabaadka waaxda maaliyadda, maamulka waaxda maaraynta iyo qolka server-ka SERVER Room.
Markaa, waaxda iibka ayaa laga yaabaa inay lahaato boqol shaqaale ah, mana rabno in midkoodna awood u yeesho inuu gaadho qolka serverka ee shabakada. Waxa ka reebban maamulaha iibka ee ka shaqeeya kombuyuutarka Laptop2 - wuxuu geli karaa qolka server-ka. Shaqaale cusub oo ka shaqeeya Laptop3 waa in aanu heli karin, taasi waa, haddii taraafikada kombuyuutarkiisu gaadho router R2, waa in meesha laga saaraa.
Doorka ACL waa inuu sifeeyo taraafikada iyadoo loo eegayo cabbirrada shaandhaynta ee la cayimay. Waxay ka mid yihiin ciwaanka IP-ga ee isha, ciwaanka IP-ga loo socdo, borotokoolka, tirada dekedaha iyo cabirrada kale, taas oo ay ugu mahadcelinayaan taas oo aad ku aqoonsan karto taraafikada oo aad ku dhaqaaqdo talaabooyinka qaarkood.
Marka, ACL waa lakabka 3 habka shaandhaynta qaabka OSI. Tani waxay ka dhigan tahay in habkan loo isticmaalo router. Shuruudda ugu weyn ee shaandhaynta waa aqoonsiga qulqulka xogta. Tusaale ahaan, haddii aan rabno inaan ka xannibno ninka haysta kombuyuutarka Laptop3 inuu galo server-ka, marka hore waa inaan aqoonsannaa taraafikada. Taraafikadani waxay u socotaa jihada Laptop-Switch2-R2-R1-Switch1-Server1 iyada oo loo marayo isdhexgalka u dhigma ee qalabka shabakada, halka G0/0 interfaces ee router aysan wax shaqo ah ku lahayn.
Si loo aqoonsado taraafikada, waa inaan aqoonsannaa jidkeeda. Markaan tan samaynay, waxaan go'aansan karnaa meesha saxda ah ee aan ugu baahanahay inaan ku rakibno shaandhada. Ha ka welwelin filtarrada laftooda, waxaan kaga hadli doonaa casharka xiga, hadda waxaan u baahanahay inaan fahamno mabda'a interface-ka filterka lagu dabaqayo.
Haddii aad eegto router, waxaad arki kartaa in mar kasta oo gaadiidku dhaqaaqo, uu jiro interface ah oo qulqulka xogta ka soo galo, iyo interface kaas oo socodkani ka soo baxo.
Dhab ahaantii waxa jira 3 interfaces: Interface-ka wax-soo-gelinta, Interface-ka wax-soo-saarka iyo is-dhex-galka router-ka. Kaliya xasuusnoow in shaandhaynta lagu dabaqi karo oo keliya is-dhexgalka ama wax-soo-saarka.
Mabda'a hawlgalka ACL waxa uu la mid yahay ka gudbida dhacdo ay ka soo qaybgeli karaan oo keliya martida magacoodu ku jiro liiska dadka la casuumay. ACL waa liiska cabbirrada u-qalmitaanka ee loo isticmaalo in lagu aqoonsado taraafikada. Tusaale ahaan, liiskani wuxuu muujinayaa in dhammaan taraafikada laga oggol yahay cinwaanka IP-ga 192.168.1.10, iyo gaadiidka dhammaan ciwaannada kale waa la diiday. Sida aan sheegay, liiskan waxaa lagu dabaqi karaa labadaba wax-soo-gelinta iyo wax-soo-saarka.
Waxaa jira 2 nooc oo ACLs ah: kuwa caadiga ah iyo kuwa la fidiyay. Heerka ACL wuxuu leeyahay aqoonsi laga bilaabo 1 ilaa 99 ama laga bilaabo 1300 ilaa 1999. Kuwani waa liis magacyo ah oo aan wax faa'iido ah ka helin midba midka kale marka tirooyinka sii kordhayaan. Lambarka ka sokow, waxaad magacaaga ku meelayn kartaa ACL. ACL-yada la dheereeyey waxa lagu tiriyaa 100 ilaa 199 ama 2000 ilaa 2699 waxa kale oo laga yaabaa inay magac leeyihiin.
Heerka ACL, kala soocida waxay ku saleysan tahay isha IP ciwaanka taraafikada. Sidaa darteed, marka aad isticmaalayso liiska noocaas ah, ma xaddidi kartid taraafikada ku wajahan meel kasta, kaliya waxaad xannibi kartaa taraafikada ka imanaysa aaladda.
ACL la dheereeyey waxay u kala saartaa taraafikada isha IP-ga, ciwaanka IP-ga loo socdo, borotokoolka la isticmaalo, iyo lambarka dekedda. Tusaale ahaan, waxaad xannibi kartaa kaliya taraafikada FTP, ama kaliya taraafikada HTTP. Maanta waxaan eegi doonaa heerka caadiga ah ee ACL, waxaanan u goyn doonaa casharka fiidiyowga soo socda liisaska la dheereeyey.
Sidaan sheegay, ACL waa liis shuruudo ah. Ka dib marka aad liiskan geliso router-ka interface-ka soo galaya ama ka baxaya, router-ku wuxuu hubinayaa taraafikada liiskan, haddii uu buuxiyo shuruudaha ku xusan liiska, wuxuu go'aansadaa inuu ogolaado ama diido gaadiidkan. Dadku inta badan way ku adag tahay in la go'aamiyo is-dhexgalka iyo wax-soo-saarka router-ka, inkastoo aysan jirin wax adag halkan. Marka aan ka hadalno interface-ka soo galaya, tani waxay ka dhigan tahay in kaliya taraafikada soo galaya lagu xakameyn doono dekeddan, router-ku ma isticmaali doono xannibaado gaadiidka baxaya. Sidoo kale, haddii aan ka hadleyno interface egress ah, tani waxay ka dhigan tahay in dhammaan sharciyada lagu dabaqi doono oo kaliya gaadiidka baxaya, halka taraafikada soo socota ee dekeddan la aqbali doono iyada oo aan xaddidneyn. Tusaale ahaan, haddii router uu leeyahay 2 dekedood: f0/0 iyo f0/1, markaas ACL waxaa lagu dabaqi doonaa oo kaliya taraafikada galaya f0/0 interface, ama kaliya taraafikada ka soo jeeda f0/1 interface. Gaadiidka gelaya ama ka baxaya interface f0/1 ma saameyn doono liiska.
Sidaa darteed, ha ku jahwareerin jihada soo socota ama ka baxaysa ee interface, waxay kuxirantahay jihada taraafikada gaarka ah. Markaa, ka dib marka uu routerku hubiyo taraafikada si uu u waafajiyo shuruudaha ACL, wuxuu samayn karaa laba go'aan oo kaliya: oggolow taraafikada ama diido. Tusaale ahaan, waxaad u oggolaan kartaa taraafikada loo qoondeeyay 180.160.1.30 waxaadna diidi kartaa taraafikada loo qoondeeyay 192.168.1.10. Liis kastaa wuxuu ka koobnaan karaa shuruudo badan, laakiin mid kasta oo shuruudahan ka mid ah waa inuu oggolaadaa ama diidaa.
Aynu nidhaahno waxaanu haynaa liis:
Mamnuuc ______
Allow ____
Allow ____
Mamnuuc _____.
Marka hore, router-ku wuxuu hubin doonaa taraafikada si uu u eego haddii ay ku habboon tahay shuruudaha koowaad; haddii aysan ku habboonayn, wuxuu hubin doonaa xaaladda labaad. Haddii taraafku u dhigmayo shuruudaha saddexaad, router-ku wuu joojin doonaa hubinta mana la barbar dhigi doono shuruudaha liiska intiisa kale. Waxay fulin doontaa ficilka "ogolow" waxayna u gudbi doontaa hubinta qaybta xigta ee taraafikada.
Haddii ay dhacdo inaadan xeer u dejin baakidh kasta oo taraafikada ay maraan dhammaan khadadka liiska adoon garaacin mid ka mid ah shuruudaha, waa la burburiyaa, sababtoo ah liis kasta oo ACL ah wuxuu ku dhamaanayaa diidmada amar kasta - taas oo ah, tuur. baakidh kasta, oo aan hoos imanayn mid ka mid ah xeerarka. Xaaladdani waxay dhaqan galaysaa haddii uu jiro ugu yaraan hal sharci oo liiska ku jira, haddii kale wax saamayn ah kuma yeelanayso. Laakiin haddii xariiqda ugu horreysa ay ka kooban tahay diidmada gelitaanka 192.168.1.30 oo liisku aanu hadda ku jirin wax shuruudo ah, markaa dhammaadka waa in la oggolaadaa amar kasta, taas oo ah, u oggolow taraafikada kasta marka laga reebo kuwa mamnuucaya qaanuunka. Waa inaad tan xisaabta ku dartaa si aad uga fogaato khaladaadka marka la habeynayo ACL.
Waxaan rabaa inaad xasuusato xeerka aasaasiga ah ee abuurista liiska ASL: dhig heerka ASL sida ugu dhow ee suurtogalka ah meesha loo socdo, taas oo ah, qaataha taraafikada, iyo meel dheer oo ASL ah sida ugu dhow ee suurtogalka ah, taas oo ah, u diraya gaadiidka. Kuwani waa talooyinka Cisco, laakiin ficil ahaan waxaa jira xaalado ay macno badan samaynayso in la dhigo heerka ACL meel u dhow isha taraafikada. Laakin haddii aad la kulanto su'aal ku saabsan xeerarka meeleynta ACL inta lagu jiro imtixaanka, raac talooyinka Cisco oo si aan mugdi ku jirin uga jawaab: halbeeggu wuxuu ku dhow yahay meesha loo socdo, ballaarinta ayaa u dhow isha.
Hadda aan eegno ereyga caadiga ah ee ACL. Waxaa jira laba nooc oo amar ah oo ku jira habka qaabeynta caalamiga ah ee router: syntax classic iyo syntax casriga ah.
Nooca amarka caadiga ah waa liiska gelitaanka <ACL number> < diidmo/ogolaan> <shuruudaha>. Haddii aad dejiso <ACL number> laga bilaabo 1 ilaa 99, qalabku wuxuu si toos ah u fahmi doonaa in tani ay tahay heerka ACL, haddii ay tahay 100 ilaa 199, markaa waa mid la dheereeyey. Tan iyo casharka maanta waxaan eegaynaa liiska caadiga ah, waxaan isticmaali karnaa lambar kasta laga bilaabo 1 ilaa 99. Kadibna waxaan muujineynaa ficilka loo baahan yahay in lagu dabaqo haddii cabbiradu ay ku habboon yihiin shuruudaha soo socda - oggolow ama diido gaadiidka. Waxaan tixgelin doonaa cabbirka dambe, maadaama ay sidoo kale loo isticmaalo syntax casriga ah.
Nooca amarka casriga ah waxaa sidoo kale loo isticmaalaa qaabka qaabeynta caalamiga ah ee Rx (config) oo u eg sidan: ip access-list standard <ACL number/name>. Halkan waxaad isticmaali kartaa mid ka mid ah lambar laga bilaabo 1 ilaa 99 ama magaca liiska ACL, tusaale ahaan, ACL_Networking. Amarkan isla markiiba wuxuu nidaamka gelinayaa habka caadiga ah ee Rx qaabka amar-hoosaadka (config-std-nacl), halkaas oo ay tahay inaad geliso <deny/enable> <shuruudaha>. Nooca casriga ah ee kooxaha ayaa leh faa'iidooyin badan marka loo eego midka caadiga ah.
Liiska caadiga ah, haddii aad ku qorto liiska gelitaanka 10 deny ______, ka dib ku qor amarka soo socda ee isla noocaan ah si aad u heshid shuruudo kale, oo aad ku dhamaato 100 amaradaas, ka dib si aad u bedesho mid ka mid ah amarada la soo galiyay, waxaad u baahan doontaa inaad tirtir dhammaan liiska gelitaanka liiska 10 oo leh amar aan lahayn liis-helitaan 10. Tani waxay tirtiri doontaa dhammaan 100ka amar sababtoo ah ma jirto si loo tafatiro amar kasta oo liiskan ah.
Syntax casriga ah, amarku wuxuu u qaybsan yahay laba sadar, oo kan ugu horreeya uu ka kooban yahay lambarka liiska. Ka soo qaad haddii aad haysato liiska gelitaanka liiska heerka 10 diiday ________, heerka gelitaanka heerka 20 diid ________ iyo wixii la mid ah, markaa waxaad fursad u haysataa inaad geliso liisaska dhexe oo leh shuruudo kale oo u dhexeeya, tusaale ahaan, liiska gelitaanka heerka 15 diiday ________ .
Haddii kale, waxaad si fudud u tirtiri kartaa jaangooyooyinka 20-ka ee liiska gelitaanka oo aad dib ugu dhejin kartaa cabbirro kala duwan oo u dhexeeya heerka-helitaanka heerka 10 iyo liiska gelitaanka heerka 30. Sidaa darteed, waxaa jira siyaabo kala duwan oo loo saxo ereyga casriga ah ee ACL.
Waxaad u baahan tahay inaad aad uga taxadarto markaad abuureyso ACLs. Sida aad ogtahay, liiska kor ilaa hoos ayaa loo akhriyaa. Haddii aad dhigto xariiqda sare ee u oggolaanaysa taraafikada martigeliyaha gaarka ah, markaa hoos waxaad dhigi kartaa xariiq ka mamnuucaya taraafikada shabakadda oo dhan oo martigeliyahani ka mid yahay, labada shuruudoodna waa la hubin doonaa - taraafikada martigeliyaha gaarka ah waa la ogolyahay in la dhex maro, oo taraafikada dhamaan martigaliyayaasha kale shabakadan waa la xannibi doonaa. Sidaa darteed, had iyo jeer geli qoraallo gaar ah xagga sare ee liiska iyo kuwa guud xagga hoose.
Marka, ka dib markaad abuurto ACL classic ama casriga ah, waa inaad dalbataa. Si tan loo sameeyo, waxaad u baahan tahay inaad tagto goobaha interface interface gaar ah, tusaale ahaan, f0/0 adigoo isticmaalaya interface-ka <nooca iyo booska>, tag habka amar-hoosaadka interface oo geli amarka ip-ga ee kooxda <ACL number/ magaca > . Fadlan ogow farqiga u dhexeeya: marka liiska la ururinayo, liiska gelitaanka ayaa la isticmaalaa, iyo marka la adeegsanayo, koox-helid ayaa la isticmaalaa. Waa inaad go'aansatid interface ka liiskan lagu dabaqi doono - interface-ka soo socda ama interface ka baxaya. Haddii liisku leeyahay magac, tusaale ahaan, Isku-xidhka, isla magaca ayaa lagu soo celiyaa amarka si loogu dabaqo liiska interface-kan.
Hadda aynu soo qaadano dhibaato gaar ah oo aynu isku dayno in aynu xalino inagoo adeegsanayna tusaalaha jaantuska shabakadayada annagoo adeegsanayna Xidhmada Tracer. Markaa, waxaan leenahay 4 shabakadood: waaxda iibka, waaxda xisaabaadka, maamulka iyo qolka serverka.
Hawsha 1-aad: dhammaan gaadiidka laga hagayo waaxaha iibka iyo maaliyadda ilaa waaxda maamulka iyo qolka server-ka waa in la xannibaa. Goobta xannibaadu waa interface S0/1/0 ee router R2. Marka hore waa in aan abuurnaa liis ka kooban waxyaabaha soo socda:
Aan u yeerno liiska "Maareynta iyo Amniga Adeegga ACL", oo loo soo gaabiyo ACL Secure_Ma_And_Se. Tan waxaa ku xiga ka mamnuucidda taraafikada shabakadda waaxda maaliyadda 192.168.1.128/26, ka mamnuucidda taraafikada shabakadda waaxda iibka 192.168.1.0/25, iyo oggolaanshaha taraafikada kale. Dhammaadka liiska waxaa lagu tilmaamay in loo isticmaalo interface ka baxaya S0/1/0 ee router R2. Haddii aanaan haysan Ogolaansho Gelitaan kasta dhamaadka liiska, markaas dhammaan taraafikada kale waa la xannibi doonaa sababtoo ah ACL-ga caadiga ah ayaa had iyo jeer loo dejiyaa Diiditaanka Gelitaan kasta dhamaadka liiska.
Ma codsan karaa ACL-kan interface G0/0? Dabcan, waan awoodaa, laakiin kiiskan kaliya taraafikada waaxda xisaabaadka ayaa la xannibi doonaa, taraafikada waaxda iibka ma xaddidi doonto sinaba. Si la mid ah, waxaad codsan kartaa ACL interface G0/1, laakiin kiiskan gaadiidka waaxda maaliyadda lama xannibi doono. Dabcan, waxaan u abuuri karnaa laba liis oo kala duwan oo kala duwan oo loogu talagalay is-dhexgalkaas, laakiin aad bay u fiican tahay in la isku daro hal liis oo lagu dabaqo isdhexgalka wax soo saarka ee router R2 ama interface interface S0/1/0 ee router R1.
Inkasta oo xeerarka Cisco ay sheegaan in ACL-ga caadiga ah la dhigo meel u dhow meesha ugu macquulsan, waxaan ku dhejin doonaa meel u dhow isha taraafikada sababtoo ah waxaan rabaa in aan xannibo dhammaan taraafikada baxaya, waxayna macno dheeraad ah samaynaysaa in tan loo sii dhawaado isha si aanay taraafikadani u lumin isku-xidhka labada router.
Waxaan hilmaamay inaan kuu sheego shuruudaha, ee aan dhaqso u laabanno. Waxaad u cayimi kartaa mid kasta oo shuruud ah - kiiskan, taraafikada aalad kasta iyo shabakad kasta waa la diidi doonaa ama waa la ogolaan doonaa. Waxaad sidoo kale qeexi kartaa martigeliyaha aqoonsigiisa - kiiskan, gelitaanku wuxuu noqon doonaa ciwaanka IP-ga ee qalab gaar ah. Ugu dambeyntii, waxaad cayimi kartaa shabakad dhan, tusaale ahaan, 192.168.1.10/24. Xaaladdan oo kale, / 24 waxay ka dhigan tahay joogitaanka maaskaro-hoosaadka 255.255.255.0, laakiin suurtagal maaha in la qeexo cinwaanka IP-ga ee maaskarada subnet-ka ee ACL. Xaaladdan oo kale, ACL waxay leedahay fikrad la yiraahdo Maaskarada Wildcart, ama "maaskaro gadaasha". Markaa waa inaad sheegtaa ciwaanka IP-ga iyo waji-xidhka soo celinta. Maaskarada gadaaladu waxay u egtahay sidan: waa inaad ka jartaa maaskarada subnet-ka tooska ah ee maaskarada guud, taas oo ah, tirada u dhiganta qiimaha octet ee maaskarada hore ayaa laga jaray 255.
Sidaa darteed, waa inaad isticmaashaa halbeegga 192.168.1.10 0.0.0.255 sida cabbirka ACL.
Sidee u shaqeysaa? Haddii uu jiro 0 ee maaskaro dib u celinta octet, cabirka waxaa loo arkaa inuu ku habboon yahay octet-ka u dhigma ee ciwaanka hoose ee IP-ga. Haddii uu jiro nambar ku yaal dhabarka dambe ee octet, ciyaarta lama hubin. Sidaa darteed, shabakad 192.168.1.0 ah iyo maaskaro soo celin ah 0.0.0.255, dhammaan taraafikada ciwaannada saddexda octets ee ugu horreeya ay la mid yihiin 192.168.1., iyadoon loo eegin qiimaha octet-ka afraad, waa la xannibi doonaa ama waa la ogolaan doonaa iyadoo ku xiran tahay ficilka la cayimay.
Isticmaalka maaskaro gadaasha ah waa sahlan tahay, waxaana ku soo laaban doonaa Maaskarada Wildcart fiidyaha soo socda si aan u sharaxo sida loogu shaqeeyo.
28:50 daqiiqo
Waad ku mahadsan tahay inaad nala joogto. Ma jeceshahay maqaalladayada? Ma doonaysaa inaad aragto wax badan oo xiiso leh? Nagu taageer adigoo dalbanaya amar ama kula talinaya asxaabta, 30% qiimo dhimis isticmaalayaasha Habr analooga u gaarka ah ee server-yada heerka gelitaanka, kaas oo anaga aan adiga kuu hindisay: (waxaa laga heli karaa RAID1 iyo RAID10, ilaa 24 cores iyo ilaa 40GB DDR4).
Dell R730xd 2 jeer ka jaban? Kaliya halkan Nederlaan! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - laga bilaabo $99! Wax ka akhri
Source: www.habr.com