Leo tutaanza kujifunza kuhusu orodha ya udhibiti wa upatikanaji wa ACL, mada hii itachukua masomo 2 ya video. Tutaangalia usanidi wa ACL ya kawaida, na katika mafunzo ya video inayofuata nitazungumzia kuhusu orodha iliyopanuliwa.
Katika somo hili tutashughulikia mada 3. Ya kwanza ni ACL ni nini, ya pili ni tofauti gani kati ya kiwango na orodha iliyopanuliwa ya ufikiaji, na mwisho wa somo, kama maabara, tutaangalia kuweka ACL ya kawaida na kutatua shida zinazowezekana.
Kwa hivyo ACL ni nini? Ikiwa ulisoma kozi kutoka kwa somo la kwanza la video, basi unakumbuka jinsi tulivyopanga mawasiliano kati ya vifaa mbalimbali vya mtandao.
Pia tulisoma uelekezaji tuli juu ya itifaki mbalimbali ili kupata ujuzi wa kupanga mawasiliano kati ya vifaa na mitandao. Sasa tumefikia hatua ya kujifunza ambapo tunapaswa kuwa na wasiwasi kuhusu kuhakikisha udhibiti wa trafiki, yaani, kuzuia "watu wabaya" au watumiaji wasioidhinishwa kupenya mtandao. Kwa mfano, hii inaweza kuwahusu watu kutoka idara ya mauzo ya MAUZO, ambayo imeonyeshwa kwenye mchoro huu. Hapa pia tunaonyesha AKAUNTI za idara ya fedha, idara ya usimamizi USIMAMIZI na chumba cha seva SERVER ROOM.
Kwa hivyo, idara ya mauzo inaweza kuwa na wafanyikazi mia moja, na hatutaki yeyote kati yao aweze kufikia chumba cha seva kupitia mtandao. Isipokuwa ni kwa meneja wa mauzo ambaye anafanya kazi kwenye kompyuta ya Laptop2 - anaweza kupata chumba cha seva. Mfanyakazi mpya anayefanya kazi kwenye Laptop3 haipaswi kuwa na upatikanaji huo, yaani, ikiwa trafiki kutoka kwa kompyuta yake hufikia router R2, inapaswa kuachwa.
Jukumu la ACL ni kuchuja trafiki kulingana na vigezo maalum vya kuchuja. Zinajumuisha anwani ya IP ya chanzo, anwani ya IP lengwa, itifaki, idadi ya bandari na vigezo vingine, shukrani ambayo unaweza kutambua trafiki na kuchukua hatua nayo.
Kwa hivyo, ACL ni safu ya 3 ya kuchuja utaratibu wa mfano wa OSI. Hii ina maana kwamba utaratibu huu hutumiwa katika routers. Kigezo kikuu cha kuchuja ni kitambulisho cha mkondo wa data. Kwa mfano, ikiwa tunataka kumzuia mtu aliye na kompyuta ya Laptop3 kufikia seva, kwanza kabisa lazima tutambue trafiki yake. Trafiki hii inasonga kuelekea Laptop-Switch2-R2-R1-Switch1-Server1 kupitia miingiliano inayolingana ya vifaa vya mtandao, wakati miingiliano ya G0/0 ya vipanga njia haina uhusiano wowote nayo.
Ili kutambua trafiki, lazima tutambue njia yake. Baada ya kufanya hivi, tunaweza kuamua ni wapi tunahitaji kusakinisha kichungi. Usijali kuhusu vichungi wenyewe, tutajadili katika somo linalofuata, kwa sasa tunahitaji kuelewa kanuni ambayo kiolesura kinapaswa kutumika.
Ikiwa unatazama router, unaweza kuona kwamba kila wakati trafiki inakwenda, kuna interface ambapo mtiririko wa data unakuja, na interface ambayo mtiririko huu unatoka.
Kwa kweli kuna miingiliano 3: kiolesura cha ingizo, kiolesura cha pato na kiolesura cha kipanga njia. Kumbuka tu kwamba uchujaji unaweza kutumika tu kwa kiolesura cha ingizo au pato.
Kanuni ya uendeshaji wa ACL ni sawa na kupita kwa tukio ambalo linaweza kuhudhuriwa tu na wale wageni ambao jina lao liko kwenye orodha ya watu walioalikwa. ACL ni orodha ya vigezo vya kufuzu ambavyo hutumiwa kutambua trafiki. Kwa mfano, orodha hii inaonyesha kuwa trafiki yote inaruhusiwa kutoka kwa anwani ya IP 192.168.1.10, na trafiki kutoka kwa anwani nyingine zote imekataliwa. Kama nilivyosema, orodha hii inaweza kutumika kwa kiolesura cha pembejeo na pato.
Kuna aina 2 za ACL: za kawaida na zilizopanuliwa. ACL ya kawaida ina kitambulisho kutoka 1 hadi 99 au kutoka 1300 hadi 1999. Haya ni majina ya orodha ambayo hayana faida yoyote juu ya kila mmoja kadiri nambari inavyoongezeka. Mbali na nambari, unaweza kukabidhi jina lako kwa ACL. ACL zilizopanuliwa zina nambari 100 hadi 199 au 2000 hadi 2699 na pia zinaweza kuwa na jina.
Katika ACL ya kawaida, uainishaji unategemea anwani ya IP ya chanzo ya trafiki. Kwa hivyo, unapotumia orodha kama hiyo, huwezi kuzuia trafiki inayoelekezwa kwa chanzo chochote, unaweza tu kuzuia trafiki inayotokana na kifaa.
ACL iliyopanuliwa huainisha trafiki kulingana na anwani ya IP ya chanzo, anwani ya IP lengwa, itifaki inayotumika na nambari ya mlango. Kwa mfano, unaweza kuzuia trafiki ya FTP pekee, au trafiki ya HTTP pekee. Leo tutaangalia ACL ya kawaida, na tutatoa somo la video linalofuata kwa orodha zilizopanuliwa.
Kama nilivyosema, ACL ni orodha ya masharti. Baada ya kutumia orodha hii kwenye kiolesura cha kipanga njia kinachoingia au kinachotoka, kipanga njia hukagua trafiki dhidi ya orodha hii, na ikiwa inakidhi masharti yaliyowekwa kwenye orodha, huamua kuruhusu au kukataa trafiki hii. Watu mara nyingi hupata ugumu wa kuamua miingiliano ya pembejeo na matokeo ya kipanga njia, ingawa hakuna chochote ngumu hapa. Tunapozungumzia interface inayoingia, hii ina maana kwamba trafiki inayoingia tu itadhibitiwa kwenye bandari hii, na router haitatumia vikwazo kwa trafiki inayotoka. Vile vile, ikiwa tunazungumzia juu ya interface ya egress, hii ina maana kwamba sheria zote zitatumika tu kwa trafiki inayotoka, wakati trafiki inayoingia kwenye bandari hii itakubaliwa bila vikwazo. Kwa mfano, ikiwa kipanga njia kina bandari 2: f0/0 na f0/1, basi ACL itatumika tu kwa trafiki inayoingia kwenye kiolesura cha f0/0, au tu kwa trafiki inayotoka kwenye kiolesura cha f0/1. Trafiki inayoingia au kutoka kiolesura cha f0/1 haitaathiriwa na orodha.
Kwa hiyo, usichanganyike na mwelekeo unaoingia au unaotoka wa interface, inategemea mwelekeo wa trafiki maalum. Kwa hiyo, baada ya router kuangalia trafiki kwa kufanana na hali ya ACL, inaweza kufanya maamuzi mawili tu: kuruhusu trafiki au kukataa. Kwa mfano, unaweza kuruhusu trafiki inayolengwa kwa 180.160.1.30 na kukataa trafiki inayolengwa kwa 192.168.1.10. Kila orodha inaweza kuwa na masharti mengi, lakini kila moja ya masharti haya lazima kuruhusu au kukataa.
Wacha tuseme tunayo orodha:
Piga marufuku _______
Ruhusu ________
Ruhusu ________
Piga marufuku _______.
Kwanza, router itaangalia trafiki ili kuona ikiwa inafanana na hali ya kwanza; ikiwa hailingani, itaangalia hali ya pili. Ikiwa trafiki inalingana na hali ya tatu, router itaacha kuangalia na haitailinganisha na hali zingine za orodha. Itafanya kitendo cha "ruhusu" na kuendelea na kuangalia sehemu inayofuata ya trafiki.
Ikiwa haujaweka sheria kwa pakiti yoyote na trafiki hupitia mistari yote ya orodha bila kugonga masharti yoyote, inaharibiwa, kwa sababu kila orodha ya ACL kwa chaguo-msingi inaisha na kukataa amri yoyote - ambayo ni, tupa. pakiti yoyote, si kuanguka chini ya yoyote ya sheria. Hali hii huanza kutumika ikiwa kuna angalau sheria moja katika orodha, vinginevyo haina athari. Lakini ikiwa mstari wa kwanza una kuingia kukataa 192.168.1.30 na orodha haina tena masharti yoyote, basi mwishoni kunapaswa kuwa na kibali cha amri yoyote, yaani, kuruhusu trafiki yoyote isipokuwa ile iliyokatazwa na sheria. Lazima uzingatie hili ili kuepuka makosa wakati wa kusanidi ACL.
Nataka ukumbuke kanuni ya msingi ya kuunda orodha ya ASL: weka ASL ya kawaida karibu iwezekanavyo na lengwa, yaani, kwa mpokeaji wa trafiki, na uweke ASL iliyopanuliwa karibu iwezekanavyo na chanzo, yaani, kwa mtumaji wa trafiki. Haya ni mapendekezo ya Cisco, lakini katika mazoezi kuna hali ambapo ni mantiki zaidi kuweka kiwango cha ACL karibu na chanzo cha trafiki. Lakini ukikutana na swali kuhusu sheria za uwekaji wa ACL wakati wa mtihani, fuata mapendekezo ya Cisco na ujibu bila utata: kiwango kiko karibu na lengwa, kilichopanuliwa ni karibu na chanzo.
Sasa hebu tuangalie syntax ya ACL ya kawaida. Kuna aina mbili za syntax ya amri katika hali ya usanidi wa kimataifa ya kipanga njia: syntax ya kawaida na syntax ya kisasa.
Aina ya amri ya kawaida ni orodha ya ufikiaji <Nambari ya ACL> <kataa/ruhusu> <vigezo>. Ukiweka <ACL number> kutoka 1 hadi 99, kifaa kitaelewa kiotomatiki kuwa hii ni ACL ya kawaida, na ikiwa ni kutoka 100 hadi 199, basi ni iliyopanuliwa. Kwa kuwa katika somo la leo tunaangalia orodha ya kawaida, tunaweza kutumia nambari yoyote kutoka 1 hadi 99. Kisha tunaonyesha hatua ambayo inahitaji kutumika ikiwa vigezo vinafanana na kigezo kifuatacho - kuruhusu au kukataa trafiki. Tutazingatia kigezo baadaye, kwani kinatumika pia katika sintaksia ya kisasa.
Aina ya amri ya kisasa pia inatumika katika hali ya usanidi ya kimataifa ya Rx(config) na inaonekana kama hii: kiwango cha orodha ya ufikiaji wa ip <ACL number/name>. Hapa unaweza kutumia ama nambari kutoka 1 hadi 99 au jina la orodha ya ACL, kwa mfano, ACL_Networking. Amri hii mara moja inaweka mfumo katika modi ya amri ndogo ya Rx (config-std-nacl), ambapo lazima uweke <deny/enable> <criteria>. Aina ya kisasa ya timu ina faida zaidi ikilinganishwa na classic moja.
Katika orodha ya kawaida, ukiandika orodha ya ufikiaji 10 kataa ______, kisha andika amri inayofuata ya aina hiyo hiyo kwa kigezo kingine, na utaishia na amri 100 kama hizo, kisha kubadilisha amri yoyote iliyoingizwa, utahitaji futa orodha nzima ya orodha ya ufikiaji 10 kwa amri hakuna orodha ya ufikiaji 10. Hii itafuta amri zote 100 kwa sababu hakuna njia ya kuhariri amri yoyote ya kibinafsi katika orodha hii.
Katika syntax ya kisasa, amri imegawanywa katika mistari miwili, ya kwanza ambayo ina nambari ya orodha. Tuseme ikiwa una orodha ya ufikiaji-orodha ya kiwango cha 10 kukataa ________, kiwango cha orodha ya ufikiaji 20 kataa ________ na kadhalika, basi una fursa ya kuingiza orodha za kati na vigezo vingine kati yao, kwa mfano, kiwango cha orodha ya ufikiaji 15 kataa ________ .
Vinginevyo, unaweza kufuta mistari 20 ya kiwango cha orodha ya ufikiaji na uandike upya kwa vigezo tofauti kati ya kiwango cha 10 cha orodha ya ufikiaji na mistari 30 ya orodha ya ufikiaji. Kwa hivyo, kuna njia mbalimbali za kuhariri syntax ya kisasa ya ACL.
Unahitaji kuwa mwangalifu sana wakati wa kuunda ACL. Kama unavyojua, orodha zinasomwa kutoka juu hadi chini. Ikiwa utaweka mstari juu ambao unaruhusu trafiki kutoka kwa seva pangishi mahususi, basi chini unaweza kuweka mstari unaokataza trafiki kutoka kwa mtandao mzima ambao mwenyeji huyu ni sehemu yake, na hali zote mbili zitaangaliwa - trafiki kwa seva pangishi mahususi kuruhusiwa kupitia, na trafiki kutoka kwa wapangishi wengine wote mtandao huu utazuiwa. Kwa hivyo, kila wakati weka maingizo maalum juu ya orodha na yale ya jumla chini.
Kwa hiyo, baada ya kuunda ACL ya kawaida au ya kisasa, lazima uitumie. Ili kufanya hivyo, unahitaji kwenda kwenye mipangilio ya kiolesura maalum, kwa mfano, f0/0 kwa kutumia kiolesura cha amri <aina na yanayopangwa>, nenda kwenye modi ya subcommand ya kiolesura na uingize amri ip access-group <ACL number/ jina> . Tafadhali kumbuka tofauti: wakati wa kuandaa orodha, orodha ya ufikiaji hutumiwa, na wakati wa kuitumia, kikundi cha ufikiaji hutumiwa. Lazima uamue ni kiolesura kipi ambacho orodha hii itatumika kwa - kiolesura kinachoingia au kiolesura kinachotoka. Ikiwa orodha ina jina, kwa mfano, Mtandao, jina moja linarudiwa katika amri ya kutumia orodha kwenye interface hii.
Sasa hebu tuchukue tatizo maalum na tujaribu kulitatua kwa kutumia mfano wa mchoro wa mtandao wetu kwa kutumia Packet Tracer. Kwa hiyo, tuna mitandao 4: idara ya mauzo, idara ya uhasibu, usimamizi na chumba cha seva.
Nambari ya kazi ya 1: trafiki yote iliyoelekezwa kutoka kwa idara za mauzo na fedha hadi idara ya usimamizi na chumba cha seva lazima izuiwe. Eneo la kuzuia ni interface S0/1/0 ya router R2. Kwanza lazima tutengeneze orodha iliyo na maingizo yafuatayo:
Wacha tuite orodha hiyo "Usimamizi na Usalama wa Seva ACL", iliyofupishwa kama ACL Secure_Ma_And_Se. Hii inafuatwa na kuzuia trafiki kutoka kwa mtandao wa idara ya fedha 192.168.1.128/26, kukataza trafiki kutoka kwa mtandao wa idara ya mauzo 192.168.1.0/25, na kuruhusu trafiki nyingine yoyote. Mwishoni mwa orodha imeonyeshwa kuwa inatumika kwa kiolesura kinachotoka S0/1/0 cha router R2. Iwapo hatuna Ruhusa Yoyote mwishoni mwa orodha, basi trafiki nyingine zote zitazuiwa kwa sababu ACL chaguo-msingi kila wakati imewekwa kuwa Kataa ingizo Lolote mwishoni mwa orodha.
Je! ninaweza kutumia ACL hii kusawazisha G0/0? Bila shaka, naweza, lakini katika kesi hii tu trafiki kutoka idara ya uhasibu itazuiwa, na trafiki kutoka idara ya mauzo haitakuwa mdogo kwa njia yoyote. Kwa njia hiyo hiyo, unaweza kutumia ACL kwenye interface ya G0/1, lakini katika kesi hii trafiki ya idara ya fedha haitazuiwa. Kwa kweli, tunaweza kuunda orodha mbili tofauti za kuzuia kwa miingiliano hii, lakini ni bora zaidi kuzichanganya katika orodha moja na kuitumia kwenye kiolesura cha pato cha router R2 au kiolesura cha pembejeo S0/1/0 cha kipanga njia R1.
Ingawa sheria za Cisco zinasema kwamba ACL ya kawaida inapaswa kuwekwa karibu na lengwa iwezekanavyo, nitaiweka karibu na chanzo cha trafiki kwa sababu ninataka kuzuia trafiki yote inayotoka, na inaleta maana zaidi kufanya hivi karibu na chanzo ili trafiki hii isipoteze mtandao kati ya ruta mbili.
Nilisahau kukuambia juu ya vigezo, kwa hivyo wacha turudi haraka. Unaweza kubainisha chochote kama kigezo - katika hali hii, trafiki yoyote kutoka kwa kifaa chochote na mtandao wowote utakataliwa au kuruhusiwa. Unaweza pia kutaja mwenyeji na kitambulisho chake - katika kesi hii, kiingilio kitakuwa anwani ya IP ya kifaa maalum. Hatimaye, unaweza kutaja mtandao mzima, kwa mfano, 192.168.1.10/24. Katika kesi hii, /24 itamaanisha kuwepo kwa mask ya subnet ya 255.255.255.0, lakini haiwezekani kutaja anwani ya IP ya mask ya subnet katika ACL. Kwa kesi hii, ACL ina dhana inayoitwa Wildcart Mask, au "kinyago cha nyuma". Kwa hiyo lazima ueleze anwani ya IP na urejeshe mask. Mask ya nyuma inaonekana kama hii: lazima uondoe mask ya moja kwa moja ya subnet kutoka kwa mask ya jumla ya subnet, yaani, nambari inayolingana na thamani ya octet kwenye mask ya mbele imetolewa kutoka 255.
Kwa hivyo, unapaswa kutumia kigezo 192.168.1.10 0.0.0.255 kama kigezo katika ACL.
Inavyofanya kazi? Ikiwa kuna 0 katika octet ya mask ya kurudi, kigezo kinachukuliwa kuwa sawa na octet inayofanana ya anwani ya IP ya subnet. Ikiwa kuna nambari kwenye octet ya backmask, mechi haijaangaliwa. Kwa hivyo, kwa mtandao wa 192.168.1.0 na mask ya kurudi 0.0.0.255, trafiki yote kutoka kwa anwani ambazo octets tatu za kwanza ni sawa na 192.168.1., bila kujali thamani ya octet ya nne, itazuiwa au kuruhusiwa kulingana na kitendo kilichobainishwa.
Kutumia kinyago cha nyuma ni rahisi, na tutarudi kwenye Kinyago cha Wildcart katika video inayofuata ili niweze kueleza jinsi ya kukifanyia kazi.
28:50 dakika
Asante kwa kukaa nasi. Je, unapenda makala zetu? Je, ungependa kuona maudhui ya kuvutia zaidi? Tuunge mkono kwa kuweka agizo au kupendekeza kwa marafiki, Punguzo la 30% kwa watumiaji wa Habr kwenye analogi ya kipekee ya seva za kiwango cha kuingia, ambayo tulikutengenezea: (inapatikana kwa RAID1 na RAID10, hadi cores 24 na hadi 40GB DDR4).
Dell R730xd mara 2 nafuu? Hapa tu nchini Uholanzi! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - kutoka $99! Soma kuhusu
Chanzo: mapenzi.com