இன்று நாம் ACL அணுகல் கட்டுப்பாட்டு பட்டியலைப் பற்றி அறியத் தொடங்குவோம், இந்த தலைப்பு 2 வீடியோ பாடங்களை எடுக்கும். நிலையான ACL இன் உள்ளமைவைப் பார்ப்போம், அடுத்த வீடியோ டுடோரியலில் நான் நீட்டிக்கப்பட்ட பட்டியலைப் பற்றி பேசுவேன்.
இந்த பாடத்தில் நாம் 3 தலைப்புகளை உள்ளடக்குவோம். முதலாவது ACL என்றால் என்ன, இரண்டாவது நிலையானது மற்றும் நீட்டிக்கப்பட்ட அணுகல் பட்டியலுக்கு என்ன வித்தியாசம், பாடத்தின் முடிவில், ஒரு ஆய்வகமாக, நிலையான ACL ஐ அமைப்பது மற்றும் சாத்தியமான சிக்கல்களைத் தீர்ப்பது பற்றி பார்ப்போம்.
எனவே ACL என்றால் என்ன? முதல் வீடியோ பாடத்திலிருந்து நீங்கள் பாடத்தைப் படித்திருந்தால், பல்வேறு நெட்வொர்க் சாதனங்களுக்கு இடையில் நாங்கள் எவ்வாறு தகவல்தொடர்புகளை ஏற்பாடு செய்தோம் என்பதை நீங்கள் நினைவில் கொள்கிறீர்கள்.
சாதனங்கள் மற்றும் நெட்வொர்க்குகளுக்கு இடையேயான தகவல்தொடர்புகளை ஒழுங்கமைப்பதில் திறன்களைப் பெற பல்வேறு நெறிமுறைகள் மூலம் நிலையான ரூட்டிங் குறித்தும் ஆய்வு செய்தோம். போக்குவரத்துக் கட்டுப்பாட்டை உறுதி செய்வதில், அதாவது "கெட்டவர்கள்" அல்லது அங்கீகரிக்கப்படாத பயனர்கள் நெட்வொர்க்கில் ஊடுருவுவதைத் தடுப்பதில் நாம் அக்கறை கொள்ள வேண்டிய கற்றல் கட்டத்தை நாங்கள் இப்போது அடைந்துள்ளோம். எடுத்துக்காட்டாக, இந்த வரைபடத்தில் காட்டப்பட்டுள்ள SALES விற்பனைத் துறையைச் சேர்ந்தவர்களுக்கு இது கவலை அளிக்கலாம். இங்கு நிதித் துறை கணக்குகள், மேலாண்மைத் துறை மேலாண்மை மற்றும் சர்வர் அறை சர்வர் அறை ஆகியவற்றைக் காட்டுகிறோம்.
எனவே, விற்பனைத் துறையில் நூறு பணியாளர்கள் இருக்கலாம், மேலும் அவர்களில் எவரும் நெட்வொர்க்கில் சர்வர் அறைக்கு வருவதை நாங்கள் விரும்பவில்லை. Laptop2 கணினியில் பணிபுரியும் விற்பனை மேலாளருக்கு விதிவிலக்கு அளிக்கப்பட்டுள்ளது - அவர் சேவையக அறைக்கு அணுகலாம். Laptop3 இல் பணிபுரியும் ஒரு புதிய பணியாளருக்கு அத்தகைய அணுகல் இருக்கக்கூடாது, அதாவது, அவரது கணினியிலிருந்து போக்குவரத்து திசைவி R2 ஐ அடைந்தால், அது கைவிடப்பட வேண்டும்.
குறிப்பிட்ட வடிகட்டுதல் அளவுருக்களின்படி போக்குவரத்தை வடிகட்டுவதே ACL இன் பங்கு. அவற்றில் மூல ஐபி முகவரி, இலக்கு ஐபி முகவரி, நெறிமுறை, துறைமுகங்களின் எண்ணிக்கை மற்றும் பிற அளவுருக்கள் ஆகியவை அடங்கும், இதற்கு நன்றி நீங்கள் போக்குவரத்தை அடையாளம் கண்டு சில நடவடிக்கைகளை எடுக்கலாம்.
எனவே, ACL என்பது OSI மாதிரியின் அடுக்கு 3 வடிகட்டுதல் பொறிமுறையாகும். இதன் பொருள் இந்த வழிமுறை திசைவிகளில் பயன்படுத்தப்படுகிறது. வடிகட்டலுக்கான முக்கிய அளவுகோல் தரவு ஸ்ட்ரீமை அடையாளம் காண்பது. எடுத்துக்காட்டாக, Laptop3 கணினியுடன் இருக்கும் நபரை சர்வரை அணுகுவதைத் தடுக்க விரும்பினால், முதலில் அவருடைய போக்குவரத்தை நாம் அடையாளம் காண வேண்டும். நெட்வொர்க் சாதனங்களின் தொடர்புடைய இடைமுகங்கள் மூலம் இந்த போக்குவரத்து லேப்டாப்-ஸ்விட்ச்2-ஆர்2-ஆர்1-ஸ்விட்ச்1-சர்வர்1 திசையில் நகர்கிறது, அதே சமயம் திசைவிகளின் ஜி0/0 இடைமுகங்களுக்கும் இதற்கும் எந்த தொடர்பும் இல்லை.
போக்குவரத்தை அடையாளம் காண, அதன் பாதையை நாம் அடையாளம் காண வேண்டும். இதைச் செய்த பிறகு, வடிகட்டியை எங்கு நிறுவ வேண்டும் என்பதை நாங்கள் தீர்மானிக்க முடியும். வடிப்பான்களைப் பற்றி கவலைப்பட வேண்டாம், அடுத்த பாடத்தில் அவற்றைப் பற்றி விவாதிப்போம், இப்போது வடிகட்டி எந்த இடைமுகத்தில் பயன்படுத்தப்பட வேண்டும் என்ற கொள்கையை நாம் புரிந்து கொள்ள வேண்டும்.
நீங்கள் ஒரு திசைவியைப் பார்த்தால், ஒவ்வொரு முறை ட்ராஃபிக் நகரும் போதும், தரவு ஓட்டம் வரும் இடைமுகமும், இந்த ஓட்டம் வெளிவரும் இடைமுகமும் இருப்பதைக் காணலாம்.
உண்மையில் 3 இடைமுகங்கள் உள்ளன: உள்ளீட்டு இடைமுகம், வெளியீட்டு இடைமுகம் மற்றும் திசைவியின் சொந்த இடைமுகம். உள்ளீடு அல்லது வெளியீட்டு இடைமுகத்தில் மட்டுமே வடிகட்டலைப் பயன்படுத்த முடியும் என்பதை நினைவில் கொள்ளுங்கள்.
ACL செயல்பாட்டின் கொள்கையானது, அழைக்கப்பட்ட நபர்களின் பட்டியலில் பெயர் உள்ள விருந்தினர்கள் மட்டுமே கலந்துகொள்ளக்கூடிய நிகழ்விற்கான பாஸ் போன்றது. ACL என்பது போக்குவரத்தை அடையாளம் காணப் பயன்படுத்தப்படும் தகுதி அளவுருக்களின் பட்டியலாகும். எடுத்துக்காட்டாக, IP முகவரி 192.168.1.10 இலிருந்து அனைத்து போக்குவரமும் அனுமதிக்கப்படுவதை இந்தப் பட்டியல் குறிக்கிறது, மேலும் மற்ற எல்லா முகவரிகளிலிருந்தும் போக்குவரத்து மறுக்கப்படுகிறது. நான் சொன்னது போல், இந்த பட்டியலை உள்ளீடு மற்றும் வெளியீடு இடைமுகம் இரண்டிற்கும் பயன்படுத்தலாம்.
2 வகையான ACLகள் உள்ளன: நிலையான மற்றும் நீட்டிக்கப்பட்டவை. ஒரு நிலையான ACL ஆனது 1 முதல் 99 வரை அல்லது 1300 முதல் 1999 வரையிலான அடையாளங்காட்டியைக் கொண்டுள்ளது. இவை வெறுமனே பட்டியல் பெயர்கள், எண்ணிக்கை அதிகரிக்கும் போது ஒன்றுக்கொன்று எந்த நன்மையும் இல்லை. எண்ணுடன் கூடுதலாக, உங்கள் சொந்த பெயரை ACL க்கு ஒதுக்கலாம். நீட்டிக்கப்பட்ட ACLகள் 100 முதல் 199 அல்லது 2000 முதல் 2699 வரை எண்ணப்பட்டிருக்கும், மேலும் அவை பெயரும் இருக்கலாம்.
நிலையான ACL இல், போக்குவரத்தின் மூல IP முகவரியின் அடிப்படையில் வகைப்பாடு செய்யப்படுகிறது. எனவே, அத்தகைய பட்டியலைப் பயன்படுத்தும் போது, எந்தவொரு மூலத்திற்கும் செல்லும் போக்குவரத்தை நீங்கள் கட்டுப்படுத்த முடியாது, ஒரு சாதனத்திலிருந்து வரும் போக்குவரத்தை மட்டுமே நீங்கள் தடுக்க முடியும்.
விரிவாக்கப்பட்ட ACL ஆனது மூல ஐபி முகவரி, இலக்கு ஐபி முகவரி, பயன்படுத்தப்பட்ட நெறிமுறை மற்றும் போர்ட் எண் ஆகியவற்றின் அடிப்படையில் போக்குவரத்தை வகைப்படுத்துகிறது. எடுத்துக்காட்டாக, நீங்கள் FTP ட்ராஃபிக்கை மட்டும் தடுக்கலாம் அல்லது HTTP டிராஃபிக்கை மட்டும் தடுக்கலாம். இன்று நாம் நிலையான ACL ஐப் பார்ப்போம், மேலும் அடுத்த வீடியோ பாடத்தை நீட்டிக்கப்பட்ட பட்டியல்களுக்கு ஒதுக்குவோம்.
நான் சொன்னது போல், ACL என்பது நிபந்தனைகளின் பட்டியல். ரூட்டரின் உள்வரும் அல்லது வெளிச்செல்லும் இடைமுகத்தில் இந்தப் பட்டியலைப் பயன்படுத்திய பிறகு, திசைவி இந்தப் பட்டியலிலிருந்து போக்குவரத்தைச் சரிபார்த்து, பட்டியலில் குறிப்பிடப்பட்டுள்ள நிபந்தனைகளைப் பூர்த்தி செய்தால், இந்த போக்குவரத்தை அனுமதிக்கலாமா அல்லது மறுக்கலாமா என்பதைத் தீர்மானிக்கிறது. ஒரு திசைவியின் உள்ளீடு மற்றும் வெளியீட்டு இடைமுகங்களைத் தீர்மானிக்க மக்கள் பெரும்பாலும் சிரமப்படுகிறார்கள், இருப்பினும் இங்கு சிக்கலான எதுவும் இல்லை. உள்வரும் இடைமுகத்தைப் பற்றி நாம் பேசும்போது, இந்த துறைமுகத்தில் உள்வரும் போக்குவரத்து மட்டுமே கட்டுப்படுத்தப்படும், மேலும் திசைவி வெளிச்செல்லும் போக்குவரத்திற்கு கட்டுப்பாடுகளைப் பயன்படுத்தாது. இதேபோல், நாம் வெளியேறும் இடைமுகத்தைப் பற்றி பேசுகிறோம் என்றால், எல்லா விதிகளும் வெளிச்செல்லும் போக்குவரத்திற்கு மட்டுமே பொருந்தும், அதே நேரத்தில் இந்த துறைமுகத்தில் உள்வரும் போக்குவரத்து கட்டுப்பாடுகள் இல்லாமல் ஏற்றுக்கொள்ளப்படும். எடுத்துக்காட்டாக, ரூட்டரில் 2 போர்ட்கள் இருந்தால்: f0/0 மற்றும் f0/1, ACL ஆனது f0/0 இடைமுகத்தில் நுழையும் போக்குவரத்திற்கு மட்டுமே பயன்படுத்தப்படும் அல்லது f0/1 இடைமுகத்திலிருந்து வரும் போக்குவரத்திற்கு மட்டுமே பயன்படுத்தப்படும். f0/1 இடைமுகத்தில் நுழையும் அல்லது வெளியேறும் போக்குவரத்து பட்டியலால் பாதிக்கப்படாது.
எனவே, இடைமுகத்தின் உள்வரும் அல்லது வெளிச்செல்லும் திசையால் குழப்பமடைய வேண்டாம், இது குறிப்பிட்ட போக்குவரத்தின் திசையைப் பொறுத்தது. எனவே, திசைவி ACL நிபந்தனைகளுடன் பொருந்துவதற்கான போக்குவரத்தை சரிபார்த்த பிறகு, அது இரண்டு முடிவுகளை மட்டுமே எடுக்க முடியும்: போக்குவரத்தை அனுமதிக்கவும் அல்லது நிராகரிக்கவும். எடுத்துக்காட்டாக, 180.160.1.30க்கு விதிக்கப்பட்ட போக்குவரத்தை நீங்கள் அனுமதிக்கலாம் மற்றும் 192.168.1.10க்கு விதிக்கப்பட்ட போக்குவரத்தை நிராகரிக்கலாம். ஒவ்வொரு பட்டியலிலும் பல நிபந்தனைகள் இருக்கலாம், ஆனால் இந்த நிபந்தனைகள் ஒவ்வொன்றும் அனுமதிக்க வேண்டும் அல்லது மறுக்க வேண்டும்.
எங்களிடம் ஒரு பட்டியல் உள்ளது என்று வைத்துக்கொள்வோம்:
தடை _______
அனுமதி ________
அனுமதி ________
தடை _________.
முதலில், திசைவி போக்குவரத்தை முதல் நிபந்தனையுடன் பொருந்துகிறதா என்று சரிபார்க்கும்; அது பொருந்தவில்லை என்றால், அது இரண்டாவது நிபந்தனையைச் சரிபார்க்கும். போக்குவரத்து மூன்றாவது நிபந்தனையுடன் பொருந்தினால், திசைவி சரிபார்ப்பதை நிறுத்திவிடும் மற்றும் மீதமுள்ள பட்டியல் நிபந்தனைகளுடன் ஒப்பிடாது. இது "அனுமதி" செயலைச் செய்து, போக்குவரத்தின் அடுத்த பகுதியைச் சரிபார்க்கும்.
நீங்கள் எந்த பாக்கெட்டுக்கும் விதியை அமைக்கவில்லை என்றால் மற்றும் டிராஃபிக் பட்டியலின் அனைத்து கோடுகளிலும் எந்த நிபந்தனையையும் தாக்காமல் கடந்து சென்றால், அது அழிக்கப்படும், ஏனெனில் ஒவ்வொரு ACL பட்டியலிலும் முன்னிருப்பாக எந்த கட்டளையையும் மறுக்கவும் - அதாவது நிராகரிக்கவும். எந்தவொரு பாக்கெட்டும், எந்த விதிகளின் கீழும் வராது. பட்டியலில் குறைந்தபட்சம் ஒரு விதி இருந்தால் இந்த நிபந்தனை நடைமுறைக்கு வரும், இல்லையெனில் அது எந்த விளைவையும் ஏற்படுத்தாது. ஆனால் முதல் வரியில் உள்ளீடு மறுப்பு 192.168.1.30 மற்றும் பட்டியலில் இனி எந்த நிபந்தனைகளும் இல்லை என்றால், இறுதியில் கட்டளை அனுமதி ஏதேனும் இருக்க வேண்டும், அதாவது விதியால் தடைசெய்யப்பட்டதைத் தவிர எந்த போக்குவரத்தையும் அனுமதிக்கவும். ACL ஐ உள்ளமைக்கும் போது தவறுகளைத் தவிர்க்க இதை நீங்கள் கணக்கில் எடுத்துக்கொள்ள வேண்டும்.
ASL பட்டியலை உருவாக்குவதற்கான அடிப்படை விதியை நீங்கள் நினைவில் வைத்துக் கொள்ள வேண்டும் என்று நான் விரும்புகிறேன்: நிலையான ASL ஐ இலக்குக்கு முடிந்தவரை நெருக்கமாக வைக்கவும், அதாவது, போக்குவரத்தைப் பெறுபவருக்கு, மற்றும் நீட்டிக்கப்பட்ட ASL ஐ மூலத்திற்கு முடிந்தவரை நெருக்கமாக வைக்கவும், அதாவது, போக்குவரத்தை அனுப்புபவருக்கு. இவை சிஸ்கோ பரிந்துரைகள், ஆனால் நடைமுறையில் போக்குவரத்து மூலத்திற்கு அருகில் நிலையான ACL ஐ வைப்பது மிகவும் அர்த்தமுள்ளதாக இருக்கும் சூழ்நிலைகள் உள்ளன. ஆனால் தேர்வின் போது ACL வேலை வாய்ப்பு விதிகள் பற்றிய கேள்வியை நீங்கள் கண்டால், சிஸ்கோவின் பரிந்துரைகளைப் பின்பற்றி, சந்தேகத்திற்கு இடமின்றி பதிலளிக்கவும்: தரநிலையானது இலக்குக்கு நெருக்கமாக உள்ளது, நீட்டிக்கப்பட்டவை மூலத்திற்கு நெருக்கமாக இருக்கும்.
இப்போது நிலையான ACL இன் தொடரியலைப் பார்ப்போம். திசைவி உலகளாவிய உள்ளமைவு பயன்முறையில் இரண்டு வகையான கட்டளை தொடரியல் உள்ளன: கிளாசிக் தொடரியல் மற்றும் நவீன தொடரியல்.
கிளாசிக் கட்டளை வகை அணுகல் பட்டியல் <ACL எண்> <deny/allow> <criteria>. நீங்கள் <ACL எண்ணை> 1 முதல் 99 வரை அமைத்தால், இது ஒரு நிலையான ACL என்பதையும், அது 100 முதல் 199 வரை இருந்தால், அது நீட்டிக்கப்பட்டதாக இருக்கும் என்பதையும் சாதனம் தானாகவே புரிந்து கொள்ளும். இன்றைய பாடத்தில் நாம் ஒரு நிலையான பட்டியலைப் பார்ப்பதால், 1 முதல் 99 வரையிலான எந்த எண்ணையும் பயன்படுத்தலாம். பின்வரும் அளவுகோல்களுடன் அளவுருக்கள் பொருந்தினால் பயன்படுத்த வேண்டிய செயலைக் குறிப்பிடுகிறோம் - போக்குவரத்தை அனுமதிக்கவும் அல்லது மறுக்கவும். நவீன தொடரியலிலும் இது பயன்படுத்தப்படுவதால், அளவுகோலை பின்னர் கருத்தில் கொள்வோம்.
நவீன கட்டளை வகை Rx(config) உலகளாவிய கட்டமைப்பு பயன்முறையிலும் பயன்படுத்தப்படுகிறது மற்றும் இது போல் தெரிகிறது: ip அணுகல் பட்டியல் தரநிலை <ACL எண்/பெயர்>. இங்கே நீங்கள் 1 முதல் 99 வரையிலான எண்ணையோ அல்லது ACL பட்டியலின் பெயரையோ பயன்படுத்தலாம், எடுத்துக்காட்டாக, ACL_Networking. இந்த கட்டளை உடனடியாக கணினியை Rx நிலையான பயன்முறை துணைக் கட்டளை பயன்முறையில் (config-std-nacl) வைக்கிறது, அங்கு நீங்கள் <deny/enable> <criteria> ஐ உள்ளிட வேண்டும். கிளாசிக் அணிகளுடன் ஒப்பிடும்போது நவீன வகை அணிகள் அதிக நன்மைகளைக் கொண்டுள்ளன.
ஒரு கிளாசிக் பட்டியலில், நீங்கள் அணுகல் பட்டியலை 10 deny ______ என தட்டச்சு செய்தால், மற்றொரு அளவுகோலுக்கு அதே வகையான அடுத்த கட்டளையை தட்டச்சு செய்தால், நீங்கள் 100 கட்டளைகளுடன் முடிவடையும், பின்னர் உள்ளிட்ட கட்டளைகளை மாற்ற, நீங்கள் செய்ய வேண்டும் அணுகல் பட்டியல் 10 என்ற கட்டளையுடன் முழு அணுகல் பட்டியல் பட்டியல் 10 ஐ நீக்கவும். இது அனைத்து 100 கட்டளைகளையும் நீக்கும், ஏனெனில் இந்த பட்டியலில் எந்த தனிப்பட்ட கட்டளையையும் திருத்த வழி இல்லை.
நவீன தொடரியலில், கட்டளை இரண்டு வரிகளாக பிரிக்கப்பட்டுள்ளது, அவற்றில் முதலாவது பட்டியல் எண்ணைக் கொண்டுள்ளது. உங்களிடம் பட்டியல் அணுகல் பட்டியல் தரநிலை 10 மறுப்பு ________, அணுகல்-பட்டியல் தரநிலை 20 மறுப்பு ________ மற்றும் பல இருந்தால், அவற்றுக்கிடையே பிற அளவுகோல்களுடன் இடைநிலை பட்டியல்களைச் செருக உங்களுக்கு வாய்ப்பு உள்ளது, எடுத்துக்காட்டாக, அணுகல் பட்டியல் தரநிலை 15 மறுக்கிறது ________ .
மாற்றாக, நீங்கள் அணுகல் பட்டியல் நிலையான 20 வரிகளை நீக்கலாம் மற்றும் அணுகல் பட்டியல் தரநிலை 10 மற்றும் அணுகல் பட்டியல் நிலையான 30 வரிகளுக்கு இடையே வெவ்வேறு அளவுருக்கள் மூலம் அவற்றை மீண்டும் தட்டச்சு செய்யலாம். எனவே, நவீன ACL தொடரியல் திருத்த பல்வேறு வழிகள் உள்ளன.
ACLகளை உருவாக்கும் போது நீங்கள் மிகவும் கவனமாக இருக்க வேண்டும். உங்களுக்குத் தெரியும், பட்டியல்கள் மேலிருந்து கீழாகப் படிக்கப்படுகின்றன. ஒரு குறிப்பிட்ட ஹோஸ்டிலிருந்து போக்குவரத்தை அனுமதிக்கும் ஒரு வரியை மேலே வைத்தால், இந்த ஹோஸ்ட் பகுதியாக இருக்கும் முழு நெட்வொர்க்கிலிருந்தும் போக்குவரத்தைத் தடைசெய்யும் ஒரு வரியை கீழே வைக்கலாம், மேலும் இரண்டு நிபந்தனைகளும் சரிபார்க்கப்படும் - ஒரு குறிப்பிட்ட ஹோஸ்டுக்கான போக்குவரத்து அனுமதிக்கப்படும், மற்ற எல்லா ஹோஸ்ட்களிலிருந்தும் இந்த நெட்வொர்க் தடைசெய்யப்படும். எனவே, குறிப்பிட்ட உள்ளீடுகளை எப்போதும் பட்டியலின் மேலேயும் பொதுவானவற்றை கீழேயும் வைக்கவும்.
எனவே, நீங்கள் ஒரு கிளாசிக் அல்லது நவீன ACL ஐ உருவாக்கிய பிறகு, நீங்கள் அதைப் பயன்படுத்த வேண்டும். இதைச் செய்ய, நீங்கள் ஒரு குறிப்பிட்ட இடைமுகத்தின் அமைப்புகளுக்குச் செல்ல வேண்டும், எடுத்துக்காட்டாக, f0/0 கட்டளை இடைமுகத்தைப் பயன்படுத்தி <வகை மற்றும் ஸ்லாட்>, இடைமுக துணைக் கட்டளை பயன்முறைக்குச் சென்று கட்டளை ஐபி அணுகல்-குழு <ACL எண்/ உள்ளிடவும். பெயர்> . தயவு செய்து வித்தியாசத்தைக் கவனியுங்கள்: பட்டியலைத் தொகுக்கும்போது, அணுகல் பட்டியல் பயன்படுத்தப்படுகிறது, அதைப் பயன்படுத்தும்போது, அணுகல் குழு பயன்படுத்தப்படுகிறது. இந்தப் பட்டியல் எந்த இடைமுகத்திற்குப் பயன்படுத்தப்படும் என்பதை நீங்கள் தீர்மானிக்க வேண்டும் - உள்வரும் இடைமுகம் அல்லது வெளிச்செல்லும் இடைமுகம். பட்டியலில் ஒரு பெயர் இருந்தால், எடுத்துக்காட்டாக, நெட்வொர்க்கிங், இந்த இடைமுகத்தில் பட்டியலைப் பயன்படுத்துவதற்கான கட்டளையில் அதே பெயர் மீண்டும் மீண்டும் செய்யப்படுகிறது.
இப்போது ஒரு குறிப்பிட்ட சிக்கலை எடுத்து, பாக்கெட் ட்ரேசரைப் பயன்படுத்தி எங்கள் பிணைய வரைபடத்தின் உதாரணத்தைப் பயன்படுத்தி அதைத் தீர்க்க முயற்சிப்போம். எனவே, எங்களிடம் 4 நெட்வொர்க்குகள் உள்ளன: விற்பனைத் துறை, கணக்கியல் துறை, மேலாண்மை மற்றும் சர்வர் அறை.
பணி எண். 1: விற்பனை மற்றும் நிதித் துறைகளில் இருந்து மேலாண்மைத் துறை மற்றும் சர்வர் அறைக்கு இயக்கப்படும் அனைத்துப் போக்குவரமும் தடுக்கப்பட வேண்டும். தடுக்கும் இடம் திசைவி R0 இன் இடைமுகம் S1/0/2 ஆகும். முதலில் நாம் பின்வரும் உள்ளீடுகளைக் கொண்ட பட்டியலை உருவாக்க வேண்டும்:
ACL Secure_Ma_And_Se என சுருக்கமாக "மேலாண்மை மற்றும் சேவையக பாதுகாப்பு ACL" பட்டியலை அழைப்போம். இதைத் தொடர்ந்து நிதித் துறை நெட்வொர்க் 192.168.1.128/26 இலிருந்து போக்குவரத்தைத் தடைசெய்தல், விற்பனைத் துறை நெட்வொர்க் 192.168.1.0/25 இலிருந்து போக்குவரத்தைத் தடைசெய்தல் மற்றும் வேறு எந்தப் போக்குவரத்தையும் அனுமதிப்பது. பட்டியலின் முடிவில், ரூட்டர் R0 இன் வெளிச்செல்லும் இடைமுகம் S1/0/2 க்கு இது பயன்படுத்தப்படுகிறது என்று குறிப்பிடப்பட்டுள்ளது. பட்டியலின் முடிவில் எங்களிடம் அனுமதி இல்லை எனில், மற்ற அனைத்து ட்ராஃபிக்கும் தடைசெய்யப்படும், ஏனெனில் இயல்புநிலை ACL எப்போதும் பட்டியலின் முடிவில் எந்த உள்ளீட்டையும் மறுக்கும் என அமைக்கப்படும்.
G0/0 இடைமுகத்திற்கு இந்த ACLஐப் பயன்படுத்தலாமா? நிச்சயமாக, என்னால் முடியும், ஆனால் இந்த விஷயத்தில் கணக்கியல் துறையிலிருந்து போக்குவரத்து மட்டுமே தடுக்கப்படும், மேலும் விற்பனைத் துறையிலிருந்து போக்குவரத்து எந்த வகையிலும் மட்டுப்படுத்தப்படாது. அதே வழியில், நீங்கள் G0/1 இடைமுகத்திற்கு ACL ஐப் பயன்படுத்தலாம், ஆனால் இந்த விஷயத்தில் நிதித் துறை போக்குவரத்து தடுக்கப்படாது. நிச்சயமாக, இந்த இடைமுகங்களுக்காக நாம் இரண்டு தனித்தனி பிளாக் பட்டியல்களை உருவாக்கலாம், ஆனால் அவற்றை ஒரு பட்டியலில் இணைத்து, திசைவி R2 இன் வெளியீட்டு இடைமுகம் அல்லது திசைவி R0 இன் உள்ளீட்டு இடைமுகம் S1/0/1 இல் பயன்படுத்துவது மிகவும் திறமையானது.
Cisco விதிகள் ஒரு நிலையான ACL முடிந்தவரை இலக்குக்கு அருகில் வைக்கப்பட வேண்டும் என்று கூறினாலும், நான் அதை போக்குவரத்தின் மூலத்திற்கு நெருக்கமாக வைப்பேன், ஏனெனில் நான் வெளிச்செல்லும் அனைத்து போக்குவரத்தையும் தடுக்க விரும்புகிறேன், மேலும் இதைச் செய்வது மிகவும் அர்த்தமுள்ளதாக இருக்கிறது. இந்த போக்குவரத்து இரண்டு திசைவிகளுக்கு இடையேயான பிணையத்தை வீணாக்காது.
நிபந்தனைகளைப் பற்றி நான் உங்களுக்குச் சொல்ல மறந்துவிட்டேன், எனவே விரைவாகத் திரும்புவோம். நீங்கள் எதையும் ஒரு அளவுகோலாகக் குறிப்பிடலாம் - இந்த விஷயத்தில், எந்த சாதனம் மற்றும் எந்த நெட்வொர்க்கிலிருந்தும் எந்த போக்குவரத்தும் மறுக்கப்படும் அல்லது அனுமதிக்கப்படும். ஹோஸ்ட்டை அதன் அடையாளங்காட்டியுடன் குறிப்பிடலாம் - இந்த விஷயத்தில், உள்ளீடு ஒரு குறிப்பிட்ட சாதனத்தின் ஐபி முகவரியாக இருக்கும். இறுதியாக, நீங்கள் ஒரு முழு பிணையத்தையும் குறிப்பிடலாம், எடுத்துக்காட்டாக, 192.168.1.10/24. இந்த வழக்கில், /24 என்பது 255.255.255.0 இன் சப்நெட் மாஸ்க் இருப்பதைக் குறிக்கும், ஆனால் ACL இல் சப்நெட் முகமூடியின் IP முகவரியைக் குறிப்பிட இயலாது. இந்த வழக்கில், ACL ஆனது Wildcart Mask அல்லது "reverse mask" என்ற கருத்தை கொண்டுள்ளது. எனவே நீங்கள் IP முகவரி மற்றும் திரும்ப முகமூடியை குறிப்பிட வேண்டும். தலைகீழ் முகமூடி இதுபோல் தெரிகிறது: நீங்கள் நேரடி சப்நெட் முகமூடியை பொது சப்நெட் முகமூடியிலிருந்து கழிக்க வேண்டும், அதாவது, முன்னோக்கி முகமூடியில் உள்ள ஆக்டெட் மதிப்புடன் தொடர்புடைய எண் 255 இலிருந்து கழிக்கப்படுகிறது.
எனவே, நீங்கள் 192.168.1.10 0.0.0.255 அளவுருவை ACL இல் அளவுகோலாகப் பயன்படுத்த வேண்டும்.
எப்படி இது செயல்படுகிறது? ரிட்டர்ன் மாஸ்க் ஆக்டெட்டில் 0 இருந்தால், சப்நெட் ஐபி முகவரியின் தொடர்புடைய ஆக்டெட்டுடன் பொருந்தும் அளவுகோல் கருதப்படுகிறது. பேக்மாஸ்க் ஆக்டெட்டில் எண் இருந்தால், பொருத்தம் சரிபார்க்கப்படாது. எனவே, 192.168.1.0 நெட்வொர்க் மற்றும் 0.0.0.255 இன் ரிட்டர்ன் மாஸ்க், நான்காவது ஆக்டெட்டின் மதிப்பைப் பொருட்படுத்தாமல், முதல் மூன்று ஆக்டெட்டுகள் 192.168.1 க்கு சமமாக இருக்கும் முகவரிகளின் அனைத்து போக்குவரமும் தடுக்கப்படும் அல்லது அனுமதிக்கப்படும் குறிப்பிட்ட நடவடிக்கை.
தலைகீழ் முகமூடியைப் பயன்படுத்துவது எளிதானது, அடுத்த வீடியோவில் வைல்ட்கார்ட் மாஸ்க்கிற்குத் திரும்புவோம், அதை எப்படிக் கையாள்வது என்பதை என்னால் விளக்க முடியும்.
28:50 நிமிடம்
எங்களுடன் தங்கியதற்கு நன்றி. எங்கள் கட்டுரைகளை விரும்புகிறீர்களா? மேலும் சுவாரஸ்யமான உள்ளடக்கத்தைப் பார்க்க வேண்டுமா? ஒரு ஆர்டரை வைப்பதன் மூலம் அல்லது நண்பர்களுக்கு பரிந்துரை செய்வதன் மூலம் எங்களை ஆதரிக்கவும், உங்களுக்காக எங்களால் கண்டுபிடிக்கப்பட்ட நுழைவு-நிலை சேவையகங்களின் தனித்துவமான அனலாக் மீது Habr பயனர்களுக்கு 30% தள்ளுபடி: (RAID1 மற்றும் RAID10 உடன் கிடைக்கும், 24 கோர்கள் வரை மற்றும் 40GB DDR4 வரை).
Dell R730xd 2 மடங்கு மலிவானதா? இங்கே மட்டும் நெதர்லாந்தில்! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - $99 முதல்! பற்றி படிக்கவும்
ஆதாரம்: www.habr.com