ఈ రోజు మనం ACL యాక్సెస్ నియంత్రణ జాబితా గురించి నేర్చుకోవడం ప్రారంభిస్తాము, ఈ అంశం 2 వీడియో పాఠాలను తీసుకుంటుంది. మేము ప్రామాణిక ACL యొక్క కాన్ఫిగరేషన్ను పరిశీలిస్తాము మరియు తదుపరి వీడియో ట్యుటోరియల్లో నేను పొడిగించిన జాబితా గురించి మాట్లాడతాను.
ఈ పాఠంలో మేము 3 అంశాలను కవర్ చేస్తాము. మొదటిది ACL అంటే ఏమిటి, రెండవది ప్రామాణిక మరియు పొడిగించిన యాక్సెస్ జాబితా మధ్య తేడా ఏమిటి, మరియు పాఠం చివరలో, ల్యాబ్గా, మేము ప్రామాణిక ACLని సెటప్ చేయడం మరియు సాధ్యమయ్యే సమస్యలను పరిష్కరించడం గురించి చూస్తాము.
కాబట్టి ACL అంటే ఏమిటి? మీరు మొదటి వీడియో పాఠం నుండి కోర్సును అభ్యసించినట్లయితే, మేము వివిధ నెట్వర్క్ పరికరాల మధ్య కమ్యూనికేషన్ను ఎలా నిర్వహించామో మీకు గుర్తుంది.
పరికరాలు మరియు నెట్వర్క్ల మధ్య కమ్యూనికేషన్లను నిర్వహించడంలో నైపుణ్యాలను పొందడానికి మేము వివిధ ప్రోటోకాల్లపై స్టాటిక్ రూటింగ్ను కూడా అధ్యయనం చేసాము. మేము ఇప్పుడు నేర్చుకునే దశకు చేరుకున్నాము, ఇక్కడ ట్రాఫిక్ నియంత్రణను నిర్ధారించడం, అంటే “చెడ్డ వ్యక్తులు” లేదా అనధికార వినియోగదారులను నెట్వర్క్లోకి చొరబడకుండా నిరోధించడం గురించి మనం శ్రద్ధ వహించాలి. ఉదాహరణకు, ఈ రేఖాచిత్రంలో చిత్రీకరించబడిన SALES సేల్స్ విభాగానికి చెందిన వ్యక్తులకు ఇది ఆందోళన కలిగిస్తుంది. ఇక్కడ మేము ఆర్థిక విభాగం ఖాతాలు, నిర్వహణ విభాగం MANAGEMENT మరియు సర్వర్ గది SERVER గదిని కూడా చూపుతాము.
కాబట్టి, సేల్స్ డిపార్ట్మెంట్లో వంద మంది ఉద్యోగులు ఉండవచ్చు మరియు వారిలో ఎవరూ నెట్వర్క్ ద్వారా సర్వర్ గదికి చేరుకోగలరని మేము కోరుకోము. ల్యాప్టాప్ 2 కంప్యూటర్లో పనిచేసే సేల్స్ మేనేజర్కు మినహాయింపు ఇవ్వబడింది - అతను సర్వర్ గదికి ప్రాప్యతను కలిగి ఉండవచ్చు. Laptop3లో పని చేస్తున్న కొత్త ఉద్యోగికి అలాంటి యాక్సెస్ ఉండకూడదు, అంటే, అతని కంప్యూటర్ నుండి ట్రాఫిక్ రూటర్ R2కి చేరుకుంటే, అది తీసివేయబడాలి.
పేర్కొన్న ఫిల్టరింగ్ పారామితుల ప్రకారం ట్రాఫిక్ను ఫిల్టర్ చేయడం ACL పాత్ర. అవి సోర్స్ IP చిరునామా, గమ్యం IP చిరునామా, ప్రోటోకాల్, పోర్ట్ల సంఖ్య మరియు ఇతర పారామితులను కలిగి ఉంటాయి, దీనికి ధన్యవాదాలు మీరు ట్రాఫిక్ను గుర్తించి, దానితో కొన్ని చర్యలు తీసుకోవచ్చు.
కాబట్టి, ACL అనేది OSI మోడల్ యొక్క లేయర్ 3 ఫిల్టరింగ్ మెకానిజం. అంటే ఈ మెకానిజం రూటర్లలో ఉపయోగించబడుతుంది. వడపోత కోసం ప్రధాన ప్రమాణం డేటా స్ట్రీమ్ యొక్క గుర్తింపు. ఉదాహరణకు, ల్యాప్టాప్ 3 కంప్యూటర్తో ఉన్న వ్యక్తిని సర్వర్ను యాక్సెస్ చేయకుండా నిరోధించాలనుకుంటే, ముందుగా మనం అతని ట్రాఫిక్ను గుర్తించాలి. ఈ ట్రాఫిక్ నెట్వర్క్ పరికరాల సంబంధిత ఇంటర్ఫేస్ల ద్వారా Laptop-Switch2-R2-R1-Switch1-Server1 దిశలో కదులుతుంది, అయితే రూటర్ల యొక్క G0/0 ఇంటర్ఫేస్లకు దానితో సంబంధం లేదు.
ట్రాఫిక్ను గుర్తించడానికి, మనం దాని మార్గాన్ని గుర్తించాలి. దీన్ని పూర్తి చేసిన తర్వాత, ఫిల్టర్ను సరిగ్గా ఎక్కడ ఇన్స్టాల్ చేయాలో మనం నిర్ణయించుకోవచ్చు. ఫిల్టర్ల గురించి చింతించకండి, మేము వాటిని తదుపరి పాఠంలో చర్చిస్తాము, ప్రస్తుతానికి ఫిల్టర్ ఏ ఇంటర్ఫేస్కు వర్తింపజేయాలి అనే సూత్రాన్ని మనం అర్థం చేసుకోవాలి.
మీరు రౌటర్ను చూస్తే, ట్రాఫిక్ కదిలే ప్రతిసారీ, డేటా ఫ్లో వచ్చే ఇంటర్ఫేస్ మరియు ఈ ఫ్లో బయటకు వచ్చే ఇంటర్ఫేస్ ఉన్నట్లు మీరు చూడవచ్చు.
వాస్తవానికి 3 ఇంటర్ఫేస్లు ఉన్నాయి: ఇన్పుట్ ఇంటర్ఫేస్, అవుట్పుట్ ఇంటర్ఫేస్ మరియు రూటర్ యొక్క స్వంత ఇంటర్ఫేస్. ఇన్పుట్ లేదా అవుట్పుట్ ఇంటర్ఫేస్కు మాత్రమే ఫిల్టరింగ్ వర్తించవచ్చని గుర్తుంచుకోండి.
ACL ఆపరేషన్ సూత్రం ఈవెంట్కు పాస్ని పోలి ఉంటుంది, ఇది ఆహ్వానించబడిన వ్యక్తుల జాబితాలో పేరు ఉన్న అతిథులు మాత్రమే హాజరుకావచ్చు. ACL అనేది ట్రాఫిక్ను గుర్తించడానికి ఉపయోగించే అర్హత పారామితుల జాబితా. ఉదాహరణకు, IP చిరునామా 192.168.1.10 నుండి అన్ని ట్రాఫిక్లు అనుమతించబడతాయని మరియు అన్ని ఇతర చిరునామాల నుండి ట్రాఫిక్ తిరస్కరించబడుతుందని ఈ జాబితా సూచిస్తుంది. నేను చెప్పినట్లుగా, ఈ జాబితాను ఇన్పుట్ మరియు అవుట్పుట్ ఇంటర్ఫేస్ రెండింటికీ అన్వయించవచ్చు.
2 రకాల ACLలు ఉన్నాయి: ప్రామాణిక మరియు పొడిగించబడినవి. ఒక ప్రామాణిక ACL 1 నుండి 99 వరకు లేదా 1300 నుండి 1999 వరకు ఐడెంటిఫైయర్ని కలిగి ఉంటుంది. ఇవి నంబరింగ్ పెరిగేకొద్దీ ఒకదానికొకటి ఎటువంటి ప్రయోజనాలను కలిగి ఉండని జాబితా పేర్లు. నంబర్తో పాటు, మీరు మీ స్వంత పేరును ACLకి కేటాయించవచ్చు. విస్తరించిన ACLలు 100 నుండి 199 లేదా 2000 నుండి 2699 వరకు నంబర్లు మరియు పేరు కూడా కలిగి ఉండవచ్చు.
ప్రామాణిక ACLలో, వర్గీకరణ ట్రాఫిక్ యొక్క సోర్స్ IP చిరునామాపై ఆధారపడి ఉంటుంది. అందువల్ల, అటువంటి జాబితాను ఉపయోగిస్తున్నప్పుడు, మీరు ఏ మూలానికైనా ట్రాఫిక్ని పరిమితం చేయలేరు, మీరు పరికరం నుండి వచ్చే ట్రాఫిక్ను మాత్రమే నిరోధించగలరు.
విస్తరించిన ACL సోర్స్ IP చిరునామా, గమ్యం IP చిరునామా, ఉపయోగించిన ప్రోటోకాల్ మరియు పోర్ట్ నంబర్ ద్వారా ట్రాఫిక్ను వర్గీకరిస్తుంది. ఉదాహరణకు, మీరు FTP ట్రాఫిక్ను మాత్రమే లేదా HTTP ట్రాఫిక్ను మాత్రమే బ్లాక్ చేయవచ్చు. ఈ రోజు మనం ప్రామాణిక ACLని పరిశీలిస్తాము మరియు మేము తదుపరి వీడియో పాఠాన్ని పొడిగించిన జాబితాలకు కేటాయిస్తాము.
నేను చెప్పినట్లుగా, ACL అనేది షరతుల జాబితా. మీరు రౌటర్ యొక్క ఇన్కమింగ్ లేదా అవుట్గోయింగ్ ఇంటర్ఫేస్కు ఈ జాబితాను వర్తింపజేసిన తర్వాత, రూటర్ ఈ జాబితాకు వ్యతిరేకంగా ట్రాఫిక్ను తనిఖీ చేస్తుంది మరియు జాబితాలో పేర్కొన్న షరతులకు అనుగుణంగా ఉంటే, ఈ ట్రాఫిక్ను అనుమతించాలా లేదా తిరస్కరించాలా అని నిర్ణయిస్తుంది. రౌటర్ యొక్క ఇన్పుట్ మరియు అవుట్పుట్ ఇంటర్ఫేస్లను గుర్తించడం చాలా కష్టంగా ఉంటుంది, అయినప్పటికీ ఇక్కడ సంక్లిష్టంగా ఏమీ లేదు. మేము ఇన్కమింగ్ ఇంటర్ఫేస్ గురించి మాట్లాడినప్పుడు, ఈ పోర్ట్లో ఇన్కమింగ్ ట్రాఫిక్ మాత్రమే నియంత్రించబడుతుంది మరియు అవుట్గోయింగ్ ట్రాఫిక్కు రూటర్ పరిమితులను వర్తింపజేయదు. అదేవిధంగా, మేము ఎగ్రెస్ ఇంటర్ఫేస్ గురించి మాట్లాడుతున్నట్లయితే, అన్ని నియమాలు అవుట్గోయింగ్ ట్రాఫిక్కు మాత్రమే వర్తిస్తాయని దీని అర్థం, ఈ పోర్ట్లో ఇన్కమింగ్ ట్రాఫిక్ పరిమితులు లేకుండా అంగీకరించబడుతుంది. ఉదాహరణకు, రూటర్లో 2 పోర్ట్లు ఉంటే: f0/0 మరియు f0/1, అప్పుడు ACL f0/0 ఇంటర్ఫేస్లోకి ప్రవేశించే ట్రాఫిక్కు లేదా f0/1 ఇంటర్ఫేస్ నుండి ఉత్పన్నమయ్యే ట్రాఫిక్కు మాత్రమే వర్తించబడుతుంది. ట్రాఫిక్ f0/1 ఇంటర్ఫేస్లోకి ప్రవేశించడం లేదా వదిలివేయడం జాబితా ద్వారా ప్రభావితం కాదు.
అందువల్ల, ఇంటర్ఫేస్ యొక్క ఇన్కమింగ్ లేదా అవుట్గోయింగ్ దిశలో గందరగోళం చెందకండి, ఇది నిర్దిష్ట ట్రాఫిక్ యొక్క దిశపై ఆధారపడి ఉంటుంది. కాబట్టి, రూటర్ ACL పరిస్థితులకు సరిపోలడం కోసం ట్రాఫిక్ని తనిఖీ చేసిన తర్వాత, అది కేవలం రెండు నిర్ణయాలు తీసుకోగలదు: ట్రాఫిక్ను అనుమతించండి లేదా తిరస్కరించండి. ఉదాహరణకు, మీరు 180.160.1.30కి నిర్దేశించబడిన ట్రాఫిక్ను అనుమతించవచ్చు మరియు 192.168.1.10కి ఉద్దేశించిన ట్రాఫిక్ను తిరస్కరించవచ్చు. ప్రతి జాబితాలో బహుళ షరతులు ఉండవచ్చు, కానీ ఈ షరతుల్లో ప్రతి ఒక్కటి తప్పనిసరిగా అనుమతించాలి లేదా తిరస్కరించాలి.
మన దగ్గర జాబితా ఉందని అనుకుందాం:
నిషేదించుట _______
అనుమతించు ________
అనుమతించు ________
నిషేదించుట _________.
ముందుగా, రౌటర్ మొదటి షరతుతో సరిపోలుతుందో లేదో చూడటానికి ట్రాఫిక్ని తనిఖీ చేస్తుంది; అది సరిపోలకపోతే, అది రెండవ స్థితిని తనిఖీ చేస్తుంది. ట్రాఫిక్ మూడవ షరతుతో సరిపోలితే, రూటర్ తనిఖీ చేయడం ఆపివేస్తుంది మరియు మిగిలిన జాబితా పరిస్థితులతో పోల్చదు. ఇది "అనుమతించు" చర్యను నిర్వహిస్తుంది మరియు ట్రాఫిక్ యొక్క తదుపరి భాగాన్ని తనిఖీ చేయడానికి కొనసాగుతుంది.
ఒకవేళ మీరు ఏదైనా ప్యాకెట్కు నియమాన్ని సెట్ చేయనట్లయితే మరియు ట్రాఫిక్ ఎలాంటి షరతులను తాకకుండా జాబితా యొక్క అన్ని లైన్ల గుండా వెళితే, అది నాశనం చేయబడుతుంది, ఎందుకంటే ప్రతి ACL జాబితా డిఫాల్ట్గా ఏదైనా ఆదేశాన్ని తిరస్కరించడంతో ముగుస్తుంది - అంటే, విస్మరించండి ఏదైనా ప్యాకెట్, ఏ నియమాల క్రిందకు రాదు. జాబితాలో కనీసం ఒక నియమం ఉంటే ఈ పరిస్థితి ప్రభావం చూపుతుంది, లేకుంటే దాని ప్రభావం ఉండదు. కానీ మొదటి పంక్తిలో ఎంట్రీ తిరస్కరించు 192.168.1.30 ఉంటే మరియు జాబితాలో ఇకపై ఎటువంటి షరతులు ఉండకపోతే, చివరలో కమాండ్ పర్మిట్ ఏదైనా ఉండాలి, అంటే నియమం ద్వారా నిషేధించబడినది మినహా ఏదైనా ట్రాఫిక్ను అనుమతించండి. ACLని కాన్ఫిగర్ చేసేటప్పుడు పొరపాట్లను నివారించడానికి మీరు దీన్ని తప్పనిసరిగా పరిగణనలోకి తీసుకోవాలి.
ASL జాబితాను రూపొందించే ప్రాథమిక నియమాన్ని మీరు గుర్తుంచుకోవాలని నేను కోరుకుంటున్నాను: ప్రామాణిక ASLని గమ్యస్థానానికి వీలైనంత దగ్గరగా ఉంచండి, అంటే ట్రాఫిక్ గ్రహీతకు, మరియు విస్తరించిన ASLని మూలానికి వీలైనంత దగ్గరగా ఉంచండి, అనగా, ట్రాఫిక్ పంపినవారికి. ఇవి సిస్కో సిఫార్సులు, కానీ ఆచరణలో ట్రాఫిక్ మూలానికి దగ్గరగా ప్రామాణిక ACLని ఉంచడానికి మరింత అర్ధవంతమైన పరిస్థితులు ఉన్నాయి. కానీ మీరు పరీక్ష సమయంలో ACL ప్లేస్మెంట్ నియమాల గురించి ప్రశ్నను ఎదుర్కొంటే, సిస్కో సిఫార్సులను అనుసరించండి మరియు నిస్సందేహంగా సమాధానం ఇవ్వండి: ప్రమాణం గమ్యస్థానానికి దగ్గరగా ఉంటుంది, పొడిగించబడినది మూలానికి దగ్గరగా ఉంటుంది.
ఇప్పుడు ప్రామాణిక ACL యొక్క వాక్యనిర్మాణాన్ని చూద్దాం. రౌటర్ గ్లోబల్ కాన్ఫిగరేషన్ మోడ్లో రెండు రకాల కమాండ్ సింటాక్స్ ఉన్నాయి: క్లాసిక్ సింటాక్స్ మరియు ఆధునిక సింటాక్స్.
క్లాసిక్ కమాండ్ రకం యాక్సెస్-లిస్ట్ <ACL నంబర్> <deny/allow> <క్రైటీరియా>. మీరు <ACL నంబర్>ని 1 నుండి 99కి సెట్ చేస్తే, ఇది ప్రామాణిక ACL అని పరికరం స్వయంచాలకంగా అర్థం చేసుకుంటుంది మరియు అది 100 నుండి 199 వరకు ఉంటే, అది పొడిగించబడినది. నేటి పాఠంలో మేము ప్రామాణిక జాబితాను చూస్తున్నాము కాబట్టి, మేము 1 నుండి 99 వరకు ఏదైనా సంఖ్యను ఉపయోగించవచ్చు. అప్పుడు పారామితులు క్రింది ప్రమాణానికి సరిపోలితే వర్తించాల్సిన చర్యను మేము సూచిస్తాము - ట్రాఫిక్ను అనుమతించడం లేదా తిరస్కరించడం. ఇది ఆధునిక వాక్యనిర్మాణంలో కూడా ఉపయోగించబడుతుంది కాబట్టి మేము ప్రమాణాన్ని తరువాత పరిశీలిస్తాము.
ఆధునిక కమాండ్ రకం Rx(config) గ్లోబల్ కాన్ఫిగరేషన్ మోడ్లో కూడా ఉపయోగించబడుతుంది మరియు ఇలా కనిపిస్తుంది: ip యాక్సెస్-లిస్ట్ స్టాండర్డ్ <ACL నంబర్/పేరు>. ఇక్కడ మీరు 1 నుండి 99 వరకు ఉన్న సంఖ్యను లేదా ACL జాబితా పేరును ఉపయోగించవచ్చు, ఉదాహరణకు, ACL_Networking. ఈ ఆదేశం వెంటనే సిస్టమ్ను Rx స్టాండర్డ్ మోడ్ సబ్కమాండ్ మోడ్ (config-std-nacl)లో ఉంచుతుంది, ఇక్కడ మీరు తప్పనిసరిగా <deny/enable> <criteria>ని నమోదు చేయాలి. ఆధునిక రకం జట్లు క్లాసిక్తో పోలిస్తే ఎక్కువ ప్రయోజనాలను కలిగి ఉన్నాయి.
క్లాసిక్ లిస్ట్లో, మీరు యాక్సెస్-లిస్ట్ 10 తిరస్కరించండి ______ అని టైప్ చేస్తే, మరొక ప్రమాణం కోసం అదే రకమైన తదుపరి కమాండ్ని టైప్ చేసి, అటువంటి 100 కమాండ్లతో ముగించండి, ఆపై నమోదు చేసిన ఏవైనా ఆదేశాలను మార్చడానికి మీరు తొలగించాలి. మొత్తం యాక్సెస్-జాబితా జాబితా 10 కమాండ్ నో యాక్సెస్-లిస్ట్ 10. ఇది మొత్తం 100 ఆదేశాలను తొలగిస్తుంది ఎందుకంటే ఈ జాబితాలో ఏ వ్యక్తిగత కమాండ్ను సవరించడానికి మార్గం లేదు.
ఆధునిక వాక్యనిర్మాణంలో, ఆదేశం రెండు పంక్తులుగా విభజించబడింది, వాటిలో మొదటిది జాబితా సంఖ్యను కలిగి ఉంటుంది. మీకు జాబితా యాక్సెస్-జాబితా ప్రమాణం 10ని తిరస్కరించండి ________, యాక్సెస్-జాబితా ప్రమాణం 20 తిరస్కరించండి ________ మరియు మొదలైనవి ఉంటే, మీరు వాటి మధ్య ఇతర ప్రమాణాలతో ఇంటర్మీడియట్ జాబితాలను చొప్పించే అవకాశం ఉంది, ఉదాహరణకు, యాక్సెస్-జాబితా ప్రమాణం 15 తిరస్కరించండి ________ .
ప్రత్యామ్నాయంగా, మీరు యాక్సెస్-లిస్ట్ స్టాండర్డ్ 20 లైన్లను తొలగించవచ్చు మరియు యాక్సెస్-లిస్ట్ స్టాండర్డ్ 10 మరియు యాక్సెస్-లిస్ట్ స్టాండర్డ్ 30 లైన్ల మధ్య వివిధ పారామితులతో వాటిని మళ్లీ టైప్ చేయవచ్చు. అందువలన, ఆధునిక ACL సింటాక్స్ని సవరించడానికి వివిధ మార్గాలు ఉన్నాయి.
ACLలను సృష్టించేటప్పుడు మీరు చాలా జాగ్రత్తగా ఉండాలి. మీకు తెలిసినట్లుగా, జాబితాలు పై నుండి క్రిందికి చదవబడతాయి. మీరు నిర్దిష్ట హోస్ట్ నుండి ట్రాఫిక్ను అనుమతించే లైన్ను ఎగువన ఉంచినట్లయితే, ఈ హోస్ట్లో భాగమైన మొత్తం నెట్వర్క్ నుండి ట్రాఫిక్ను నిషేధించే పంక్తిని మీరు క్రింద ఉంచవచ్చు మరియు రెండు షరతులు తనిఖీ చేయబడతాయి - నిర్దిష్ట హోస్ట్కి ట్రాఫిక్ ద్వారా అనుమతించబడుతుంది మరియు ఈ నెట్వర్క్ అన్ని ఇతర హోస్ట్ల నుండి ట్రాఫిక్ బ్లాక్ చేయబడుతుంది. అందువల్ల, ఎల్లప్పుడూ నిర్దిష్ట ఎంట్రీలను జాబితా ఎగువన మరియు సాధారణ వాటిని దిగువన ఉంచండి.
కాబట్టి, మీరు క్లాసిక్ లేదా ఆధునిక ACLని సృష్టించిన తర్వాత, మీరు దానిని తప్పనిసరిగా వర్తింపజేయాలి. దీన్ని చేయడానికి, మీరు నిర్దిష్ట ఇంటర్ఫేస్ సెట్టింగ్లకు వెళ్లాలి, ఉదాహరణకు, f0/0 కమాండ్ ఇంటర్ఫేస్ <టైప్ మరియు స్లాట్> ఉపయోగించి, ఇంటర్ఫేస్ సబ్కమాండ్ మోడ్కి వెళ్లి, ip యాక్సెస్-గ్రూప్ <ACL నంబర్/ కమాండ్ను నమోదు చేయండి. పేరు> . దయచేసి తేడాను గమనించండి: జాబితాను కంపైల్ చేసేటప్పుడు, యాక్సెస్-జాబితా ఉపయోగించబడుతుంది మరియు దానిని వర్తింపజేసేటప్పుడు, యాక్సెస్-గ్రూప్ ఉపయోగించబడుతుంది. ఇన్కమింగ్ ఇంటర్ఫేస్ లేదా అవుట్గోయింగ్ ఇంటర్ఫేస్ - ఈ జాబితా ఏ ఇంటర్ఫేస్కు వర్తింపజేయబడుతుందో మీరు తప్పనిసరిగా నిర్ణయించాలి. జాబితాకు పేరు ఉంటే, ఉదాహరణకు, నెట్వర్కింగ్, ఈ ఇంటర్ఫేస్లో జాబితాను వర్తింపజేయడానికి అదే పేరు ఆదేశంలో పునరావృతమవుతుంది.
ఇప్పుడు ఒక నిర్దిష్ట సమస్యను తీసుకుందాం మరియు ప్యాకెట్ ట్రేసర్ని ఉపయోగించి మా నెట్వర్క్ రేఖాచిత్రం యొక్క ఉదాహరణను ఉపయోగించి దాన్ని పరిష్కరించడానికి ప్రయత్నిద్దాం. కాబట్టి, మాకు 4 నెట్వర్క్లు ఉన్నాయి: సేల్స్ డిపార్ట్మెంట్, అకౌంటింగ్ డిపార్ట్మెంట్, మేనేజ్మెంట్ మరియు సర్వర్ రూమ్.
టాస్క్ నంబర్ 1: సేల్స్ మరియు ఫైనాన్షియల్ డిపార్ట్మెంట్ల నుండి మేనేజ్మెంట్ డిపార్ట్మెంట్ మరియు సర్వర్ రూమ్కి వెళ్లే అన్ని ట్రాఫిక్లు తప్పనిసరిగా బ్లాక్ చేయబడాలి. నిరోధించే స్థానం రూటర్ R0 యొక్క ఇంటర్ఫేస్ S1/0/2. ముందుగా మనం ఈ క్రింది ఎంట్రీలను కలిగి ఉన్న జాబితాను సృష్టించాలి:
ACL Secure_Ma_And_Seగా సంక్షిప్తీకరించబడిన జాబితాను "నిర్వహణ మరియు సర్వర్ సెక్యూరిటీ ACL" అని పిలుద్దాం. దీని తర్వాత ఫైనాన్షియల్ డిపార్ట్మెంట్ నెట్వర్క్ 192.168.1.128/26 నుండి ట్రాఫిక్ను నిషేధించడం, సేల్స్ డిపార్ట్మెంట్ నెట్వర్క్ 192.168.1.0/25 నుండి ట్రాఫిక్ను నిషేధించడం మరియు ఏదైనా ఇతర ట్రాఫిక్ను అనుమతించడం. జాబితా చివరలో ఇది రూటర్ R0 యొక్క అవుట్గోయింగ్ ఇంటర్ఫేస్ S1/0/2 కోసం ఉపయోగించబడుతుందని సూచించబడింది. లిస్ట్ చివరన మనకు పర్మిట్ ఏదైనా ఎంట్రీ లేకపోతే, డిఫాల్ట్ ACL ఎల్లప్పుడూ జాబితా చివరిలో ఏదైనా ఎంట్రీని తిరస్కరించడానికి సెట్ చేయబడినందున, అన్ని ఇతర ట్రాఫిక్ బ్లాక్ చేయబడుతుంది.
నేను G0/0 ఇంటర్ఫేస్కి ఈ ACLని వర్తింపజేయవచ్చా? అయితే, నేను చేయగలను, కానీ ఈ సందర్భంలో అకౌంటింగ్ డిపార్ట్మెంట్ నుండి ట్రాఫిక్ మాత్రమే బ్లాక్ చేయబడుతుంది మరియు సేల్స్ డిపార్ట్మెంట్ నుండి ట్రాఫిక్ ఏ విధంగానూ పరిమితం చేయబడదు. అదే విధంగా, మీరు G0/1 ఇంటర్ఫేస్కు ACLని వర్తింపజేయవచ్చు, అయితే ఈ సందర్భంలో ఫైనాన్స్ డిపార్ట్మెంట్ ట్రాఫిక్ బ్లాక్ చేయబడదు. వాస్తవానికి, మేము ఈ ఇంటర్ఫేస్ల కోసం రెండు వేర్వేరు బ్లాక్ జాబితాలను సృష్టించగలము, అయితే వాటిని ఒక జాబితాలోకి కలపడం మరియు రౌటర్ R2 యొక్క అవుట్పుట్ ఇంటర్ఫేస్ లేదా రౌటర్ R0 యొక్క ఇన్పుట్ ఇంటర్ఫేస్ S1/0/1కి వర్తింపజేయడం మరింత సమర్థవంతమైనది.
ప్రామాణిక ACLని గమ్యస్థానానికి వీలైనంత దగ్గరగా ఉంచాలని Cisco నియమాలు పేర్కొన్నప్పటికీ, నేను దానిని ట్రాఫిక్ మూలానికి దగ్గరగా ఉంచుతాను ఎందుకంటే నేను అవుట్గోయింగ్ ట్రాఫిక్ను అన్నింటిని బ్లాక్ చేయాలనుకుంటున్నాను మరియు దీనికి దగ్గరగా దీన్ని చేయడం మరింత సమంజసం. మూలం కాబట్టి ఈ ట్రాఫిక్ రెండు రూటర్ల మధ్య నెట్వర్క్ను వృధా చేయదు.
నేను మీకు ప్రమాణాల గురించి చెప్పడం మర్చిపోయాను, కాబట్టి త్వరగా వెనక్కి వెళ్దాం. మీరు దేనినైనా ప్రమాణంగా పేర్కొనవచ్చు - ఈ సందర్భంలో, ఏదైనా పరికరం మరియు ఏదైనా నెట్వర్క్ నుండి ఏదైనా ట్రాఫిక్ తిరస్కరించబడుతుంది లేదా అనుమతించబడుతుంది. మీరు దాని ఐడెంటిఫైయర్తో హోస్ట్ను కూడా పేర్కొనవచ్చు - ఈ సందర్భంలో, ఎంట్రీ నిర్దిష్ట పరికరం యొక్క IP చిరునామాగా ఉంటుంది. చివరగా, మీరు మొత్తం నెట్వర్క్ను పేర్కొనవచ్చు, ఉదాహరణకు, 192.168.1.10/24. ఈ సందర్భంలో, /24 అంటే 255.255.255.0 సబ్నెట్ మాస్క్ ఉనికిని సూచిస్తుంది, అయితే ACLలో సబ్నెట్ మాస్క్ యొక్క IP చిరునామాను పేర్కొనడం అసాధ్యం. ఈ సందర్భంలో, ACL వైల్డ్కార్ట్ మాస్క్ లేదా “రివర్స్ మాస్క్” అనే భావనను కలిగి ఉంది. అందువల్ల మీరు తప్పనిసరిగా IP చిరునామా మరియు రిటర్న్ మాస్క్ను పేర్కొనాలి. రివర్స్ మాస్క్ ఇలా కనిపిస్తుంది: మీరు సాధారణ సబ్నెట్ మాస్క్ నుండి డైరెక్ట్ సబ్నెట్ మాస్క్ను తీసివేయాలి, అంటే ఫార్వర్డ్ మాస్క్లోని ఆక్టెట్ విలువకు సంబంధించిన సంఖ్య 255 నుండి తీసివేయబడుతుంది.
కాబట్టి, మీరు 192.168.1.10 0.0.0.255 పరామితిని ACLలో ప్రమాణంగా ఉపయోగించాలి.
అది ఎలా పని చేస్తుంది? రిటర్న్ మాస్క్ ఆక్టెట్లో 0 ఉంటే, సబ్నెట్ యొక్క IP చిరునామా యొక్క సంబంధిత ఆక్టెట్తో సరిపోలే ప్రమాణం పరిగణించబడుతుంది. బ్యాక్మాస్క్ ఆక్టెట్లో నంబర్ ఉంటే, మ్యాచ్ చెక్ చేయబడదు. ఆ విధంగా, 192.168.1.0 నెట్వర్క్ మరియు 0.0.0.255 రిటర్న్ మాస్క్ కోసం, నాల్గవ ఆక్టెట్ విలువతో సంబంధం లేకుండా, మొదటి మూడు ఆక్టెట్లు 192.168.1.కి సమానమైన చిరునామాల నుండి వచ్చే మొత్తం ట్రాఫిక్ బ్లాక్ చేయబడుతుంది లేదా అనుమతించబడుతుంది పేర్కొన్న చర్య.
రివర్స్ మాస్క్ని ఉపయోగించడం చాలా సులభం మరియు మేము తదుపరి వీడియోలో వైల్డ్కార్ట్ మాస్క్కి తిరిగి వస్తాము, దానితో ఎలా పని చేయాలో నేను వివరించగలను.
28:50 నిమి
మాతో ఉన్నందుకు ధన్యవాదాలు. మీరు మా కథనాలను ఇష్టపడుతున్నారా? మరింత ఆసక్తికరమైన కంటెంట్ని చూడాలనుకుంటున్నారా? ఆర్డర్ చేయడం ద్వారా లేదా స్నేహితులకు సిఫార్సు చేయడం ద్వారా మాకు మద్దతు ఇవ్వండి, మీ కోసం మేము కనిపెట్టిన ఎంట్రీ-లెవల్ సర్వర్ల యొక్క ప్రత్యేకమైన అనలాగ్పై Habr వినియోగదారులకు 30% తగ్గింపు: (RAID1 మరియు RAID10తో అందుబాటులో ఉంది, గరిష్టంగా 24 కోర్లు మరియు 40GB DDR4 వరకు).
Dell R730xd 2 రెట్లు తక్కువ? ఇక్కడ మాత్రమే నెదర్లాండ్స్లో! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - $99 నుండి! గురించి చదవండి
మూలం: www.habr.com