Имрӯз мо омӯхтани рӯйхати назорати дастрасии ACL оғоз мекунем, ин мавзӯъ 2 дарси видеоӣ мегирад. Мо конфигуратсияи ACL-и стандартиро дида мебароем ва дар дастури видеоии навбатӣ ман дар бораи рӯйхати васеъ гап мезанам.
Дар ин дарс мо 3 мавзўъро фаро мегирем. Якум он аст, ки ACL чӣ аст, дуюм ин аст, ки фарқияти байни рӯйхати дастрасии стандартӣ ва васеъ чӣ гуна аст ва дар охири дарс, ҳамчун лаборатория, мо ба таъсиси ACL стандартӣ ва ҳалли мушкилоти имконпазир назар мекунем.
Пас, ACL чист? Агар шумо курсро аз аввалин дарси видеоӣ омӯхта бошед, пас шумо дар хотир доред, ки чӣ гуна мо муоширати байни дастгоҳҳои гуногуни шабакаро ташкил кардаем.
Мо инчунин масири статикиро тавассути протоколҳои гуногун омӯхтем, то малакаҳоро дар ташкили иртибот байни дастгоҳҳо ва шабакаҳо ба даст орем. Мо ҳоло ба марҳилаи омӯзиш расидем, ки мо бояд дар бораи таъмини назорати трафик, яъне пешгирии воридшавии "бачаҳои бад" ё корбарони беиҷозат ба шабака нигарон бошем. Масалан, ин метавонад ба одамони шӯъбаи фурӯш, ки дар ин диаграмма тасвир шудааст, дахл дорад. Дар ин ҷо мо инчунин шӯъбаи молиявӣ, ҲИСОБҲО, шӯъбаи менеҷмент ва утоқи серверро нишон медиҳем.
Ҳамин тавр, шӯъбаи фурӯш метавонад сад нафар корманд дошта бошад ва мо намехоҳем, ки ҳеҷ яке аз онҳо тавассути шабака ба утоқи сервер дастрасӣ дошта бошад. Барои менеҷери фурӯш, ки дар компютери Laptop2 кор мекунад, истисно аст - ӯ метавонад ба утоқи сервер дастрасӣ дошта бошад. Корманди наве, ки дар Laptop3 кор мекунад, набояд чунин дастрасӣ дошта бошад, яъне агар трафик аз компютери ӯ ба роутер R2 расад, он бояд партофта шавад.
Нақши ACL аз филтр кардани трафик мувофиқи параметрҳои филтркунии муқарраршуда иборат аст. Онҳо суроғаи IP-и манбаъ, суроғаи IP-и таъинот, протокол, шумораи портҳо ва параметрҳои дигарро дар бар мегиранд, ки ба шарофати онҳо шумо метавонед трафикро муайян кунед ва бо он баъзе амалҳоро анҷом диҳед.
Ҳамин тавр, ACL як механизми филтркунии қабати 3-и модели OSI мебошад. Ин маънои онро дорад, ки ин механизм дар роутерҳо истифода мешавад. Меъёри асосии филтр ин муайянкунии ҷараёни додаҳо мебошад. Масалан, агар мо хоҳем, ки бачае, ки компютери Laptop3 дорад, аз дастрасӣ ба сервер манъ кунем, пеш аз ҳама мо бояд трафики ӯро муайян кунем. Ин трафик ба самти Laptop-Switch2-R2-R1-Switch1-Server1 тавассути интерфейсҳои мувофиқи дастгоҳҳои шабакавӣ ҳаракат мекунад, дар ҳоле ки интерфейсҳои G0/0-и роутерҳо ба он ҳеҷ иртиботе надоранд.
Барои муайян кардани трафик, мо бояд роҳи онро муайян кунем. Пас аз анҷом додани ин, мо метавонем муайян кунем, ки филтрро дар куҷо насб кардан лозим аст. Дар бораи худи филтрҳо хавотир нашавед, мо онҳоро дар дарси оянда муҳокима хоҳем кард, ҳоло мо бояд фаҳмем, ки принсипи филтр бояд ба кадом интерфейс татбиқ карда шавад.
Агар шумо ба роутер назар кунед, шумо мебинед, ки ҳар дафъа ҳаракати трафик, интерфейсе мавҷуд аст, ки ҷараёни маълумот ворид мешавад ва интерфейсе мавҷуд аст, ки тавассути он ин ҷараён берун меояд.
Дар асл 3 интерфейс вуҷуд дорад: интерфейси вуруд, интерфейси баромад ва интерфейси худи роутер. Танҳо дар хотир доред, ки филтрро танҳо ба интерфейси вуруд ё баромад истифода бурдан мумкин аст.
Принсипи амалиёти ACL ба гузашти чорабинӣ монанд аст, ки дар он танҳо меҳмононе иштирок карда метавонанд, ки номашон дар рӯйхати шахсони даъватшуда мавҷуд аст. ACL рӯйхати параметрҳои тахассусӣ мебошад, ки барои муайян кардани трафик истифода мешаванд. Масалан, ин рӯйхат нишон медиҳад, ки ҳама трафик аз суроғаи IP 192.168.1.10 иҷозат дода шудааст ва трафик аз ҳама суроғаҳои дигар рад карда мешавад. Тавре ки ман гуфтам, ин рӯйхатро метавон ҳам ба интерфейси вуруд ва ҳам баромад татбиқ кард.
2 намуди ACL вуҷуд дорад: стандартӣ ва васеъ. ACL стандартӣ дорои идентификатор аз 1 то 99 ё аз 1300 то 1999 мебошад. Инҳо номҳои оддии рӯйхатанд, ки бо афзоиши рақамгузорӣ аз ҳамдигар ҳеҷ бартарӣ надоранд. Илова ба рақам, шумо метавонед номи худро ба ACL таъин кунед. ACL-ҳои васеъ аз 100 то 199 ё 2000 то 2699 рақамгузорӣ карда мешаванд ва инчунин метавонанд ном дошта бошанд.
Дар стандарти ACL, тасниф ба суроғаи IP-и трафик асос ёфтааст. Аз ин рӯ, ҳангоми истифодаи чунин рӯйхат, шумо наметавонед трафики ба ягон манбаъ равонашударо маҳдуд кунед, шумо метавонед танҳо трафики аз дастгоҳ сарчашмашударо маҳкам кунед.
ACL-и васеъ трафикро аз рӯи суроғаи IP манбаъ, суроғаи IP таъинот, протоколи истифодашуда ва рақами порт тасниф мекунад. Масалан, шумо метавонед танҳо трафики FTP ё танҳо трафики HTTP-ро маҳкам кунед. Имрӯз мо ба стандарти ACL назар мекунем ва дарси навбатии видеоиро ба рӯйхатҳои васеъ мебахшем.
Тавре ки ман гуфтам, ACL рӯйхати шартҳост. Пас аз он ки шумо ин рӯйхатро ба интерфейси даромад ё баромади роутер татбиқ мекунед, роутер трафикро аз рӯи ин рӯйхат тафтиш мекунад ва агар он ба шартҳои дар рӯйхат овардашуда мувофиқат кунад, қарор қабул мекунад, ки ин трафикро иҷозат диҳад ё рад кунад. Одамон аксар вақт муайян кардани интерфейсҳои вуруд ва баромади роутерро душвор меҳисобанд, гарчанде ки дар ин ҷо ҳеҷ чизи мураккаб нест. Вақте ки мо дар бораи интерфейси воридотӣ гап мезанем, ин маънои онро дорад, ки танҳо трафики воридотӣ дар ин порт назорат карда мешавад ва роутер ба трафики содиротӣ маҳдудият татбиқ намекунад. Ба ҳамин монанд, агар мо дар бораи интерфейси баромад сухан ронем, ин маънои онро дорад, ки ҳама қоидаҳо танҳо ба трафики содиротӣ татбиқ мешаванд, дар ҳоле ки трафики воридотӣ дар ин порт бидуни маҳдудият қабул карда мешавад. Масалан, агар роутер 2 порт дошта бошад: f0/0 ва f0/1, он гоҳ ACL танҳо ба трафики воридшаванда ба интерфейси f0/0 ё танҳо ба трафики аз интерфейси f0/1 сарчашма мегирад истифода мешавад. Трафики вуруд ё баромадан ба интерфейси f0/1 ба рӯйхат таъсир намерасонад.
Аз ин рӯ, бо самти даромад ё баромади интерфейс ошуфта нашавед, он аз самти трафики мушаххас вобаста аст. Пас, пас аз он ки роутер трафикро барои мувофиқат ба шароити ACL тафтиш кард, он метавонад танҳо ду қарор қабул кунад: трафикро иҷозат диҳед ё онро рад кунед. Масалан, шумо метавонед трафики таъиншударо барои 180.160.1.30 иҷозат диҳед ва трафики таъиншударо барои 192.168.1.10 рад кунед. Ҳар як рӯйхат метавонад якчанд шартҳоро дар бар гирад, аммо ҳар яке аз ин шартҳо бояд иҷозат ё рад кунанд.
Фарз мекунем, ки мо рӯйхат дорем:
Манъи _______
Иҷозат диҳед ________
Иҷозат диҳед ________
Манъи _________.
Аввалан, роутер трафикро тафтиш мекунад, то бубинад, ки оё он ба шарти аввал мувофиқат мекунад; агар он мувофиқат накунад, он шарти дуюмро тафтиш мекунад. Агар трафик ба шарти сеюм мувофиқат кунад, роутер тафтишро қатъ мекунад ва онро бо дигар шартҳои рӯйхат муқоиса намекунад. Он амали "иҷозат" -ро иҷро мекунад ва ба тафтиши қисми навбатии трафик мегузарад.
Агар шумо барои ягон баста қоида муқаррар накарда бошед ва трафик аз тамоми сатрҳои рӯйхат бе ягон шарте мегузарад, он нест карда мешавад, зеро ҳар як рӯйхати ACL ба таври нобаёнӣ бо фармони рад кардани ҳама гуна фармон ба итмом мерасад, яъне партофтан. ягон баста, ки ба ҳеҷ як аз қоидаҳо намеафтад. Ин шарт агар дар рӯйхат ҳадди аққал як қоида мавҷуд бошад, эътибор пайдо мекунад, вагарна он таъсир надорад. Аммо агар дар сатри аввал сабти радди 192.168.1.30 мавҷуд бошад ва рӯйхат дигар ягон шартро дар бар нагирад, пас дар охир бояд фармони иҷозати ҳама гуна трафик мавҷуд бошад, яъне иҷозат додан ба ҳама гуна трафик, ба истиснои он, ки қоида манъ аст. Шумо бояд инро ба назар гиред, то ҳангоми конфигуратсияи ACL хато накунед.
Ман мехоҳам, ки шумо қоидаи асосии эҷоди рӯйхати ASL-ро дар хотир доред: ASL-и стандартиро ба қадри имкон ба макони таъинот, яъне ба қабулкунандаи трафик наздик гузоред ва ASL-и васеъшударо то ҳадди имкон ба манбаъ наздик гузоред, яъне: ба фиристодани трафик. Инҳо тавсияҳои Cisco мебошанд, аммо дар амал ҳолатҳое ҳастанд, ки дар наздикии манбаи трафик ҷойгир кардани ACL-и стандартӣ бештар маъно дорад. Аммо агар шумо ҳангоми имтиҳон ба саволе дар бораи қоидаҳои ҷойгиркунии ACL дучор шавед, тавсияҳои Cisco-ро риоя кунед ва якхела ҷавоб диҳед: стандарт ба макони таъинот наздиктар аст, васеътар ба манбаъ наздиктар аст.
Акнун биёед ба синтаксиси стандартии ACL назар кунем. Дар реҷаи конфигуратсияи глобалии роутер ду намуди синтаксиси фармон мавҷуд аст: синтаксиси классикӣ ва синтаксиси муосир.
Навъи фармони классикӣ рӯйхати дастрасӣ ба <рақами ACL> <рад кардан/иҷозат додан> <критерияҳо> мебошад. Агар шумо <Рақами ACL>-ро аз 1 то 99 таъин кунед, дастгоҳ ба таври худкор мефаҳмад, ки ин ACL стандартӣ аст ва агар аз 100 то 199 бошад, он рақами васеъ аст. Азбаски дар дарси имрўза мо рўйхати стандартиро дида истодаем, мо метавонем ягон адади аз 1 то 99-ро истифода барем. Баъд мо амалеро нишон медињем, ки агар параметрњо ба меъёри зерин мувофиќат кунанд - иљозат ё рад кардани трафик. Мо ин меъёрро баъдтар баррасӣ хоҳем кард, зеро он дар синтаксиси муосир низ истифода мешавад.
Навъи фармони муосир низ дар реҷаи конфигуратсияи глобалии Rx(config) истифода мешавад ва чунин менамояд: IP access-list standard <Рақами ACL/ном>. Дар ин ҷо шумо метавонед ё рақами аз 1 то 99 ё номи рӯйхати ACL-ро истифода баред, масалан, ACL_Networking. Ин фармон дарҳол системаро ба ҳолати зерфармони ҳолати стандартии Rx мегузорад (config-std-nacl), ки дар он шумо бояд <инкор/фаъол> <критерия>-ро ворид кунед. Навъи муосири дастаҳо нисбат ба дастаи классикӣ афзалиятҳои бештар доранд.
Дар рӯйхати классикӣ, агар шумо access-list 10 inkor ______-ро нависед, пас фармони навбатии ҳамон навъро барои як меъёри дигар нависед ва шумо бо 100 чунин фармон ба даст меоред, пас барои тағир додани ягон фармонҳои воридшуда, шумо бояд тамоми рӯйхати дастрасӣ 10-ро бо фармони no access-list 10 нест кунед. Ин ҳама 100 фармонро нест мекунад, зеро ҳеҷ гуна роҳи таҳрир кардани ягон фармони инфиродӣ дар ин рӯйхат вуҷуд надорад.
Дар синтаксиси муосир фармон ба ду сатр тақсим мешавад, ки дар аввал рақами рӯйхат мавҷуд аст. Фарз мекунем, ки агар шумо стандарти рӯйхат-рӯйхати дастрасӣ 10 рад ________, стандарти рӯйхат 20 рад ________ ва ғайра дошта бошед, пас шумо имкон доред, ки рӯйхатҳои мобайниро бо дигар меъёрҳо дар байни онҳо ҷойгир кунед, масалан, стандарти рӯйхати дастрасӣ 15 рад ________ .
Интихобан, шумо метавонед танҳо сатри дастрасии стандарти 20-ро нест кунед ва онҳоро бо параметрҳои гуногун байни стандарти дастрасӣ-рӯйхати стандарти 10 ва стандарти дастрасии стандарти 30 сатр дубора чоп кунед.Ҳамин тавр, роҳҳои гуногуни таҳрир кардани синтаксиси муосири ACL вуҷуд доранд.
Ҳангоми сохтани ACL шумо бояд хеле эҳтиёткор бошед. Тавре ки шумо медонед, рӯйхатҳо аз боло ба поён хонда мешаванд. Агар шумо дар боло хатеро ҷойгир кунед, ки трафикро аз як хости мушаххас иҷозат медиҳад, пас дар зер шумо метавонед хати трафикро аз тамоми шабака, ки ин ҳост як қисми он аст, манъ мекунад ва ҳарду шарт тафтиш карда мешавад - трафик ба ҳости мушаххас иҷозат дода мешавад ва трафик аз ҳама ҳостҳои дигар ин шабака баста мешавад. Аз ин рӯ, ҳамеша вурудоти мушаххасро дар болои рӯйхат ва маълумоти умумиро дар поён ҷойгир кунед.
Пас, пас аз он ки шумо ACL-и классикӣ ё муосир эҷод кардед, шумо бояд онро татбиқ кунед. Барои ин ба шумо лозим аст, ки ба танзимоти интерфейси мушаххас гузаред, масалан, f0/0 бо истифода аз интерфейси фармони <намуд ва слот>, ба ҳолати зерфармони интерфейс гузаред ва фармони IP access-group <рақами ACL/-ро ворид кунед. ном> . Лутфан фарқиятро қайд кунед: ҳангоми тартиб додани рӯйхат рӯйхати дастрасӣ ва ҳангоми татбиқи он гурӯҳи дастрасӣ истифода мешавад. Шумо бояд муайян кунед, ки ин рӯйхат ба кадом интерфейс татбиқ мешавад - интерфейси воридотӣ ё интерфейси баромад. Агар рӯйхат ном дошта бошад, масалан, Networking, ҳамон ном дар фармони татбиқи рӯйхат дар ин интерфейс такрор мешавад.
Акнун биёед як масъалаи мушаххасро гирем ва кӯшиш кунем, ки онро бо истифода аз мисоли диаграммаи шабакаи мо бо истифода аз Packet Tracer ҳал кунем. Ҳамин тариқ, мо 4 шабака дорем: шӯъбаи фурӯш, шӯъбаи ҳисобдорӣ, менеҷмент ва утоқи сервер.
Вазифаи №1: тамоми трафики аз шӯъбаҳои фурӯш ва молиявӣ ба шӯъбаи идоракунӣ ва утоқи сервер равонашуда бояд баста шавад. Ҷойгиршавӣ интерфейси S0/1/0 роутер R2 мебошад. Аввалан мо бояд рӯйхатеро эҷод кунем, ки дорои вурудоти зерин аст:
Биёед рӯйхатро "Идоракунӣ ва Амнияти Сервер ACL" номида бошем, ки бо номи ACL Secure_Ma_And_Se ихтисор шудааст. Пас аз он манъ кардани трафик аз шабакаи шӯъбаи молия 192.168.1.128/26, манъ кардани трафик аз шабакаи шӯъбаи фурӯш 192.168.1.0/25 ва иҷозат додани ҳама гуна трафики дигар. Дар охири рӯйхат нишон дода шудааст, ки он барои интерфейси баромади S0/1/0 роутер R2 истифода мешавад. Агар мо ягон вурудро дар охири рӯйхат надошта бошем, он гоҳ ҳамаи трафики дигар баста мешавад, зеро ACL пешфарз ҳамеша ба сабти рад кардани ҳама дар охири рӯйхат муқаррар карда мешавад.
Оё ман метавонам ин ACL-ро ба интерфейси G0/0 татбиқ кунам? Албатта, ман метавонам, аммо дар ин ҳолат танҳо ҳаракати нақлиёт аз шуъбаи бухгалтерия баста мешавад ва ҳаракати нақлиёт аз шуъбаи фурӯш ба ҳеҷ ваҷҳ маҳдуд намешавад. Ба ҳамин тариқ, шумо метавонед ACL-ро ба интерфейси G0/1 татбиқ кунед, аммо дар ин ҳолат трафики шӯъбаи молия баста намешавад. Албатта, мо метавонем ду рӯйхати блокҳои алоҳидаро барои ин интерфейсҳо созем, аммо дар як рӯйхат муттаҳид кардани онҳо ва татбиқи он ба интерфейси баромади роутер R2 ё интерфейси вуруди S0/1/0 роутер R1 хеле самараноктар аст.
Гарчанде ки қоидаҳои Cisco мегӯянд, ки ACL-и стандартӣ бояд ба қадри имкон ба макони таъинот наздиктар ҷойгир карда шавад, ман онро ба манбаи трафик наздиктар мегузорам, зеро ман мехоҳам тамоми трафики содиротро маҳкам кунам ва ин корро ба ҷои таъиншуда наздиктар кардан беҳтар аст. манбаъ, то ин трафик шабакаро байни ду роутер барбод надиҳад.
Ман фаромӯш кардаам, ки ба шумо дар бораи меъёрҳо мегӯям, пас биёед зуд баргардем. Шумо метавонед ҳама чизро ҳамчун меъёр муайян кунед - дар ин ҳолат, ҳама гуна трафик аз ҳама гуна дастгоҳ ва ҳама шабака рад ё иҷозат дода мешавад. Шумо инчунин метавонед ҳостро бо идентификатори он муайян кунед - дар ин ҳолат, вуруд суроғаи IP-и дастгоҳи мушаххас хоҳад буд. Дар ниҳоят, шумо метавонед тамоми шабакаро муайян кунед, масалан, 192.168.1.10/24. Дар ин ҳолат, /24 маънои мавҷудияти ниқоби зершабакаи 255.255.255.0 хоҳад буд, аммо нишон додани суроғаи IP-и ниқоби зершабақа дар ACL номумкин аст. Барои ин ҳолат, ACL дорои консепсияи бо номи Wildcart Mask ё "ниқоби баръакс" мебошад. Аз ин рӯ, шумо бояд суроғаи IP ва ниқоби бозгаштро муайян кунед. Ниқоби баръакс чунин менамояд: шумо бояд ниқоби зершабакаи мустақимро аз ниқоби зершабакаи умумӣ хориҷ кунед, яъне рақами мувофиқи арзиши октет дар ниқоби пеш аз 255 тарҳ карда мешавад.
Аз ин рӯ, шумо бояд параметри 192.168.1.10 0.0.0.255-ро ҳамчун меъёр дар ACL истифода баред.
Он чӣ гуна кор мекунад? Агар дар октети ниқоби бозгашт 0 мавҷуд бошад, критерия мувофиқат ба октети мувофиқи суроғаи IP зершабақа ҳисобида мешавад. Агар дар октети пушти ниқоб рақам мавҷуд бошад, мувофиқат тафтиш карда намешавад. Ҳамин тариқ, барои шабакаи 192.168.1.0 ва ниқоби бозгашти 0.0.0.255, тамоми трафик аз суроғаҳое, ки се октети аввалашон ба 192.168.1. баробар аст, новобаста аз арзиши октети чорум, баста ё иҷозат дода мешавад. амали муайяншуда.
Истифодаи ниқоби баръакс осон аст ва мо дар видеои навбатӣ ба Маскаи ваҳшӣ бармегардем, то ман фаҳмонам, ки чӣ тавр бо он кор кардан лозим аст.
28:50 дақ
Ташаккур ба шумо барои бо мо мондан. Мақолаҳои мо ба шумо маъқуланд? Мехоҳед мундариҷаи ҷолибтарро бубинед? Бо фармоиш додан ё тавсия додан ба дӯстон моро дастгирӣ кунед, 30% тахфиф барои корбарони Habr дар аналоги беназири серверҳои сатҳи ибтидоӣ, ки аз ҷониби мо барои шумо ихтироъ шудааст: (бо RAID1 ва RAID10, то 24 ядро ва то 40 ГБ DDR4 дастрас аст).
Dell R730xd 2 маротиба арзонтар? Танҳо дар ин ҷо дар Нидерландия! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - аз $99! Дар бораи хондан
Манбаъ: will.com