โปรโฮสต์ > บล็อก > การบริหาร > การฝึกอบรม Cisco 200-125 CCNA v3.0. วันที่ 27 ความรู้เบื้องต้นเกี่ยวกับ ACL ส่วนที่ 1

การฝึกอบรม Cisco 200-125 CCNA v3.0. วันที่ 27 ความรู้เบื้องต้นเกี่ยวกับ ACL ส่วนที่ 1

วันนี้เราจะเริ่มเรียนรู้เกี่ยวกับรายการควบคุมการเข้าถึง ACL หัวข้อนี้จะใช้เวลาประมาณ 2 บทเรียนวิดีโอ เราจะดูการกำหนดค่าของ ACL มาตรฐาน และในบทช่วยสอนวิดีโอถัดไป ฉันจะพูดถึงรายการเพิ่มเติม

ในบทเรียนนี้เราจะครอบคลุม 3 หัวข้อ อย่างแรกคือ ACL คืออะไร อย่างที่สองคือความแตกต่างระหว่างรายการเข้าถึงแบบมาตรฐานและแบบขยาย และในตอนท้ายของบทเรียน ในฐานะห้องปฏิบัติการ เราจะดูที่การตั้งค่า ACL มาตรฐานและแก้ไขปัญหาที่เป็นไปได้
แล้ว ACL คืออะไร? หากคุณศึกษาหลักสูตรนี้จากบทเรียนวิดีโอแรกสุด คุณจะจำได้ว่าเราจัดการสื่อสารระหว่างอุปกรณ์เครือข่ายต่างๆ อย่างไร

การฝึกอบรม Cisco 200-125 CCNA v3.0. วันที่ 27 ความรู้เบื้องต้นเกี่ยวกับ ACL ส่วนที่ 1

นอกจากนี้เรายังศึกษาการกำหนดเส้นทางแบบคงที่บนโปรโตคอลต่างๆ เพื่อเพิ่มทักษะในการจัดการการสื่อสารระหว่างอุปกรณ์และเครือข่าย ขณะนี้เรามาถึงขั้นตอนการเรียนรู้ซึ่งเราควรกังวลเกี่ยวกับการควบคุมการรับส่งข้อมูล ซึ่งก็คือการป้องกัน “ผู้ร้าย” หรือผู้ใช้ที่ไม่ได้รับอนุญาตจากการแทรกซึมเครือข่าย ตัวอย่างเช่น สิ่งนี้อาจเกี่ยวข้องกับผู้คนจากแผนกขายของฝ่ายขาย ซึ่งแสดงไว้ในไดอะแกรมนี้ ที่นี่เรายังแสดงแผนกการเงิน บัญชี แผนกการจัดการ การจัดการ และห้องเซิร์ฟเวอร์ ห้องเซิร์ฟเวอร์
ดังนั้นแผนกขายอาจมีพนักงานได้ร้อยคน และเราไม่ต้องการให้พนักงานคนใดสามารถเข้าถึงห้องเซิร์ฟเวอร์ผ่านเครือข่ายได้ มีข้อยกเว้นสำหรับผู้จัดการฝ่ายขายที่ทำงานบนคอมพิวเตอร์แล็ปท็อป 2 - เขาสามารถเข้าถึงห้องเซิร์ฟเวอร์ได้ พนักงานใหม่ที่ทำงานกับ Laptop3 ไม่ควรมีสิทธิ์เข้าถึงดังกล่าวนั่นคือหากการรับส่งข้อมูลจากคอมพิวเตอร์ของเขาไปถึงเราเตอร์ R2 ก็ควรจะทิ้งไป

บทบาทของ ACL คือการกรองการรับส่งข้อมูลตามพารามิเตอร์การกรองที่ระบุ ประกอบด้วยที่อยู่ IP ต้นทาง ที่อยู่ IP ปลายทาง โปรโตคอล จำนวนพอร์ต และพารามิเตอร์อื่น ๆ ซึ่งคุณสามารถระบุการรับส่งข้อมูลและดำเนินการบางอย่างได้

ดังนั้น ACL จึงเป็นกลไกการกรองเลเยอร์ 3 ของโมเดล OSI ซึ่งหมายความว่ากลไกนี้ใช้ในเราเตอร์ เกณฑ์หลักในการกรองคือการระบุสตรีมข้อมูล ตัวอย่างเช่น หากเราต้องการบล็อกคนที่มีคอมพิวเตอร์ Laptop3 ไม่ให้เข้าถึงเซิร์ฟเวอร์ ก่อนอื่นเราต้องระบุการรับส่งข้อมูลของเขา การรับส่งข้อมูลนี้เคลื่อนที่ไปในทิศทางของ Laptop-Switch2-R2-R1-Switch1-Server1 ผ่านอินเทอร์เฟซที่เกี่ยวข้องของอุปกรณ์เครือข่าย ในขณะที่อินเทอร์เฟซ G0/0 ของเราเตอร์ไม่มีส่วนเกี่ยวข้องกับมัน

การฝึกอบรม Cisco 200-125 CCNA v3.0. วันที่ 27 ความรู้เบื้องต้นเกี่ยวกับ ACL ส่วนที่ 1

เพื่อระบุการจราจร เราต้องระบุเส้นทางของมัน เมื่อทำเช่นนี้แล้ว เราสามารถตัดสินใจได้ว่าจะต้องติดตั้งตัวกรองตรงจุดใด ไม่ต้องกังวลกับตัวกรอง เราจะพูดถึงมันในบทเรียนถัดไป ตอนนี้เราต้องเข้าใจหลักการของอินเทอร์เฟซที่ตัวกรองควรนำไปใช้

หากคุณดูที่เราเตอร์ คุณจะเห็นว่าทุกครั้งที่ทราฟฟิกเคลื่อนที่ มีอินเทอร์เฟซที่กระแสข้อมูลเข้ามา และอินเทอร์เฟซที่กระแสข้อมูลนี้ไหลผ่าน

จริงๆ แล้วมี 3 อินเทอร์เฟซ: อินเทอร์เฟซอินพุต อินเทอร์เฟซเอาต์พุต และอินเทอร์เฟซของเราเตอร์เอง เพียงจำไว้ว่าการกรองสามารถใช้ได้กับอินเทอร์เฟซอินพุตหรือเอาต์พุตเท่านั้น

การฝึกอบรม Cisco 200-125 CCNA v3.0. วันที่ 27 ความรู้เบื้องต้นเกี่ยวกับ ACL ส่วนที่ 1

หลักการดำเนินงานของ ACL นั้นคล้ายคลึงกับการส่งผ่านไปยังกิจกรรมที่แขกที่มีชื่ออยู่ในรายชื่อบุคคลที่ได้รับเชิญเท่านั้นที่สามารถเข้าร่วมได้ ACL คือรายการพารามิเตอร์คุณสมบัติที่ใช้ในการระบุการรับส่งข้อมูล ตัวอย่างเช่น รายการนี้ระบุว่าการรับส่งข้อมูลทั้งหมดได้รับอนุญาตจากที่อยู่ IP 192.168.1.10 และการรับส่งข้อมูลจากที่อยู่อื่นทั้งหมดถูกปฏิเสธ อย่างที่ฉันบอกไปแล้วว่ารายการนี้สามารถใช้ได้กับทั้งอินเทอร์เฟซอินพุตและเอาต์พุต

ACL มี 2 ประเภท: แบบมาตรฐานและแบบขยาย ACL มาตรฐานมีตัวระบุตั้งแต่ 1 ถึง 99 หรือตั้งแต่ 1300 ถึง 1999 ชื่อเหล่านี้เป็นเพียงชื่อรายการที่ไม่มีข้อได้เปรียบเหนือกันเมื่อหมายเลขเพิ่มขึ้น นอกจากหมายเลขแล้ว คุณยังสามารถกำหนดชื่อของคุณเองให้กับ ACL ได้อีกด้วย ACL แบบขยายจะมีหมายเลข 100 ถึง 199 หรือ 2000 ถึง 2699 และอาจมีชื่อด้วย

ใน ACL มาตรฐาน การจัดหมวดหมู่จะขึ้นอยู่กับที่อยู่ IP ต้นทางของการรับส่งข้อมูล ดังนั้นเมื่อใช้รายการดังกล่าว คุณจะไม่สามารถจำกัดการรับส่งข้อมูลที่ส่งไปยังแหล่งที่มาใด ๆ ได้ คุณสามารถบล็อกได้เฉพาะการรับส่งข้อมูลที่มาจากอุปกรณ์เท่านั้น

ACL แบบขยายจะจัดประเภทการรับส่งข้อมูลตามที่อยู่ IP ต้นทาง ที่อยู่ IP ปลายทาง โปรโตคอลที่ใช้ และหมายเลขพอร์ต ตัวอย่างเช่น คุณสามารถบล็อกเฉพาะการรับส่งข้อมูล FTP หรือเฉพาะการรับส่งข้อมูล HTTP วันนี้เราจะมาดู ACL มาตรฐาน และเราจะทุ่มเทบทเรียนวิดีโอถัดไปให้กับรายการเพิ่มเติม

อย่างที่ฉันบอกไป ACL คือรายการเงื่อนไข หลังจากที่คุณใช้รายการนี้กับอินเทอร์เฟซขาเข้าหรือขาออกของเราเตอร์ เราเตอร์จะตรวจสอบการรับส่งข้อมูลกับรายการนี้ และหากตรงตามเงื่อนไขที่กำหนดไว้ในรายการ ก็จะตัดสินใจว่าจะอนุญาตหรือปฏิเสธการรับส่งข้อมูลนี้ ผู้คนมักพบว่าเป็นการยากที่จะกำหนดอินเทอร์เฟซอินพุตและเอาต์พุตของเราเตอร์แม้ว่าจะไม่มีอะไรซับซ้อนก็ตาม เมื่อเราพูดถึงอินเทอร์เฟซขาเข้า ซึ่งหมายความว่าเฉพาะการรับส่งข้อมูลขาเข้าเท่านั้นที่จะถูกควบคุมบนพอร์ตนี้ และเราเตอร์จะไม่ใช้ข้อจำกัดกับการรับส่งข้อมูลขาออก ในทำนองเดียวกัน หากเรากำลังพูดถึงอินเทอร์เฟซขาออก นั่นหมายความว่ากฎทั้งหมดจะใช้กับการรับส่งข้อมูลขาออกเท่านั้น ในขณะที่การรับส่งข้อมูลขาเข้าบนพอร์ตนี้จะได้รับการยอมรับโดยไม่มีข้อจำกัด ตัวอย่างเช่น หากเราเตอร์มี 2 พอร์ต: f0/0 และ f0/1 ACL จะถูกนำไปใช้กับการรับส่งข้อมูลที่เข้าสู่อินเทอร์เฟซ f0/0 เท่านั้น หรือเฉพาะกับการรับส่งข้อมูลที่มาจากอินเทอร์เฟซ f0/1 เท่านั้น การจราจรที่เข้าหรือออกจากอินเทอร์เฟซ f0/1 จะไม่ได้รับผลกระทบจากรายการ

การฝึกอบรม Cisco 200-125 CCNA v3.0. วันที่ 27 ความรู้เบื้องต้นเกี่ยวกับ ACL ส่วนที่ 1

ดังนั้นอย่าสับสนกับทิศทางขาเข้าหรือขาออกของอินเทอร์เฟซ ขึ้นอยู่กับทิศทางของการรับส่งข้อมูลเฉพาะ ดังนั้น หลังจากที่เราเตอร์ตรวจสอบการรับส่งข้อมูลว่าตรงกับเงื่อนไข ACL แล้ว เราเตอร์ก็สามารถตัดสินใจได้เพียงสองอย่างเท่านั้น: อนุญาตการรับส่งข้อมูลหรือปฏิเสธ ตัวอย่างเช่น คุณสามารถอนุญาตการรับส่งข้อมูลที่ปลายทางสำหรับ 180.160.1.30 และปฏิเสธการรับส่งข้อมูลที่ปลายทางสำหรับ 192.168.1.10 แต่ละรายการสามารถมีได้หลายเงื่อนไข แต่แต่ละเงื่อนไขเหล่านี้ต้องอนุญาตหรือปฏิเสธ

สมมติว่าเรามีรายการ:

ห้าม _______
อนุญาต ________
อนุญาต ________
ห้าม _________

ขั้นแรก เราเตอร์จะตรวจสอบการรับส่งข้อมูลเพื่อดูว่าตรงกับเงื่อนไขแรกหรือไม่ ถ้าไม่ตรงกัน ก็จะตรวจสอบเงื่อนไขที่สอง หากการรับส่งข้อมูลตรงกับเงื่อนไขที่สาม เราเตอร์จะหยุดการตรวจสอบและจะไม่เปรียบเทียบกับเงื่อนไขที่เหลือของรายการ มันจะดำเนินการ "อนุญาต" และดำเนินการตรวจสอบส่วนถัดไปของการรับส่งข้อมูล

ในกรณีที่คุณไม่ได้ตั้งกฎสำหรับแพ็กเก็ตใดๆ และการรับส่งข้อมูลผ่านทุกบรรทัดของรายการโดยไม่ตรงตามเงื่อนไขใดๆ แพ็กเก็ตนั้นจะถูกทำลาย เนื่องจากแต่ละรายการ ACL ตามค่าเริ่มต้นจะลงท้ายด้วยคำสั่งปฏิเสธ - นั่นคือ ละทิ้ง แพ็กเก็ตใด ๆ ที่ไม่อยู่ภายใต้กฎเกณฑ์ใด ๆ เงื่อนไขนี้จะมีผลถ้ามีอย่างน้อยหนึ่งกฎในรายการ มิฉะนั้นจะไม่มีผลใดๆ แต่ถ้าบรรทัดแรกมีรายการปฏิเสธ 192.168.1.30 และรายการไม่มีเงื่อนไขใด ๆ อีกต่อไป ในตอนท้ายควรมีคำสั่งอนุญาตใด ๆ นั่นคืออนุญาตการรับส่งข้อมูลใด ๆ ยกเว้นที่ห้ามโดยกฎ คุณต้องคำนึงถึงสิ่งนี้เพื่อหลีกเลี่ยงข้อผิดพลาดเมื่อกำหนดค่า ACL

ฉันต้องการให้คุณจำกฎพื้นฐานของการสร้างรายการ ASL: วาง ASL มาตรฐานให้ใกล้กับปลายทางมากที่สุด นั่นคือ ผู้รับการรับส่งข้อมูล และวาง ASL แบบขยายให้ใกล้กับแหล่งที่มามากที่สุด นั่นคือ ไปยังผู้ส่งการจราจร นี่เป็นคำแนะนำของ Cisco แต่ในทางปฏิบัติ มีสถานการณ์ที่เหมาะสมกว่าที่จะวาง ACL มาตรฐานไว้ใกล้กับแหล่งที่มาของการรับส่งข้อมูล แต่ถ้าคุณพบคำถามเกี่ยวกับกฎการจัดตำแหน่ง ACL ในระหว่างการสอบ ให้ปฏิบัติตามคำแนะนำของ Cisco และตอบอย่างไม่คลุมเครือ: มาตรฐานอยู่ใกล้กับจุดหมายปลายทางมากขึ้น ส่วนขยายนั้นใกล้กับแหล่งที่มามากขึ้น

ตอนนี้เรามาดูไวยากรณ์ของ ACL มาตรฐานกัน ไวยากรณ์คำสั่งมีสองประเภทในโหมดการกำหนดค่าเราเตอร์ทั่วโลก: ไวยากรณ์คลาสสิกและไวยากรณ์สมัยใหม่

การฝึกอบรม Cisco 200-125 CCNA v3.0. วันที่ 27 ความรู้เบื้องต้นเกี่ยวกับ ACL ส่วนที่ 1

ประเภทคำสั่งแบบคลาสสิกคือรายการเข้าถึง <หมายเลข ACL> <ปฏิเสธ/อนุญาต> <เกณฑ์> หากคุณตั้งค่า <หมายเลข ACL> จาก 1 ถึง 99 อุปกรณ์จะเข้าใจโดยอัตโนมัติว่านี่คือ ACL มาตรฐาน และหากเป็นตั้งแต่ 100 ถึง 199 จะเป็นส่วนขยาย เนื่องจากในบทเรียนวันนี้ เรากำลังดูรายการมาตรฐาน เราสามารถใช้ตัวเลขใดก็ได้ตั้งแต่ 1 ถึง 99 จากนั้นเราระบุการดำเนินการที่จำเป็นต้องใช้หากพารามิเตอร์ตรงกับเกณฑ์ต่อไปนี้ - อนุญาตหรือปฏิเสธการรับส่งข้อมูล เราจะพิจารณาเกณฑ์ในภายหลัง เนื่องจากใช้ในไวยากรณ์สมัยใหม่ด้วย

ประเภทคำสั่งสมัยใหม่ยังใช้ในโหมดการกำหนดค่าส่วนกลาง Rx (config) และมีลักษณะดังนี้: มาตรฐานรายการเข้าถึง ip <หมายเลข ACL/ชื่อ> ที่นี่คุณสามารถใช้ตัวเลขตั้งแต่ 1 ถึง 99 หรือชื่อของรายการ ACL เช่น ACL_Networking คำสั่งนี้จะทำให้ระบบเข้าสู่โหมดคำสั่งย่อยโหมดมาตรฐาน Rx ทันที (config-std-nacl) โดยที่คุณต้องป้อน <deny/enable> <criteria> ทีมประเภทสมัยใหม่มีข้อได้เปรียบมากกว่าเมื่อเปรียบเทียบกับทีมคลาสสิก

ในรายการแบบคลาสสิก หากคุณพิมพ์ access-list 10 deny ______ จากนั้นพิมพ์คำสั่งถัดไปที่เป็นประเภทเดียวกันสำหรับเกณฑ์อื่น และคุณจะได้คำสั่งดังกล่าว 100 คำสั่ง จากนั้นหากต้องการเปลี่ยนคำสั่งใด ๆ ที่ป้อน คุณจะต้อง ลบรายการเข้าถึงทั้งหมด 10 ด้วยคำสั่ง no access-list 10 ซึ่งจะลบคำสั่งทั้งหมด 100 คำสั่ง เนื่องจากไม่มีวิธีแก้ไขแต่ละคำสั่งในรายการนี้

ในรูปแบบไวยากรณ์สมัยใหม่ คำสั่งจะแบ่งออกเป็นสองบรรทัด บรรทัดแรกประกอบด้วยหมายเลขรายการ สมมติว่าถ้าคุณมีมาตรฐานรายการเข้าถึง 10 ปฏิเสธ ________ มาตรฐานรายการเข้าถึง 20 ปฏิเสธ ________ และอื่นๆ คุณจะมีโอกาสแทรกรายการระดับกลางด้วยเกณฑ์อื่นๆ ระหว่างรายการเหล่านั้น เช่น มาตรฐานรายการเข้าถึง 15 ปฏิเสธ ________ .

หรือคุณสามารถลบบรรทัดมาตรฐานของรายการเข้าถึง 20 บรรทัดแล้วพิมพ์อีกครั้งด้วยพารามิเตอร์ที่แตกต่างกันระหว่างมาตรฐานรายการเข้าถึง 10 และบรรทัดมาตรฐานรายการเข้าถึง 30 บรรทัด ดังนั้นจึงมีหลายวิธีในการแก้ไขไวยากรณ์ ACL สมัยใหม่

คุณต้องระมัดระวังอย่างมากในการสร้าง ACL ดังที่คุณทราบ รายการต่างๆ จะถูกอ่านจากบนลงล่าง หากคุณวางบรรทัดที่ด้านบนที่อนุญาตการรับส่งข้อมูลจากโฮสต์ที่ระบุ คุณสามารถวางบรรทัดที่ด้านล่างเพื่อห้ามการรับส่งข้อมูลจากเครือข่ายทั้งหมดที่โฮสต์นี้เข้าร่วม และเงื่อนไขทั้งสองจะถูกตรวจสอบ - การรับส่งข้อมูลไปยังโฮสต์ที่ระบุจะ ได้รับอนุญาตและการรับส่งข้อมูลจากโฮสต์อื่น ๆ ทั้งหมดในเครือข่ายนี้จะถูกบล็อก ดังนั้น ให้วางรายการที่เฉพาะเจาะจงไว้ที่ด้านบนสุดของรายการและรายการทั่วไปที่ด้านล่างเสมอ

ดังนั้น หลังจากที่คุณสร้าง ACL แบบคลาสสิกหรือสมัยใหม่แล้ว คุณต้องนำไปใช้ ในการดำเนินการนี้คุณต้องไปที่การตั้งค่าของอินเทอร์เฟซเฉพาะเช่น f0/0 โดยใช้อินเทอร์เฟซคำสั่ง <ประเภทและสล็อต> ไปที่โหมดคำสั่งย่อยของอินเทอร์เฟซแล้วป้อนคำสั่ง ip access-group <หมายเลข ACL/ ชื่อ> . โปรดทราบความแตกต่าง: เมื่อรวบรวมรายการ จะใช้รายการเข้าถึง และเมื่อใช้รายการนั้น จะใช้กลุ่มการเข้าถึง คุณต้องกำหนดว่ารายการนี้จะนำไปใช้กับอินเทอร์เฟซใด - อินเทอร์เฟซขาเข้าหรืออินเทอร์เฟซขาออก หากรายการมีชื่อ เช่น เครือข่าย ชื่อเดียวกันจะถูกทำซ้ำในคำสั่งเพื่อใช้รายการบนอินเทอร์เฟซนี้

ตอนนี้เรามาดูปัญหาเฉพาะแล้วลองแก้ไขโดยใช้ตัวอย่างแผนภาพเครือข่ายของเราโดยใช้ Packet Tracer เรามี 4 เครือข่าย ได้แก่ ฝ่ายขาย ฝ่ายบัญชี ฝ่ายบริหาร และห้องเซิร์ฟเวอร์

ภารกิจที่ 1: การรับส่งข้อมูลทั้งหมดที่ส่งตรงจากฝ่ายขายและการเงินไปยังแผนกการจัดการและห้องเซิร์ฟเวอร์จะต้องถูกปิดกั้น ตำแหน่งการบล็อกคืออินเทอร์เฟซ S0/1/0 ของเราเตอร์ R2 ก่อนอื่นเราต้องสร้างรายการที่มีรายการต่อไปนี้:

การฝึกอบรม Cisco 200-125 CCNA v3.0. วันที่ 27 ความรู้เบื้องต้นเกี่ยวกับ ACL ส่วนที่ 1

การฝึกอบรม Cisco 200-125 CCNA v3.0. วันที่ 27 ความรู้เบื้องต้นเกี่ยวกับ ACL ส่วนที่ 1

เรามาเรียกรายการ "Management and Server Security ACL" ซึ่งย่อว่า ACL Secure_Ma_And_Se ตามด้วยการห้ามการรับส่งข้อมูลจากเครือข่ายแผนกการเงิน 192.168.1.128/26 ห้ามการรับส่งข้อมูลจากเครือข่ายแผนกขาย 192.168.1.0/25 และอนุญาตการรับส่งข้อมูลอื่น ๆ ในตอนท้ายของรายการจะมีการระบุว่าใช้สำหรับอินเทอร์เฟซขาออก S0/1/0 ของเราเตอร์ R2 หากเราไม่มีรายการ Permit Any ที่ท้ายรายการ การรับส่งข้อมูลอื่นๆ ทั้งหมดจะถูกบล็อกเนื่องจาก ACL เริ่มต้นจะตั้งค่าเป็น Deny Any รายการในตอนท้ายของรายการเสมอ

ฉันสามารถใช้ ACL นี้กับอินเทอร์เฟซ G0/0 ได้หรือไม่ แน่นอนฉันทำได้ แต่ในกรณีนี้ เฉพาะการรับส่งข้อมูลจากแผนกบัญชีเท่านั้นที่จะถูกบล็อก และการรับส่งข้อมูลจากแผนกขายจะไม่ถูกจำกัดในทางใดทางหนึ่ง ในทำนองเดียวกัน คุณสามารถใช้ ACL กับอินเทอร์เฟซ G0/1 ได้ แต่ในกรณีนี้ การรับส่งข้อมูลของแผนกการเงินจะไม่ถูกบล็อก แน่นอนว่าเราสามารถสร้างรายการบล็อกแยกกันสองรายการสำหรับอินเทอร์เฟซเหล่านี้ได้ แต่จะมีประสิทธิภาพมากกว่ามากหากรวมรายการเหล่านั้นเป็นรายการเดียวและนำไปใช้กับอินเทอร์เฟซเอาต์พุตของเราเตอร์ R2 หรืออินเทอร์เฟซอินพุต S0/1/0 ของเราเตอร์ R1

แม้ว่ากฎของ Cisco ระบุว่าควรวาง ACL มาตรฐานไว้ใกล้กับปลายทางมากที่สุดเท่าที่จะเป็นไปได้ แต่ฉันจะวางไว้ใกล้กับแหล่งที่มาของการรับส่งข้อมูลมากขึ้นเพราะฉันต้องการบล็อกการรับส่งข้อมูลขาออกทั้งหมด และการทำเช่นนี้ใกล้กับปลายทางมากกว่า แหล่งที่มาเพื่อให้การรับส่งข้อมูลนี้ไม่ทำให้เครือข่ายระหว่างเราเตอร์สองตัวเสียเปล่า

ลืมบอกเกณฑ์ไป รีบๆ กลับกันนะครับ คุณสามารถระบุเกณฑ์ใด ๆ ก็ได้ - ในกรณีนี้ การรับส่งข้อมูลจากอุปกรณ์ใด ๆ และเครือข่ายใด ๆ จะถูกปฏิเสธหรืออนุญาต คุณยังสามารถระบุโฮสต์ด้วยตัวระบุได้ - ในกรณีนี้ รายการจะเป็นที่อยู่ IP ของอุปกรณ์เฉพาะ สุดท้าย คุณสามารถระบุเครือข่ายทั้งหมดได้ เช่น 192.168.1.10/24 ในกรณีนี้ /24 จะหมายถึงการมีอยู่ของซับเน็ตมาสก์ 255.255.255.0 แต่ไม่สามารถระบุที่อยู่ IP ของซับเน็ตมาสก์ใน ACL ได้ สำหรับกรณีนี้ ACL มีแนวคิดที่เรียกว่า Wildcart Mask หรือ "reverse mask" ดังนั้นคุณต้องระบุที่อยู่ IP และมาสก์ส่งคืน มาสก์ย้อนกลับมีลักษณะดังนี้: คุณต้องลบซับเน็ตมาสก์โดยตรงจากซับเน็ตมาสก์ทั่วไป นั่นคือตัวเลขที่สอดคล้องกับค่าออคเต็ตในฟอร์เวิร์ดมาสก์จะถูกลบออกจาก 255

การฝึกอบรม Cisco 200-125 CCNA v3.0. วันที่ 27 ความรู้เบื้องต้นเกี่ยวกับ ACL ส่วนที่ 1

ดังนั้น คุณควรใช้พารามิเตอร์ 192.168.1.10 0.0.0.255 เป็นเกณฑ์ใน ACL

มันทำงานอย่างไร? หากมีเลข 0 ในออคเต็ตการส่งคืนมาสก์ เกณฑ์จะถือว่าตรงกับออคเต็ตที่สอดคล้องกันของที่อยู่ IP ของเครือข่ายย่อย หากมีตัวเลขอยู่ในออคเต็ตแบ็คมาสก์ จะไม่มีการตรวจสอบการจับคู่ ดังนั้น สำหรับเครือข่าย 192.168.1.0 และมาสก์ส่งคืน 0.0.0.255 การรับส่งข้อมูลทั้งหมดจากที่อยู่ที่มีออคเต็ตสามตัวแรกเท่ากับ 192.168.1 โดยไม่คำนึงถึงค่าของออคเต็ตที่สี่ จะถูกบล็อกหรืออนุญาต ขึ้นอยู่กับ การกระทำที่ระบุ

การฝึกอบรม Cisco 200-125 CCNA v3.0. วันที่ 27 ความรู้เบื้องต้นเกี่ยวกับ ACL ส่วนที่ 1

การใช้ Reverse Mask เป็นเรื่องง่าย และเราจะกลับมาที่ Wildcart Mask ในวิดีโอหน้า เพื่อที่ฉันจะได้อธิบายวิธีดำเนินการได้

28:50 นาที


ขอบคุณที่อยู่กับเรา คุณชอบบทความของเราหรือไม่? ต้องการดูเนื้อหาที่น่าสนใจเพิ่มเติมหรือไม่ สนับสนุนเราโดยการสั่งซื้อหรือแนะนำให้เพื่อน ส่วนลด 30% สำหรับผู้ใช้ Habr ในอะนาล็อกที่ไม่ซ้ำใครของเซิร์ฟเวอร์ระดับเริ่มต้น ซึ่งเราคิดค้นขึ้นเพื่อคุณ: ความจริงทั้งหมดเกี่ยวกับ VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps จาก $20 หรือจะแชร์เซิร์ฟเวอร์ได้อย่างไร (ใช้ได้กับ RAID1 และ RAID10 สูงสุด 24 คอร์ และสูงสุด 40GB DDR4)

Dell R730xd ถูกกว่า 2 เท่า? ที่นี่ที่เดียวเท่านั้น 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 ทีวีจาก $199 ในเนเธอร์แลนด์! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - จาก $99! อ่านเกี่ยวกับ วิธีสร้างบริษัทโครงสร้างพื้นฐาน ระดับด้วยการใช้เซิร์ฟเวอร์ Dell R730xd E5-2650 v4 มูลค่า 9000 ยูโรต่อเพนนี?

ที่มา: will.com

เพิ่มความคิดเห็น