По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Во многих наших статьях проскакивают различные команды, связанные с файловыми манипуляциями – создание директорий, файлов, установка пакетов и т.д. В данной статье мы решили начать повествование последовательно.
Основы
Итак, в Linux в отличие от Windows существует понятие полного и относительного пути. Разница между ними в том, что полный путь всегда начинается с корневого каталога (корневой каталог обозначается как /), и далее также через слеш происходит перечисление всех названий каталогов на пути к искомому файлу или директории, а в случае относительного пути – в начале слеш не указывается. То есть без слеша путь указывается относительно нынешнего местоположения, а со слешем – относительно корневого каталога. Примеры:
/home/user1/tmp/test.sh - полный путь;
~/tmp/file1 - относительный путь;
Ниже вы встретите часто используемые команды для работы с файлами, архивами и установкой программ.
Команды для работы с файлами и директориями
Команд довольно много, я перечислю самые, на мой взгляд, часто используемые:
cd - смена директории на домашнюю, можно добавлять аргументы – к примеру, cd /root;
pwd - команда покажет текущий путь к директории, в которой вы находитесь в данный момент;
ls - вывод списка файлов и каталогов по порядку (наверное, самая известная команда) если добавить модификаторы lax, то команда выведет форматированный список всех файлов и директорий (в том числе скрытые);
cat - показывает содержимое файла, к примеру – cat /root/file.txt;
tail - например, tail /root/file.txt, выводит только конец файла, удобно при работе с логами;
cp - копирование директории или файла, то есть cp /root/file.txt /etc/folder1/file.txt – из /root файл будет скопирован в указанную директорию
mkdir - создание директории, например, mkdir /root/1;
rmdir - удаление директории, синтаксис такой же, как и у команды выше;
rm -rf - очень опасная команда (и довольно популярная в интернет фольклоре), но иногда и она может пригодиться – она удаляет директорию со вложенными файлами;
mv - переименование файла или директории, сначала указывается целевая директория и затем её новое название;
locate - поиск файла с заданным названием;
Для наглядности, посмотрите на вывод команды tail
# tail install.log
Installing dosfstools-3.0.9-4.el6.i686
Installing rfkill-0.3-4.el6.i686
Installing rdate-1.4-16.el6.i686
Installing bridge-utils-1.2-10.el6.i686
Installing eject-2.1.5-17.el6.i686
Installing b43-fwcutter-012-2.2.el6.i686
Installing latrace-0.5.9-2.el6.i686
Installing trace-cmd-2.2.4-3.el6.i686
Installing crash-trace-command-1.0-5.el6.i686
*** FINISHED INSTALLING PACKAGES ***
В примере выше, команда tail вывела только последние 11 строк.
Работа с архивами
Работа с .tar архивами – очень часто встречающаяся задача, поэтому хотим привести несколько полезных команд, чтобы не пришлось лишний раз пользоваться поисковиком :)
tar cf example.tar /home/example.txt - создание .tar архива, который будет содержать в себе текстовый файл example.txt;
tar cjf example1.tar.codez2 /home/example1.txt - команда с тем же функционалом, только будет использоваться сжатие Bzip2;
tar czf example2.tar.gz /home/example2.txt - опять архивация, только на этот раз со сжатием Gzip;
tar xf example.tar - распаковка архива в текущую директорию, если тип сжатия нестандартный, то после расширения нужно добавить тип сжатия (.codez2 или .gz соответственно);
Работа с .rpm пакетами
Так как мы больше всего рассказываем и пишем про FreePBX, который по умолчанию скачивается с официального сайта вместе c СentOS, здесь место для пары команд по работе c RPM пакетами. Почему? Потому что CentOS – RPM-based Linux Distribution :) Команды требуют наличие прав супер - пользователя.
rpm -qa - вывод списка всех установленных RPM пакетов в системе;
rpm –i rpmpackage.rpm - установка пакета с именем rpmpackage;
rpm –e rpmpackage - удаление пакета с таким именем;
dpkg -i *.rpm - установка всех пакетов в директории;
Про жёсткие диски
Команда fdisk –l выводит информацию о всех подключенных жёстких и сменных дисках в системе, бывает очень полезной. Ниже пример вывод этой команды (в качестве пример рассматривается OTRS - сервер)
umask 0077
Универсальная платформа маршрутизации (Versatile Routing Platform VRP) - это сетевая операционная система, применяемая в сетевых устройствах Huawei, таких как маршрутизаторы и коммутаторы. Он предоставляет пользователям этих сетевых устройств согласованную и мощную платформу конфигурации за счет стандартизации сетевых, пользовательских и управляющих интерфейсов.
Основанная на модели TCP/IP, архитектура иерархической системы VRP объединяет возможности управления устройствами и сетями, технологии сетевых приложений и технологии передачи данных, такие как маршрутизация, многопротокольная коммутация по меткам (MPLS), виртуальная частная сеть (VPN) и технологии безопасности, с операционной системой в реальном времени.
Чтобы гарантировать, что платформа конфигурации остается актуальной и актуальной для современных технологий, VRP эволюционировала от VRP1.0, впервые выпущенного в 1998 году, до VRP8.X, его последняя версия.
Многие из сетевых устройств низкого и среднего уровня, которые в настоящее время используются в корпоративных сетях, используют VRP5.X. Далее мы будем рассматривать версию VRP5.12.
VRP- Командная строка
Командная строка VRP предназначена для настройки и управления сетевыми устройствами Huawei.
Командная строка
Командные строки VRP - это символьные строки, используемые для настройки функций и развертывания служб на сетевых устройствах Huawei. Командная строка состоит из ключевых слов и параметров. Ключевые слова - это одно или несколько слов, которые однозначно идентифицируют, соответствуют и обычно описывают инструкцию, выполняемую командной строкой, а параметры определяют данные, используемые в качестве входных данных для ключевых слов. Например, в командной строке ping ip-адрес (который проверяет подключение устройства), ping является ключевым словом, а ip-адрес представляет собой заданный пользователем параметр, такой как 192.168.1.1. Сетевые устройства Huawei обычно поставляются неконфигурированными по умолчанию, поэтому пользователь должен ввести командные строки в интерфейс командной строки устройства (CLI), чтобы настроить функциональность устройства.
CLI
CLI предоставляет средства взаимодействия с устройством. Через CLI вы можете вводить командные строки для настройки устройств. Командные строки VRP (их насчитывается тысячи), классифицируются по функциям и регистрируются в различных представлениях команд.
Команда View
CLI предоставляет несколько команд view, из которых наиболее часто используются команды view из режима пользователя, системы и интерфейса. Чтобы ввести и использовать командные строки в CLI, необходимо сначала получить доступ к пользовательскому режиму (как показано на рис. 1). Этот режим позволяет запрашивать основную информацию и состояние устройства и получать доступ к другим режимам, но не позволяет настраивать сервисные функции. Вы можете настроить сервисные функции и выполнить основные команды конфигурации в системном режиме (как показано на рис. 2), доступ к которому можно получить из пользовательского режима, выполнив команду system-view.
Системный режим также позволяет получить доступ к другим режимам, таким как режим интерфейса (как показано на рисунке 3). В режиме интерфейса вы можете настроить параметры и службы для указанного интерфейса.
Командная строка в каждом режиме содержит имя хоста устройства ("Huawei" на предыдущих рисунках), которое в режиме пользователя заключено в угловые скобки (. , .) и во всех других видах заключены в квадратные скобки ([]). В некоторых режимах командная строка может содержать дополнительную информацию (например, идентификатор интерфейса GigabitEthernet4/0/1 в предыдущем примере режиме интерфейса).
Командный и пользовательский уровни
Команды VRP классифицируются в зависимости от выполняемой ими функции: команды уровня 0 (уровень посещения) проверяют сетевое подключение, команды уровня 1 (уровень мониторинга) отображают состояние сети и базовую информацию об устройстве, команды уровня 2 (уровень конфигурации) настраивают службы для устройства, и команды уровня 3 (уровень управления) управляют определенными функциями устройства, такими как загрузка или выгрузка файлов конфигурации.
Чтобы ограничить, какие команды может запускать пользователь, пользователям назначаются разные уровни пользователя. Всего доступно 16 пользовательских уровней, от уровня 0 до уровня 15. Уровень 0 является наиболее ограничительным, причем разрешающая способность увеличивается для каждого последующего уровня. По умолчанию уровни с 4 по 15 совпадают с уровнями 3, поэтому пользователи, которым назначены эти уровни, имеют одинаковые разрешения и могут выполнять все команды VRP. Однако пользовательские уровни могут быть настроены, если требуется более тонкая детализация управления. Например, вы можете повысить до уровня 15 уровень пользователя определенных команд, чтобы эти команды могли выполнять только пользователи, назначенные этому уровню. Однако изменение назначений по умолчанию может усложнить задачи по эксплуатации и обслуживанию и ослабить безопасность устройства. В таблице 1 приведено сопоставление по умолчанию между уровнями пользователя и команды.
Таблица 1. Сопоставление уровней
Пользовательский
уровень
Командный
уровень
Описание
0
0
Команды для диагностики сети (такие как ping и tracert) и
удаленный вход (например, telnet)
1
0,1
Команды для обслуживания системы, такие как display. Конкретные команды display, такие display current-configuration и display saved-configuration, являются командами уровня управления (требуются пользователи уровня 3).
2
0,1,2
Команды для настройки сервиса, такие как команды маршрутизации
3-15
0,1,2,3
Команды для управления основными операциями системы, такими как файловые системы, загрузка по FTP, управление пользователями, настройка уровня команд и диагностика неисправностей
Использование командных строк
В этой части рассмотрим, как использовать командные строки VRP.
Доступ к командному режиму
Как уже упоминалось в первой части, пользовательский вид - это первый вид, отображаемый после загрузки VRP. Если отображается Huawei (а курсор справа от мигает), вы находитесь в режиме пользователя. В этом режиме вы можете запускать команды для запроса базовой информации и статуса устройства. Например, для настройки интерфейса необходимо получить доступ к системному режиму, а затем получить доступ к режиму интерфейса. Команды для этого - system-view и interface interface-type interface- number. Ниже показано, как получить доступ к режиму интерфейса GigabitEthernet 1/0/0
system-view
[Huawei]
[Huawei] interface gigabitethernet 1/0/0
[Huawei-GigabitEthernet1/0/0]
Выход из командной строки
Команда quit позволяет вам выйти из текущего режима и вернуться к режиму верхнего уровня. В предыдущем примере текущим режимом является режим интерфейса, а системным режимом является режимом верхнего уровня режим интерфейса. Выполнение команды quit в режиме интерфейса покажет следующее.
[Huawei-GigabitEthernet1/0/0] quit
[Huawei]
Чтобы вернуться к режиму пользователя, снова введите команду quit.
[Huawei] quit
<Huawei>
Иногда необходимо вернуться в пользовательский режим, не выполняя команду quit несколько раз. Команда return позволяет вам напрямую вернуться к режиму пользователя.
[Huawei-GigabitEthernet1/0/0] return
<Huawei>
Вы также можете использовать сочетания клавиш Ctrl + Z в любом режиме, чтобы вернуться к режиму пользователя.
Редактирование командной строки
Вы можете ввести до 510 символов в командной строке. Однако, если вы заметите ошибку в длинной командной строке, перепечатывание 510 символов станет трудоемким. В таблице 2 перечислены общие функциональные клавиши, которые не чувствительны к регистру, для редактирования командных строк VRP. Обратите внимание, что курсор не может переместиться в подсказку (например, [Huawei-GigabitEthernet1 /0/0]), и подсказка также не может быть отредактирована.
Таблица 2. Функциональные клавиши
Клавиша
Назначение
Backspace
Удаляет символ слева от курсора
← или Ctrl+B
Перемещает курсор на один символ влево
→ или Ctrl+F
Перемещает курсор на один символ вправо (только вправо до конца команды)
Delete
Удаляет символ, выделенный курсором (все символы, следующие за удаленным символом, сдвигаются на один пробел влево)
↑ или Ctrl+P
Отображает последнюю введенную команду, которая была выполнена. Система хранит историю выполненных команд, позволяя отображать их по одной (нажимайте повторно для просмотра предыдущих команд)
↓ или Ctrl+N
Отображает следующую самую последнюю команду в сохраненном списке истории
Ввод сокращенных ключевых слов
Окончание командной строки автоматически заполняет частично введенные ключевые слова, если система может найти уникальное совпадение. Например, вы можете ввести такие комбинации, как d cu, di cu или dis cu, и нажать Tab, и система автоматически отобразит команду display current-configuration. однако d c и dis c не возвращают совпадения, поскольку другие команды, такие как display cpu-defend, display clock и display current-configuration, также соответствуют этим частичным ключевым словам.
Получение помощи
Запоминание тысяч командных строк VRP может показаться сложной задачей. Знак вопроса (?) облегчает задачу. Вы можете ввести? в любой момент, чтобы получить онлайн помощь. Помощь классифицируется как полная или частичная.
Полная справка, например, отображает список команд, доступных в текущем режиме. Ввод знака ? в пользовательском режиме отобразит следующее.
Из списка вы можете выбрать, какая команда вам нужна. Например, ключевое слово display описывается как Display information. Это ключевое слово содержится в более чем одной команде, поэтому введите любую букву, чтобы выйти из справки, введите display и пробел, а затем введите знак?. В результате отобразится следующая информация.
Из этого списка вы можете определить, какое ключевое слово связать с display. Например, при запуске команды display current-configuration отображаются текущие конфигурации устройства.
Частичная помощь идеально подходит для тех случаев, когда вы уже знаете часть командной строки. Например, если вы знаете dis для display и для с current- configuration, но не можете запомнить полную командную строку, используйте частичную справку. Ввод dis и ? показывает следующее.
Единственное ключевое слово, которое соответствует dis - это display. Чтобы определить вторую часть командной строки, введите dis, пробел, c и ?.
Несколько ключевых слов начинаются с c; однако легко определить, что необходимая командная строка display current-configuration.
Использование сочетаний клавиш
Сочетания клавиш облегчают ввод команд. Предварительно определенные сочетания клавиш называются системными сочетаниями клавиш. Некоторые из часто используемых системных сочетаний клавиш перечислены в таблице 3.
Таблица 3. Обычно используемые системные сочетания клавиш
Клавиши
Назначение
Ctrl+A
Перемещает курсор в начало текущей строки
Ctrl+E
Перемещает курсор в конец текущей строки
Esc+N
Перемещает курсор вниз на одну строку
Esc+P
Перемещает курсор вверх на одну строку
Ctrl+C
Останавливает работающую функцию
Ctrl+Z
Возвращает к виду пользователя
Tab
Обеспечивает завершение командной строки. Нажатие Tab после ввода частичного ключевого слова автоматически завершает ключевое слово, если система находит уникальное соответствие
Системные сочетания клавиш нельзя изменить; тем не менее, вы можете определить свои собственные (известные как пользовательские сочетания клавиш). Определенные пользователем сочетания клавиш могут обеспечить дополнительное удобство, но могут конфликтовать с некоторыми командами - поэтому определение таких клавиш не рекомендуется.
Предыдущая статья из цикла про соответствие пакетов в IP ACL.
Обратные маски, такие как значения dotted-decimal number (DDN), фактически представляют собой 32-разрядное двоичное число. Как 32-разрядное число, маска WC фактически направляет логику маршрутизатора бит за битом. Короче говоря, бит маски WC (wildcard), равный 0, означает, что сравнение должно выполняться как обычно, но двоичный 1 означает, что бит является подстановочным знаком и может быть проигнорирован при сравнении чисел.
Кстати, наш калькулятор подсетей показывает и сам считает WC (wildcard) маску.
Вы можете игнорировать двоичную маску WC. Почему? Что ж, обычно мы хотим сопоставить диапазон адресов, которые можно легко идентифицировать по номеру подсети и маске, будь то реальная подсеть или сводный маршрут, который группирует подсети вместе. Если вы можете указать диапазон адресов с помощью номера подсети и маски, вы можете найти числа для использования в вашем ACL с помощью простой десятичной математики, как описано далее.
Если вы действительно хотите знать логику двоичной маски, возьмите два номера DDN, которые ACL будет сравнивать (один из команды access-list, а другой из заголовка пакета), и преобразуйте оба в двоичный код. Затем также преобразуйте маску WC в двоичную. Сравните первые два двоичных числа бит за битом, но также игнорируйте любые биты, для которых маска WC случайно перечисляет двоичный 1, потому что это говорит вам игнорировать бит. Если все биты, которые вы проверили, равны, это совпадение!
Нахождения правильной обратной маски, соответствующей подсети
Во многих случаях ACL должен соответствовать всем хостам в определенной подсети. Чтобы соответствовать подсети с помощью ACL, вы можете использовать следующие сочетания:
Используйте номер подсети в качестве исходного значения в команде access-list.
Используйте обратную маску, полученную путем вычитания маски подсети из 255.255.255.255.
Например, для подсети 172.16.8.0 255.255.252.0 используйте номер подсети (172.16.8.0) в качестве параметра адреса, а затем выполните следующие вычисления, чтобы найти обратную маску:
Продолжая этот пример, завершенная команда для той же подсети будет следующей:
access-list 1 permit 172.16.8.0 0.0.3.255
Соответствие любому/всем адресам
В некоторых случаях вам может понадобиться одна команда ACL для сопоставления всех без исключения пакетов, которые достигают этой точки в ACL. Во-первых, вы должны знать (простой) способ сопоставить все пакеты с помощью ключевого слова any. Что еще более важно, вам нужно подумать о том, когда сопоставить все без исключения пакеты.
Во-первых, чтобы сопоставить все пакеты с помощью команды ACL, просто используйте ключевое слово any для адреса. Например, чтобы разрешить все пакеты:
access-list 1 permit any
Итак, когда и где вы должны использовать такую команду? Помните, что все ACL Cisco IP заканчиваются неявным отрицанием любой концепции в конце каждого ACL. То есть, если маршрутизатор сравнивает пакет с ACL, и пакет не соответствует ни одному из настроенных операторов, маршрутизатор отбрасывает пакет. Хотите переопределить это поведение по умолчанию? Настроить permit any в конце ACL.
Вы также можете явно настроить команду для запрета всего трафика (например, access-list 1 deny any) в конце ACL. Почему, когда та же самая логика уже находится в конце ACL? Что ж, ACL показывает счетчики списка для количества пакетов, соответствующих каждой команде в ACL, но нет счетчика для этого не явного запрета любой концепции в конце ACL. Итак, если вы хотите видеть счетчики количества пакетов, совпадающих с логикой deny any в конце ACL, настройте явное deny any.
Внедрение стандартных IP ACL
В этой лекции уже представлены все этапы настройки по частям. Далее суммируются все эти части в единую конфигурацию. Эта конфигурация основана на команде access-list, общий синтаксис которой повторяется здесь для справки:
access-list access-list-number {deny | permit} source [source-wildcard]
Этап 1. Спланируйте локацию (маршрутизатор и интерфейс) и направление (внутрь или наружу) на этом интерфейсе:
Стандартные списки ACL должны быть размещены рядом с местом назначения пакетов, чтобы они случайно не отбрасывали пакеты, которые не следует отбрасывать.
Поскольку стандартные списки ACL могут соответствовать только исходному IP-адресу пакета, идентифицируйте исходные IP-адреса пакетов по мере их прохождения в направлении, которое проверяет ACL.
Этап 2. Настройте одну или несколько команд глобальной конфигурации списка доступа для создания ACL, учитывая следующее:
Список просматривается последовательно с использованием логики первого совпадения.
Действие по умолчанию, если пакет не соответствует ни одной из команд списка доступа, - отклонить (отбросить) пакет.
Этап 3. Включите ACL на выбранном интерфейсе маршрутизатора в правильном направлении, используя подкоманду ip access-group number {in | out}.
Далее рассмотрим несколько примеров.
Стандартный нумерованный список ACL, пример 1
В первом примере показана конфигурация для тех же требований, что и на рисунках 4 и 5. Итак, требования для этого ACL следующие:
Включите входящий ACL на интерфейсе R2 S0/0/1.
Разрешить пакеты, приходящие от хоста A.
Запретить пакеты, приходящие от других хостов в подсети хоста A.
Разрешить пакеты, приходящие с любого другого адреса в сети класса A 10.0.0.0.
В исходном примере ничего не говорится о том, что делать по умолчанию, поэтому просто запретите весь другой трафик.
В примере 1 показана завершенная правильная конфигурация, начиная с процесса настройки, за которым следует вывод команды show running-config.
R2# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)# access-list 1 permit 10.1.1.1
R2(config)# access-list 1 deny 10.1.1.0 0.0.0.255
R2(config)# access-list 1 permit 10.0.0.0 0.255.255.255
R2(config)# interface S0/0/1
R2(config-if)# ip access-group 1 in
R2(config-if)# ^Z
R2# show running-config
! Lines omitted for brevity
access-list 1 permit 10.1.1.1
access-list 1 deny 10.1.1.0 0.0.0.255
access-list 1 permit 10.0.0.0 0.255.255.255
Во-первых, обратите внимание на процесс настройки в верхней части примера. Обратите внимание, что команда access-list не изменяет командную строку из приглашения режима глобальной конфигурации, поскольку команда access-list является командой глобальной конфигурации. Затем сравните это с выводом команды show running-config: детали идентичны по сравнению с командами, которые были добавлены в режиме конфигурации. Наконец, не забудьте указать ip access-group 1 в команде под интерфейсом R2 S0/0/1, который включает логику ACL (как локацию, так и направление).
В примере 2 перечислены некоторые выходные данные маршрутизатора R2, которые показывают информацию об этом ACL. Команда show ip access-lists выводит подробную информацию только о списках ACL IPv4, а команда show access-lists перечисляет сведения о списках ACL IPv4, а также о любых других типах ACL, настроенных в настоящее время, например, списки ACL IPv6.
Вывод этих команд показывает два примечания. В первой строке вывода в этом случае указывается тип (стандарт) и номер. Если существовало более одного ACL, вы бы увидели несколько разделов вывода, по одной на каждый ACL, каждая со строкой заголовка, подобной этой. Затем эти команды перечисляют счетчики пакетов для количества пакетов, которые маршрутизатор сопоставил с каждой командой. Например, на данный момент 107 пакетов соответствуют первой строке в ACL.
Наконец, в конце примера перечислены выходные данные команды show ip interface. Эта команда перечисляет, среди многих других элементов, номер или имя любого IP ACL, включенного на интерфейсе для подкоманды интерфейса ip access-group.
Стандартный нумерованный список ACL, пример 2
Для второго примера используйте рисунок 8 и представьте, что ваш начальник в спешке дает вам некоторые требования в холле. Сначала он говорит вам, что хочет фильтровать пакеты, идущие от серверов справа к клиентам слева. Затем он говорит, что хочет, чтобы вы разрешили доступ для хостов A, B и других хостов в той же подсети к серверу S1, но запретили доступ к этому серверу хостам в подсети хоста C. Затем он сообщает вам, что, кроме того, хостам в подсети хоста A следует отказать в доступе к серверу S2, но хостам в подсети хоста C должен быть разрешен доступ к серверу S2 - и все это путем фильтрации пакетов, идущих только справа налево. Затем он говорит вам поместить входящий ACL на интерфейс F0/0 R2.
Если вы просмотрите все запросы начальника, требования могут быть сокращены до следующего:
Включите входящий ACL на интерфейсе F0/0 R2.
Разрешить пакеты от сервера S1, идущие к хостам в подсети A.
Запретить пакетам с сервера S1 идти к хостам в подсети C.
Разрешить пакетам с сервера S2 идти к хостам в подсети C.
Запретить пакетам с сервера S2 идти к хостам в подсети A.
Не было комментариев о том, что делать по умолчанию; используйте подразумеваемое отклонение всего по умолчанию.
Как оказалось, вы не можете сделать все, что просил ваш начальник, с помощью стандартного ACL. Например, рассмотрим очевидную команду для требования номер 2: access-list 2 permit 10.2.2.1. Это разрешает весь трафик с исходным IP-адресом 10.2.2.1 (сервер S1). Следующее требование просит вас фильтровать (отклонять) пакеты, полученные с того же IP-адреса! Даже если вы добавите другую команду, которая проверяет исходный IP-адрес 10.2.2.1, маршрутизатор никогда не доберется до него, потому что маршрутизаторы используют логику первого совпадения при поиске в ACL. Вы не можете проверить и IP-адрес назначения, и исходный IP-адрес, потому что стандартные ACL не могут проверить IP-адрес назначения.
Чтобы решить эту проблему, вам следует переосмыслить проблему и изменить правила. В реальной жизни вы, вероятно, вместо этого использовали бы расширенный ACL, который позволяет вам проверять как исходный, так и целевой IP-адрес.
Представьте себе, что ваш начальник позволяет вам изменять требования, чтобы попрактиковаться в другом стандартном ACL. Во-первых, вы будете использовать два исходящих ACL, оба на маршрутизаторе R1. Каждый ACL разрешает пересылку трафика с одного сервера в эту подключенную локальную сеть со следующими измененными требованиями:
Используя исходящий ACL на интерфейсе F0 / 0 маршрутизатора R1, разрешите пакеты с сервера S1 и запретите все остальные пакеты.
Используя исходящий ACL на интерфейсе F0 / 1 маршрутизатора R1, разрешите пакеты с сервера S2 и запретите все остальные пакеты.
Пример 3 показывает конфигурацию, которая удовлетворяет этим требованиям.
access-list 2 remark This ACL permits server S1 traffic to host A's subnet
access-list 2 permit 10.2.2.1
!
access-list 3 remark This ACL permits server S2 traffic to host C's subnet
access-list 3 permit 10.2.2.2
!
interface F0/0
ip access-group 2 out
!
interface F0/1
ip access-group 3 out
Как показано в примере, решение с номером ACL 2 разрешает весь трафик с сервера S1, при этом эта логика включена для пакетов, выходящих из интерфейса F0/0 маршрутизатора R1. Весь другой трафик будет отброшен из-за подразумеваемого запрета all в конце ACL. Кроме того, ACL 3 разрешает трафик от сервера S2, которому затем разрешается выходить из интерфейса F0/1 маршрутизатора R1. Также обратите внимание, что решение показывает использование параметра примечания списка доступа, который позволяет оставить текстовую документацию, которая остается в ACL.
Когда маршрутизаторы применяют ACL для фильтрации пакетов в исходящем направлении, как показано в Примере 2, маршрутизатор проверяет пакеты, которые он направляет, по списку ACL. Однако маршрутизатор не фильтрует пакеты, которые сам маршрутизатор создает с помощью исходящего ACL. Примеры таких пакетов включают сообщения протокола маршрутизации и пакеты, отправленные командами ping и traceroute на этом маршрутизаторе.
Советы по устранению неполадок и проверке
Устранение неполадок в списках ACL IPv4 требует внимания к деталям. В частности, вы должны быть готовы посмотреть адрес и обратную маску и с уверенностью предсказать адреса, соответствующие этим двум комбинированным параметрам.
Во-первых, вы можете определить, соответствует ли маршрутизатор пакетам или нет, с помощью пары инструментов. Пример 2 уже показал, что IOS хранит статистику о пакетах, соответствующих каждой строке ACL. Вдобавок, если вы добавите ключевое слово log в конец команды access-list, IOS затем выдает сообщения журнала со случайной статистикой совпадений с этой конкретной строкой ACL. И статистика, и сообщения журнала могут помочь решить, какая строка в ACL соответствует пакету.
Например, в примере 4 показана обновленная версия ACL 2 из примера 3, на этот раз с добавленным ключевым словом log. Внизу примера затем показано типичное сообщение журнала, в котором показано результирующее совпадение на основе пакета с исходным IP-адресом 10.2.2.1 (в соответствии с ACL) с адресом назначения 10.1.1.1.
R1# show running-config
! lines removed for brevity
access-list 2 remark This ACL permits server S1 traffic to host A's subnet
access-list 2 permit 10.2.2.1 log
!
interface F0/0
ip access-group 2 out
R1#
Feb 4 18:30:24.082: %SEC-6-IPACCESSLOGNP: list 2 permitted 0 10.2.2.1 -> 10.1.1.1, 1
Packet
Когда вы впервые устраняете неисправности на ACL, прежде чем вдаваться в подробности логики сопоставления, подумайте, как об интерфейсе, на котором включен ACL, так и о направлении потока пакетов. Иногда логика сопоставления идеальна, но ACL был включен на неправильном интерфейсе или в неправильном направлении, чтобы соответствовать пакетам, настроенным для ACL.
Например, на рисунке 9 повторяется тот же ACL, показанный ранее на рисунке 7. Первая строка этого ACL соответствует конкретному адресу хоста 10.1.1.1. Если этот ACL существует на маршрутизаторе R2, размещение этого ACL в качестве входящего ACL на интерфейсе S0/0/1 R2 может работать, потому что пакеты, отправленные хостом 10.1.1.1 - в левой части рисунка - могут входить в интерфейс S0/0/1 маршрутизатора R2. Однако, если R2 включает ACL 1 на своем интерфейсе F0/0 для входящих пакетов, ACL никогда не будет соответствовать пакету с исходным IP-адресом 10.1.1.1, потому что пакеты, отправленные хостом 10.1.1.1, никогда не войдут в этот интерфейс. Пакеты, отправленные 10.1.1.1, будут выходить из интерфейса R2 F0/0, но никогда не попадут в него только из-за топологии сети.