По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
С тех пор, как различные организации и предприятия решили увеличить эффективность своих сотрудников за счет организации полноценных электронных рабочих мест, стали использоваться различные IT-решения для создания виртуальных локальных сетей. Private Virtual Local Area Network, или просто PVLAN, одно из них.
Идея PVLAN
По сути, идея PVLAN проста. Как можно понять по названию, это некая приватная часть локальной сети. Обмен информацией между Host-устройствами, подключение которых организовано через PVLAN, и остальными невозможен. Однако они не полностью изолированы. Внутри приватной сети может быть несколько хостов, и они смогут взаимодействовать, но на определенных условиях.
Конечно, для реализации таких задач можно воспользоваться средствами ACL (Access Control List), в рамках которых можно выбрать любое количество допусков для каждого пользователя относительно того или иного процесса. Но на практике это будет значить большое количество лишних манипуляций. Ведь всегда легче изначально заложить некую особенность в архитектуру сети, чем дополнять ее ситуационными "заплатками".
Как это работает?
Рассмотрим типы портов коммутатора, доступных при использовании PVLAN:
"Promiscuous" - смешанный порт. Коммутатор, организованный таким образом, позволит устройству взаимодействовать с любыми другими внутри PVLAN.
"Isolated" - изолированный порт. При использовании этого типа порт изолируется на 2 уровне (именно Layer 2 имеется в виду, когда мы упоминаем VLAN), от любых других коммутаторов, кроме настроенных с типом promiscuous. Таким образом, именно в рамках этого типа возможна реализация основной идеи PVLAN. Изолированные порты не могут обмениваться трафиком друг с другом, а изолированные и смешанные - могут.
"Community" - порт группы. Отдельная группа портов, host-участники которой могут делить трафик друг с другом и смешанными портами, но не могут с изолированными портами и коммутаторами другой группы.
Чтобы реализовать приватную локальную сеть задействуются 2 VLAN:
Основная (Primary) - эта сеть имеет принадлежность к смешанному порту. В свою очередь, этот порт подключается к устройствам стоящих в иерархии выше (например - маршрутизатор или сервер).
Вторичная (Secondary) - VLAN, в которой производится настройка изолированных и групповых коммутаторов.
Несмотря на то, что в сети можно найти в основном англоязычные материалы по этой теме, освоить ее можно достаточно легко, несколько раз применив на практике. Отличный вариант - пробная настройка PVLAN на маршрутизаторах Nexus и Catalyst от Cisco (при выборе первого стоит убедиться, что его версия старше 3560).
Как эффективно использовать PVLAN?
На сегодняшний день решить проблему защиты данных в VLAN можно при помощи большого количества инструментов (яркий пример - разбивка трафика при помощи QinQ), однако, как и было указано выше, использование приватной подсети, как ничто другое говорит о логичности изначальной архитектуры сети и ее общей продуманности.
Основные задачи, которые можно без лишних хлопот реализовать посредством PVLAN:
Обеспечение защищенного трафика для большого количества пользователей. Отличным примером является организация сети провайдеров, которые оказывают услуги частным лицам. Если VLAN изначально ориентирован на наличие приватного трафика и построен соответственно, то можно избежать потери огромного количества времени, которое обычно уходит на настройку изоляции пользователей вторичными средствами. Конечно, для реализации строгой изоляции понадобится довольно дорогостоящее оборудование, но это уже другой вопрос.
Внесение корректировок в уже отлаженную систему обмена данными. Иногда в больших компаниях, с целью усиления контроля за информационной безопасностью принимаются решения по изоляции потоков трафика, которые не предусмотрены текущей архитектурой сети. Порой IT-специалисты вынуждены работать в настолько узких рамках, что не могут получить согласование на добавление новой отдельной сети. Именно для таких комплексных задач используется видоизменение некоторых частей общей VLAN в приватную. Главным плюсом таких мероприятий является безопасность для уже сложившейся инфраструктуры взаимодействия пользователей.
Одноплатные компьютеры стали довольно популярными в последние десятилетия благодаря их возможности быть использованными в процессе разработки и обучения для начинающих. Одноплатный компьютер представляет собой не что иное, как одну единственную плату, но работает как полноценный компьютер, оснащенный микропроцессором, памятью и устройством ввода-вывода, а также множеством других функций. Одноплатные компьютеры изначально использовались в качестве систем демонстрации и разработки для различных отраслей промышленности. В отличие от стандартного настольного компьютера, одноплатные компьютеры обычно не зависят от слотов расширения для расширения или основных функций.
Хотя существует большое количество одноплатных компьютеров, Arduino и Raspberry Pi - два самых популярных устройства. Они стали довольно популярными среди студентов и профессионалов, а также любителей и начинающих программистов. У каждой платы есть свои плюсы и минусы, и профессионалы точно знают, когда и где использовать какую плату, а когда переключаться на другую. Но программисты, которые только начинают создавать проекты, часто мучаются в выборе между ними и пытаются сделать важный выбор - какую плату изучать и использовать для своих проектов.
Raspberry Pi
Несмотря на размер кредитной карты, Raspberry Pi представляет собой полнофункциональный компьютер, поскольку он имеет выделенную память, графическую карту и процессор. Плата может даже работать под управлением специально разработанной версии ОС Linux. Платы были разработаны Фондом Raspberry Pi для поощрения базового обучения информатике в школах наряду с развивающимися странами. Несмотря на то, что платы были предназначены только для обучения, они стали более популярными, чем предполагалось, и использовались в таких высокотехнологичных приложениях, как робототехника, медиаплееры, эмуляторы и даже АТС Asterisk (дистрибутив под названием RasPBX).
Arduino
Arduino - это одноплатный компьютер, состоящий из трех основных функций. Первым является аппаратная прототипная платформа, вторым - язык Arduino и, наконец, интегрированная среда разработки (IDE) и библиотеки. Плата Arduino - это скорее микроконтроллер, а не полноценный компьютер. На плате Arduino не может работать операционная система, но код может быть написан и выполнен так, как его постоянное программное обеспечение интерпретирует. Основная функция платы Arduino - взаимодействие со вторичными устройствами и датчиками, что делает ее идеальной для проектов, которые требуют минимальной сложности и работают только на датчике или ручном вводе.
Разница между Arduino и Raspberry Pi
И Arduino, и Raspberry Pi закрепили свое место в индустрии одноплатных компьютеров и любимы миллионами людей во всем мире. Хотя их характеристики и их возможности различны, все зависит от того, какая плата подойдет для вашего проекта. В этой статье мы обсудим особенности Arduino и Raspberry Pi и проведем сравнение их наиболее выдающихся характеристик, чтобы помочь вам сделать выбор в пользу наилучшего одноплатного компьютера для ваших проектов.
Кривая обучения
Как мы уже обсуждали ранее, Pi - это больше компьютер, а Arduino, по сути, является дверью в мир программирования. В целом, Arduino гораздо легче освоить, так как он имеет гораздо более низкий барьер для входа. Если у вас мало или совсем нет знаний в области компьютеров и программирования, но вы хотите начать, Arduino - правильный выбор для вас. С другой стороны, люди с опытом работы в Unix или Linux могут легко использовать Raspberry Pi, поскольку на него можно установить специальную версию Linux, созданною для оборудования Raspberry Pi. После установки ОС это похоже на работу на любом компьютере с Linux.
Простота
Плата Arduino намного проще в использовании по сравнению с Raspberry Pi. Плата Arduino может быть легко сопряжена с аналоговыми датчиками и другими электронными компонентами, используя всего несколько строк кода. В противоположность этому, есть много хлопот для простого считывания входных сигналов с датчиков, поскольку для этого требуется установка нескольких библиотек и программного обеспечения для создания интерфейса между платой и датчиками и другими электронными компонентами. Кодирование в Arduino также проще, чем в Raspberry Pi, который требует знания Linux и его команд.
Доступные языки программирования
Одноплатный компьютер Raspberry Pi был разработан с целью побудить молодежь присоединиться к программированию. Pi в Raspberry Pi происходит от языка Python, который обозначает его использование в плате. Несмотря на это, Raspberry Pi за короткое время освоила несколько языков программирования и стала основным выбором для обширной группы программистов. Некоторые из языков, которые доступны для использования в Raspberry Pi, это Scratch, Python, HTML 5, JavaScript, JQuery, Java, C, C ++, Perl и Erlang.
В случае Arduino вы встретите Arduino IDE - кроссплатформенный пользовательский интерфейс, используемый для написания и загрузки программ на плату. Он написан на языке программирования Java и помогает любому достаточно легко начать программирование Arduino. Но в высокопроизводительных проектах Arduino IDE действует как ограничение того, что можно сделать. Если вы не хотите использовать IDE, вы можете кодировать Arduino, используя язык C ++.
Есть много других инструментов, доступных для начинающих и профессионалов, которые можно использовать при программировании в Arduino. Одним из таких инструментов является ArduBlock, который помогает новичкам с минимальным опытом программирования визуализировать свой код, а не печатать его, помогая им понять логику. Еще одним визуальным инструментом является Snap4Arduino, который меньше ориентирован на программирование, но больше помогает пользователю понять, как он работает, так как он создан для немного более старой аудитории. Другими языками, которые могут использоваться прямо или косвенно через внешние коммуникаторы, являются C # и Python.
Сетевые возможности
Сетевые возможности Raspberry значительно превосходят возможности Arduino. Raspberry Pi 3 имеет Bluetooth и возможность беспроводного подключения. Он также может подключаться к Интернету через Ethernet. Плата поставляется с 1 портом HDMI, 4 портами USB, одним портом камеры, 1 портом Micro USB, 1 портом LCD и 1 портом Display Port DSI, что делает его идеальным для множества приложений. В то же время порты Arduino не созданы для прямого подключения к сети. Даже если это возможно, потребуется дополнительный чип с портом Ethernet, что потребует дополнительной проводки и кодирования.
Скорость процессора
Разница в скорости процессора между Raspberry Pi и Arduino довольно очевидна и огромна, что связано с тем, что первый является полностью работоспособным компьютером, а другой - микропроцессором. Сравнивая тактовую частоту платы Arduino Uno и платы Raspberry Pi Model B, мы видим значения 16 МГц и 700 МГц соответственно. Поэтому устройство Raspberry работает в 40 раз быстрее, чем плата Arduino. Кроме того, плата Pi имеет в 128 000 раз больше оперативной памяти, чем плата Arduino с оперативной памятью 0,002 МБ.
Важно помнить, что Arduino - это просто plug & play устройство и может быть включено и выключено в любое время без каких-либо повреждений. Но Raspberry Pi работает под управлением операционной системы и сам по себе является полноценным компьютером, который требует надлежащего выключения перед отключением питания. Неправильное завершение работы Raspberry Pi может повредить плату, повредить приложения и даже повлиять на скорость процессора.
Ввод/Вывод (I/O)
Контакты ввода/вывода на вашем одноплатном компьютере позволяют ему общаться с другими подключенными к нему устройствами. Например, если вы хотите активировать двигатель или зажечь светодиод с помощью одноплатного компьютера, вам понадобятся эти выводы ввода/вывода для выполнения этих задач. Raspberry Pi (модель 2) имеет 17 контактов ввода/вывода, а плата Arduino (Uno) - 20 контактов.
Потребляемая мощность
Из-за своего мощного (сравнительно) процессора плата Pi требует непрерывного источника питания 5 В и может работать не идеально при питании от батарей. Но Arduino может бесперебойно работать с аккумулятором из-за его низких требований к питанию. Хотя энергопотребление может меняться с увеличением количества подключенных устройств.
Место хранения
Базовая плата Arduino поставляется с хранилищем 32 КБ для хранения кода, который предоставляет платам инструкции. Этого достаточно, так как хранилище не будет использоваться для приложений, видео и фотографий. Pi, однако, не поставляется с хранилищем, но поддерживает порт micro SD, который позволяет пользователю добавлять столько памяти, сколько ему нужно.
Доступность и популярность
И доски Arduino, и Raspberry Pi получили признание большого числа людей со всего мира. Благодаря такой высокой популярности платы Arduino и Raspberry Pi легко доступны для покупки. Для сравнения, Arduino намного дешевле плат Raspberry Pi из-за ограниченных возможностей. Стоимость может увеличиться с платами высокого класса.
Arduino против Raspberry в робототехнике и IoT
Выбор правильной одноплатной системы для вашего проекта очень важен, поскольку он будет определять, насколько быстро и эффективно ваша задача будет выполнена. Хотя у плат Arduino и Raspberry Pi есть свои плюсы и минусы, выбор правильной платы будет полностью зависеть от ваших требований.
Например, если ваша задача - считывать данные датчиков и реагировать на них в режиме реального времени, плата Arduino подойдет вам больше, чем Raspberry Pi. Это связано с низким энергопотреблением и низким уровнем обслуживания. Arduino идеально подходит для проектов, которые должны работать непрерывно с минимальным взаимодействием и реакцией. Отличным примером такой задачи будет запись температуры на улице и отображение ее на экране. Платы Arduino идеально подходят для начинающих, которые только делают первые шаги и не пока не стремятся создать каких-либо проектов высокого уровня.
С другой стороны, Raspberry Pi следует использовать для проектов, которые являются более сложными, чем пример, упомянутый выше. Плата должна использоваться, когда необходимо выполнить несколько задач одновременно, а некоторые или все из них сложны. Например, если ваш проект регистрирует температуру в определенном районе, анализирует тренды температуры за последние недели и прогнозирует погоду на следующие несколько дней, а также принимает решение, будет ли погода оптимальной для орошения, тогда Raspberry Pi это то, что вам нужно. Проще говоря, плата Raspberry Pi предназначена для профессионалов, которые строят сложный и надежный проект, для которого требуется способность выполнять несколько задач одновременно, чего не хватает в Arduino.
Обзорная таблица
Виртуальная машинаDocker контейнерИзоляция процесса на аппаратном уровнеИзоляция процесса на уровне ОСКаждая виртуальная машина имеет отдельную ОСКаждый контейнер может совместно использовать ОСЗагружается в считанные минутыЗагружается в считанные секундыВиртуальные машины занимают несколько ГБКонтейнеры легкие (КБ / МБ)Готовые виртуальные машины трудно найтиГотовые док-контейнеры легко доступныВиртуальные машины могут легко перейти на новый хостКонтейнеры уничтожаются и воссоздаются, а не перемещаютсяСоздание ВМ занимает относительно больше времениКонтейнеры могут быть созданы в считанные секундыБольше использования ресурсаМеньшее использование ресурсов
Итого
Обе платы имеют довольно длинный список плюсов и минусов, но они отлично подойдут, если требование будет правильным. Но какими бы разными они ни казались, существует сценарий, в котором они могут работать вместе, чтобы максимизировать результаты проекта. Вы можете сравнить плату Arduino со спинным мозгом тела, который принимает мелкомасштабные решения, такие как зажигание светодиода или измерение температуры жидкости, в то время как плата Raspberry Pi - это мозг, который принимает сложные решения, такие как анализ прошлых ценностей и прогнозирование будущих ценностей.
В конце концов, как мы уже говорили, плата Arduino идеально подходит для вас, если вы новичок и хотите узнать об электронике или о тех, кто имеет опыт работы с электроникой и хочет заняться простыми проектами. Raspberry Pi идеально подходит для вас, если у вас есть знания Linux и вы хотите использовать их для создания сложных сетевых электронных проектов.
Предыдущая статья из цикла про соответствие пакетов в IP ACL.
Обратные маски, такие как значения dotted-decimal number (DDN), фактически представляют собой 32-разрядное двоичное число. Как 32-разрядное число, маска WC фактически направляет логику маршрутизатора бит за битом. Короче говоря, бит маски WC (wildcard), равный 0, означает, что сравнение должно выполняться как обычно, но двоичный 1 означает, что бит является подстановочным знаком и может быть проигнорирован при сравнении чисел.
Кстати, наш калькулятор подсетей показывает и сам считает WC (wildcard) маску.
Вы можете игнорировать двоичную маску WC. Почему? Что ж, обычно мы хотим сопоставить диапазон адресов, которые можно легко идентифицировать по номеру подсети и маске, будь то реальная подсеть или сводный маршрут, который группирует подсети вместе. Если вы можете указать диапазон адресов с помощью номера подсети и маски, вы можете найти числа для использования в вашем ACL с помощью простой десятичной математики, как описано далее.
Если вы действительно хотите знать логику двоичной маски, возьмите два номера DDN, которые ACL будет сравнивать (один из команды access-list, а другой из заголовка пакета), и преобразуйте оба в двоичный код. Затем также преобразуйте маску WC в двоичную. Сравните первые два двоичных числа бит за битом, но также игнорируйте любые биты, для которых маска WC случайно перечисляет двоичный 1, потому что это говорит вам игнорировать бит. Если все биты, которые вы проверили, равны, это совпадение!
Нахождения правильной обратной маски, соответствующей подсети
Во многих случаях ACL должен соответствовать всем хостам в определенной подсети. Чтобы соответствовать подсети с помощью ACL, вы можете использовать следующие сочетания:
Используйте номер подсети в качестве исходного значения в команде access-list.
Используйте обратную маску, полученную путем вычитания маски подсети из 255.255.255.255.
Например, для подсети 172.16.8.0 255.255.252.0 используйте номер подсети (172.16.8.0) в качестве параметра адреса, а затем выполните следующие вычисления, чтобы найти обратную маску:
Продолжая этот пример, завершенная команда для той же подсети будет следующей:
access-list 1 permit 172.16.8.0 0.0.3.255
Соответствие любому/всем адресам
В некоторых случаях вам может понадобиться одна команда ACL для сопоставления всех без исключения пакетов, которые достигают этой точки в ACL. Во-первых, вы должны знать (простой) способ сопоставить все пакеты с помощью ключевого слова any. Что еще более важно, вам нужно подумать о том, когда сопоставить все без исключения пакеты.
Во-первых, чтобы сопоставить все пакеты с помощью команды ACL, просто используйте ключевое слово any для адреса. Например, чтобы разрешить все пакеты:
access-list 1 permit any
Итак, когда и где вы должны использовать такую команду? Помните, что все ACL Cisco IP заканчиваются неявным отрицанием любой концепции в конце каждого ACL. То есть, если маршрутизатор сравнивает пакет с ACL, и пакет не соответствует ни одному из настроенных операторов, маршрутизатор отбрасывает пакет. Хотите переопределить это поведение по умолчанию? Настроить permit any в конце ACL.
Вы также можете явно настроить команду для запрета всего трафика (например, access-list 1 deny any) в конце ACL. Почему, когда та же самая логика уже находится в конце ACL? Что ж, ACL показывает счетчики списка для количества пакетов, соответствующих каждой команде в ACL, но нет счетчика для этого не явного запрета любой концепции в конце ACL. Итак, если вы хотите видеть счетчики количества пакетов, совпадающих с логикой deny any в конце ACL, настройте явное deny any.
Внедрение стандартных IP ACL
В этой лекции уже представлены все этапы настройки по частям. Далее суммируются все эти части в единую конфигурацию. Эта конфигурация основана на команде access-list, общий синтаксис которой повторяется здесь для справки:
access-list access-list-number {deny | permit} source [source-wildcard]
Этап 1. Спланируйте локацию (маршрутизатор и интерфейс) и направление (внутрь или наружу) на этом интерфейсе:
Стандартные списки ACL должны быть размещены рядом с местом назначения пакетов, чтобы они случайно не отбрасывали пакеты, которые не следует отбрасывать.
Поскольку стандартные списки ACL могут соответствовать только исходному IP-адресу пакета, идентифицируйте исходные IP-адреса пакетов по мере их прохождения в направлении, которое проверяет ACL.
Этап 2. Настройте одну или несколько команд глобальной конфигурации списка доступа для создания ACL, учитывая следующее:
Список просматривается последовательно с использованием логики первого совпадения.
Действие по умолчанию, если пакет не соответствует ни одной из команд списка доступа, - отклонить (отбросить) пакет.
Этап 3. Включите ACL на выбранном интерфейсе маршрутизатора в правильном направлении, используя подкоманду ip access-group number {in | out}.
Далее рассмотрим несколько примеров.
Стандартный нумерованный список ACL, пример 1
В первом примере показана конфигурация для тех же требований, что и на рисунках 4 и 5. Итак, требования для этого ACL следующие:
Включите входящий ACL на интерфейсе R2 S0/0/1.
Разрешить пакеты, приходящие от хоста A.
Запретить пакеты, приходящие от других хостов в подсети хоста A.
Разрешить пакеты, приходящие с любого другого адреса в сети класса A 10.0.0.0.
В исходном примере ничего не говорится о том, что делать по умолчанию, поэтому просто запретите весь другой трафик.
В примере 1 показана завершенная правильная конфигурация, начиная с процесса настройки, за которым следует вывод команды show running-config.
R2# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)# access-list 1 permit 10.1.1.1
R2(config)# access-list 1 deny 10.1.1.0 0.0.0.255
R2(config)# access-list 1 permit 10.0.0.0 0.255.255.255
R2(config)# interface S0/0/1
R2(config-if)# ip access-group 1 in
R2(config-if)# ^Z
R2# show running-config
! Lines omitted for brevity
access-list 1 permit 10.1.1.1
access-list 1 deny 10.1.1.0 0.0.0.255
access-list 1 permit 10.0.0.0 0.255.255.255
Во-первых, обратите внимание на процесс настройки в верхней части примера. Обратите внимание, что команда access-list не изменяет командную строку из приглашения режима глобальной конфигурации, поскольку команда access-list является командой глобальной конфигурации. Затем сравните это с выводом команды show running-config: детали идентичны по сравнению с командами, которые были добавлены в режиме конфигурации. Наконец, не забудьте указать ip access-group 1 в команде под интерфейсом R2 S0/0/1, который включает логику ACL (как локацию, так и направление).
В примере 2 перечислены некоторые выходные данные маршрутизатора R2, которые показывают информацию об этом ACL. Команда show ip access-lists выводит подробную информацию только о списках ACL IPv4, а команда show access-lists перечисляет сведения о списках ACL IPv4, а также о любых других типах ACL, настроенных в настоящее время, например, списки ACL IPv6.
Вывод этих команд показывает два примечания. В первой строке вывода в этом случае указывается тип (стандарт) и номер. Если существовало более одного ACL, вы бы увидели несколько разделов вывода, по одной на каждый ACL, каждая со строкой заголовка, подобной этой. Затем эти команды перечисляют счетчики пакетов для количества пакетов, которые маршрутизатор сопоставил с каждой командой. Например, на данный момент 107 пакетов соответствуют первой строке в ACL.
Наконец, в конце примера перечислены выходные данные команды show ip interface. Эта команда перечисляет, среди многих других элементов, номер или имя любого IP ACL, включенного на интерфейсе для подкоманды интерфейса ip access-group.
Стандартный нумерованный список ACL, пример 2
Для второго примера используйте рисунок 8 и представьте, что ваш начальник в спешке дает вам некоторые требования в холле. Сначала он говорит вам, что хочет фильтровать пакеты, идущие от серверов справа к клиентам слева. Затем он говорит, что хочет, чтобы вы разрешили доступ для хостов A, B и других хостов в той же подсети к серверу S1, но запретили доступ к этому серверу хостам в подсети хоста C. Затем он сообщает вам, что, кроме того, хостам в подсети хоста A следует отказать в доступе к серверу S2, но хостам в подсети хоста C должен быть разрешен доступ к серверу S2 - и все это путем фильтрации пакетов, идущих только справа налево. Затем он говорит вам поместить входящий ACL на интерфейс F0/0 R2.
Если вы просмотрите все запросы начальника, требования могут быть сокращены до следующего:
Включите входящий ACL на интерфейсе F0/0 R2.
Разрешить пакеты от сервера S1, идущие к хостам в подсети A.
Запретить пакетам с сервера S1 идти к хостам в подсети C.
Разрешить пакетам с сервера S2 идти к хостам в подсети C.
Запретить пакетам с сервера S2 идти к хостам в подсети A.
Не было комментариев о том, что делать по умолчанию; используйте подразумеваемое отклонение всего по умолчанию.
Как оказалось, вы не можете сделать все, что просил ваш начальник, с помощью стандартного ACL. Например, рассмотрим очевидную команду для требования номер 2: access-list 2 permit 10.2.2.1. Это разрешает весь трафик с исходным IP-адресом 10.2.2.1 (сервер S1). Следующее требование просит вас фильтровать (отклонять) пакеты, полученные с того же IP-адреса! Даже если вы добавите другую команду, которая проверяет исходный IP-адрес 10.2.2.1, маршрутизатор никогда не доберется до него, потому что маршрутизаторы используют логику первого совпадения при поиске в ACL. Вы не можете проверить и IP-адрес назначения, и исходный IP-адрес, потому что стандартные ACL не могут проверить IP-адрес назначения.
Чтобы решить эту проблему, вам следует переосмыслить проблему и изменить правила. В реальной жизни вы, вероятно, вместо этого использовали бы расширенный ACL, который позволяет вам проверять как исходный, так и целевой IP-адрес.
Представьте себе, что ваш начальник позволяет вам изменять требования, чтобы попрактиковаться в другом стандартном ACL. Во-первых, вы будете использовать два исходящих ACL, оба на маршрутизаторе R1. Каждый ACL разрешает пересылку трафика с одного сервера в эту подключенную локальную сеть со следующими измененными требованиями:
Используя исходящий ACL на интерфейсе F0 / 0 маршрутизатора R1, разрешите пакеты с сервера S1 и запретите все остальные пакеты.
Используя исходящий ACL на интерфейсе F0 / 1 маршрутизатора R1, разрешите пакеты с сервера S2 и запретите все остальные пакеты.
Пример 3 показывает конфигурацию, которая удовлетворяет этим требованиям.
access-list 2 remark This ACL permits server S1 traffic to host A's subnet
access-list 2 permit 10.2.2.1
!
access-list 3 remark This ACL permits server S2 traffic to host C's subnet
access-list 3 permit 10.2.2.2
!
interface F0/0
ip access-group 2 out
!
interface F0/1
ip access-group 3 out
Как показано в примере, решение с номером ACL 2 разрешает весь трафик с сервера S1, при этом эта логика включена для пакетов, выходящих из интерфейса F0/0 маршрутизатора R1. Весь другой трафик будет отброшен из-за подразумеваемого запрета all в конце ACL. Кроме того, ACL 3 разрешает трафик от сервера S2, которому затем разрешается выходить из интерфейса F0/1 маршрутизатора R1. Также обратите внимание, что решение показывает использование параметра примечания списка доступа, который позволяет оставить текстовую документацию, которая остается в ACL.
Когда маршрутизаторы применяют ACL для фильтрации пакетов в исходящем направлении, как показано в Примере 2, маршрутизатор проверяет пакеты, которые он направляет, по списку ACL. Однако маршрутизатор не фильтрует пакеты, которые сам маршрутизатор создает с помощью исходящего ACL. Примеры таких пакетов включают сообщения протокола маршрутизации и пакеты, отправленные командами ping и traceroute на этом маршрутизаторе.
Советы по устранению неполадок и проверке
Устранение неполадок в списках ACL IPv4 требует внимания к деталям. В частности, вы должны быть готовы посмотреть адрес и обратную маску и с уверенностью предсказать адреса, соответствующие этим двум комбинированным параметрам.
Во-первых, вы можете определить, соответствует ли маршрутизатор пакетам или нет, с помощью пары инструментов. Пример 2 уже показал, что IOS хранит статистику о пакетах, соответствующих каждой строке ACL. Вдобавок, если вы добавите ключевое слово log в конец команды access-list, IOS затем выдает сообщения журнала со случайной статистикой совпадений с этой конкретной строкой ACL. И статистика, и сообщения журнала могут помочь решить, какая строка в ACL соответствует пакету.
Например, в примере 4 показана обновленная версия ACL 2 из примера 3, на этот раз с добавленным ключевым словом log. Внизу примера затем показано типичное сообщение журнала, в котором показано результирующее совпадение на основе пакета с исходным IP-адресом 10.2.2.1 (в соответствии с ACL) с адресом назначения 10.1.1.1.
R1# show running-config
! lines removed for brevity
access-list 2 remark This ACL permits server S1 traffic to host A's subnet
access-list 2 permit 10.2.2.1 log
!
interface F0/0
ip access-group 2 out
R1#
Feb 4 18:30:24.082: %SEC-6-IPACCESSLOGNP: list 2 permitted 0 10.2.2.1 -> 10.1.1.1, 1
Packet
Когда вы впервые устраняете неисправности на ACL, прежде чем вдаваться в подробности логики сопоставления, подумайте, как об интерфейсе, на котором включен ACL, так и о направлении потока пакетов. Иногда логика сопоставления идеальна, но ACL был включен на неправильном интерфейсе или в неправильном направлении, чтобы соответствовать пакетам, настроенным для ACL.
Например, на рисунке 9 повторяется тот же ACL, показанный ранее на рисунке 7. Первая строка этого ACL соответствует конкретному адресу хоста 10.1.1.1. Если этот ACL существует на маршрутизаторе R2, размещение этого ACL в качестве входящего ACL на интерфейсе S0/0/1 R2 может работать, потому что пакеты, отправленные хостом 10.1.1.1 - в левой части рисунка - могут входить в интерфейс S0/0/1 маршрутизатора R2. Однако, если R2 включает ACL 1 на своем интерфейсе F0/0 для входящих пакетов, ACL никогда не будет соответствовать пакету с исходным IP-адресом 10.1.1.1, потому что пакеты, отправленные хостом 10.1.1.1, никогда не войдут в этот интерфейс. Пакеты, отправленные 10.1.1.1, будут выходить из интерфейса R2 F0/0, но никогда не попадут в него только из-за топологии сети.