🚵🏼 🦐 🚪 सिस्को IOS ACLs 🥢 👧🏼 🔙

सभी को शुभ दिन!

इस लेख में, मैं सिस्को IOS एक्सेस कंट्रोल लिस्ट (ACL) की क्षमताओं के बारे में बात करना चाहूंगा। विषय आप में से कई से परिचित होना चाहिए, इसलिए मैं विभिन्न प्रकार के एसीएल पर जानकारी संक्षेप में प्रस्तुत करना चाहता हूं। मैं मूल रूप से संक्षेप में जाऊंगा और फिर विशेष प्रकार के एसीएल के बारे में बात करूंगा: समय-आधारित (समय-आधारित), रिफ्लेक्टिव (परावर्तक), गतिशील (डायनामिक)। तो चलिए शुरू करते हैं ...

मूल बातें: सभी को याद रखें ...

हम मूल अवधारणाओं, सिंटैक्स पर जल्दी से चलते हैं, ताकि बाद में अधिक दिलचस्प चीजों पर आगे बढ़ना आसान हो। सिस्को राउटर पर ACL आपको समस्याओं के दो समूहों को हल करने की अनुमति देता है:

ट्रैफ़िक फ़िल्टरिंग;
यातायात वर्गीकरण।

यह लेख मुख्य रूप से फ़िल्टरिंग के लिए समर्पित है, अर्थात एक फ़ायरवॉल के रूप में ACLs का उपयोग करना। वर्गीकरण आपको आगे की प्रक्रिया के लिए संकुल का चयन करने की अनुमति देता है। उदाहरण के लिए, वीपीएन बनाते समय केवल कुछ ट्रैफ़िक को एन्क्रिप्ट करें, सेवा नीतियों की गुणवत्ता लागू करें, केवल कुछ पते प्रसारित करें, आदि।

एसीएल को पैकेट फ़िल्टरिंग फायरवॉल के लिए जिम्मेदार ठहराया जा सकता है। यानी वे आपको पाँच मापदंडों द्वारा पैकेट फ़िल्टर करने की अनुमति देते हैं:

स्रोत आईपी पता
गंतव्य आईपी
आईपी समझाया प्रोटोकॉल
स्रोत पोर्ट
गंतव्य बंदरगाह

ACL को 2 प्रकारों में विभाजित किया गया है:

स्टैंडर्ड (मानक)
विस्तारित (विस्तारित)

मानक आईपीएल आपको एक एकल मानदंड से यातायात को फ़िल्टर करने की अनुमति देता है - स्रोत आईपी पता। उन्नत ACLs सूचीबद्ध मानकों के सभी पाँच पर फ़िल्टर करते हैं।

एक एसीएल में नियमों का एक सेट होता है। प्रत्येक नियम में, आप फ़िल्टरिंग पैरामीटर (पते, पोर्ट, आदि) और पैकेट पर किए गए कार्य को परिभाषित करते हैं यदि यह नियम के सभी मानदंडों को पूरा करता है। दो क्रियाएं: अनुमति (अनुमति) और इनकार (इनकार)। सक्षम होने पर, पैकेट को आगे संसाधित किया जाता है, यदि अक्षम किया गया है, तो इसे छोड़ दिया गया है। नियमों की क्रमिक रूप से जाँच की जाती है जब तक कि एक पैकेट से मेल नहीं खाता है। पैकेज पर एक कार्रवाई (परमिट / इनकार) किया जाता है और नियमों के आगे सत्यापन को समाप्त कर दिया जाता है। किसी भी एसीएल के अंत में एक निहित नियम है जो सभी यातायात को प्रतिबंधित करता है। यानी प्रतिबंधात्मक अभिगम नियंत्रण का उपयोग किया जाता है: वह सब कुछ जो स्पष्ट रूप से अनुमति नहीं है निषिद्ध है।

वाक्य-विन्यास

ACL बनाने के दो तरीके:

"पुराना" वाक्यविन्यास। एसीएल की पहचान करने के लिए नंबरों का उपयोग किया जाता है। मानक ACL को 1-99 और 1300-1999 नंबर दिए गए हैं, जबकि विस्तारित 100-199 और 2000-2699 हैं।
नामित ACLs के लिए सिंटैक्स। पहचान के लिए व्यवस्थापक द्वारा चयनित नाम का उपयोग किया जाता है।

दूसरी विधि अधिक सुविधाजनक है। सबसे पहले, एसीएल की पहचान करने के लिए, आप एक नाम का उपयोग करते हैं, एक नंबर का नहीं, अर्थात्। नाम से आप समझ सकते हैं कि आप एसीएल के लिए क्या उपयोग कर रहे हैं। दूसरे, नामित शीट अपने स्वयं के कॉन्फ़िगरेशन मोड का उपयोग करती हैं, जो आपको एसीएल को अधिक आसानी से संपादित करने की अनुमति देती है।

यहाँ मानक ACL के कुछ उदाहरण दिए गए हैं:

access-list 1 permit 192.168.1.0 0.0.0.255 ! access-list 2 permit any ! access-list 3 permit host 10.1.1.1 ! access-list 4 permit 10.1.1.0 0.0.0.15 access-list 4 permit 192.168.0.0 0.0.31.255

पहला ACL (1) 192.168.1.0/24 नेटवर्क से ट्रैफ़िक की अनुमति देता है। दूसरा (2) एसीएल सभी यातायात की अनुमति देता है। तीसरा (3) मेजबान से यातायात की अनुमति देता है 10.1.1.1। और आखिरी चौथी, पहली पंक्ति में मेजबानों से ट्रैफ़िक 10.1.1.0 - 10.1.1.15, दूसरी लाइन में नेटवर्क 192.168.0.0 - 192.168.31.0 से ट्रैफ़िक की अनुमति देता है। कृपया ध्यान दें कि यहां चार अलग-अलग एसीएल के उदाहरण हैं, न कि एक एसीएल के 5 नियम।

और कुछ विस्तारित ACL:

 access-list 100 permit tcp 10.1.1.0 0.0.0.255 any eq 80 access-list 101 permit udp host 1.1.1.1 eq 500 host 2.2.2.2 eq 555 access-list 102 permit icmp any any echo access-list 103 permit ip any any

एसीएल 100 किसी भी नेटवर्क, गंतव्य बंदरगाह 80 पर टीसीपी यातायात 10.1.1.0/24 नेटवर्क से अनुमति देता है। यह है, स्थानीय नेटवर्क से वेब सर्फिंग की अनुमति दें। एसीएल 101 मेजबान 1.1.1.1, पोर्ट 500 से 2.2.2.2, पोर्ट 555 की मेजबानी के लिए यूडीपी यातायात की अनुमति देता है। एसीएल 102 कहीं से भी, कहीं से भी पिंग की अनुमति देता है। और अंत में, अंतिम ACL 103 सभी यातायात की अनुमति देता है।

समान मानक और विस्तारित ACL, लेकिन नए सिंटैक्स का उपयोग करते हुए:

 ip access-list standard LIST1 permit 192.168.1.0 0.0.0.255 ! ip access-list standard LIST2 permit any ! ip access-list standard LIST3 permit host 10.1.1.1 ! ip access-list standard LIST1 permit 10.1.1.0 0.0.0.15 permit 192.168.0.0 0.0.31.255 ! ip access-list extended LIST100 permit tcp 10.1.1.0 0.0.0.255 any eq 80 ! ip access-list extended LIST101 permit udp host 1.1.1.1 eq 500 host 2.2.2.2 eq 555 ! ip access-list extended LIST102 permit icmp any any echo ! ip access-list extended LIST103 permit ip any any

I iOS 12.3 के बाद से ACL का संपादन बहुत अधिक सुविधाजनक हो गया है। यदि आप आज्ञा दें:

 show access-list

आपको एसीएल और उनकी सामग्री की एक सूची दिखाई देगी:

 R0(config-ext-nacl)#do sh access-li Standard IP access list LIST1 <b> 10</b> permit 192.168.1.0, wildcard bits 0.0.0.255 <b> 20</b> permit 10.1.1.0, wildcard bits 0.0.0.15 <b> 30</b> permit 192.168.0.0, wildcard bits 0.0.31.255 Standard IP access list LIST2 10 permit any Standard IP access list LIST3 10 permit 10.1.1.1 Extended IP access list LIST100 10 permit tcp 10.1.1.0 0.0.0.255 any eq www Extended IP access list LIST101 10 permit udp host 1.1.1.1 eq isakmp host 2.2.2.2 eq 555 Extended IP access list LIST102 10 permit icmp any any echo Extended IP access list LIST103 10 permit ip any any

ध्यान दें कि ACL लाइनें क्रमांकित हैं। एक विशिष्ट स्थिति में नई लाइनें जोड़ने के लिए, संपादन ACL मोड दर्ज करें और नया नियम दर्ज करने से पहले लाइन नंबर दर्ज करें:

 ip access-list standard LIST1 25 permit …

और इससे कोई फर्क नहीं पड़ता कि आपने एसीएल कैसे बनाया - पुराने सिंटैक्स का उपयोग करके या नए तरीके से, बस एसीएल नाम के बजाय एसीएल नंबर निर्दिष्ट करें। पंक्तियों को जोड़ना और निकालना बिल्कुल वैसा ही है।

लाइनों को हटाने के लिए, लाइन नंबर के साथ नो कमांड का उपयोग करें:

 ip access-list standard LIST103 no 25

आप लाइनों को फिर से कर सकते हैं:

 ip access-list resequence LIST103 10 50

ऊपर दिए गए उदाहरण में, LIST103 नाम के साथ एक ACL के लिए, पुनर्निधारण किया जाएगा और पहली पंक्ति की संख्या 10 होगी, और बाद की पंक्तियों को 50 की वेतन वृद्धि में क्रमांकित किया जाएगा। 10, 60, 110, 160 ...

और अंत में, एसीएल बनाने के बाद, आपको इसे अपने लक्ष्यों और उद्देश्यों के अनुसार लागू करना होगा। फ़िल्टर करने के लिए, ACL को इंटरफ़ेस पर लागू किया जाता है। आवेदन करते समय, फ़िल्टरिंग की दिशा को इंगित करना आवश्यक होगा: इन (इनपुट) - ट्रैफ़िक तार से राउटर इंटरफ़ेस तक, आउट (आउटपुट) आता है - इंटरफ़ेस से ट्रैफ़िक तार पर जाता है। उदाहरण में, ACL का उपयोग आने वाले ट्रैफ़िक को फ़िल्टर करने के लिए किया जाता है:

 interface fa0/0 ip access-group LIST103 in

यह सब, मुझे आशा है, अच्छी तरह से ज्ञात चीजें। यदि आपके कोई प्रश्न हैं, तो पूछें, मैं उत्तर देने का प्रयास करूंगा। यदि बहुत सारे प्रश्न हैं, तो आप एक अलग पोस्ट बना सकते हैं। अब आइए सिस्को राउटर पर एसीएल की अतिरिक्त सुविधाओं को देखें।

समय-आधारित ACLs

आइए एसीएल के साथ शुरू करें जिसमें आप समय का उपयोग एक अतिरिक्त मानदंड के रूप में कर सकते हैं जिसके द्वारा यातायात को फ़िल्टर्ड या वर्गीकृत किया जाएगा। उदाहरण के लिए, काम के घंटों के दौरान वेब सर्फिंग निषिद्ध है, और दोपहर के भोजन के बाद और काम के बाद - कृपया। टाइम-आधारित एसीएल बनाने के लिए क्या आवश्यक है? सब कुछ बहुत सरल है:

एक या अधिक "कैलेंडर" बनाएं - समय सीमा;
विस्तारित ACL नियमों में इन कैलेंडर का उपयोग करें।

"कैलेंडर" बनाने के लिए, समय-सीमा कमांड का उपयोग करें, जो कैलेंडर को निर्दिष्ट एक मनमाना नाम निर्दिष्ट करता है। आप बाद में अपने ACL के नियमों में इस नाम का उल्लेख करेंगे। उदाहरण में, मैं WORK_DAYS नाम से एक "कैलेंडर" बनाता हूं:

 time-range WORK_DAYS absolute start 00:00 01 January 2012 end 23:59 31 December 2012 periodic weekdays 9:00 to 18:00 periodic ? Friday Friday Monday Monday Saturday Saturday Sunday Sunday Thursday Thursday Tuesday Tuesday Wednesday Wednesday daily Every day of the week weekdays Monday thru Friday weekend Saturday and Sunday

"कैलेंडर" के कॉन्फ़िगरेशन मोड में आप समय सीमाओं को परिभाषित करते हैं। दो प्रकार की श्रेणियां:

निरपेक्ष (विशिष्ट तिथियों और समय का संकेत दिया जाता है)।
आवधिक (सप्ताह के दिन, कार्यदिवस या सप्ताहांत) इंगित किए जाते हैं, लेकिन एक विशिष्ट तिथि के संदर्भ के बिना)।

उपरोक्त उदाहरण में, दो समय अंतराल बनाए गए हैं: निरपेक्ष (00:00 जनवरी 01, 2012 से 23:59 दिसंबर 31 तक 2012 को परिभाषित करता है) और रिश्तेदार (सोमवार से शुक्रवार तक दिन 9:00 बजे से 18:00 तक) निर्धारित करता है। आवधिक अंतराल के लिए, जैसा कि आप देख सकते हैं, आप सप्ताह के दिनों के नामों का उपयोग कर सकते हैं, दैनिक - दैनिक, कार्यदिवस - कार्य दिवस, सप्ताहांत - सप्ताहांत।
बनाए गए "कैलेंडर" को देखने के लिए कमांड शो को समय-सारणी दें :

 R0#sh time-range time-range entry: WORK_DAYS <b>(active)</b> absolute start 00:00 01 January 2012 end 23:59 31 December 2012

"कैलेंडर" के नाम के आगे सक्रिय शब्द इंगित करता है कि यह सक्रिय है, अर्थात "कैलेंडर" समय अब राउटर पर वर्तमान समय से मेल खाता है।

अब एसीएल नियमों में हमारे "कैलेंडर" का उपयोग करें:

 ip access-list extended TIME_BASED_ACL permit tcp 10.0.0.0 0.255.255.255 any eq www <b>time-range WORK_DAYS</b> permit tcp 10.0.0.0 0.255.255.255 any eq ftp-data <b>time-range ANOTHER_RANGE</b>

जैसा कि आप देख सकते हैं, आप एक एसीएल के विभिन्न नियमों के लिए अलग-अलग "कैलेंडर" का उपयोग कर सकते हैं। कैलेंडर आप केवल उन्नत ACLs में उपयोग कर सकते हैं।

प्रतिगामी अम्ल

चिंतनशील या प्रतिबिंबित एसीएल आपको फ़िल्टरिंग क्षमताओं का विस्तार करने की अनुमति देते हैं। संक्षेप में, वे एसीएल को पैकेट फ़िल्टरिंग से स्टेटफुल निरीक्षण फायरवॉल में बदल देते हैं। यानी अब राउटर कंपनी के आंतरिक नेटवर्क से शुरू किए गए सत्रों की स्थिति की निगरानी करेगा और उचित रिटर्न नियम बनाएगा।

मुझे एक विशिष्ट स्थिति के साथ समझाएं। एक आंतरिक नेटवर्क है 192.168.1.0/24। हम इस नेटवर्क से इंटरनेट (http) - "ग्रीन" ACL तक पहुंच की अनुमति देते हैं। यानी इस ACL का उपयोग करते हुए, हम आंतरिक नेटवर्क को बाहरी नेटवर्क पर छोड़ने के लिए नीतियों को परिभाषित करते हैं। दूसरे "लाल" एसीएल का उपयोग करते हुए, हम आंतरिक नेटवर्क को बाहर से घुसपैठियों से बचाते हैं। लेकिन आपको आंतरिक नेटवर्क से शुरू किए गए सत्रों की प्रतिक्रियाओं की अनुमति देनी चाहिए, इसलिए हम वापसी ट्रैफ़िक की अनुमति देते हैं। सब कुछ तर्कसंगत लगता है: वहां अनुरोधों की अनुमति दी, वहां से जवाबों की अनुमति दी। लेकिन इस कॉन्फ़िगरेशन के साथ, हम आंतरिक नेटवर्क को बहुत खोलते हैं। पोर्ट 80 से कोई भी टीसीपी पैकेट आंतरिक नेटवर्क में स्वतंत्र रूप से प्रवेश करता है। SYN बाढ़ के हमलों और अधिक में आपका स्वागत है। यह समस्या आसानी से स्टेटफुल निरीक्षण फ़ायरवॉल (CBAC या IOS फ़ायरवॉल) का उपयोग करके हल की जा सकती है, लेकिन क्या होगा यदि आपका IOS संस्करण इस कार्यक्षमता का समर्थन नहीं करता है? दर्पण वाले एसीएल बचाव के लिए आते हैं।

विचार यह है कि अब एक एसीएल (आमतौर पर "ग्रीन" - आंतरिक) से, परीक्षण पास करने वाले पैकेटों को एक विशेष अस्थायी एसीएल के नियमों में प्रतिबिंबित या प्रतिबिंबित किया जाएगा, जो बदले में एक बाहरी ("लाल") एसीएल द्वारा जांचा जाएगा।

एक उदाहरण देखें। हरे ACL में कुछ नियमों के लिए, हम परावर्तक पैरामीटर का उपयोग करते हैं और अस्थायी ACL (उदाहरण के लिए, MIRROR) का नाम निर्दिष्ट करते हैं, जहाँ नियम प्रतिबिंबित होंगे। लाल एसीएल में, हम अस्थायी दर्पण वाले एसीएल का परीक्षण करते हैं: मूल्यांकन कमांड। आप इस आदेश को एक एसीएल को दूसरे के अंदर जांचने के अवसर के रूप में मान सकते हैं, अर्थात्। आदेश को अस्थायी ACL से नियमों के एक सेट द्वारा बदल दिया जाएगा।

आंतरिक नेटवर्क से सत्र खुले रहने तक, प्रतिबिंबित ACL खाली है, इसमें कोई नियम नहीं हैं:

 Extended IP access list EXTERNAL 10 evaluate MIRROR 20 deny ip any any log Extended IP access list INTERNAL 10 permit ip any any reflect MIRROR (2 matches) Reflexive IP access list MIRROR

लेकिन जैसे ही सत्र खुलेगा, प्रतिबिंबित ACL भरना शुरू हो जाएगा:

 R1#sh access-li Extended IP access list EXTERNAL 10 evaluate MIRROR 20 deny ip any any log (5 matches) Extended IP access list INTERNAL 10 permit ip any any reflect MIRROR (36 matches) Reflexive IP access list MIRROR permit icmp host 2.2.2.2 host 192.168.1.1 (19 matches) (time left 289) permit tcp host 192.168.2.1 eq telnet host 192.168.1.1 eq 62609 (30 matches) (time left 286) permit ospf host 224.0.0.5 host 192.168.1.1 (6 matches) (time left 297)

उदाहरण में, पते 192.168.1.1 से आंतरिक नेटवर्क से, एक पिंग को 2.2.2.2 पते पर शुरू किया गया था, फिर आंतरिक पते 192.168.1.1 से बाहरी पते 192.168.2.1 पर एक टेलनेट कनेक्शन खोला गया था। टेलनेट कनेक्शन का एक उदाहरण क्रियाओं के पूर्ण अनुक्रम को दर्शाता है:

आंतरिक होस्ट 192.168.1.1 पते से एक कनेक्शन और एक यादृच्छिक रूप से चयनित पोर्ट 62609 बाहरी होस्ट 192.168.2.1, पोर्ट 23 (टेलनेट) के पते से शुरू करता है।
पैकेट की जाँच इंटरनल एसीएल द्वारा की जाती है, जिसे लाइन द्वारा अनुमति दी जाती है: 10 परमिट आईपी किसी भी MIRROR को दर्शाते हैं
MIRROR ACL में दर्शाया गया : परमिट tcp होस्ट 192.168.2.1 eq टेलनेट होस्ट 192.168.1.1 eq 62609
बाहरी ACL द्वारा बाहरी प्रतिक्रियाओं की जाँच की जाती है जिसमें MIRROR ACL का संदर्भ होता है: MIRROR का मूल्यांकन करें ।

वापसी यातायात की अनुमति है। यदि बाहर से आंतरिक नेटवर्क से किसी भी कनेक्शन को खोलने का प्रयास किया गया था, तो यह निषिद्ध होगा: किसी भी लॉग को आईपी से इनकार करें ।

सभी में, कलाई की एक चंचलता के साथ, एसीएल लगभग एक राज्य निरीक्षण निरीक्षण फ़ायरवॉल में बदल गया है।

डायनेमिक (लॉक-एंड-की) ACLs

एसीएल की अगली श्रेणी गतिशील है। मूल रूप से, इन ACL का उपयोग कंपनी के नेटवर्क के लिए दूरस्थ कनेक्शन के लिए किया जाता है, लेकिन विभिन्न संसाधनों से कनेक्ट करते समय आप इनका उपयोग कर सकते हैं, इसके लिए प्रारंभिक प्रमाणीकरण आवश्यक है। कल्पना करें कि प्रशासकों को कंपनी के नेटवर्क के लिए निरंतर कनेक्शन की आवश्यकता होती है, लेकिन वे अलग-अलग स्थानों से, अलग-अलग आईपी पते से जुड़ेंगे। गतिशील ACL का विचार यह है कि किसी व्यक्ति को पहले प्रमाणित होना चाहिए और तभी सफल होगा जब ACL लागू किया जाएगा जो नेटवर्क संसाधनों तक पहुंच की अनुमति देता है। एल्गोरिथ्म इस प्रकार है:

       () .   .   ,       ACL.        .

गतिशील ACL को कॉन्फ़िगर करने के लिए क्या आवश्यक है:

एक विस्तारित एसीएल बनाएं जो राउटर को टेलनेट या एसएसएच कनेक्शन की अनुमति देता है। इन प्रोटोकॉल का उपयोग राउटर से कनेक्ट करने के लिए किया जाएगा।
प्रमाणीकरण मापदंडों को परिभाषित करें। स्थानीय प्रमाणीकरण, AAA, vty बंदरगाहों पर पासवर्ड समर्थित हैं।
डायनेमिक ACL सेटिंग्स कॉन्फ़िगर करें।

आइए निम्नलिखित उदाहरण देखें:

उपयोगकर्ता को आंतरिक नेटवर्क पर पोर्ट 80 पर सर्वर 192.168.1.1 से कनेक्शन की आवश्यकता होती है। जिन पते से कनेक्शन लगेगा, वे हमें ज्ञात नहीं हैं। सबसे पहले, एक विस्तारित एसीएल बनाएं जो राउटर को टेलनेट कनेक्शन की अनुमति देता है (पता 1.1.1.1) और इसमें गतिशील एसीएल प्रविष्टियां शामिल हैं, फिर इसे वांछित इंटरफ़ेस पर लागू करें:

 ip access-list extended TELNET-IN permit tcp any host 1.1.1.1 eq telnet (1) dynamic DYNAMIC-ACL-NAME permit tcp any host 192.168.1.1 eq www (4) deny ip any any ! int s0/0 description CONNECTED TO EXTERNAL NETWORK ip address 1.1.1.1 255.255.255.0 ip access-group TELNET-IN in

अगला कदम प्रमाणीकरण को कॉन्फ़िगर करना है। मैं स्थानीय प्रमाणीकरण का उपयोग करूंगा, इसलिए मैं एक रूट उपयोगकर्ता बनाता हूं और vty बंदरगाहों पर स्थानीय प्रमाणीकरण सक्षम करता हूं:

 username root secret USERS_PASSWORD (2) ! line vty 0 4 login local (2) autocommand access-enable host timeout 10 (3)

ऑटोकॉमैंड एक्सेस-सक्षम कमांड प्रमाणीकरण को सक्षम करता है और गतिशील एसीएल प्रविष्टियों को सक्षम करता है। होस्ट पैरामीटर वैकल्पिक है। जब इसका उपयोग किया जाता है, तो गतिशील एसीएल में स्रोत आईपी पते के रूप में किसी भी उपयोगकर्ता को जोड़ने वाले पते से प्रतिस्थापित किया जाएगा। टाइमआउट पैरामीटर इस सत्र के लिए मिनटों में निष्क्रियता की अवधि निर्धारित करता है, डिफ़ॉल्ट रूप से यह अनंत है।

दिए गए उदाहरण में पहुँच प्राप्त करने की प्रक्रिया कैसे होगी:

उपयोगकर्ता 1.1.1.1 पर राउटर से एक टेलनेट कनेक्शन खोलता है। विस्तारित एसीएल नियम (1) द्वारा अनुमत।
स्थानीय प्रमाणीकरण चरण (2)।
सफल प्रमाणीकरण के मामले में, पहुँच-सक्षम (3) कमांड स्वचालित रूप से निष्पादित की जाती है, जो गतिशील एसीएल (4) नियमों को सक्रिय करती है। टेलनेट कनेक्शन बंद हो जाता है।
उपयोगकर्ता को गतिशील एसीएल नियमों के अनुसार पहुंच प्रदान की जाती है।

निष्कर्ष

जैसा कि आप देख सकते हैं, सिस्को IOS ACLs में बहुत दिलचस्प क्षमताएं हैं, यह देखते हुए कि यह वस्तुतः किसी भी IOS की मूल कार्यक्षमता है। बहुत सी चीजें, निश्चित रूप से पर्दे के पीछे रहीं: एसीएल और क्यूओएस, दर सीमा। और तो और, सीबीएसी, ज़ोन-आधारित फ़ायरवॉल आदि जैसे विषय। पढ़ने के लिए धन्यवाद।