I. Enghraifft o System Rheoli Mynediad i Adnoddau Ar y Campws
Gall y system rheoli mynediad at adnoddau ar y campws ganiatáu i ddefnyddwyr gael mynediad uniongyrchol at adnoddau heb fewngofnodi, yn union fel y gall rhai defnyddwyr ar y campws gael mynediad at adnoddau heb fewngofnodi i'r system. Mae yna hefyd fersiwn newydd o VPN sy'n cael ei agor i hwyluso mynediad i adnoddau mewnrwyd a llyfrgell ar y rhwydwaith allanol. Nid yw'n gofyn am osod cleientiaid ac ategion, mae'n cefnogi defnydd uniongyrchol ar gyfrifiaduron a ffonau symudol, ac mae'n argymell defnyddio porwyr penodol i gael profiad gwell. Mae hon yn sefyllfa rheoli mynediad arbennig ar gyfer amgylchedd penodol (mynediad adnoddau ar y campws). Mae'r dull hwn yn seiliedig ar osod polisi rhannu adnoddau ar y campws, a'r pwrpas yw hwyluso defnyddwyr ar y campws i gael adnoddau.
II. Egwyddor weithredol ACL (Rhestr Rheoli Mynediad)
1. Yn seiliedig ar dechnoleg hidlo pecyn
- Mae ACL yn defnyddio technoleg hidlo pecynnau i ddarllen y wybodaeth ym mhenawdau pecyn 3ydd a 4edd haen model saith haen OSI ar y llwybrydd, megis cyfeiriad ffynhonnell, cyfeiriad cyrchfan, porthladd ffynhonnell, porthladd cyrchfan, ac ati.
- Yn ôl rheolau a ddiffiniwyd ymlaen llaw, caiff y pecyn ei hidlo i gyflawni pwrpas rheoli mynediad.
2. set Rheol a chymhwyso rhyngwyneb
- Mae ACL yn set o reolau sy'n cael eu cymhwyso i ryngwyneb llwybrydd penodol. Ar gyfer rhyngwyneb llwybrydd, mae gan y rhestr rheoli mynediad ddau gyfeiriad: mynd allan (pecynnau data sydd wedi'u prosesu gan y llwybrydd ac sy'n gadael y llwybrydd) ac yn dod i mewn (pecynnau data sydd wedi cyrraedd rhyngwyneb y llwybrydd ac a fydd yn cael eu prosesu gan y llwybrydd) .
- Os yw ACL yn cael ei gymhwyso i ryngwyneb llwybrydd penodol, mae'r llwybrydd yn cymhwyso'r set hon o reolau i'r pecynnau data ar gyfer paru dilyniannol, ac yn hidlo'r pecynnau data trwy stopio os bydd cyfatebiaeth yn digwydd a defnyddio'r rheol ddiofyn os nad yw'n cyfateb digwydd.
3. Rhestr rheoli mynediad safonol
- Caniatáu neu wadu pecynnau data yn seiliedig ar gyfeiriad IP ffynhonnell y pecyn data. Rhif rhestr rheoli mynediad y rhestr rheoli mynediad safonol yw 1 - 99.
- Er enghraifft, y gystrawen ar gyfer creu ACL i ganiatáu pob gwesteiwr yn y segment rhwydwaith 192.168.1.0 yw: Router(config)#access-list1permit192.168.1.{{10}} .0.0.255; creu ACL i ganiatáu gwesteiwr penodol yw Router(config)#access-list1permithost10.0.0.1; creu ACL rhagosodedig i wrthod mynediad i bob gwesteiwr yw Router(config) #access-list1denyany, lle gall y gwesteiwr allweddair nodi cyfeiriad gwesteiwr heb ysgrifennu'r gwrthdro isrwyd, a gall unrhyw un gynrychioli'r holl westeion.
4. Rhestr Rheoli Mynediad Estynedig
- Caniatáu neu wadu pecynnau data yn seiliedig ar y cyfeiriad IP ffynhonnell, cyfeiriad IP cyrchfan, protocol penodedig, porthladd, a baneri'r pecyn data. Rhif rhestr rheoli mynediad y rhestr rheoli mynediad estynedig yw 100-199.
- Mae'r gystrawen ar gyfer creu ACL estynedig fel a ganlyn (mae'n cynnwys rhif rhestr mynediad i nodi rhif y rhestr rheoli mynediad, protocol i nodi'r math o brotocol, megis IP, TCP, CDU, ICMP, ac ati, ffynhonnell a cyrchfan i nodi'r cyfeiriad ffynhonnell a'r cyfeiriad cyrchfan yn y drefn honno, ffynhonnell-wildcard a chyrchfan-wildcard yw'r codau gwrthdro subnet).
Yn gyffredinol, mae systemau rheoli mynediad yn pennu pa ddefnyddwyr neu becynnau data sy'n gallu cyrchu adnoddau penodol neu drwy ryngwynebau rhwydwaith penodol trwy osod rheolau. Gall y rheolau hyn fod yn seiliedig ar amrywiaeth o ffactorau, o gyfeiriadau IP syml i gyfuniadau cymhleth o baramedrau rhwydwaith lluosog megis protocolau a phorthladdoedd.
