Cisco Access Control List (ACL) ในงานเครือข่าย
ในสภาพแวดล้อมเครือข่ายที่มีจำนวนพนักงานและอุปกรณ์เครือข่ายจำนวนมาก จะมีการรับส่งข้อมูลปริมาณสูง ซึ่งสามารถทำให้เกิดคอขวดด้านแบนด์วิดท์และส่งผลกระทบต่อการรับส่งข้อมูลสำคัญได้ เพื่อควบคุมปัญหานี้ คุณจำเป็นต้องระบุอุปกรณ์เครือข่ายที่ใช้แบนด์วิดท์มากโดยใช้เครื่องมือมอนิเตอร์ทราฟฟิก และเมื่อสามารถระบุอุปกรณ์ดังกล่าวได้แล้ว คุณสามารถใช้นโยบาย Access Control List (ACL) กับอุปกรณ์เหล่านั้น เพื่อกำหนดความสำคัญของข้อมูลขณะรับส่งได้ Network Configuration Manager ช่วยสนับสนุนการทำงานนี้ โดยช่วยให้คุณใช้นโยบาย ACL กับอุปกรณ์หลายตัวพร้อมกันได้ผ่านการดำเนินการแบบ Bulk ด้วย Configlets
ต่อไป มาดูแนวทางที่ควรปฏิบัติขณะตั้งค่า ACLs:
แนวทางการ Config Cisco ACL
- 1 ACL ต่อ 1 อินเทอร์เฟซ ต่อ 1 โปรโตคอล ต่อทิศทาง เท่านั้น
- ACL ทำงานตามลำดับจากบนลงล่าง (Top-down) โดยคำสั่งที่เฉพาะเจาะจงมากกว่าต้องอยู่ด้านบนของลิสต์ เมื่อแพ็กเก็ตตรงตามเงื่อนไข ACL การตรวจสอบจะหยุดทันที และแพ็กเก็ตจะถูกอนุญาตหรือถูกปฏิเสธ
- ACL ถูกสร้างในระดับ Global ก่อน แล้วจึงถูกนำไปใช้กับอินเทอร์เฟซ
- ACL ในการกำหนดค่าเครือข่ายสามารถกรองทราฟฟิกที่ผ่านเราเตอร์ หรือทราฟฟิกที่เข้าออกเราเตอร์ได้
วิธีตั้งค่า Access Control List (ACL) บนเราเตอร์ Cisco
การกำหนดนโยบาย ACL ให้ถูกต้องก่อนนำไปใช้กับอุปกรณ์เครือข่ายเป็นสิ่งสำคัญ หากยังไม่ได้กำหนดค่า ACL ระบบจะอนุญาตทราฟฟิกทั้งหมดโดยอัตโนมัติ ในส่วนนี้ เราได้ยกตัวอย่าง 3 รูปแบบ เพื่ออธิบายวิธีนำ Access List ประเภทต่าง ๆ ไปใช้งานบนเราเตอร์ Cisco โดยการตั้งค่า ACL ผ่าน Network Configuration Manager
ตัวอย่างที่ 1: หากคุณต้องการบล็อกทราฟฟิก ICMP จากทุกเครือข่าย แต่ยังคงอนุญาตให้ทราฟฟิก IP ผ่านได้ คุณสามารถใช้คำสั่งตั้งค่าดังต่อไปนี้เพื่อกำหนด ACL บนเราเตอร์ Cisco:
คำสั่ง Configlet ที่ใช้สำหรับรันคำสั่งข้างต้นใน Network Configuration Manager:
ตัวอย่างที่ 2: หากคุณต้องการอนุญาตให้มีการรับส่งทราฟฟิกระหว่างที่อยู่ IP สองตัวที่กำหนดไว้ คุณสามารถระบุค่า IP ที่ต้องการได้โดยตรง นอกจากนี้ คุณยังสามารถระบุประเภทของทราฟฟิกที่ต้องการอนุญาตได้ เช่น IP, TCP, ICMP, UDP เป็นต้น ตัวอย่างในเทอร์มินัลด้านล่างเป็นการตั้งค่าการอนุญาตทราฟฟิกระหว่าง IP ทั้งสองพร้อมระบุประเภทการรับส่งข้อมูล
คำสั่ง Configlet ที่ใช้สำหรับรันคำสั่งข้างต้นใน Network Configuration Manager:
ตัวอย่างที่ 3: หากคุณต้องการอนุญาตให้มีการรับส่งทราฟฟิกจากที่อยู่ IP ที่อยู่ภายในช่วง (IP Range) เฉพาะเจาะจง คุณสามารถทำได้โดยการระบุ IP เริ่มต้น (Start IP) และ IP สิ้นสุด (End IP) ซึ่งจะทำให้มั่นใจได้ว่าที่อยู่ IP ทั้งหมดที่อยู่ระหว่างช่วงดังกล่าวสามารถรับ—ส่งข้อมูลได้ ตัวอย่างในเทอร์มินัลด้านล่างแสดงคำสั่ง ACL สำหรับอนุญาตทราฟฟิกของที่อยู่ IP ทั้งหมดที่อยู่ในช่วงดังกล่าว
ชุดคำสั่ง Configlet ที่สอดคล้องกันสำหรับใช้รันคำสั่งข้างต้นใน Network Configuration Manager:
ตัวอย่างที่ 4: หากคุณต้องการนำ Access List ไปใช้กับอินเทอร์เฟซใด ๆ คุณสามารถทำได้โดยการระบุชื่ออินเทอร์เฟซ และเลขที่ของ Access List ที่ต้องการ ตัวอย่างเทอร์มินัลด้านล่างแสดงคำสั่ง ACL สำหรับนำ Access List ที่สร้างไว้ในตัวอย่างที่ 1 ไปใช้งานกับอินเทอร์เฟซ
การประมวลผล ACL ใน Network Configuration Manager
คำสั่ง Access Control List (ACL) สามารถประมวลผลได้ภายใน Network Configuration Manager โดยใช้
Configlets ผู้ใช้สามารถเลือกประเภทของ ACL ที่เหมาะสมที่สุดตามความต้องการของเครือข่าย Network Configuration Manager ใช้โหมดการประมวลผลแบบสคริปต์ (Script Execution Mode) เป็นหลักในการดำเนินการคำสั่ง ACL เมื่อเพิ่มชุดคำสั่ง ACL ที่ต้องการลงในช่อง "Configlet Content" แล้ว Configlet ดังกล่าวสามารถถูกส่งไปใช้งานกับอุปกรณ์หลายเครื่องพร้อมกัน (Bulk Deployment) ดังนั้น Network Configuration Manager จึงช่วยควบคุมทราฟฟิกในเครือข่ายได้อย่างมีประสิทธิภาพ และลดภาระการดำเนินคำสั่งด้วยตนเองบนอุปกรณ์เครือข่ายแต่ละเครื่อง
นอกจากนี้ Configlets ยังสามารถใช้สำหรับ
อัปเกรดเฟิร์มแวร์ รันคำสั่งเพื่อแก้ไขปัญหา (Error Fixing) และดำเนินการเปลี่ยนแปลงแบบกลุ่ม (Bulk Changes) ได้อีกด้วย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ Configlets
คลิกที่นี่ คำถามที่พบบ่อยเกี่ยวกับการ Config Cisco ACLs
Access Control List (ACL) คืออะไร?
+Access Control List (ACL) คือชุดของกฎที่กำหนดลำดับสำหรับใช้กรองทราฟฟิก ACL สามารถใช้ในการกรองแพ็กเก็ตที่เข้า (Incoming) หรือออก (Outgoing) ผ่านอินเทอร์เฟซของอุปกรณ์เครือข่ายเพื่อควบคุมการรับส่งข้อมูล นอกจากนี้ ACL ยังช่วยกำหนดประเภทของทราฟฟิกที่ควรอนุญาตหรือปฏิเสธในระดับอินเทอร์เฟซของอุปกรณ์ได้อีกด้วย ตัวอย่างเช่น หากต้องการอนุญาตให้ทราฟฟิกอีเมลสามารถรับส่งผ่านเครือข่ายได้ แต่ต้องการบล็อกการใช้งาน TELNET ไม่ให้เข้าเครือข่าย ก็สามารถทำได้โดยใช้ Access Control List ACL มีบทบาทสำคัญในการควบคุมปัญหาคอขวดด้านแบนด์วิดท์ (Bandwidth Bottleneck) และเป็นสิ่งจำเป็นสำหรับทุกองค์กรในการรักษาประสิทธิภาพการทำงานของเครือข่ายให้เสถียร
Access control ในระบบ Cisco คืออะไร?
+ ACL ในระบบ Cisco คือชุดของกฎที่ถูกนำไปใช้งานบนอินเทอร์เฟซของเราเตอร์ Cisco หรืออุปกรณ์เครือข่าย เพื่อควบคุมการไหลของทราฟฟิกในเครือข่าย โดย ACL สามารถอนุญาต (Permit) หรือปฏิเสธ (Deny) การรับส่งข้อมูลตามเงื่อนไขต่าง ๆ เช่น ที่อยู่ IP โปรโตคอล พอร์ต และเกณฑ์อื่นที่กำหนดไว้
Thank you for your feedback!
