در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

بررسی و پیکربندی Access List ها در سیسکو - قسمت سوم

ACLهای Extended (گسترده)


در ادامه توضیحات قبل در مقاله گذشته در مورد این ACLها، نکته دیگراین است که این ACLها بسیار قابل انعطاف بوده و دست ما را در فیلتر کردن انواع مختلف ترافیک باز می گذارند. گفتیم که ACLهای extended عمل فیلتراسیون را براساس پارامترهای زیر انجام می دهند:

  • آدرس IP فرستنده و گیرنده پیام ها
  • نوع پروتکل IP مورد استفاده مثل IP، ICMP، TCP، UDP و ...
  • اطلاعات مربوط به پروتکل ها مثل شماره پورت در TCP و UDP و نوع پیامها یا Message type در پروتکل ICMP
ترکیب دستورات مورد استفاده برای ایجاد این نوع ACL به شکل زیر است:

Router(config)#access-list 100-199| 2000-2699 permit|deny IP_Protocol
source_address source_wildcard_mask
[protocol_information]
destination_address destination_wildcard_mask
[protocol_information] [log]

از این دستور نیز می توان فهمید که دستورات بکار رفته در ایجاد ACLهای extended کمی پیچیده تر از قبلی است. شماره ای که برای نام گذاری ACLها بکار می رود را می توان در رنج 100 تا 199 و نیز 1699 تا 2000 انتخاب نمود. بعد از مشخص نمودن گزینه های permit / deny نوع پروتکل مورد نظر را نیز باید مشخص نماییم که این نکته اولین تفاوت اساسی بین ACLهای استاندارد را با ACLهای گسترده نشان می دهد. این پروتکل ها شامل موارد زیر می شوند:

IP,TCP,ICMP,GRE,UDP,IGRP,EIGRP,IGMP,IPINIP,NOS,OSPF                                      

دومین تفاوت بین این دو ACL این است که در ACLهای گسترده علاوه بر مشخص نمودن آدرس دستگاه فرستنده، آدرس دستگاه گیرنده را هم باید تعیین نماییم. مشخص کردن Wildcard Mask نیز انتخابی است. بسته به نوع پروتکل موردنظر می توانیم اطلاعات بیشتری را در مورد آن پروتکل ها مشخص کنیم. برای مثال اگر از پروتکل IP استفاده می کنیم، می توان شماره های پورت دستگاه ها را هم تعیین کرد. برای ICMP نیز می توان انواع پیام های ارسالی را مشخص نمود. در آخر نیز با بکار بردن log می توان نتایج را به پورت کنسول و یا یک سرور حاوی اطلاعات log یا sylog منتقل کرده و آنها را به صورت متمرکز در آنجا تحت بررسی قرار داد. بکار بردن log در این دستور نیز انتخابی می باشد.

به کار بردن ACL گسترده در TCP/UDP


دستور زیر را برای پیکربندی یک ACL گسترده در پروتکل های TCP و UDP بکار می بریم:
Router(config)# access-list 100-199|2000-2699 permit|deny
tcp|udp
source_address source_wildcard_mask
[operator source_port_#]
destination_address destination_wildcard_mask
[operator destination_port_#] [established] [log]

مشاهده می کنید که ما بعد از مشخص کردن یکی از گزینه های permit یا deny نام پروتکل آورده می شود که در اینجا بحث ما بر سر یکی از پروتکل های TCP یا UDP می باشد. در هنگام به کار بردن این پروتکل ها، آدرس منبع، آدرس مقصد، شماره و یا نام پورت های مورد استفاده را می توان تعیین نمود. همچنین در این پروتکل ها باید یک اپراتور را نیز مشخص کنیم. در جدول زیر لیست اپراتورهای موجود به همراه شرح آنها نیز آمده است. در یاد داشته باشید که این اپراتورها فقط در TCP و UDP کاربرد دارند. همانطوریکه اشاره شد اگر پروتکل مورد استفاده ما TCP یا UDP باشد می توان شماره یا نام پورت ها را هم مشخص نمود. مثلا اگر منظور ما یک ارتباط telnet باشد، هم می توان عبارت telnet را بکار برد و یا شماره 23 را به عنوان شماره پورت متناظر آن استفاده نمود. جدول زیر نام و شماره برخی از پورت های متداول را لیست کرده است.

شماره پورت ها

در زیر به لیست کامل متناظر با پورت های TCP اشاره می کنیم:

Bgp,chargen,daytime,domain,echo,finger,ftp,ftp_data,gopher,hostname,irc,klogin,kshell,lpd,nntp,
pop2,pop3,smtp,sunrpc,syslog,tacacs-ds,talk,telnet,time,uucp,whois,www

Pop3 معمولا در دسترسی کاربران به سرورهای mail کاربرد دارد. www هم در دسترسی به سرورهای http مورد استفاده قرار می گیرد. اگر نام یک پورت در لیست بالا موجود نبود، می توانید همچنان از شماره آنها استفاده کنید. اگر شماره یا نام پورت موردنظر را مشخص نکنیم، بطور پیش فرض تمامی ارتباطات TCP تحت تاثیر قرار خواهند گرفت.

در جدول زیر نیز برخی از نام ها و شماره پورت های معمولی که در UDP بکار می رود نشان داده شده اند:

ACL ها در سیسکو

اگر به دستوریکه در اول این بحث آورده ایم دقت کنید، متوجه وجود یک کلمه به نام established در آخر دستورات خواهید شد. در مواقعی احتمال دارد که یک ترافیک TCP را در داخل شبکه ایجاد کرده باشیم و بخواهیم که ترافیک های برگشتی آن را در هنگام ورود به شبکه فیلتر نماییم. در اینصورت این کلمه باعث خواهد شد که روتر اجازه دسترسی را به تمامی بسته هایی که دارای بیت های RST یا ACK در قسمت سر پیام باشند یا داده و یا اجازه ورود را به آنها ندهد. به این نوع از اتصالات، وابسته به ارتباط یا connection-oriented می گویند.

فعال ساختن یک ACL گسترده


به وسیله دستور زیر می توان بعد از ایجاد یک ACL گسترده آن را در روی یکی از اینترفیس های روتر فعال سازیم:
Router(config)#interface type [module_#] port_#
Router(config)#ip access-group ACL_# in|out

لابراتوار : << پیکربندی Extended Access-list بر روی روتر >>


در این لابراتور میخواهیم 6 عدد pc به نام های PC1 تا PC6 و یک سرویس دهنده ی فایل با نام File server وجود خواهد داشت که در سه subnet قرار دارند، با استفاده از Extended Access listهاريال می خواهیم دسترسی PC5 از SUBNET3 به File server موجود در subnet1 را مسدود کنیم، ولی دسترسی به سایر کامپیوترهای subnet1 توسط PC5 و سایر PCها در سایر subnetها وجود داشته باشد.

سناریو ACL ها در سیسکو

مرحله اول : پیکربندی IP Address روی اینترفیس های روتر

پیکربندی IP Address روی اینترفیس FastEthernet 0//0 روتر

Router#config t
Router(config)#interface fastethernet 0/0
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#no shut down

پیکربندی IP Address روی اینترفیس FastEthernet 1//0 روتر

Router#config t
Router(config)#interface fastethernet 1/0
Router(config-if)#ip address 192.168.2.1 255.255.255.0
Router(config-if)#no shut down

پیکربندی IP Address روی اینترفیس FastEthernet 2//0 روتر

Router#config t
Router(config)#interface fastethernet 2/0
Router(config-if)#ip address 192.168.3.1 255.255.255.0
Router(config-if)#no shut down
مرحله دوم: پیکربندی Extended Access list بر روی روتر

در این مرحله، یک ACL نوع Extended تعریف و شماره آن را 101 انتخاب خواهیم کرد و با استفاده از این ACL مانع از دسترسی کامپیوتر PC5 در 3Subnet به File Server موجود در Subnet1 خواهیم شد و PC5 این توانایی را خواهد داشت که به سایر کامپیوترهای Subnet1 دسترسی داشته باشد.

Router#config t
Router(config)#access-list 101 deny ip host 192.168.3.2 host 192.168.1.4
Router(config)#access-list 101 permit ip any any

ACL ها در سیسکو

ACL ها در سیسکو

مرحله سوم: اعمال Access list به اینترفیس

در این مرحله ما می خواهیم ACL شماره 101 را که در مرحله 2 ایجاد نموده ایم، به اینترفیس FastEthernet 2//0 برای Inbound اعمال نماییم. این عمل ما باعث خواهد شد که هر ترافیکی که می خواهد، به اینترفیس FastEthernet 2//0 وارد شود، با قوانین داخل Access list شماره 101 بررسی شود که آیا اجازه عبور دارد یا خیر.

Router#config t
Router(config)#هinterface fastethernet 2/0
Router(config)#ip access-group 101 in

ACL ها در سیسکو

مرحله چهارم : تصدیق پیکربندی Access List

مرحله بعد، ما از PC5 که عضو Subnet3 می باشد، کامپیوتر سرور را که عضو Subnet1 می باشد، ping می کنیم.

Pc5>ping 192.168.1.4

pinging 192.168.1.4 with 32 bytes of data:

request timed out
request timed out
request timed out
request timed out

همانطور که می بینید، ارتباط بین PC5 که عضو Subnet3 می باشد با سرور که عضو Subnet1 می باشد، توسط ACL مسدود (deny) شده است. مرحله بعد ما از PC5 که عضو Subnet3 می باشد کامپیوتر PC1 را که عضو Subnet1 می باشد، ping می کنیم:

Pc5>ping 192.168.1.2

pinging 192.168.1.2 with 32 bytes of data:

Reply from 192.168.1.2: bytes=32 time=20ms TTL=254

Reply from 192.168.1.2: bytes=32 time=20ms TTL=254

Reply from 192.168.1.2: bytes=32 time=20ms TTL=254

Reply from 192.168.1.2: bytes=32 time=20ms TTL=254
مرحله پنجم : مشاهده همه ACLها روی روتر و مشاهده تعداد PACKETهایی که با قوانین ACLها Match بوده اند

برای مشاهده همه ACLها روی روتر و مشاهده تعداد PACKETهایی که با قوانین ACLها Match بوده اند، از ذستور show access-list استفاده خواهد شد همانطور که در دستور زیر مشاهده می کنید:

Router#show access-list
Extended IP access list 101
deny ip host 192.168.3.2 host 192.168.1.4 (4 match (es))
permit ip any any (4 match (es))

موفق باشید.

نویسنده: عاطفه حسین زاده

منبع: جزیره سیسکو وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع دارای اشکال اخلاقی می باشد

#access_control_list_چیست #کنترل_های_دسترسی_در_سیسکو #access_control_list_در_سیسکو #تعریف_acl_در_سیسکو #انواع_acl_در_سیسکو #انواع_Access_Control_List #ACL__ها_در_سیسکو #آشنایی_با_acl_های_سیسکو #acl_ها_در_سیسکو
عنوان
1 بررسی و پیکربندی Access Listها در سیسکو_قسمت اول رایگان
2 بررسی و پیکربندی Access List ها در سیسکو - قسمت دوم رایگان
3 بررسی و پیکربندی Access List ها در سیسکو - قسمت سوم رایگان
زمان و قیمت کل 0″ 0
3 نظر
ali ayoubi

مرسی خانوم حسین نژاد راستش تو هیچ انجمنی در مورد سیسکو و برنامه نویسی آن توضیحاتی داده نشده ممنون از توضیحاتتون

رضا تقی زاده

با تشکر از تمامی دوستانی که در این سایت فعالیت می کنند و نظر می دهند... فقط یک نکته رو باید در اینجا متذکر شوم که بخش دیدگاه در این سایت بیشتر مخصوص بیان دیدگاه تخصصی و سوال و جواب در رابطه با مقالات می باشد و چنانچه کاربری از مقاله ای خوشش آمد بهتر است گزینه (( پسندیدم )) رو در بالای مقاله بزند تا تشکری باشه برا زحمات نویسنده مقاله.

سروش کیانی

باسلام و تشکر

سوالی که دارم اینه که در مثال بالا پس از اعمال تنظیمات access-list هماتگونه که ذکر شده دسترسی از سیستم 192.168.3.2 به سرور 192.168.1.4 مسدود میگردد که این موضوع کاملا صحیح است

اما یک سوال:

چرا پس از اعمال تنظیمات فئق دسترسی از سمت سرور 192.168.1.4 به 192.168.3.2 نیز متقابلا مسدود میگردد!

برای این مشکل چه کاری بایستی انجام داد؟

لطفا راهنمایی کنید

ممکن است بخواهیم محدود سازی از یک طرف باشد و از طرف مقابل بتوانیم سیستم مبدا را ببینیم

باتشکر فراوان

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....