در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

بررسی و پیکربندی Access Listها در سیسکو_قسمت اول

در این مقاله به طور جامع در خصوص Access Listها، قوانین موجود در تعریف ACLها، انواع Wildcard Maskمی پردازیم. در مقالات بعدی در خصوص پیکربندی انواع ACLها و سناریوهای مختلف پیکربندی ACL صحبت خواهیم کرد. به طور پیش فرض بعد از اینکه روترها شروع به کار می کنند، تمامی پیامها قادر به عبور از یک اینترفیس به اینترفیس های دیگر خواهند بود. اما شرایطی پیش خواهد آمد که شما برای مقاصد مختلف، چه مباحث امنیتی شبکه و چه سیاستهای کلی که در پیش گرفته شده اند، نیاز به اعمال محدودیت در انتقال ترافیک شبکه خواهیم داشت. سیسکو ما را قادر می سازد که در شرایط گفته شده، عبور ترافیک شبکه از یک اینترفیس به اینترفیس های دیگر را کنترل کنیم. ACLها یکی از خصوصیات قدرتمند IOS می باشند که سیسکو در کنار IP، پروتکل های دیگری را نیز مانند DECnet، XNS، Apple Talk، IPX برای استفاده از ACL پشتیبانی می کند.

Access List یا همان ACL در حقیقت روشی برای فیلتر کردن ترافیک خروجی و ورودی بر روی اینترفیس های روتر می باشد، به صورت پیش فرض همه ترافیک قابلیت ورود و خروج از همه اینترفیس های روتر را خواهند داشت که شما با استفاده از توانمندی ACLها می توانید ورود و خروج ترافیک را براساس قوانین و پروتکل های خاص فیلتر نمائید. شما می توانید به وسیله ACLها تعیین کنید که چه ترافیکی با چه مشخصاتی از اینترفیس روتر اجازه ورود یا خروج را داشته باشد. از ACLها در دستوراتی مانند NAT و برخی دستورات دیگر استفاده می شود. شما برای استفاده از ACLها باید آنها را تعریف نمایید و در مرحله بعد ACLها را به اینترفیسی که قصد کنترل ترافیک آن را خواهید داشت نسبت دهید که همه ترافیک ها با قوانین موجود در ACL بررسی شوند که براساس این قوانین به ترافیک اجازه ورود یا خروج داده می شود.

آشنایی با ACL در سیسکو


علاوه بر اینکه ACLها در فیلتر کردن ترافیک های انتقالی در شبکه مورد استفاده قرار می گیرند، برای مقاصد مختلف نیز می توان از آنها بهره برد. برای نمونه چند کاربرد عمده آنها عبارتند از:

  • محدود کردن دسترسی از طریق VTY TELNET
  • فیلتر کردن اطلاعات routing
  • اولویت بندی ترافیک مربوط به WAN
  • تغییر پارامتر Administrative distance
  • برقراری تماس های تلفنی (DDR (Dial-Demand Routing

ACLها در global configuration mode ایجاد شده و سپس آنها را باید فعال نمود. برای کنترل ترافیک انتقالی از راه اینترفیس ها، ACLها را باید روی اینترفیس موردنظر فعال نماییم. در هنگام فعال نمودن ACLهای ایجاد شده باید نوع ترافیکی را که تحت تاثیر قرار خواهد گرفت را مشخص نماییم. ترافیک عبوری را میتوان در دو گروه عمده قرار داد:

  • ترافیک ورودی یا Inbound
  • ترافیک خروجی یا Outbound

در ترافیک ورودی روتر اطلاعات رسیده را ابتدا با ACLهای تعیین شده در روی اینترفیس مربوطه مقایسه کرده و سپس اقدام به ارسال آنها به مقصد خود می کند. اما در ترافیک خروجی یا outbound، روتر اطلاعات رسیده را ابتدا به مقاصد خود اراسل کرده و سپس اقدام به مقایسه آنها با ACL مربوطه می نماید. یکی از محدودیت هایی که استفاده از ACL داراست این است که نمی توان ترافیکی که خود روتر آنها را ایجاد کرده به وسیله ACLها فیلتر نمود. برای مثال اگر از دستورات ping و یا traceroute در روی روتر استفاده کرده و یا اقدام به برقراری ارتباط telnet از روتر خود به سمت دستگاههای دیگر نماییم، نمی توان این ترافیک ها را به وسیله ACLها فیلترگذاری کرد. اما اگر روتر دیگری اقدام به ping کردن و یا برقراری ارتباط telnet با روتر ما نماید و یا از طریق روتر ما، دستگاه دیگری را هدف قرار دهد، می توان از ACL بهره برد.

قوانین موجود در تعریف ACLها


هر ACL باید با یک شماره یا یک نام منحصر بفرد شناسایی شود.شما قادر خواهید فقط یک ACL را به یک اینترفیس assign کنید.یک ACL بر اساس شرایط و قوانین خاص ترافیک را فیلتر می کند که برخی از این پارامترها که ACL بر اساس آنها می تواند اقدام به بررسی ترافیک نماید، به شرح زیر می باشد:

  • براساس Source IP Address یا آدرس فرستنده
  • براساس Destination IP Address یا آدرس مقصد یا گیرنده
  • براساس شماره پورت خاص
  • براساس پروتکل های UDP و TCP
  • براساس یکسری از پروتکلهای شبکه مانند ICMP، OSPF، EIGRP، IGMP و ...

همانطور که اشاره شد، یک ACL لیستی از دستورات می باشد که با یک شماره یا نام شناسایی می شود و این دستورات از بالا به پایین مورد بررسی قرار می گیرند، پس به این نکته توجه داشته باشید که ترتیب نوشتن دستورات داخل ACL بسیار مهم است و در پایان هر ACL یک Deny All وجود دارد که این عبارت Deny All را شما مشاهده نمی کنید ولی توسط خود IOS اضافه خواهد شد. پس در صورتی که ترافیک شما با هیچ کدام از قوانین داخل ACL مطاابقت نداشته باشد آن ترافیک Deny خواهد شد. یعنی اجازه عبور از آن اینترفیس را نخواهد داشت. وقتی ترافیک قصد عبور از اینترفیسی را که یک ACL به آن نسبت داده شده است دارد، باید آن ترافیک با دستورات داخل ACL مطابقت شود و خط به خط دستورات ACL بررسی می شوند و در صورتی که، اطلاعات با یکی از خطوط ACL مطابقت داشته باشد، آن قانون اعمال خواهد شد و خطوط بعد از آن قانون دیگر بررسی نخواهند شد و در صورتی که هیچکدام از قوانین داخل ACL با ترافیک مطابقتی نداشته باشند، پیام از بین خواهد رفت.از این روست که ترتیب مشخص نمودن قانون های موجود در یک ACL بسیار مهم است.

برای مثال اگر دو قانون برای دسترسی به یک دستگاه، که یکی اجازه عبور را داده و یکی نداده در جدول موجود باشند، قانونی را که در اول نوشته شده باشد اجرا شده و از دیگری صرف نظر خواهد شد.برای همین هم در هنگام نوشتن قانون ها موارد اختصاصی تر را باید در اول نوشته و موارد عمومی تر را در آخر لیست قرار دهیم. برای درک بهتر، مثالی را مطرح میکنیم.فرض کنید که یک ACL دارای دو عدد قانون یا به اصطلاح statement در لیست خود می باشد. به ترتیب زیر:

  1. اجازه دسترسی از شبکه 172.16.0.0/16
  2. محدودیت دسترسی از دستگاه 172.16.1.1

با یادآوری این نکته که لیست ACL از بالا به پایین پردازش می شود، فرض می کنیم که روتر یک پیام را با آدرس فرستنده 172.16.1.1 دریافت کرده است. روتر این آدرس را با اولین مورد موجود در لیست مقایسه می کند: آیا پیام رسیده از طرف شبکه 172.16.0.016 می باشد؟ جواب مثبت است و بنابراین اجازه عبور به ترافیک رسیده داده نخواهد شد. اما به دلیل اینکه مورد اول با پیام رسیده مطابقت داشت، مورد دوم هیچ وقت پردازش نخواهد شد. در این مثال همه ترافیک هایی که مربوط به شبکه 72.16.0.016 می باشند، اجازه عبور خواهند یافت، حتی آدرس 172.16.1.1/16.

بیایید که ترتیب نوشتن دو قانون بالا را تغییر دهیم. بدین صورت:

  1. محدودیت دسترسی از دستگاه 172.16.1.1
  2. اجازه دسترسی از شبکه 172.16.0.0/16

اگر دستگاه 172.16.1.1 ترافیکی را به روتر بفرستد، روتر اولین مورد موجود در لیست ACL را با مشخصات پیام مقایسه کرده و از آنجایی که در همان اولین قدم تطابق موردنظر حاصل شد، روتر قانون اول را در مورد پیام رسیده صزفنظر از اینکه چه نوع ترافیکی باشد از بین خواهد رفت.اگر دستگاه دیگری مثل 172.16.1.2 اقدام به ارسال ترافیک برای روتر نماید، روتر مشخصات پیام را با اولین مورد موجود در لیست ACL مقایسه کرده و به دلیل نیافتن مطابقت مورد نظر، مورد دوم پردازش خواهد شد که تطابق وجود داشته و اجازه دسترسی به ترافیک فوق داده می شود. از همین روست که گفته می شود ترتیب نوشتن هریک از موارد لیست ACL بسیار مهم بوده و انتقال ترافیک شبکه را تحت تاثیر قرار خواهد داد.در تعریف ACLها به جای استفاده از Subnet Mask از Wildcard Mask استفاده می شود که بیان کننده تعداد بیت ها از آدرس می باشد که باید در ACL مورد بررسی قرار بگیرند و به عبارت دیگر مشخص کننده قسمتی از آدرس IP Address می باشد که باید در ACL مورد بررسی قرار بگیرد.Wildcard Mask دقیقا برعکس Subnet Mask می باشد به جای bitهای 1 در subnet mask ما از بیت های صفر در wildcard mask و به جای بیت های صفر در subnet mask از بیت های یک در wildcard mask استفاده می کنیم.برای مثال فرض کنید که ماسک 255.255.0.0 را در اختیار داریم. اگر این ماسک را در مبنای 2 بنویسیم خواهیم داشت:

255.255.0.0 = 11111111.11111111.00000000.00000000

سرانجام اگر این subnet mask را تبدیل به wildcard mask نماییم، نتیجه به صورت زیر خواهد بود:

00000000.00000000.11111111.11111111

که در این صورت تبدیل این آدرس به حالت دسیمال یا مبنای 10 آدرس 0.0.255.255 به دست خواهد آمد. در این مثال wildcard mask به روتر می گوید که فقط 16 بیت از اول آدرس IP پیا رسیده باید با 16 بیت از آدرس مشخص شده در هریک از قانون های ACL یکسان باشد تا آن قانون روی پیام رسیده اجرا گردد. در غیر اینصورت، روتر به بررسی قانون های بعدی خواهد پرداخت.دو نوع مخصوص از wildcard mask وجود دارد:

0.0.0.0
255.255.255.255

ماسک اولی به روتر می گوید که تمامی 32 بیت آدرس پیام رسیده باید با آدرس مشخص شده در لیست ACL برابر باشد تا اینکه قانون موردنظر روی آن اجرا شود. برای همین هم اگر wildcard mask برابر با 0.0.0.0 باشد، به نام host mask نامیده می شود.

یک مثال ساده میزنیم: اگر قانون موجود در ACL را به صورت مقابل داشته باشیم: 192.168.1.1 0.0.0.0 به این معنی است که روتر دقیقا بدنبال آدرس 192.168.1.1 در بین پیامهای رسیده می گردد که اگر هیچ مشابهی پیدا نشود، روتر موارد بعدی موجود در لیست ACL را بررسی می نماید.بعد از اینکه لیست ACL را به صورت 192.168.1.1 0.0.0.0 تنظیم نمودیم، روتر به طور اتوماتیک آن را به حالت host 192.168.1.1 در خواهد آورد.

ماسک دوم (255.255.255.255) به روتر می فهماند که همه آدرسهایی که وارد روتر می شوند قابل پذیرش بوده و قانون مزبور روی همه پیام های ورودی اجرا خواهند شد. معمولا این نوع را به صورت آدرس IP برابر با 0.0.0.0 و Wildcard Mask برابر با 255.255.255.255 در داخل ACL مشخص می کنیم: 255.255.255.255 0.0.0.0 که روتر آن را به صورت any 0.0.0.0 در خواهد آورد. آدرس IP نوشته شده در این فرمول اهمیت چندانی نداشته و می توان هر آدرسی را بدلخواه وارد نمود. مثلا میتوان نوشت: 255.255.255.255 192.168.1.145 که در این حالت نیز روتر صرف نظر از آدرسی که مشخص شده است، به علت ماسک داده شده، همه آدرس ها را قبول خواهد کرد. برای اینکه بهتر بتوانید با Wildcard Mask آشنا شوید، چند مثال را در این باره مطرح می کنیم. جدول زیر برخی از آدرس های IP و Wildcard Mask را نشان می دهد.

بررسی و پیکربندی Access Listها در سیسکو_قسمت اول

Access Listها دو نوع به شرح زیر می باشند:

Standard Access List

Extended Access List

که در مقاله بعدی به شرح این دو ACL می پردازیم.

نویسنده: عاطفه حسین زاده

منبع: جزیره سیسکو وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع دارای اشکال اخلاقی می باشد

#access_control_list_چیست #آشنایی_با_access_list_های_سیسکو #access_control_list_در_سیسکو #تعریف_acl_در_سیسکو #Access_Control__چیست #انواع_Access_Control_List #آشنایی_با_acl_های_سیسکو #انواع_Access_Control
عنوان
1 بررسی و پیکربندی Access Listها در سیسکو_قسمت اول رایگان
2 بررسی و پیکربندی Access List ها در سیسکو - قسمت دوم رایگان
3 بررسی و پیکربندی Access List ها در سیسکو - قسمت سوم رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....