در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

Extended ACL چیست و نحوی تنظیم آن در تجهیزات سیسکو

در مقاله قبلی با مفاهیم و عملکرد Access Control List یا ACL آشنا شدیم و همچنین نحوی تنظیم و استفاده از Standard ACL را فرا گرفتیم در این آموزش با یک نوع دیگر Access list آشنا می شویم.

Extended ACL نوعی دیگری از ACL است که برخلاف Standard ACL می تواند ترافیک را براساس فیلدها و پارامترهای مختلف برای ما کنترل کند. وجود پارامترهای فراوان به ما این امکان را می دهد که بتوانیم ترافیک ها را به صورت دقیق تر و بهتر کنترل کنیم. در Standard ACL ما تنها می توانیم براساس آدرس مبدا ، بسته ها را کنترل کنیم ولی Extended ACL می تواند کنترل را براساس آدرس مبدا و مقصد ، شماره پورت مبدا و مقصد ، نوع پروتکل و ... انجام دهد در نتیجه Extended ACL به عنوان یک ابزار قدرتمند برای مدیران برای کنترل ترافیک محسوب می شود.

در همه نسخه ها ، برای Extended ACL می توان یک عدد از 100 تا 199 در نظر گرفت. از نسخه IOS 11.2 سیسکو امکان تعریف Extended ACL به وسیله نام فراهم شد و همچنین از نسخه IOS 12.0.1 سیسکو محدود عددی بین 2000 تا 2699 برای Extended ACL اضافه شد.


پارامترهای که می توان توسط Extended ACL کنترل کرد:

  • آدرس IP مبدا
  • آدرس IP مقصد
  • شماره پورت مبدا
  • شماره پورت مقصد
  • نوع پروتکل

نحوی تعریف Extended ACL در حالت عددی:

access-list access-list-number {permit|deny} protocol source [Source port]destination [destination port]

access-list-number : عدد بین 100 تا 199 یا 2000 تا 2699

permit|deny : عملی که در هنگام تطبیق بسته با َACL نسبت با آن گرفته می شود(اجازه عبور یا عدم اجازه)

Protocol : مشخص کردن نوع پروتکل مثل TCP ، UDP ، IP و ...

Source : مشخص کردن IP مبدا به یکی از سه روش زیر:

  • Host : یک ادرس IP مشخص می کنیم مانند Host 192.168.1.1
  • Any : هر IP آدرسی
  • source source-wildcard : تعیین یک IP به همراه Wildcard Mask

Source port : شماره پورت مبدا بسته

destination: مشخص کردن IP مقصد به یکی از سه روش زیر:

  • Host : یک ادرس IP مشخص می کنیم مانند Host 192.168.1.1
  • Any : هر IP آدرسی
  • source source-wildcard : تعیین یک IP به همراه Wildcard Mask

destination port : شماره پورت مبدا بسته

نحوی تعریف Extended ACL با استفاده از نام :

IP Access-list {standard|extended} name
{permit|deny} protocol source [Source port] destination [destination port]	
	

نحوی تخصیص Extended ACL به اینترقیس:

Ip access-group {number|name} {in|out}

با توجه به تصویر زیر ، می خواهیم به وسیله Extended ACL امکان دسترسی PC1 را به سرور از طریق وب قطع کنیم اما PC1 از طریق پروتکل های دیگر مانند ICMP بتواند با سرور ارتباط داشته باشد.

Extended ACL چیست و نحوی تنظیم آن در تجهیزات سیسکو

برای اینکار با استفاده از IP آدرس PC1 و همچنین پورت وب که 80 می باشد یک ACL در Global Mode به صورت زیر تعریف می کنیم:

تعریف به صورت عددی:

Router(config)#access-list 101 deny tcp host 192.168.1.1 host 5.5.5.5 eq 80 
Router(config)#access-list 101 permit ip any any

تعریف با استفاده از نام:

Router(config)#ip access-list Extended itpro
Router(config-ext-nacl)# deny tcp host 192.168.1.1 host 5.5.5.5 eq 80
Router(config-ext-nacl)# permit ip any any

سپس آنرا به اینترفیس مورد نظر با استفاده از دستور زیر اختصاص می دهیم:

Router(config)#interface fastEthernet 0/0
Router(config-if)#ip access-group 101 in

  • نکته : برای هر یک از جهت های ترافیک تنها یک ACL می توان در نظر گرفت در نتیجه حداکثر به یک اینترفیس می توان دو ACL اختصاص داد.

نویسنده : جعفر قنبری شوهانی

منبع: جزیره سیسکو وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع دارای اشکال اخلاقی می باشد

#acl_سیسکو #access_list_سیسکو
عنوان
1 ACL چیست و چگونه با کمک آن شبکه را کنترل و فیلتر کنیم؟ رایگان
2 Standard ACLs چیست و نحوی تنظیم آن در تجهیزات سیسکو رایگان
3 Extended ACL چیست و نحوی تنظیم آن در تجهیزات سیسکو رایگان
4 Established ACL چیست و نحوی استفاده از آن ! رایگان
5 Time based ACL چیست و چگونه توسط آن شبکه را فیلتر کنیم رایگان
6 Reflexive ACL چیست و چگونه به وسیله آن امنیت شبکه را افزایش دهیم ! رایگان
زمان و قیمت کل 0″ 0
10 نظر
جواد عابدی نیا

مهندس یعنی زمانی ک روی اینترفیس میریم مثلا در جهت in نمیتوننیم دو acl قرار بدیم ؟و اگر بنویسیم چی میشه

جعفر قنبری شوهانی

فقط یکی می تونید استفاده کنید و اگر دوبار استفاده بشه دومی روی قبلی میشینه اگه show running-config بگیری متوجه این موضوع میشی

سعید کریمی طاری

یه سوال اینکه . روتر که تو لایه 3 کار میکنه پس چطور تو بحث Extended انقدر عالی داره پورتها را هم هندل میکنه و باهاشون کار میکنه؟

جعفر قنبری شوهانی

درسته که روتر وظیفه اصلیش مسیریابی هست و اونم توی لایه سوم انجام میشه اما بسته ها رو تا لایه چهارم باز میکنه و می تونه با پارامترهای این لایه هم خیلی راحت کار کنه و حتی این روترهای می تونه برای ما فیلترینگ به صورت دقیق تر حتی توی لایه هفتم هم برای ما انجام بدن به طور مثال شما می تونید با این روترها URL فیلترینگ داشته باشید

Gelareh Soluki

سلام

با استفاده از این دستور

Router(config)#access-list 101 deny tcp host 192.168.1.1 host 5.5.5.5 eq 80

که نوشتید همه ی دسترسی ها ی دیگه هم deny میشن

ی خط دستور

access-list 101 permit ip any any

هم لازمه

جعفر قنبری شوهانی

بله حرف شما کاملا درسته در آنتهای هر ACL به صورت خودکار یک deny any وجود داره که باید برای این مثال یک permit any اضافه بشه که توی این مثال جاافتاده و اصلاح شد

ممنون از توجه تون

Gelareh Soluki

خواهش میکنم

mohamad Goodarzi

سلام

فرض کنید در شبکه ای به این شکل

extended

که هرکدام از رنگ ها مربوط به یک vlan در شبکه ی محلی خود می باشد یک access-list extended به گونه ای بنویسیم که در قسمت مرکزی یعنی روتر دوم که دو سیستم pc2 وpc3 در یک vlan نارنجی رنگ هستند و یک سرور با نام حسابداری در همان شبکه اما در vlan بنفش میباشد و ادرس های نت ان مشخص و نوشته شده است به گونه ای باشد که pc2 به حسابداری دسترسی داشته باشد اما pc3 نه از طرفی pc3 به سرور مالی که در شبکه ی سمت راست است دسترسی داشته باشد ولی pc2 نه در عین حال هر دو سیستم 2و3 به سرور info دسترسی داشته باشند.

منتظر پاسختون هستم مهندس

mohamad Goodarzi

اگر کسی بتونه سواله منو جواب بده خوشحال میشم .

نیلوفرسلمانیان

سلام در aclنامی نمیشه به extended یک شماره داد؟باید حتمن نام باشه؟

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....