جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

Extended ACL چیست؟ آموزش راه اندازی Extended ACL سیسکو

در مقاله قبلی با مفاهیم و عملکرد Access Control List یا ACL آشنا شدیم و همچنین نحوی تنظیم و استفاده از Standard ACL را فرا گرفتیم در این آموزش با یک نوع دیگر Access list آشنا می شویم.Extended ACL نوعی دیگری از ACL است که برخلاف Standard ACL می تواند ترافیک را براساس فیلدها و پارامترهای مختلف برای ما کنترل کند. وجود پارامترهای فراوان به ما این امکان را می دهد که بتوانیم ترافیک ها را به صورت دقیق تر و بهتر کنترل کنیم.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

در Standard ACL ما تنها می توانیم بر اساس آدرس مبدا ، بسته ها را کنترل کنیم ولی Extended ACL می تواند کنترل را براساس آدرس مبدا و مقصد ، شماره پورت مبدا و مقصد ، نوع پروتکل و ... انجام دهد در نتیجه Extended ACL به عنوان یک ابزار قدرتمند برای مدیران برای کنترل ترافیک محسوب می شود.در همه نسخه ها ، برای Extended ACL می توان یک عدد از 100 تا 199 در نظر گرفت. از نسخه IOS 11.2 سیسکو امکان تعریف Extended ACL به وسیله نام فراهم شد و همچنین از نسخه IOS 12.0.1 سیسکو محدود عددی بین 2000 تا 2699 برای Extended ACL اضافه شد.پارامترهای که می توان توسط Extended ACL کنترل کرد:

  • آدرس IP مبدا
  • آدرس IP مقصد
  • شماره پورت مبدا
  • شماره پورت مقصد
  • نوع پروتکل

نحوی تعریف Extended ACL در حالت عددی:

access-list access-list-number {permit|deny} protocol source [Source port]destination [destination port]

  1. access-list-number : عدد بین 100 تا 199 یا 2000 تا 2699
  2. permit|deny : عملی که در هنگام تطبیق بسته با َACL نسبت با آن گرفته می شود(اجازه عبور یا عدم اجازه)
  3. Protocol : مشخص کردن نوع پروتکل مثل TCP ، UDP ، IP و ...
  4. Source : مشخص کردن IP مبدا به یکی از سه روش زیر:
  5. Host : یک ادرس IP مشخص می کنیم مانند Host 192.168.1.1
  6. Any : هر IP آدرسی
  7. source source-wildcard : تعیین یک IP به همراه Wildcard Mask
  8. Source port : شماره پورت مبدا بسته
  9. destination: مشخص کردن IP مقصد به یکی از سه روش زیر:
  10. Host : یک ادرس IP مشخص می کنیم مانند Host 192.168.1.1
  11. Any : هر IP آدرسی
  12. source source-wildcard : تعیین یک IP به همراه Wildcard Mask
  13. destination port : شماره پورت مبدا بسته

نحوی تعریف Extended ACL با استفاده از نام :

IP Access-list {standard|extended} name
{permit|deny} protocol source [Source port] destination [destination port]	
	

نحوی تخصیص Extended ACL به اینترقیس:

Ip access-group {number|name} {in|out}

با توجه به تصویر زیر ، می خواهیم به وسیله Extended ACL امکان دسترسی PC1 را به سرور از طریق وب قطع کنیم اما PC1 از طریق پروتکل های دیگر مانند ICMP بتواند با سرور ارتباط داشته باشد.

وب سایت توسینسو

برای اینکار با استفاده از IP آدرس PC1 و همچنین پورت وب که 80 می باشد یک ACL در Global Mode به صورت زیر تعریف می کنیم:

تعریف به صورت عددی:

Router(config)#access-list 101 deny tcp host 192.168.1.1 host 5.5.5.5 eq 80 
Router(config)#access-list 101 permit ip any any

تعریف با استفاده از نام:

Router(config)#ip access-list Extended itpro
Router(config-ext-nacl)# deny tcp host 192.168.1.1 host 5.5.5.5 eq 80
Router(config-ext-nacl)# permit ip any any

سپس آنرا به اینترفیس مورد نظر با استفاده از دستور زیر اختصاص می دهیم:

Router(config)#interface fastEthernet 0/0
Router(config-if)#ip access-group 101 in

  • نکته : برای هر یک از جهت های ترافیک تنها یک ACL می توان در نظر گرفت در نتیجه حداکثر به یک اینترفیس می توان دو ACL اختصاص داد.

جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات