logo logo
خوش آمدید! برای فعال سازی امکانات لطفا ورود یا ثبت نام.

توجه

Icon
Error

آشنایی با Access Listها - Extended Access List, Standard Access List, Wildcard Mask
rad
#1 ارسال شده : شنبه، 03 اوت 2013 08:57:25 ق.ظ(UTC)
Rad

رتبه: Administration

گروه ها: Registered, Moderator, Administrators
تاریخ عضویت: 13/07/2013(UTC)
ارسالها: 16
زن
IRAN (ISLAMIC REPUBLIC OF)
مکان: دانا پرداز

تشکرها: 2 بار
8 تشکر دریافتی در 6 ارسال
به طور پیش فرض بعد از شروع به کار روترها، تمامی پیامها قادر به عبور از یک اینترفیس به اینترفیس های دیگر خواهند بود. اما شرایطی پیش می آید که برای مقاصد مختلف، از جمله مباحث امنیتی شبکه و سیاستهای کلی، نیاز به اعمال محدودیت در انتقال ترافیک شبکه خواهیم داشت. Access Listها یکی از خصوصیات قدرتمند IOS می باشند که سیسکو در کنار IP، پروتکل های دیگری مانند DECnet، XNS، Apple Talk، IPX برای استفاده از ACL پشتیبانی می کند.

Access List در حقیقت روشی برای فیلتر کردن ترافیک خروجی و ورودی بر روی اینترفیس های روتر است، که بر اساس آن می توان تعیین کرد چه ترافیکی با چه مشخصاتی از اینترفیس روتر اجازه ورود یا خروج داشته باشد. از ACLها در دستوراتی مانند NAT و برخی دستورات دیگر استفاده می شود. برای استفاده از ACLها باید ابتدا آنها را تعریف کرده سپس آن را به اینترفیسی که قصد کنترل ترافیک آن را خواهیم داشت Apply نماییم.

آشنایی با ACL:

علاوه بر اینکه ACLها در فیلتر کردن ترافیک های انتقالی در شبکه مورد استفاده قرار می گیرند، برای مقاصد مختلف نیز می توان از آنها بهره برد. برای نمونه چند کاربرد عمده آنها عبارتند از:


• محدود کردن دسترسی از طریق VTY TELNET
• فیلتر کردن اطلاعات Routing
• اولویت بندی ترافیک مربوط به WAN
• تغییر پارامتر Administrative distance
• برقراری تماس های تلفنی (DDR (Dial-Demand Routing

ACLها در Global Configuration mode ایجاد شده سپس فعال می شوند. هنگام فعال نمودن ACLهای ایجاد شده روی اینترفیس باید نوع ترافیکی را که تحت تاثیر قرار خواهد گرفت مشخص نماییم. ترافیک عبوری را میتوان در دو گروه عمده قرار داد:


• ترافیک ورودی یا Inbound
• ترافیک خروجی یا Outbound

در ترافیک ورودی روتر اطلاعات رسیده را ابتدا با ACLهای تعیین شده در روی اینترفیس مربوطه مقایسه کرده سپس اقدام به ارسال آنها به مقصد خود می کند. اما در ترافیک خروجی یا outbound، روتر اطلاعات رسیده را ابتدا به مقاصد خود ارسال کرده سپس اقدام به مقایسه آنها با ACL مربوطه می نماید. یکی از محدودیت هایی که استفاده از ACL دارد این است که نمی توان ترافیکی که خود روتر آنها را ایجاد کرده به وسیله ACLها فیلتر نمود. برای مثال اگر از دستورات ping یا TraceRoute را روی روتر استفاده کرده و یا اقدام به برقراری ارتباط telnet از روتر خود به سمت دستگاههای دیگر نماییم، نمی توان این ترافیک ها را به وسیله ACLها فیلتر نمود. اما اگر روتر دیگری اقدام به ping کردن و یا برقراری ارتباط telnet با روتر ما نماید و یا از طریق روتر ما، دستگاه دیگری را هدف قرار دهد، می توان از ACL بهره برد.
قوانین موجود در تعریف ACLها:

هر ACL باید با یک شماره یا یک نام منحصر بفرد شناسایی شود. می توان فقط یک ACL را به یک اینترفیس assign کرد.

یک ACL بر اساس شرایط و قوانین خاص ترافیک را فیلتر می کند. برخی از این پارامترها که ACL بر اساس آنها می تواند اقدام به بررسی ترافیک نماید، به شرح زیر می باشد:

-براساس Source IP Address یا آدرس فرستنده
-براساس Destination IP Address یا آدرس مقصد یا گیرنده
-براساس شماره پورت خاص
-براساس پروتکل های UDP و TCP
-براساس برخی پروتکل های شبکه مانند ICMP، OSPF، EIGRP، IGMP و ...

نوشتن دستورات داخل ACL بسیار مهم است و در پایان هر ACL یک Deny All وجود دارد که این عبارت Deny All را شما مشاهده نمی کنید ولی توسط خود IOS اضافه خواهد شد. پس در صورتی که ترافیک شما با هیچ کدام از قوانین داخل ACL مطابقت نداشته باشد آن ترافیک Deny خواهد شد. یعنی اجازه عبور از آن اینترفیس را نخواهد داشت. وقتی ترافیک قصد عبور از اینترفیسی که یک ACL به آن نسبت داده شده است را دارد، باید آن ترافیک با دستورات داخل ACL مطابقت شود و در صورتی که اطلاعات با یکی از خطوط ACL مطابقت داشته باشد، آن قانون اعمال خواهد شد و خطوط بعد از آن بررسی نخواهند شد و در صورتی که هیچکدام از قوانین داخل ACL با ترافیک مطابقتی نداشته باشند، پیام از بین خواهد رفت.
در تعریف ACLها به جای استفاده از Subnet Mask از Wildcard Mask استفاده می شود که بیان کننده تعداد بیت ها از آدرس می باشد که باید در ACL مورد بررسی قرار بگیرند و به عبارت دیگر مشخص کننده قسمتی از آدرس IP Address می باشد که باید در ACL مورد بررسی قرار گیرد.
Wildcard Mask دقیقا برعکس Subnet Mask می باشد. به جای bitهای یک در subnet mask از بیت های صفر در wildcard mask و به جای بیت های صفر در subnet mask از بیت های یک در wildcard mask استفاده می کنیم.
برای مثال فرض کنید که Mask 255.255.0.0 را در اختیار داریم. اگر این Mask را در مبنای 2 بنویسیم خواهیم داشت:

کد:

255.255.0.0 = 11111111.11111111.00000000.00000000


سرانجام اگر این subnet mask را تبدیل به wildcard mask نماییم، نتیجه به صورت زیر خواهد بود:

کد:

0.0.0.0
255.255.255.255


Mask اول به روتر می گوید که تمامی 32 بیت آدرس پیام رسیده باید با آدرس مشخص شده در لیست ACL برابر باشد تا اینکه قانون موردنظر روی آن اجرا شود. برای همین هم اگر wildcard mask برابر با 0.0.0.0 باشد، به نام host mask نامیده می شود.

Mask دوم به روتر می فهماند که همه آدرسهایی که وارد روتر می شوند قابل پذیرش بوده و قانون مزبور روی همه پیام های ورودی اجرا خواهند شد.

Access Listها دو نوع به شرح زیر می باشند:

Standard Access List: توسط این ACLها می توان اقدام به کنترل ترافیک ورودی و خروجی بر اساس source ip address یا آدرس فرستنده نمود و این نوع ACL قادر به کنترل ترافیک ورودی و خروجی براساس پروتکل ها و پورت ها و همچنین بر اساس آدرس مقصد نمی باشد. این ACLها از طریق شماره شناسایی می شوند. شماره های 99-1 و 1999–1300 مربوط به Standard Access Listها می باشد.

Extended Access List: این ACLها قادر به کنترل ترافیک ورودی و خروجی براساس پروتکل های لایه 3 مانند IP و همچنین پروتکل های TCP، UDP و همچنین براساس پورت ها و سایر پروتکل های شبکه مانند ICMP، IGMP، OSPF، EIGRP و ... می باشند. این ACLها از طریق شماره شناسایی می شوند. شماره های 199–100 و 2699–2000 مربوط به Extended Access Listها می باشد.
کاربرانی که در حال مشاهده انجمن هستند
Guest
جهش به انجمن  
شما مجاز به ارسال مطلب در این انجمن نمی باشید.
شما مجاز به ارسال پاسخ در این انجمن نمی باشید.
شما مجاز به حذف مطلب ارسالی خود در این انجمن نمی باشید.
شما مجاز به ویرایش مطلب ارسالی خود در این انجمن نمی باشید.
شما مجاز به ایجاد نظر سنجی در این انجمن نمی باشید.
شما مجاز به رای دادن در این انجمن نمی باشید.