logo logo
خوش آمدید! برای فعال سازی امکانات لطفا ورود یا ثبت نام.

توجه

Icon
Error

پیکربندی Standard Access List - Standard Access List Configuration, Telnet
rad
#1 ارسال شده : شنبه، 03 اوت 2013 09:58:31 ق.ظ(UTC)
Rad

رتبه: Administration

گروه ها: Registered, Moderator, Administrators
تاریخ عضویت: 13/07/2013(UTC)
ارسالها: 16
زن
IRAN (ISLAMIC REPUBLIC OF)
مکان: دانا پرداز

تشکرها: 2 بار
8 تشکر دریافتی در 6 ارسال
ACLهای استاندارد ساده ترین نوع ACLها می باشند و عمل فیلتر کردن ترافیک ها را فقط براساس آدرس IP منبع فرستنده پیام انجام می دهند. دستور زیر را می توان برای ایجاد یک ACL استاندارد به کار برد:
کد:
   
[Router(config)#access-list 1-99| 1600-1999 permit| deny source_IP_address [wildcard_mask] [log


با استفاده از یک مثال به شرح بهتر آن می پردازیم. شبکه ی 192.168.1.0/24 که دارای دو کامپیوتر PC-1 و PC-2 می باشد، از طریق سوئیچ یک به اینترفیس F0/0 به روتر متصل است و شبکه ی 192.168.2.0/24 که دارای یک File Server است از طریق سوئیچ دو به اینترفیس F0/1 روتر متصل است و Gateway آن 192.168.2.1 می باشد.


مرحله 1: پیکربندی IP Address روی اینترفیس های روتر:

کد:
   
Router(config)# interface fastEthernet 0/0
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)#exit
Router(config)# interface fastEthernet 0/1
Router(config-if)# ip address 192.168.2.1 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)#exit


مرحله 2: پیکربندی Standard Access List بر روی روتر:

کد:

Router(config)#access-list 1 deny host 192.168.1.3
Router(config)#access-list 1 permit any


در این مرحله ما یک access list نوع standard تعریف خواهیم نمود و شماره 1 را برای آن انتخاب می کنیم، همانطور که در دستور مشاهده می کنید، با این ACL مانع از دسترسی کامپیوتر PC-2 به سرور خواهیم شد.

مرحله سوم: اعمال Access List به اینترفیس

در این مرحله ما می خواهیم ACL شماره 1 را به اینترفیس F0/0 برای Inbound اعمال نماییم. این عمل باعث می شود که هر ترافیکی که می خواهد به این اینترفیس وارد شود با قوانین داخل ACL شماره 1 بررسی شود که آیا اجازه عبور دارد یا خیر.

کد:

Router(config)#access-list 1 deny host 192.168.1.3


در این خط ما با دستور access list 1 یک ACL نوع استاندارد با شماره 1 تعیین نموده ایم. در ادامه همین دستور عبارت deny ذکر شده است که برای مانع شدن ترافیک استفاده می شود. در ادامه دستور کلمه host ذکر شده است، اشاره به تعریف یک host خاص با IP مشخص را دارد که آدرس این Host در این مثال 192.168.1.3 می باشد.نتیجه اعمال ACL: این خط از ACL مانع از عبور ترافیکی که مبدا آن pc-2 باشد، خواهد شد.

کد:

Router(config)#access-list 1 permit any


در خط بعد، قانون دوم را به ACL 1 اضافه می کنیم که این بار به جای deny از عبارت permit استفاده شده است یعنی صدور اجازه عبور ترافیک و به جای تعیین شبکه یا host خاص به همه host اجازه داده شده است عبارت Any اشاره به کل آدرس های مبدا دارد. نتیجه اعمال ACL: این خط از ACL اجازه عبور ترافیک از هر آدرس مبدایی را که باشد خواهد داد.


مرحله 4: تصدیق پیکربندی ACL

مرحله بعد، ما از PC-2 که متصل به Switch1 می باشد، کامپیوتر Server، که متصل به Switch2 می باشد را ping میکنیم. همانطور که مشاهده می شود، ارتباط بین PC2 و Server توسط ACL مسدود (deny) شده است.

کد:

PC>ping 192.168.2.2

:Pinging 192.168.2.2 with 32 bytes of data

.Request timed out
.Request timed out


مرحله بعد از PC-1 کامپیوتر Server را ping می کنیم. همانطور که مشاهده می شود، ارتباط بین PC1 و Server توسط ACL اجازه یا permit داده شده است.

کد:

PC>Ping 192.168.2.2

:Pinging 192.168.2.2 eith 32 bytes of data

Reply from 192.168.2.2: bytes=32 time=28ms TTL=127
Reply from 192.168.2.2: bytes=32 time=28ms TTL=127
Reply from 192.168.2.2: bytes=32 time=28ms TTL=127
Reply from 192.168.2.2: bytes=32 time=28ms TTL=127

:Ping statistics for 192.168.2.2
,(Packets: Sent = 4, Received = 4, Lost = 0 (0% loss
:Approximate round trip times in milli-seconds


اعمال محدودیت در دسترسی به طریق Telnet:

در کنار قابلیت ACLهای استاندارد برای کنترل ترافیک ورودی و خروجی از اینترفیس های روتر، می توان محدودیت هایی را در دسترسی از طریق telnet به روترها نیز اعمال کرد. مثلا می توان فقط مدیران را قادر ساخت که از طریق telnet با روتر اتصال برقرار نمایند.

اولین قدم، ایجاد یک ACL است که در لیست آن آدرس IP کلیه دستگاه هایی که مدیران از طریق آن با روتر ارتباط telnet برقرار خواهند نمود مشخص کرده و اجازه دسترسی را به وسیله تایپ permit به آنها بدهیم. در مرحله بعدی باید ACL ایجاد شده را فعال سازیم، اما نه بر روی یکی از اینترفیس های روتر. در چنین وضعیتی ACL مربوطه را باید در Vty Line فعال سازیم.

به شکل زیر:

کد:

Router(config)# line VTY 0 4
Router(config)#access-class standard_ACL_# in|out


یادآوری این نکته ضروری است که به صورت پیش فرض 5 ارتباط همزمان telnet را می توان به یک روتر برقرار نمود که با مشخص کردن ارتباط اول، یعنی 0، و ارتباط آخر، یعنی 4، این ACL در روی تمامی 5 ارتباط فعال خواهند شد. اگر به خاطر دلایلی مثل فراموشی، ACL ایجاد شده را در روی تعدادی از ارتباطات telnet فعال نساخته باشیم، باعث بروز مشکلات امنیتی در شبکه خواهیم شد. پارامتر in باعث اعمال محدودیت بر روی ارتباطات telnet ورودی به روتر می شود. اما پارامتر out گزینه منحصر به فردی است. با به کار بردن این پارامتر می توان مشخص کرد که این روتر قادر به برقراری ارتباط telnet به وسیله دستورات telnet یا connect با چه دستگاههایی باشد.در ACLهای استاندارد این یک استثناء می باشد و روتر را مجبور می کند که آدرس های مشخص شده در قانون های ACL را به عنوان آدرس مقصد در نظر بگیرد. در این شرایط روتر قبل از اینکه اجازه برقراری telnet از طریق روتر به سوی دستگاههای دیگر را بدهد، ACL را بررسی کرده و در صورت لزوم اجازه را صادر خواهد کرد. مثال ساده زیر ایجاد و فعال کردن یک ACL را برای یک ارتباط telnet نشان می دهد:

کد:

Router(config)#access-list 99 permit 192.168.1.0 0.0.0.255
Router(config)# line vty 0 4
Router(config-line)#access-class 99 in


در مثال بالا فقط دستگاههای موجود در شبکه 92.168.1.0/24 اجازه برقراری ارتباط به روتر را دارند. نیازی به نوشتن دستورات deny نداریم، زیرا که وجود implicit deny در آخر هریک از قانون های ACL بطور خود به خودی بقیه ترافیک ها به غیر از آنهایی که اجازه عبور دارند را حذف خواهد نمود.
کاربرانی که در حال مشاهده انجمن هستند
Guest
جهش به انجمن  
شما مجاز به ارسال مطلب در این انجمن نمی باشید.
شما مجاز به ارسال پاسخ در این انجمن نمی باشید.
شما مجاز به حذف مطلب ارسالی خود در این انجمن نمی باشید.
شما مجاز به ویرایش مطلب ارسالی خود در این انجمن نمی باشید.
شما مجاز به ایجاد نظر سنجی در این انجمن نمی باشید.
شما مجاز به رای دادن در این انجمن نمی باشید.