1 - فهرست کنترل دسترسی یا ACL چیست؟

در Cisco IOS يک فهرست کنترل دسترسی وجود دارد که در اصل رکوردی است که از آن برای مدیریت و شناسايی ترافیک شبکه استفاده مي‌شود. پس از تشخیص و مشاهده ترافیک، مدیر شبکه می‌تواند رویدادهای مختلفي را که برای ترافیک اتفاق می‌افتند، شناسايی کند.

2 - رایج‌ترین نوع ACL کدام است؟

از IP ACLها می‌توان به‌عنوان رایج‌ترین نوع فهرست‌های کنترلی نام برد، زیرا IP معمول‌ترین نوع ترافیک شبکه است. به‌عنوان کلی دو نوع IP ACL وجود دارد: Standard و extendedم. Standard IP ACL فقط قادر به کنترل ترافیک براساس آدرس IP منبع است. در مقابل، Extended IP ACL دارای قدرت بیشتری بوده و می‌تواند ترافیک را از طریق IP منبع، پورت منبع، IP مقصد و پورت مقصد تحلیل و شناسايی کند.

3 - رایج‌ترین اعداد برای IP ACLهاکدامند؟

رایج‌ترین اعداد مورد استفاده برای IP ACLهاعبارتند از، اعداد 1 تا 99 برای فهرست‌های Standard و اعداد 100 تا 199 برای فهرست‌های Extended . گرچه طیف‌های عددی دیگری نیز مورد استفاده می‌گیرند:

 

Standard IP ACLs: 1 to 99 and 1300 to 1999 Extended IP ACLs: 100 to 199 and 2000 to 2699

4 - چگونه با استفاده از ACL می‌توان ترافیک را فیلتر کرد؟

فیلتر کردن ترافیک با استفاده از ACLها بر مبنای سه “P”  قرار دارد: Per  protocol ,Per Interface و Per direction. شما می‌توانید یک ACL را برای هر پروتکل (به‌عنوان مثال IP یا IPX)، یک ACL را برای هر Interface (به‌عنوان مثال FastEthernet0/0) و یک ACL را برای هر Direction (مانند IN یا OUT) به‌کار گیرید.

5 - ACL و محافظت از شبکه در برابر ویروس‌ها

مدیر شبکه می‌تواند از ACL به‌عنوان یک Packet Sniffer برای بسته‌های اطلاعاتی که مشخصات به‌خصوصی داشته باشند، استفاده کند. به‌عنوان مثال، اگر ویروسی روی شبکه وجود داشته باشد که اطلاعات را از طریق پورت IRC194 به خارج از شبکه ارسال می‌کند، می‌توانید با ایجاد یک Extended ACL (مانند شماره 101) ابزاری را برای شناسايی ترافیک ایجاد کنید.

پس از آن می‌توانید از فرمان «debug ip packet 101 detail»روی روتر منتهی به اینترنت برای فهرست کردن تمام آدرس‌های IP منبع که اقدام به ارسال اطلاعات روی پورت 194 مي‌کنند، استفاده کنید.

6 - ترتیب عملیات در یک ACL

روترها ACLها را از پايین به بالا اجرا می‌کنند. پس از این‌که روتر ترافیک را با فهرست مطابقت داد، آن‌گاه از ابتدای فهرست شروع کرده و به‌طرف پايین حرکت می‌کند و در مسیر حرکت خود ترافیک‌ها را تأيید یا آنان را رد مي‌کند. وقتی روتر به انتهای فهرست می‌رسد عملیات را متوقف می‌سازد.

این مطلب به این معنی است که هر کدام از قوانین با توجه به تقدم و تأخر در فهرست اجرا می‌شوند. اگر بخش‌های ابتدايی ACL ترافیک را رد کرده، اما بخش‌های پايینی آن را تأيید کنند، روتر کماکان ترافیک را رد خواهد کرد. به مثالی در این زمینه توجه کنید:

 

Access-list 1 permit any Access-list 1 deny host 10.1.1.1 Access-list 1 deny any

به‌نظر شما این ACL به کدام ترافیک اجازه عبور می‌دهد؟ خط اول کلیه ترافیک‌ها را تأييد می‌کند. به همین دليل، تمام ترافیک‌ها با این شرط مطابقت کرده و اجازه عبور می‌گیرند. سپس در انتها فرآیند با به‌اتمام رسیدن متوقف می‌شود.

7 - ترافیک‌هایی که آدرس آنان دقیقاً در ACL مشخص نمی‌شود

در انتهای هر ACL یک اشاره تلویحی به رد ترافیک آمده است. خواه آن جمله را ببینید، خواه نبینید، روتر تمام ترافیک‌هایی را که با شرط مزبور در ACL مطابقت نکنند، رد خواهد کرد. به مثال توجه کنید:

 

Access-list 1 deny host 10.1.1.1 Access-list 1 deny 192.168.1.0 0.0.0.255

این ACL به کدام ترافیک اجازه عبور خواهد داد؟ هیچ‌کدام. روتر تمام ترافیک‌ها را مسدود خواهد کرد، زیرا در اینجا یک اشاره تلویحی در انتهای فهرست آمده است. به‌عبارت دیگر، این ACL در واقع به‌شکل زیر خواهد بود:

Access-list 1 deny host 10.1.1.1 Access-list 1 deny 192.168.1.0 0.0.0.255 Access-list 1 deny ANY

8 – نام‌گذاری روی ACLها

چه کسی می‌تواند با اعداد کار کند؟ مدیران شبکه می‌توانند با نام‌گذاری روی ACLها کار با آن‌ها را ساده‌تر کرده و نام‌هایی مناسب با اهداف را برای آن‌ها انتخاب کنند. هر دو نوع ACLها یعنی Standard و Extended قابل نام‌گذاری هستند. در ادامه مثال‌هایی از نام‌گذاری ACLها را ببینید:

? router (config) #   ip access-list  extended       Extended Access List     log-update    Control access list log updates          logging         Control access list logging          resequence    Resequence Access List          standard        Standard Access List     router (config) #     ip access-list extended test #router (config-ext-nacl) router (config-ext-nacl) #     10 deny ip any host 192.168.1.1 router (config-ext-nacl) #     exit router (config) #     exit router#    show ip access-list Extended IP access list test 10deny ip any host 192.168.1.1

9 - تسلسل اعداد

پیش از این يک مدیر شبکه نمی‌توانست ACL را ویرایش کند، بلکه فقط مي‌توانست آن‌را در داخل یک ویرایشگر متنی (مانند Notepad) کپی آن را پاک کرده، در داخل ويرايشگر ویرایش و سپس دوباره ACL را ایجاد کند. در حقیقت، این روش هنوز هم یکی از بهترین روش‌ها برای ویرایش برخی از پیکربندی‌های سیسکو به‌حساب می‌آید.

البته، باید توجه داشت که این عمل می‌تواند موجب ایجاد تهدیدات امنیتی شود. در فاصله زمانی که ACL را برای ایجاد تغییرات پاک کرده‌اید، روتر آن‌گونه که باید نمی‌تواند ترافیک را کنترل کند. اما این امکان وجود دارد که ACLهای شماره‌گذاری شده را توسط فرامین ویرایش کرد. مثال زیر نمونه‌ای از این عملیات است:

router (config) #     access-list 75 permit host 10.1.1.1 router (config) #     ^Z router#      conf  t .Enter configuration commands, one per line. End with CNTL/Z router (config) #     ip access-list standard 75 router (config-std-nacl) #     20 permit any router (config-std-nacl) #     no 10 permit 10.1.1.1 router (config-std-nacl) #     ^Z router# show ip access-list 75 Standard IP access list 75 20permit any     #router

10 - کاربردهاي دیگر ACL

ACL فقط برای فیلترکردن ترافیک شبکه نیست. مدیران شبکه می‌توانند از آن‌ها برای مجموعه متنوعی از عملیات مختلف استفاده کنند. در زیر برخی دیگر از استفاده‌های احتمالی ACLها را می‌بینیم.

برای کنترل خروجی دیباگ: شما می‌توانید از فرمان debug list X برای کنترل خروجی دیباگ استفاده کنید. با به‌کارگیری این فرمان پیش از دیگر فرامین دیباگ، این فرمان تنها روی آنچه که در داخل فهرست مشخص کرده‌اید، اعمال خواهد شد. 

برای کنترل دسترسی روتر، شما می‌توانید با استفاده از یک ACL توزیعی فقط به مسیرهای مشخصی در خارج یا داخل پروتکل مسیریابی خود اجازه دسترسی دهید. به‌عنوان یک BGP ACL ، شما می‌توانید از Regular Expression برای تأييد یا رد مسسیرهای BGP استفاده کنید. 

برای مدیریت مسیریابی: می‌توانيد از ACL برای کنترل این‌که کدام ایستگاه‌های کاری یا شبکه روتر را مدیریت کنند، استفاده کنيد. 

براي رمزنگاری: شما می‌توانید از ACL برای تعیین چگونگی رمزنگاری ترافیک استفاده کنید. وقتی اقدام به رمزنگاری ترافیک ميان دو روتر یا یک روتر و یک فایروال می‌کنید، بايد به روتر بگويید که کدام ترافیک باید رمزگذاری شده، کدام ترافیک به‌صورت بدون رمز ارسال شده و کدام یک مسدود شود.