- بازدید : (577)
1 - فهرست کنترل دسترسی یا ACL چیست؟
در Cisco IOS يک فهرست کنترل دسترسی وجود دارد که در اصل رکوردی است که از آن برای مدیریت و شناسايی ترافیک شبکه استفاده ميشود. پس از تشخیص و مشاهده ترافیک، مدیر شبکه میتواند رویدادهای مختلفي را که برای ترافیک اتفاق میافتند، شناسايی کند.
2 - رایجترین نوع ACL کدام است؟
از IP ACLها میتوان بهعنوان رایجترین نوع فهرستهای کنترلی نام برد، زیرا IP معمولترین نوع ترافیک شبکه است. بهعنوان کلی دو نوع IP ACL وجود دارد: Standard و extendedم. Standard IP ACL فقط قادر به کنترل ترافیک براساس آدرس IP منبع است. در مقابل، Extended IP ACL دارای قدرت بیشتری بوده و میتواند ترافیک را از طریق IP منبع، پورت منبع، IP مقصد و پورت مقصد تحلیل و شناسايی کند.
3 - رایجترین اعداد برای IP ACLهاکدامند؟
رایجترین اعداد مورد استفاده برای IP ACLهاعبارتند از، اعداد 1 تا 99 برای فهرستهای Standard و اعداد 100 تا 199 برای فهرستهای Extended . گرچه طیفهای عددی دیگری نیز مورد استفاده میگیرند:
Standard IP ACLs: 1 to 99 and 1300 to 1999 |
4 - چگونه با استفاده از ACL میتوان ترافیک را فیلتر کرد؟
فیلتر کردن ترافیک با استفاده از ACLها بر مبنای سه “P” قرار دارد: Per protocol ,Per Interface و Per direction. شما میتوانید یک ACL را برای هر پروتکل (بهعنوان مثال IP یا IPX)، یک ACL را برای هر Interface (بهعنوان مثال FastEthernet0/0) و یک ACL را برای هر Direction (مانند IN یا OUT) بهکار گیرید.
5 - ACL و محافظت از شبکه در برابر ویروسها
مدیر شبکه میتواند از ACL بهعنوان یک Packet Sniffer برای بستههای اطلاعاتی که مشخصات بهخصوصی داشته باشند، استفاده کند. بهعنوان مثال، اگر ویروسی روی شبکه وجود داشته باشد که اطلاعات را از طریق پورت IRC194 به خارج از شبکه ارسال میکند، میتوانید با ایجاد یک Extended ACL (مانند شماره 101) ابزاری را برای شناسايی ترافیک ایجاد کنید.
پس از آن میتوانید از فرمان «debug ip packet 101 detail»روی روتر منتهی به اینترنت برای فهرست کردن تمام آدرسهای IP منبع که اقدام به ارسال اطلاعات روی پورت 194 ميکنند، استفاده کنید.
6 - ترتیب عملیات در یک ACL
روترها ACLها را از پايین به بالا اجرا میکنند. پس از اینکه روتر ترافیک را با فهرست مطابقت داد، آنگاه از ابتدای فهرست شروع کرده و بهطرف پايین حرکت میکند و در مسیر حرکت خود ترافیکها را تأيید یا آنان را رد ميکند. وقتی روتر به انتهای فهرست میرسد عملیات را متوقف میسازد.
این مطلب به این معنی است که هر کدام از قوانین با توجه به تقدم و تأخر در فهرست اجرا میشوند. اگر بخشهای ابتدايی ACL ترافیک را رد کرده، اما بخشهای پايینی آن را تأيید کنند، روتر کماکان ترافیک را رد خواهد کرد. به مثالی در این زمینه توجه کنید:
Access-list 1 permit any |
بهنظر شما این ACL به کدام ترافیک اجازه عبور میدهد؟ خط اول کلیه ترافیکها را تأييد میکند. به همین دليل، تمام ترافیکها با این شرط مطابقت کرده و اجازه عبور میگیرند. سپس در انتها فرآیند با بهاتمام رسیدن متوقف میشود.
7 - ترافیکهایی که آدرس آنان دقیقاً در ACL مشخص نمیشود
در انتهای هر ACL یک اشاره تلویحی به رد ترافیک آمده است. خواه آن جمله را ببینید، خواه نبینید، روتر تمام ترافیکهایی را که با شرط مزبور در ACL مطابقت نکنند، رد خواهد کرد. به مثال توجه کنید:
Access-list 1 deny host 10.1.1.1 |
این ACL به کدام ترافیک اجازه عبور خواهد داد؟ هیچکدام. روتر تمام ترافیکها را مسدود خواهد کرد، زیرا در اینجا یک اشاره تلویحی در انتهای فهرست آمده است. بهعبارت دیگر، این ACL در واقع بهشکل زیر خواهد بود:
Access-list 1 deny host 10.1.1.1 |
8 – نامگذاری روی ACLها
چه کسی میتواند با اعداد کار کند؟ مدیران شبکه میتوانند با نامگذاری روی ACLها کار با آنها را سادهتر کرده و نامهایی مناسب با اهداف را برای آنها انتخاب کنند. هر دو نوع ACLها یعنی Standard و Extended قابل نامگذاری هستند. در ادامه مثالهایی از نامگذاری ACLها را ببینید:
? router (config) # ip access-list |
9 - تسلسل اعداد
پیش از این يک مدیر شبکه نمیتوانست ACL را ویرایش کند، بلکه فقط ميتوانست آنرا در داخل یک ویرایشگر متنی (مانند Notepad) کپی آن را پاک کرده، در داخل ويرايشگر ویرایش و سپس دوباره ACL را ایجاد کند. در حقیقت، این روش هنوز هم یکی از بهترین روشها برای ویرایش برخی از پیکربندیهای سیسکو بهحساب میآید.
البته، باید توجه داشت که این عمل میتواند موجب ایجاد تهدیدات امنیتی شود. در فاصله زمانی که ACL را برای ایجاد تغییرات پاک کردهاید، روتر آنگونه که باید نمیتواند ترافیک را کنترل کند. اما این امکان وجود دارد که ACLهای شمارهگذاری شده را توسط فرامین ویرایش کرد. مثال زیر نمونهای از این عملیات است:
router (config) # access-list 75 permit host 10.1.1.1 |
10 - کاربردهاي دیگر ACL
ACL فقط برای فیلترکردن ترافیک شبکه نیست. مدیران شبکه میتوانند از آنها برای مجموعه متنوعی از عملیات مختلف استفاده کنند. در زیر برخی دیگر از استفادههای احتمالی ACLها را میبینیم.
برای کنترل خروجی دیباگ: شما میتوانید از فرمان debug list X برای کنترل خروجی دیباگ استفاده کنید. با بهکارگیری این فرمان پیش از دیگر فرامین دیباگ، این فرمان تنها روی آنچه که در داخل فهرست مشخص کردهاید، اعمال خواهد شد.
برای کنترل دسترسی روتر، شما میتوانید با استفاده از یک ACL توزیعی فقط به مسیرهای مشخصی در خارج یا داخل پروتکل مسیریابی خود اجازه دسترسی دهید. بهعنوان یک BGP ACL ، شما میتوانید از Regular Expression برای تأييد یا رد مسسیرهای BGP استفاده کنید.
برای مدیریت مسیریابی: میتوانيد از ACL برای کنترل اینکه کدام ایستگاههای کاری یا شبکه روتر را مدیریت کنند، استفاده کنيد.
براي رمزنگاری: شما میتوانید از ACL برای تعیین چگونگی رمزنگاری ترافیک استفاده کنید. وقتی اقدام به رمزنگاری ترافیک ميان دو روتر یا یک روتر و یک فایروال میکنید، بايد به روتر بگويید که کدام ترافیک باید رمزگذاری شده، کدام ترافیک بهصورت بدون رمز ارسال شده و کدام یک مسدود شود.

- فارسی ساز ویندوز محبوب ۷ – نسخه ۳۲ و ۶۴بیت
- 10 نكته درباره Microsoft Share Point Services
- 10 نكته درباره ابزارهاي NETSH
- 10 نکته درباره DomainTrust اکتیودایرکتوری
- 10 نكته درباره امنيت ارتباطات بيسيم
- 10 نکته درباره رفع ایرادهاي اتصالات VPN
- 10 نکته درباره مدیریت پروژههای IT
- 10 نکته درباره فهرستهای کنترل دسترسی Cisco IOS
- 10 نكته درباره سرويس بهروزرساني ويندوز سرور
- 10 نکته درباره SQL Server 2005
پس به همین دلیل ازتون ممنون میشیم که سوالات غیرمرتبط با این مطلب را در انجمن های سایت مطرح کنید . در بخش نظرات فقط سوالات مرتبط با مطلب پاسخ داده خواهد شد .