بخشی از پاورپوینت
--- پاورپوینت شامل تصاویر میباشد ----
اسلاید 1 :
در این جلسه خواهیم آموخت :
- انواع Access-List های سیسکو کدامند ؟
- Access-List چه کاربردهایی دارد ؟
اسلاید 2 :
مقدمه
معنای کلی Access-Control-List : لیستی از مجوزهای دسترسی کنترل شده که به یک منبع مربوط باشد
Cisco ACL ، دستوارتی هستند که در سیستم عامل سیسکو (IOS)، به منظور های مختلف بکار گرفته میشود ، که یکی از پرکاربرد ترین دستورات میباشد ...
در ادامه با کاربردهای مختلف این لیست های دسترسی بطور اجمالی آشنا خواهیم شد.
اسلاید 3 :
انواع Access-List کدامند ؟
شماره ACL مشخص کننده نوع آن است !
جدول زیر ، انواع معمول Access-List را نمایش میدهد:
اسلاید 4 :
معرفی IP Access-Lists
یکی از وظایف معمول Access-List ها Packet Filtering است
- IP ACLs
Standard : تنها بر روی Source و یا مبدا کنترل دسترسی انجام میدهد
Standard ACL Template :
access-list list# [permit/deny] source-ip wildcard-mask
Extended ACL Template :
access-list list# [permit/deny] protocol src src-wildcard –
dst dst-wildcard operator [port]
Extended : بر روی Source-IP و Destination IP
و همچنین Source Port و Destination Port کنترل دسترسی دارد
اسلاید 5 :
IP Standard Access-List
همانطور که گفته شد، در ACL استاندارد ، تنها میتوان بر روی مبدا مدیریت داشت .
به مثال زیر توجه کنید :
با توجه به شکل زیر میخواهیم کاربر 192.168.10.30 به شبکه 172.16.22.0 دسترسی نداشته باشد
پس مینویسیم :
access-list 10 deny host 192.168.10.30
اسلاید 6 :
چگونگی اعمال Access-List
Access-List ها بتنهایی قادر به انجام کاری نیستند و تنها بعنوان یک لیست ، گروهی را با سیاستهای دسترسی تعریف شده در خود جای داده است .
با استفاده از قالب دستوری زیر ، بایستی قانون و سیاست نوشته شده خود را در قالب یک گروه ، به درگاه خاصی اختصاص دهیم .
Interface port #
Ip access-group [acl#] [in/out]
پس برای اتمام عملیات در مثال قبل مینویسیم :
Interface ethernet 1
Ip access-group 10 [out]
با توجه به قرارگیری این قانون در درگاه ethernet 1 ، کاربر 192.168.10.30 ، بجز عدم ارتباط با شبکه 172.16.22.0/24 ، قادر است با اینترنت ارتباط خود را حفظ کند .
اسلاید 7 :
IP Extended ACL
از آنجایی که Extended-ACL بر روی مقصد و درگاهها نیز کنترل دارد ، میتوان در قوانین خود ، محدودیتهای دقیقتری را در نظر گرفت .
در سناریوی زیر میخواهیم ، شبکه 221.23.123.0 را به سرور 198.150.13.34 مسدود کنیم .
در کدام روتر و کدام interface باید Access-List بکار رود ؟
اسلاید 8 :
ابتدا یک ACL در روتر C مینویسیم و آن را در اینترفیس ethernet 0 روتر بکار میبریم .
access-list 101 deny ip 221.23.123.0 0.0.0.255 host 198.150.13.34
با توجه به اینکه ترافیک یک ترافیک ورودیست ، باید با استفاده از دستور
Interface eth0
ip access-group acl# in
کنترل دسترسی را انجام داد .
با این عمل ، اجازه خواهیم داد که شبکه 221.23.123.0 به جز آدرس 198.150.13.34 به هر جای دیگر دسترسی داشته باشد .
اسلاید 9 :
Wildcard Mask
جهت درک مفهوم Wildcard Mask با مثال کوچکی پیش خواهیم رفت :
میخواهیم شبکه 192.168.32.0/28 را از دسترسی به یک شبکه یا سیستم مسدود کنیم ...
مرحله اول :
Wildcard Mask را محاسبه میکنیم :
همانطور که میدانیم /28 یعنی 255.255.255.240
باینری آن برابر است با :
11111111.11111111.11111111.11110000
برای Wildcard Mask تنها بیت های 0 مورد توجه قرار میگیرد .
128/64/32/16/8/4/2/1 => 1+2+4+8= 15
بنابراین Wildcard Mask برابر است با 0.0.0.15
access-list را هم از قرار زیر مینویسیم :
access-list 1 deny 192.168.32.0 0.0.0.15
access-list 1 permit any
اسلاید 10 :
Wildcard Mask Example
مثال :
Access-list مینویسیم که دسترسی شبکه 210.93.105.0 را به هر جا ، بر روی سریال 0 مسدود کرده و به دیگران اجازه عبور دهیم .
access-list 4 deny 210.93.105.0 0.0.0.255
access-list 4 permit any
Interface serial 0
ip access-group 4 [out]
مثال مشابه با این تفاوت که تنها نیمه 128 تایی اول شبکه را در نظر میگیریم :
access-list 4 deny 210.93.105.0 0.0.0.127
و نیمه 128 تایی دوم شبکه از قرار زیر :
access-list 4 deny 210.93.105.128 0.0.0.127
مثال مشابه با این تفاوت که تنها ip های زوج در نظر گرفته شود : (بیت آخر ip برابر 0)
access-list 4 deny 210.93.105.0 0.0.0.254
مثال مشابه با این تفاوت که تنها ip های فرد در نظر گرفته شود : (بیت آخر ip برابر 1)
access-list 4 deny 210.93.105.1 0.0.0.254
