بخشی از پاورپوینت
--- پاورپوینت شامل تصاویر میباشد ----
اسلاید 1 :
انواع Access-List های سیسکو کدامند ؟
Access-List چه کاربردهایی دارد ؟
اسلاید 2 :
معنای کلی Access-Control-List : لیستی از مجوزهای دسترسی کنترل شده که به یک منبع مربوط باشد
Cisco ACL ، دستوارتی هستند که در سیستم عامل سیسکو (IOS)، به منظور های مختلف بکار گرفته میشود ، که یکی از پرکاربرد ترین دستورات میباشد ...
در ادامه با کاربردهای مختلف این لیست های دسترسی بطور اجمالی آشنا خواهیم شد.
اسلاید 3 :
شماره ACL مشخص کننده نوع آن است !
جدول زیر ، انواع معمول Access-List را نمایش میدهد:
اسلاید 4 :
Access-List ها بتنهایی قادر به انجام کاری نیستند و تنها بعنوان یک لیست ، گروهی را با سیاستهای دسترسی تعریف شده در خود جای داده است .
با استفاده از قالب دستوری زیر ، بایستی قانون و سیاست نوشته شده خود را در قالب یک گروه ، به درگاه خاصی اختصاص دهیم .
Interface port #
Ip access-group [acl#] [in/out]
پس برای اتمام عملیات در مثال قبل مینویسیم :
Interface ethernet 1
Ip access-group 10 [out]
با توجه به قرارگیری این قانون در درگاه ethernet 1 ، کاربر 192.168.10.30 ، بجز عدم ارتباط با شبکه 172.16.22.0/24 ، قادر است با اینترنت ارتباط خود را حفظ کند .
اسلاید 5 :
از آنجایی که Extended-ACL بر روی مقصد و درگاهها نیز کنترل دارد ، میتوان در قوانین خود ، محدودیتهای دقیقتری را در نظر گرفت .
در سناریوی زیر میخواهیم ، شبکه 221.23.123.0 را به سرور 198.150.13.34 مسدود کنیم .
در کدام روتر و کدام interface باید Access-List بکار رود ؟
اسلاید 6 :
ابتدا یک ACL در روتر C مینویسیم و آن را در اینترفیس ethernet 0 روتر بکار میبریم .
access-list 101 deny ip 221.23.123.0 0.0.0.255 host 198.150.13.34
با توجه به اینکه ترافیک یک ترافیک ورودیست ، باید با استفاده از دستور
Interface eth0
ip access-group acl# in
کنترل دسترسی را انجام داد .
با این عمل ، اجازه خواهیم داد که شبکه 221.23.123.0 به جز آدرس 198.150.13.34 به هر جای دیگر دسترسی داشته باشد .
اسلاید 7 :
جهت درک مفهوم Wildcard Mask با مثال کوچکی پیش خواهیم رفت :
میخواهیم شبکه 192.168.32.0/28 را از دسترسی به یک شبکه یا سیستم مسدود کنیم ...
مرحله اول :
Wildcard Mask را محاسبه میکنیم :
همانطور که میدانیم /28 یعنی 255.255.255.240
باینری آن برابر است با :
11111111.11111111.11111111.11110000
برای Wildcard Mask تنها بیت های 0 مورد توجه قرار میگیرد .
128/64/32/16/8/4/2/1 => 1+2+4+8 = 15
بنابراین Wildcard Mask برابر است با 0.0.0.15
access-list را هم از قرار زیر مینویسیم :
access-list 1 deny 192.168.32.0 0.0.0.15 access-list 1 permit any
اسلاید 8 :
مثال :
Access-list مینویسیم که دسترسی شبکه 210.93.105.0 را به هر جا ، بر روی سریال 0 مسدود کرده و به دیگران اجازه عبور دهیم .
access-list 4 deny 210.93.105.0 0.0.0.255
access-list 4 permit any
Interface serial 0
ip access-group 4 [out]
مثال مشابه با این تفاوت که تنها نیمه 128 تایی اول شبکه را در نظر میگیریم :
access-list 4 deny 210.93.105.0 0.0.0.127
و نیمه 128 تایی دوم شبکه از قرار زیر :
access-list 4 deny 210.93.105.128 0.0.0.127
مثال مشابه با این تفاوت که تنها ip های زوج در نظر گرفته شود : (بیت آخر ip برابر 0)
access-list 4 deny 210.93.105.0 0.0.0.254
مثال مشابه با این تفاوت که تنها ip های فرد در نظر گرفته شود : (بیت آخر ip برابر 1)
access-list 4 deny 210.93.105.1 0.0.0.254
اسلاید 9 :
از آنجایی که access-list ها دارای یک عبارت deny any بصورت پیشفرض در آخر هر لیست میباشند ، لذا پس از نوشتن سطح دسترسی های مختلف باید متوجه اعطای مجوز permit به گروه های دیگر باشیم ...
بعنوان مثال اگر شبکه را از دسترس منع کردیم ، بایستی با نوشتن دستوری دیگر ، سطح دسترسی را برای دیگران باز گذاشت ، چرا که همانطور که گفته شد بصورت پیشفرض ، دستور deny any در آخر لیست موجود است که بعد از چک کردن تمامی قوانین ، دسترسی همه را قطع خواهد نمود . لذا اگر میخواهیم deny any وجود داشته باشد ، پس قبل از آن قوانین اجازه دسترسی کاربران و شبکه ها را در آن لیست تعیین میکنیم تا با دستور پیشفرض مذکور با مشکل مواجه نشویم .
به مثال زیر توجه کنید :
access-list 1 deny 192.168.10.0 0.0.0.128
access-list 1 permit any
با استفاده از این دستور ، deny any خنثی میگردد (البته اگر بصورت دستی deny any را قبل از آن وارد نکرده باشیم ! )
مورد عکس نیز وجود دارد ، بدین معنی که میتوان ابتدا شبکه ها و یا گره هایی از شبکه را به لیست سفید (permit) اختصاص دهیم و در آخر deny any را اضافه کنیم .
ارجعیت access-list ها از بالا به پایین بررسی و خوانده میشود ...
اسلاید 10 :
access-list 110 deny tcp host 10.10.10.1 any neq 22
access-list 110 permit tcp any any eq 22
access-list 110 deny udp any host 192.168.10.1 eq 53
ip access-list extended 120
deny tcp any any gt 1024
permit tcp host 10.10.2.10 any lt 23
deny tcp 10.10.10.128 0.0.0.127 host 172.16.1.20 range 20 23
Named-ACL
ip access-list extended Logging-ACL
permit tcp host 10.10.10.11 host 192.168.1.10 eq 23 log
permit tcp host 10.10.10.11 host 192.168.1.10 eq 23 log-input