نمایش نتایج: از شماره 1 تا 1 , از مجموع 1

موضوع: 10 نکته درباره فهرست‌های کنترل دسترسی Cisco IOS

  1. 2010/02/20 08:49 #1
    SENATOR
    SENATOR آفلاين است
    مدیریت کل سایت
    SENATOR آواتار ها
    تاریخ عضویت
    2008/04/25
    محل سکونت
    تهران
    نوشته ها
    11,836
    سپاس ها
    6,269
    سپاس شده 5,732 در 2,484 پست
    نوشته های وبلاگ
    16

    پیش فرض 10 نکته درباره فهرست‌های کنترل دسترسی Cisco IOS

    1 - فهرست کنترل دسترسی یا ACL چیست؟

    در Cisco IOS يک فهرست کنترل دسترسی وجود دارد که در اصل رکوردی است که از آن برای مدیریت و شناسايی ترافیک شبکه استفاده مي‌شود. پس از تشخیص و مشاهده ترافیک، مدیر شبکه می‌تواند رویدادهای مختلفي را که برای ترافیک اتفاق می‌افتند، شناسايی کند.
    2 - رایج‌ترین نوع ACL کدام است؟

    از IP ACLها می‌توان به‌عنوان رایج‌ترین نوع فهرست‌های کنترلی نام برد، زیرا IP معمول‌ترین نوع ترافیک شبکه است. به‌عنوان کلی دو نوع IP ACL وجود دارد: Standard و extendedم. Standard IP ACL فقط قادر به کنترل ترافیک براساس آدرس IP منبع است. در مقابل، Extended IP ACL دارای قدرت بیشتری بوده و می‌تواند ترافیک را از طریق IP منبع، پورت منبع، IP مقصد و پورت مقصد تحلیل و شناسايی کند.
    10 نکته درباره فهرست‌های کنترل دسترسی Cisco IOS


    3 - رایج‌ترین اعداد برای IP ACLهاکدامند؟

    رایج‌ترین اعداد مورد استفاده برای IP ACLهاعبارتند از، اعداد 1 تا 99 برای فهرست‌های Standard و اعداد 100 تا 199 برای فهرست‌های Extended . گرچه طیف‌های عددی دیگری نیز مورد استفاده می‌گیرند:



    Standard IP ACLs: 1 to 99 and 1300 to 1999
    Extended IP ACLs: 100 to 199 and 2000 to 2699
    4 - چگونه با استفاده از ACL می‌توان ترافیک را فیلتر کرد؟

    فیلتر کردن ترافیک با استفاده از ACLها بر مبنای سه “P” قرار دارد: Per protocol ,Per Interface و Per direction. شما می‌توانید یک ACL را برای هر پروتکل (به‌عنوان مثال IP یا IPX)، یک ACL را برای هر Interface (به‌عنوان مثال FastEthernet0/0) و یک ACL را برای هر Direction (مانند IN یا OUT) به‌کار گیرید.
    5 - ACL و محافظت از شبکه در برابر ویروس‌ها

    مدیر شبکه می‌تواند از ACL به‌عنوان یک Packet Sniffer برای بسته‌های اطلاعاتی که مشخصات به‌خصوصی داشته باشند، استفاده کند. به‌عنوان مثال، اگر ویروسی روی شبکه وجود داشته باشد که اطلاعات را از طریق پورت IRC194 به خارج از شبکه ارسال می‌کند، می‌توانید با ایجاد یک Extended ACL (مانند شماره 101) ابزاری را برای شناسايی ترافیک ایجاد کنید.

    پس از آن می‌توانید از فرمان «debug ip packet 101 detail»روی روتر منتهی به اینترنت برای فهرست کردن تمام آدرس‌های IP منبع که اقدام به ارسال اطلاعات روی پورت 194 مي‌کنند، استفاده کنید.
    6 - ترتیب عملیات در یک ACL

    روترها ACLها را از پايین به بالا اجرا می‌کنند. پس از این‌که روتر ترافیک را با فهرست مطابقت داد، آن‌گاه از ابتدای فهرست شروع کرده و به‌طرف پايین حرکت می‌کند و در مسیر حرکت خود ترافیک‌ها را تأيید یا آنان را رد مي‌کند. وقتی روتر به انتهای فهرست می‌رسد عملیات را متوقف می‌سازد.

    این مطلب به این معنی است که هر کدام از قوانین با توجه به تقدم و تأخر در فهرست اجرا می‌شوند. اگر بخش‌های ابتدايی ACL ترافیک را رد کرده، اما بخش‌های پايینی آن را تأيید کنند، روتر کماکان ترافیک را رد خواهد کرد. به مثالی در این زمینه توجه کنید:



    Access-list 1 permit any
    Access-list 1 deny host 10.1.1.1
    Access-list 1 deny any
    به‌نظر شما این ACL به کدام ترافیک اجازه عبور می‌دهد؟ خط اول کلیه ترافیک‌ها را تأييد می‌کند. به همین دليل، تمام ترافیک‌ها با این شرط مطابقت کرده و اجازه عبور می‌گیرند. سپس در انتها فرآیند با به‌اتمام رسیدن متوقف می‌شود.
    7 - ترافیک‌هایی که آدرس آنان دقیقاً در ACL مشخص نمی‌شود

    در انتهای هر ACL یک اشاره تلویحی به رد ترافیک آمده است. خواه آن جمله را ببینید، خواه نبینید، روتر تمام ترافیک‌هایی را که با شرط مزبور در ACL مطابقت نکنند، رد خواهد کرد. به مثال توجه کنید:



    Access-list 1 deny host 10.1.1.1
    Access-list 1 deny 192.168.1.0 0.0.0.255
    این ACL به کدام ترافیک اجازه عبور خواهد داد؟ هیچ‌کدام. روتر تمام ترافیک‌ها را مسدود خواهد کرد، زیرا در اینجا یک اشاره تلویحی در انتهای فهرست آمده است. به‌عبارت دیگر، این ACL در واقع به‌شکل زیر خواهد بود:

    Access-list 1 deny host 10.1.1.1
    Access-list 1 deny 192.168.1.0 0.0.0.255
    Access-list 1 deny ANY
    8 – نام‌گذاری روی ACLها

    چه کسی می‌تواند با اعداد کار کند؟ مدیران شبکه می‌توانند با نام‌گذاری روی ACLها کار با آن‌ها را ساده‌تر کرده و نام‌هایی مناسب با اهداف را برای آن‌ها انتخاب کنند. هر دو نوع ACLها یعنی Standard و Extended قابل نام‌گذاری هستند. در ادامه مثال‌هایی از نام‌گذاری ACLها را ببینید:

    ? router (config) # ip access-list
    extended Extended Access List
    log-update Control access list log updates
    logging Control access list logging
    resequence Resequence Access List
    standard Standard Access List
    router (config) # ip access-list extended test
    #router (config-ext-nacl)
    router (config-ext-nacl) # 10 deny ip any host 192.168.1.1
    router (config-ext-nacl) # exit
    router (config) # exit
    router# show ip access-list
    Extended IP access list test
    10deny ip any host 192.168.1.1
    9 - تسلسل اعداد

    پیش از این يک مدیر شبکه نمی‌توانست ACL را ویرایش کند، بلکه فقط مي‌توانست آن‌را در داخل یک ویرایشگر متنی (مانند Notepad) کپی آن را پاک کرده، در داخل ويرايشگر ویرایش و سپس دوباره ACL را ایجاد کند. در حقیقت، این روش هنوز هم یکی از بهترین روش‌ها برای ویرایش برخی از پیکربندی‌های سیسکو به‌حساب می‌آید.

    البته، باید توجه داشت که این عمل می‌تواند موجب ایجاد تهدیدات امنیتی شود. در فاصله زمانی که ACL را برای ایجاد تغییرات پاک کرده‌اید، روتر آن‌گونه که باید نمی‌تواند ترافیک را کنترل کند. اما این امکان وجود دارد که ACLهای شماره‌گذاری شده را توسط فرامین ویرایش کرد. مثال زیر نمونه‌ای از این عملیات است:

    router (config) # access-list 75 permit host 10.1.1.1
    router (config) # ^Z
    router# conf t
    .Enter configuration commands, one per line. End with CNTL/Z
    router (config) # ip access-list standard 75
    router (config-std-nacl) # 20 permit any
    router (config-std-nacl) # no 10 permit 10.1.1.1
    router (config-std-nacl) # ^Z
    router# show ip access-list 75
    Standard IP access list 75
    20permit any
    #router
    10 - کاربردهاي دیگر ACL

    ACL فقط برای فیلترکردن ترافیک شبکه نیست. مدیران شبکه می‌توانند از آن‌ها برای مجموعه متنوعی از عملیات مختلف استفاده کنند. در زیر برخی دیگر از استفاده‌های احتمالی ACLها را می‌بینیم.

    برای کنترل خروجی دیباگ: شما می‌توانید از فرمان debug list X برای کنترل خروجی دیباگ استفاده کنید. با به‌کارگیری این فرمان پیش از دیگر فرامین دیباگ، این فرمان تنها روی آنچه که در داخل فهرست مشخص کرده‌اید، اعمال خواهد شد.

    برای کنترل دسترسی روتر، شما می‌توانید با استفاده از یک ACL توزیعی فقط به مسیرهای مشخصی در خارج یا داخل پروتکل مسیریابی خود اجازه دسترسی دهید. به‌عنوان یک BGP ACL ، شما می‌توانید از Regular Expression برای تأييد یا رد مسسیرهای BGP استفاده کنید.

    برای مدیریت مسیریابی: می‌توانيد از ACL برای کنترل این‌که کدام ایستگاه‌های کاری یا شبکه روتر را مدیریت کنند، استفاده کنيد.

    براي رمزنگاری: شما می‌توانید از ACL برای تعیین چگونگی رمزنگاری ترافیک استفاده کنید. وقتی اقدام به رمزنگاری ترافیک ميان دو روتر یا یک روتر و یک فایروال می‌کنید، بايد به روتر بگويید که کدام ترافیک باید رمزگذاری شده، کدام ترافیک به‌صورت بدون رمز ارسال شده و کدام یک مسدود شود.
    پاسخ با نقل قول پاسخ با نقل قول

  2. کاربر روبرو از پست مفید SENATOR سپاس کرده است .

    !MAHSA!
« موضوع قبلی | موضوع بعدی »

کلمات کلیدی این موضوع

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •  

مشاهده قوانین انجمن