خوش آموز درخت تو گر بار دانش بگیرد، به زیر آوری چرخ نیلوفری را


Access-lists یا ACL در سیسکو چیست

Access-lists یا ACL در سیسکو چیست
Access-list یا ACL که حتما با این مورد در دوره CCNA آشنا شده اید، مجموعه ای از قوانین تعیین شده برای کنترل ترافیک شبکه و کاهش اتک به شبکه است. ACL ها برای فیلتر کردن ترافیک بر اساس مجموعه ای از قوانین تعیین شده برای ورود یا خروج از شبکه استفاده می شود.

سیستم یکپارچۀ سازمانی راهکار

ویژگی ACL

مجموعه ای از قوانین تعریف شده که به ترتیب از خط اول، دوم و همینطور الی آخر match می شود. یعنی مطابق با قوانینی که شما تعریف می کنید.


بسته ها تنها تا زمانی که Rule هایی که شما تعریف کرده اید مطابقت داشته باشند، اعمال خواهد شد. مثلا چند خط رول داشته باشید با اولین رولی که که ترافیک مطابقت داشته باشد، همان اعمال خواهد شد وسایر خطوط در نظر گرفته نمی شود.
در انتهای هر ACL، Deny وجود دارد. یعنی بسته اطلاعاتی با هیچکدام از رول های شما مطابقت نداشته باشند، بسته discard خواهد شد.

هنگامی که access-list ایجاد می شود، آن را باید در inbound یا outbound اینترفیس اعمال کنید:
Inbound access lists : هنگامی که یک access list بر روی بسته های inbound یا ورودی یک اینترفیس اعمال شود، ابتدا بسته ها بر اساس آنچه که در access list تعیین شده، پردازش می شوند و سپس به سمت اینترفیس خروجی Route می شوند.
Outbound access lists : هنگامی که یک access list در خروجی یک اینترفیس اعمال و استفاده شود، ابتدا بسته به آن اینترفیس Route می شود و سپس پردازش بر اساس رول موجود در access list در خروجی آن اینترفیس اعمال می شود.

انواع ACL

Access-list ها به دو دسته تقسیم بندی می شوند:
Standard Access-list : این Access-list ها تنها با استفاده از IP address منبع یا سورس ایجاد می شوند. این ACL ها مجموعه کامل پروتکل ها را permit یا deny می کند. این مدل ACL ها ترافیک های بر اساس IP مثلا Https، UDP یا TCP را از هم تشخیص نمی دهند. با استفاده از شماره های 1-99 یا 1300-1999، روتر آن را به عنوان یک standard ACL شناخته و IP address مشخص شده را به عنوان سورس می شناسد.
Extended Access-list : این نوع ACL ها هم از آدرس سورس و هم از آدرس مقصد استفاده می کنند. در این نوع ACL ها ما می توانیم نوع ترافیک IP را مشخص کنیم که permit یا deny باشد. Range شماره این نوع ACL از 100-199 و 2000-2699 است.

همچنین دو دسته access list وجود دارد:
Numbered access list : این نوع access list را به طور خاص هنگامی که ایجاد می شود، نمی توان حذف نمود. اگر بخواهیم هر Rule ای را از Access-list حذف کنیم، در مورد numbered access list این قضیه مجاز نخواهد بود. اگر Rule ای را از access list حذف کنیم پس کل access list حذف خواهد شد. نوع numbered access list می تواند هم در Extended Access-list و هم Standard Access-list مورد استفاده قرار گیرد.
Named access list : در این نوع access list، یک نام برای شناسایی access list انتصاب داده می شود. می توان یک named access list را بر خلاف numbered access list حذف نمود و دقیقا مانند numbered access list، این مدل access list را می توان هم در Extended Access-list و هم Standard Access-list بکار گرفت.

Rule ها یا قوانین ACL

standard Access-list عموما در نزدیکی مقصد استفاده می شود(اما نه همیشه).
extended Access-list معمولا در نزدیکی سورس استفاده می شود(اما نه همیشه).
ما فقط می توانیم یک ACL به ازای اینترفیس، پروتکل و مسیر داشته باشیم. یعنی فقط یک ACL از نوع inbound یا outbound برای هر اینترفیس مجاز است.
اگر از numbered Access-list استفاده کنید، مجاز به حذف رول از Access-list نخواهید بود. اگر Rule از این نوع Access-list حذف شود پس کل Access-list حذف خواهد شد. اگر از named access list استفاده کنید، می توانید یک rule خاص را از Access-list حذف کنید.
هر rule جدیدی که به access list اضافه می شود، در پایین access list قرار می گیرد(اگر تجربه رول نویسی در فایروال ها را داشته باشید می دانید که رول ها از بالا به پایین اعمال می شود). پس قبل از access list نوشتن در روتر، حتما سناریوی خود به خوبی آنالیز کنید.
همانطور که در انتهای هر access list یک deny کلی وجود دارد، ما حداقل باید در Access-list خود یک رول permit داشته باشیم وگرنه ترافیک با مواجه شدن با رول آخر که Deny است به طور کامل از بین خواهد رفت.
Standard access lists ها و extended access list ها نمی توانند نام مشابه داشته باشند. پس در نام گذاری آنها دقت کنید.

مزایای ACL


بهبود عملکرد شبکه

امنیت را فراهم می کند. به این ترتیب Administrator می تواند access list را با

توجه به نیاز پیکربندی کند و از ورود بسته های ناخواسته به شبکه جلوگیری کرده و آنها را deny کند.

کنترل ترافیک را بر عهده دارد و زیرا می تواند با توجه به نیاز شبکه، می تواند ترافیک را permit یا deny کند.




نمایش دیدگاه ها (0 دیدگاه)

دیدگاه خود را ثبت کنید:

انتخاب تصویر ویرایش حذف
توجه! حداکثر حجم مجاز برای تصویر 500 کیلوبایت می باشد.


دسته بندی مطالب خوش آموز