Access Control List

تعريف

Access list ويژگي است که به شما اين امکان را ميدهد تا بتوانيد بين کاربران تفاوتهايي را اعمال کنيد. هم چنین لیستی است که  سطرهای درون آن به صورت جملات  Permit  یا Deny  برای IP خاص به همراه پروتکل خاص و شماره پورت خاص هستند.

ACL ها باید روی یکی از Interface های روتر و یا سوئیچ  ست شوند تا بتوانند هر پکتی که به آن اینترفیس از دنیای بیرون روتر وارد میشود(inbound)  و یا از روتر به سمت دنیای خارج از روتر میرود  Outbound) ) را کنترل کنند.

ACL چگونه کار می کند؟

یک پکت وقتی میخواهد از یک مبدا به یک مقصد برود، آدرس IP مبدا و IP مقصد را داخلی خودش دارد. بنابراین روتر می تواند چک کند که این پکت از کجا آمده و به کجا می رود.

در حالت عادی هر پکتی میتواند طبق جدول روتینگ مسیر دهی شود. اما مواقعی که میخواهیم یک پکت یا یک شبکه  را محدود کنیم میتوانیم روی اینترفیس مورد نظر ACL را تعریف کنیم. مثل این است که نگهبانی را استخدام کرده و در راه خروجی شهر می گذاریم و یک لیست به او داده که داخل آن مبدا و مقصد کسانی که از آن خروجی عبور می کنند مشخص شده است. طبق این ACL ، پکتی که میخواهد از اینترفیس عبور کند با این لیست چک می شود که آیا با این لیست مچ هست یا نه؟!

انواع Access List ها:

Access List‌ ها دونوع دارند يکي Standard و ديگري Extended است.

Standard

در Access list standard دامنه اجرايي شما کمتر است و از نظر پردازش کم هزینه و سریع است و توانايي اعمال تغييرات کمتري داريد .در نوع استاندارد ترافيک تنها بر اساس ادرس مبدا فيلتر مي شود.

Extended

 اما در نوع Extended شما اين توانايي را داريد که ترافيک را بر اساس نوع پروتکل، مثلا فقط TCP پورت80 یا فقط UDP و… ، پورتها و ادرس مبدا و مقصد کنترل کنيد. امکانات این نوع زیاد است و قدرت پردازش زیادی هم میخواهد.

شما ميتوانيد Access list‌ را با اختصاص يک عدد و یا اسم مشخص کنيد.عددي که شما براي Access list انتخاب مي کنيد اگر در بازه  <1300-1999> يا <1-99> باشد به اين معنا است که Access list‌ شما استاندارد است  اما اگر عدد در بازه <100-199>‌ باشد نشان مي دهد که Access list ‌ شما از نوع Extended‌ است  .

شما ميتوانيد با گزينه هاي Permit , deny , remark  نوع تنظيمات را مشخص کنيد .اگر بخواهيد به سيستمي اجازه انجام عملي را بدهيد از گزينه Permit‌استفاده کنيد ، اگر بخواهيد سيستم را محروم کنيد از گزينه Deny و در صورتي که بخواهيد براي Access list توضيحي را ثبت کنيد تا در صورت گذشت زمان يا وجود چندين ليست فراموش نکنيد که اين ليست چه تغييراتي را اعمال ميکرد از گزينه Remark‌ استفاده کنيد.

مفهوم Wildcard Mask

0.0.0.255 (Wildcard bits) عددي است که شما با استفاده از  subnet mask بدست مي آوريد .براي بدست اوردن اين عدد بايد از فرمول  255.255.255.255 – Subnet mask = Wildcard bits استفاده کنيد. با اين عمل شما مشخص ميشود که تنظيمات را روي چه رنج IP اعمال شود.

هر بایتی که Wildcard ش صفر باشه یعنی اون بایت دقیقاً باید همونی باشه که نوشته شده. و هر بایتی که wildcard ش 255 باشه یعنی اون بایت مهم نیست چی باشه.

و برای مشخص کردن همه هم میتونیم هم از wildcard 255.255.255.255 و هم از کلمه any استفاده کنیم.

جهت درک مفهوم Wildcard Mask با مثال کوچکی پیش خواهیم رفت :

میخواهیم شبکه 192.168.32.0/28 را از دسترسی به یک شبکه یا سیستم مسدود کنیم …

مرحله اول :

Wildcard Mask را محاسبه میکنیم :

همانطور که میدانیم یعنی /28 255.255.255.240

باینری آن برابر است با :

11111111.11111111.11111111.11110000

برای Wildcard Mask تنها بیت های 0 مورد توجه قرار میگیرد .

128/64/32/16/8/4/2/1 => 1+2+4+8 = 15

بنابراین Wildcard Mask برابر است با 0.0.0.15

597
۰
۲۷ فروردین ۹۳

فرزانه تقدیسی

کارشناس ارشد هوش مصنوعی – پس از اتمام دوره Elastix & MCSE & CCNA & CCNP و اخذ مدارک بین المللی در این حوزه مشغول به کار شدم