نمایش نتایج: از شماره 1 تا 13 از مجموع 13
سپاس ها 9سپاس
  • 2 توسط aliafzalan
  • 2 توسط aliafzalan
  • 1 توسط aliafzalan
  • 1 توسط VHR
  • 1 توسط aliafzalan
  • 1 توسط aliafzalan
  • 1 توسط mansoor66

موضوع: بستن تعدادي از آي پي ها در روتر

  
  1. #1
    نام حقيقي: Wireless

    عضو عادی
    تاریخ عضویت
    Mar 2008
    نوشته
    218
    سپاسگزاری شده
    28
    سپاسگزاری کرده
    111

    بستن تعدادي از آي پي ها در روتر

    سلام

    من 32 تا آي پي وليد روي روترم دارم. ازين 32 تا 4 تا را دادم به يوزر و 3 تا را خودم استفاده كردم . به دلايلي مي خوام بقيه آي پي هاي آزاد را ببندم تا كاربري با ست كردن اون نتونه ازش استفاده بكنه (شبكه يك شبكه داخلي هست و روتر به سوئيج وصل شده و هر كاربر مي توه با ست كردن آي پي وليد اينترنت بگيره ) بايد اكسس ليست را چطوري بنويسم ؟
    فرض كه آي پي من از 192.168.0.64 باشه تا 192.168.0.96 با سابنت 255.255.255.224
    آي پي هاي استفاده شده :
    192.168.0.65
    192.168.0.66
    192.168.0.67

    192.168.0.80
    192.168.0.81
    192.168.0.82
    192.168.0.83

    خيلي خيلي ممنون ميشم اگر راهنماييم بفرماييد . خودم به بن بست خوردم



    موضوعات مشابه:

  2. #2
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2557
    سپاسگزاری کرده
    2059
    سلام
    اگر فرض کنیم که اینترفیس 0/0 به سوئیچ وصل هست و از اونجا به شبکه داخلی:
    ip access-list standard internet
    permit host 192.168.0.65
    permit host 192.168.0.66
    permit host 192.168.0.67
    permit host 192.168.0.80
    permit host 192.168.0.81
    permit host 192.168.0.82
    permit host 192.168.0.83


    int fast 0/0
    ip access-group internet in

    البته بهتره به جای این کار یه پروکسی سرور بزارید تا کاربر ها Authenticate بشن و از اینترنت استفاده کنند.
    چون حتی با Access List، اگه یکی از این سیستم ها که میتونه از اینترنت استفاده کنه خاموش بشه بقیه کاربرهای غیرمجاز میتونن IP خودشون رو عوض کنند و از اینترنت استفاده کنند.



    SADEGH65 و mansoor66 سپاسگزاری کرده‌اند.

  3. #3
    نام حقيقي: Wireless

    عضو عادی
    تاریخ عضویت
    Mar 2008
    نوشته
    218
    سپاسگزاری شده
    28
    سپاسگزاری کرده
    111
    نقل قول نوشته اصلی توسط aliafzalan نمایش پست ها
    سلام
    اگر فرض کنیم که اینترفیس 0/0 به سوئیچ وصل هست و از اونجا به شبکه داخلی:
    ip access-list standard internet
    permit host 192.168.0.65
    permit host 192.168.0.66
    permit host 192.168.0.67
    permit host 192.168.0.80
    permit host 192.168.0.81
    permit host 192.168.0.82
    permit host 192.168.0.83


    int fast 0/0
    ip access-group internet in


    البته بهتره به جای این کار یه پروکسی سرور بزارید تا کاربر ها Authenticate بشن و از اینترنت استفاده کنند.


    چون حتی با Access List، اگه یکی از این سیستم ها که میتونه از اینترنت استفاده کنه خاموش بشه بقیه کاربرهای غیرمجاز میتونن IP خودشون رو عوض کنند و از اینترنت استفاده کنند.

    درود و سلام

    ممنون از توجهتون
    سه تا سوال
    1- نياز نيست كه بقيه آي پي ها را deny كنيم ؟ انطوري كه ما فقط اينا رو permit كرديم
    2- شما access ليست را بر روي فست in كرديد . نياز به out كردن نيست ؟ ميشه در مورد in و out توضيح بديد .
    3- آيا اكسس ليست بار زيادي را بر روي روتر ايجاد مي كنه و به عبارتي پردازش را سنگين مي كنه ؟

    خيلي خيلي ممنون



  4. #4
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2557
    سپاسگزاری کرده
    2059
    نقل قول نوشته اصلی توسط mansoor66 نمایش پست ها
    درود و سلام

    ممنون از توجهتون
    سه تا سوال
    1- نياز نيست كه بقيه آي پي ها را deny كنيم ؟ انطوري كه ما فقط اينا رو permit كرديم
    2- شما access ليست را بر روي فست in كرديد . نياز به out كردن نيست ؟ ميشه در مورد in و out توضيح بديد .
    3- آيا اكسس ليست بار زيادي را بر روي روتر ايجاد مي كنه و به عبارتي پردازش را سنگين مي كنه ؟

    خيلي خيلي ممنون
    سلام
    خواهش میکنم.
    1- نه نیازی نیست. چون انتهای هر Access list یک deny وجود داره.
    2- روی in باشه کافیه. وقتی ACL رو روی in یک اینترفیس قرار میدیم یعنی وقتی packet ها وارد اینترفیس میشن اونها رو چک کن. وقتی روی out بزاریم یعنی وقتی پکتی از یه اینترفیس خارج میشه چک بشه. هر چی زودتر این محدودیت اعمال بشه بهتره چون این طوری کمتر از منابع روتر استفاده میشه.
    3- نه، این ACL تاثیری روی پردازش روترت نداره.


    SADEGH65 و mansoor66 سپاسگزاری کرده‌اند.

  5. #5
    نام حقيقي: Wireless

    عضو عادی
    تاریخ عضویت
    Mar 2008
    نوشته
    218
    سپاسگزاری شده
    28
    سپاسگزاری کرده
    111
    نقل قول نوشته اصلی توسط aliafzalan نمایش پست ها
    سلام
    خواهش میکنم.
    1- نه نیازی نیست. چون انتهای هر Access list یک deny وجود داره.
    2- روی in باشه کافیه. وقتی ACL رو روی in یک اینترفیس قرار میدیم یعنی وقتی packet ها وارد اینترفیس میشن اونها رو چک کن. وقتی روی out بزاریم یعنی وقتی پکتی از یه اینترفیس خارج میشه چک بشه. هر چی زودتر این محدودیت اعمال بشه بهتره چون این طوری کمتر از منابع روتر استفاده میشه.
    3- نه، این ACL تاثیری روی پردازش روترت نداره.
    آقا دست شما درد نكنه . خيلي ممنون
    يه سوال كوچولو ! اين جمله كه انتهای هر Access list یک deny وجود داره يعني چي ؟ يعني به صورت پيش فرض در روتر وجود داره ؟ من الان نگاه كردم . نبود!



  6. #6
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2557
    سپاسگزاری کرده
    2059
    نقل قول نوشته اصلی توسط mansoor66 نمایش پست ها
    آقا دست شما درد نكنه . خيلي ممنون
    يه سوال كوچولو ! اين جمله كه انتهای هر Access list یک deny وجود داره يعني چي ؟ يعني به صورت پيش فرض در روتر وجود داره ؟ من الان نگاه كردم . نبود!
    خواهش میکنم.
    درس عربی دوران مدرسه رو یادته ؟! ضمیر مستتر رو چطور؟؟ اونجا هم ظاهراً چیزی وجود نداشت ولی در عمل وجود داشت!!
    اینجا هم همینطوره. خود روتر میدونه که اگه packet ای که اومد با هیچ خط ACL ، مشابه نبود اون رو drop کنه.


    mansoor66 سپاسگزاری کرده است.

  7. #7
    نام حقيقي: Wireless

    عضو عادی
    تاریخ عضویت
    Mar 2008
    نوشته
    218
    سپاسگزاری شده
    28
    سپاسگزاری کرده
    111
    كاش دكمه هاي تشكر بيشتر بود ! بازم ممنون



  8. #8
    VHR
    VHR آنلاین نیست.
    نام حقيقي: Hamidreza Hasheminejad

    عضو غیر فعال شناسه تصویری VHR
    تاریخ عضویت
    Mar 2008
    نوشته
    65
    سپاسگزاری شده
    30
    سپاسگزاری کرده
    31
    آخر هر اکسس لیستی به طور پیش فرض روتر یک deny ip any any قرار میدهد
    اکسس لیست برای اعمال برروی پکت ها از حالات شرطی استفاده میکند بدین صورت که از بالا به پایین به هر دستور به یک عبارت شرطی نگاه می کند و در صورتی که پکتی در آخر با هیچ کدام از این دستورات ست نشد از بین میرود.


    mansoor66 سپاسگزاری کرده است.

  9. #9
    نام حقيقي: Wireless

    عضو عادی
    تاریخ عضویت
    Mar 2008
    نوشته
    218
    سپاسگزاری شده
    28
    سپاسگزاری کرده
    111
    نقل قول نوشته اصلی توسط VHR نمایش پست ها
    آخر هر اکسس لیستی به طور پیش فرض روتر یک deny ip any any قرار میدهد
    اکسس لیست برای اعمال برروی پکت ها از حالات شرطی استفاده میکند بدین صورت که از بالا به پایین به هر دستور به یک عبارت شرطی نگاه می کند و در صورتی که پکتی در آخر با هیچ کدام از این دستورات ست نشد از بین میرود.
    درود

    پس به اين ترتيب اولويت با كدامين رول هست ؟؟ پايين ترين يا بالاترين ؟



  10. #10
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2557
    سپاسگزاری کرده
    2059
    نقل قول نوشته اصلی توسط mansoor66 نمایش پست ها
    درود

    پس به اين ترتيب اولويت با كدامين رول هست ؟؟ پايين ترين يا بالاترين ؟
    از بالا به پایین => خط اول، خط دوم، خط سوم و . . .


    mansoor66 سپاسگزاری کرده است.

  11. #11
    نام حقيقي: Wireless

    عضو عادی
    تاریخ عضویت
    Mar 2008
    نوشته
    218
    سپاسگزاری شده
    28
    سپاسگزاری کرده
    111
    سلام

    من همه اين مراحل را انجام دادم اما نشد !!

    ip access-list standard Ip-permit
    permit host 192.168.0.66
    permit host 192.168.0.67
    permit host 192.168.0.68
    permit host 192.168.0.69
    deny host 192.168.0.70


    و بعد هم ip-permit را بر روي in ، ethernet كردم اما جواب نداد !! يعني من با ست كردم همه آي پي هاي بالا باز اينترنت داشتم !! چه اونا كه permit هستند و چه اونا deny !!! مشكل كجاست ؟

    ممنون



  12. #12
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2557
    سپاسگزاری کرده
    2059
    سلام
    فکر کنم اگه ساختار شبکه رو یکمی بیشتر تشریح کنی دوستان بهتر بتونن راهنماییت کنند (یه عکس از شمای کلی شبکه)
    راستی ACL رو باید روی اینترفیسی که به شبکه داخلی متصل هست قرار بدی.
    اگه تونستی کانفیگ روتر رو هم بزار.


    mansoor66 سپاسگزاری کرده است.

  13. #13
    نام حقيقي: Wireless

    عضو عادی
    تاریخ عضویت
    Mar 2008
    نوشته
    218
    سپاسگزاری شده
    28
    سپاسگزاری کرده
    111
    مشكل را پيدا كردم ! گويا ios سيسكو به حروف كوچك و بزرگ حساس هست و من حرف اول acl را با حرف بزرگ زده بودم ولي وقتي بر روي اينترفيس اعمال كردم با حرف كوچك اعمال كردم . بخاطر همين جواب نداد . تصحيح كردم و درست شد . ممنون از همه دوستان


    aliafzalan سپاسگزاری کرده است.

کلمات کلیدی در جستجوها:

بستن ای پی ولید روی روتر

بستن یک ip در روتر

بستن تعدادی ip valid روی روتر

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •