نمایش نتایج: از شماره 1 تا 3 از مجموع 3
سپاس ها 14سپاس
  • 9 توسط ccna
  • 5 توسط shabake_karan

موضوع: تنظيمات access list ها و امنيت در شبکه

  
  1. #1
    نام حقيقي: Cisco

    عضو عادی شناسه تصویری ccna
    تاریخ عضویت
    Sep 2004
    محل سکونت
    Cisco
    نوشته
    260
    سپاسگزاری شده
    85
    سپاسگزاری کرده
    12

    تنظيمات access list ها و امنيت در شبکه

    پس از آنکه تنظيمات اينترفيس هاي روتر انجام شد، لحظه اي بايد درنگ کرد تا ببينيم آيا شبکه اي که از طريق اين اينترفيس ها، امکان اتصال به آن فراهم شده است شبکه امني خواهد بود.ممکن است شما يک وب سرور داشته باشيد و تنها مايليد به بسته هايي اجازه ورود به شبکه خود را بدهيد که فقط مربوط به وب سرور مي باشند و مايليد که اجازه هرگونه ارتباط ديگر را با سرورهاي داخل شبکه خود را از اينترنت بگيريد.در چنين مواردي روش معمولي که بکار مي رود استفاده از access list ها مي باشد.شما در روتر خود با تعريف يکسري access list خاص اجازه ورود هر بسته اي به شبکه بجز بسته هاي مربوط به وب سرور را مي گيريد.
    سيسکو دو نوع کلاس متفاوت از access list در درون روترهاي خود قرار داده است.در اولين کلاس که به آن access list استاندارد مي گويند تنها مي توان آدرس مبدا(source address) را فيلتر کرد.براي نامگذاري اين access list ها از شماره 1 تا 99 مي توان استفاده کرد.کلاس دوم که access list توسعه يافته ناميده مي شود از شماره 100 شروع شده و تا199 ادامه مي يابد و مي توان فيلتر مورد نظر را روي فيلدهاي آدرس مبدا(source address)، آدرس مقصد (destination address)، پروتکل(protocol) و پورت(protocol port) اعمال نمود.
    پس از آنکه يک access list ساخته شد بايد آنرا به يک اينترفيس نسبت داد تا مورد استفاده قرار گيرد.در تنظيمات اينترفيس،از عبارت access-group براي اعمال يا حذف يک access-list از ان اينترفيس استفاده مي شود.به مثال زير توجه کنيد:





    Interface serial0
    Ip access-group 101 in
    Ip access-group 6 out




    در مجموعه دستورات فوق فيلترهاي موجود در access list توسعه يافته شماره 101 بر روي بسته هاي ورودي به اينترفيس serial0 اعمال خواهد شد.همچنين فيلترهاي موجود در access list استاندارد شماره 6 بر روي بسته هاي خروجي از اينترفيس serial0 اعمال مي شوند.
    به عنوان مثال access list شماره 6 را به صورت زير تعريف مي کنيم:





    Access-list 6 permit 234.5.6.12
    Access-list 6 deny 5.10.10.32 0.0.0.31
    access-list 10 permit 5.10.0.0 0.0.255.255



    در خط اول به ترافيک ارسالي از آدرس 234.5.6.12 اجازه عبور داده مي شود.
    خط دوم ترافيک ارسالي از آدرسهاي 5.10.10.32 تا 5.10.10.63 را رد مي کند.
    در access list ها، سيسکو به جاي netmask از wildcard mask استفاده مي کند. تفاوت آن با netmask در اين است که netmask از چپ به راست عمل مي کند ولي wildcard از راست به چپ.در خط انتهايي با استفاده از wildcard mask حوزه آدرسها مشخص شده است.آدرسهايي که با 5،10، شروع مي شوند. يعني اين خط به ترافيک ارسالي از آدرسهاي 5.10.0.0 تا 5.10.255.255 اجازه عبور مي دهد.
    در رابطه با access list ها بايد به چند مسئله توجه کرد:
    1- access list ها طراحي شده اند تا به ترافيکهاي مورد نظر اجازه عبور داده شود.يعني فرض بر آن است که تمام ترافيکها deny مي شوند و براي ترافيکي که مي خواهيم عبور داده شود با استفاده از access list اجازه عبور صادر مي کنيم.
    2- پردازش access list وقت زيادي از پردازنده را مي گيرد.بنابراين وروديهايي که بيشتر مورد استفاده قرار مي گيرند را بايد در ابتداي access list قرار داد تا تعداد پردازش انجام شده کاهش يابد زيرا پردازش access list از ابتدا به انتها انجام مي شود و اولين ورودي که شرايط مورد نظر را داشته باشد نتيجه اعمال شده و بقيه access list پردازش نخواهد شد.
    3- نکته ديگري که بايد مورد توجه قرار گيرد اين است که تغييرات در روتر بصورت آني اعمال مي شوند.بنابراين به هنگام تغيير محتويات يک access list بهتر است ابتدا آنرا از اينترفيس مربوطه پس بگيريم و سپس پس از پايان تغييرات دوباره آنرا به اينترفيس مورد نظر اعمال کنيم.

    ساختن access list توسعه يافته معمولا دشوارتر است.از آنجائيکه access list توسعه يافته هم آدرس مبدا و هم آدرس مقصد را تحت تاثير قرار مي دهد بنابراين در هر ورودي access list دو قسمت مورد نياز است.يک مثال کوتاه در ادامه آمده است:



    access-list 101 permit tcp any any established
    access-list 101 permit tcp any 204.34.5.25 host eq 80
    access-list 101 permit ip 203.45.34.0 0.0.0.255 204.34.5.0 0.0.0.255
    access-list 101 permit tcp 203.44.32.0 0.0.0.31 204.34.5.0 0.0.0.255 eq telnet
    access-list 101 permit tcp any 204.34.5.10 eq smtp



    خط اول به ترافيک مربوط به tcp که داراي فلگ established باشند اجازه عبور مي دهد.اين بدان معني است که access list به ترافيک ورودي مربوط به کليه اتصالاتي که از داخل با بيرون برقرار شده اجازه عبور به داخل را مي دهد.اين خصيصه بسيار مهمي است چون ترافيک مربوط به اتصالات tcp که با خارج برقرار شده است بر روي پورتي که به صورت random انتخاب مي شود ارسال مي شوند با استفاده از فيلد فلگ ترافيک مي توان به آنها اجازه عبور داد و نيازي به دانستن شماره پورت نمي باشد.
    نکته ديگري که در مورد اين خط اول وجود دارد اين است که اتصالات tcp از خارج به داخل تنها براي برقراري ارتباط اوليه نياز به پردازش چند خط از access list را دارند و بعدا که ارتباط برقرار شد فيلد فلگ ترافيک ارسالي برابر established شده و در access list تنها همين خط اول پردازش شده و چون تطابق برقرار است به ترافيک اجازه عبور داده شده و پردازش access list پايان مي يابد.بنابراين محل قرار گيري اين خط در ابتداي access list بسيار مهم است.
    در خط دوم ديده مي شود که به جاي فيلد wildcard mask عبارت Host قرار گرفته است.هر گاه که يک آدرس IP مشخص را استفاده کنيم در wildcard همين عبارت host قرار مي گيرد.در بقيه خطوط نيز مطلب جديدي وجود ندارد و با توجه به توضيحات قبلي قابل فهم مي باشد..

    با تشکر: پویان پبدنی




    موضوعات مشابه:
    fery، aka، aseman60 و 6 نفر دیگر سپاسگزاری کرده‌اند.





  2. #2
    نام حقيقي: homayoun ghafari

    عضو غیر فعال
    تاریخ عضویت
    Aug 2007
    محل سکونت
    tehran
    نوشته
    2
    سپاسگزاری شده
    1
    سپاسگزاری کرده
    0

    در مورد فرامین access list

    سلام :

    از مطالبی که گفتین ممنون البته خیلی ساده رد شدین ولی بازم مفیده
    من برام یه سوال پیش اومده راستش میخواستم بدونم چه جوابی میشه به این خط acc داد
    طبق دونسته هامون میدونیم که زمانی که ما در خط acc که مینویسیم از دستور any استفاده کنیم در آخر دستورات خودش ور میداره deny any میکنه و این از معایب acc هستش و کاریش نمیشه کرد بجز اینکه بزنیم بصورت دستی permit any و همینطور دستور any any که مقصد و مبدا رو در mode پورت استفاده میکنیم که امکان داره مسیر رفت و برگشت رو در پورتی که تعریف کردیم ببندد که فکر کنم به ios بستگی داره و میخوام بدونم بعد از نوشتن این خط در آخر دستورات خودش چی مینویسه البته در حالت extended mode که از tcp و ip استفاده میکنیم:

    access-list 100 deny tcp any any eq 80
    access-list 100 permit tcp host 10.10.10.1 host 2.2.2.2 eq 80

    اینجا آخرش ما tcp any any داریم یا ip any any ممنون میشم جو بمو بدین و دلیلش چیه ؟
    البته یه مثال هستش فقط ... مرسی در ضمن من تازه کارم اگه اشتباه گفتم ببخشید ..


    ویرایش توسط HOMINET : 2007-08-26 در ساعت 11:16 PM

  3. #3
    نام حقيقي: Iman Mansouri

    عضو غیر فعال شناسه تصویری shabake_karan
    تاریخ عضویت
    Apr 2006
    محل سکونت
    Tehran
    نوشته
    1,050
    سپاسگزاری شده
    369
    سپاسگزاری کرده
    12

    Icon11

    خوب ، این مقاله خیلی خوب است. ,.ولی یک نکته هم من برای بهینه سازیACL اضافه می کنم

    در IOS برای match کردن و Packet filtering روتر از مفهومی به نام ACL استفاده می کنه. تمامی این ها به صورت Ordered قرار دارند و اگر که تعداد این entry ها زیاد باشد عمل search کردن در ارسال packet ها Processing & Forwarding Delay به مبزان قابل توجهی افزایش پیدا میکنه . به علاوه استفاده از ACL های زیاد میزان قابل توجهی CPU Time & Load تحمیل می کنه. برای رفع این مشکل Cisco قابلیتی به نام Turbo ACL رو به IOS اضافه کرده است. در TACL T تمام ACL ها Compiled می شوند و در درون Lookup Table کوچکی قرار می گبرند که تمام Packet Header ها با اونها تطبیق داده می شود و به role های از پیش تعیین شده تبدیل می شوند. و درنتیجه زمان کمتری برای Match کردن Packet ها نیاز است که تقریبا ثابت است و در کاهش CPU Time & Overload بسیار تاثیر گذار است. البته در صورت وجود Time-range ACL این قابیت کاربرد نداره به دلیل اینکه Processing بیشتری بر روی Packet احتیاج اشت.
    برای استفاده از TACL ، تنها کافی است که در Config Mode ، عبارت access-list compiled وارد شود. به منظور Verfiry کردن و اطلاع از جزئیات ، entry ها و میزان حافظه مورد اشغال شده می شود که از فرمان show access-list compiled استفاده کرد.




    aka، ar_maleki، NOBOADY و 2 نفر دیگر سپاسگزاری کرده‌اند.

کلمات کلیدی در جستجوها:

wildcard mask چیست

access list چیست؟

اکسس لیست چیست

تعریف access list

access list در روتر

درباره access list

تعریف access-list

wildcard چیست

access list چیست

تعریف اکسس لیست

wild card mask چیست

access list روترaccess listچیست؟اکسس لیست در روتراکسس لیست روترaccess list چيستروتر access listaccecc lest چیستتنظیمات access listaccess listaccess list cisco چیستچیست access listwildcard mask چیست؟در اخر اکسس لیست ها چی می نویسیمaccess list سیسکو

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •