moji5
25th November 2009, 10:20 PM
1 - فهرست کنترل دسترسی یا ACL چیست؟
در Cisco IOS يک فهرست کنترل دسترسی وجود دارد که در اصل رکوردی است که از آن برای مدیریت و شناسايی ترافیک شبکه استفاده ميشود. پس از تشخیص و مشاهده ترافیک، مدیر شبکه میتواند رویدادهای مختلفي را که برای ترافیک اتفاق میافتند، شناسايی کند.
2 - رایجترین نوع ACL کدام است؟
از IP ACLها میتوان بهعنوان رایجترین نوع فهرستهای کنترلی نام برد، زیرا IP معمولترین نوع ترافیک شبکه است. بهعنوان کلی دو نوع IP ACL وجود دارد: Standard و extendedم. Standard IP ACL فقط قادر به کنترل ترافیک براساس آدرس IP منبع است. در مقابل، Extended IP ACL دارای قدرت بیشتری بوده و میتواند ترافیک را از طریق IP منبع، پورت منبع، IP مقصد و پورت مقصد تحلیل و شناسايی کند.
3 - رایجترین اعداد برای IP ACLهاکدامند؟
رایجترین اعداد مورد استفاده برای IP ACLهاعبارتند از، اعداد 1 تا 99 برای فهرستهای Standard و اعداد 100 تا 199 برای فهرستهای Extended . گرچه طیفهای عددی دیگری نیز مورد استفاده میگیرند:
Standard IP ACLs: 1 to 99 and 1300 to 1999
Extended IP ACLs: 100 to 199 and 2000 to 2699
4 - چگونه با استفاده از ACL میتوان ترافیک را فیلتر کرد؟
فیلتر کردن ترافیک با استفاده از ACLها بر مبنای سه “P” قرار دارد: Per protocol ,Per Interface و Per direction. شما میتوانید یک ACL را برای هر پروتکل (بهعنوان مثال IP یا IPX)، یک ACL را برای هر Interface (بهعنوان مثال FastEthernet0/0) و یک ACL را برای هر Direction (مانند IN یا OUT) بهکار گیرید.
5 - ACL و محافظت از شبکه در برابر ویروسها
مدیر شبکه میتواند از ACL بهعنوان یک Packet Sniffer برای بستههای اطلاعاتی که مشخصات بهخصوصی داشته باشند، استفاده کند. بهعنوان مثال، اگر ویروسی روی شبکه وجود داشته باشد که اطلاعات را از طریق پورت IRC194 به خارج از شبکه ارسال میکند، میتوانید با ایجاد یک Extended ACL (مانند شماره 101) ابزاری را برای شناسايی ترافیک ایجاد کنید.
پس از آن میتوانید از فرمان «debug ip packet 101 detail»روی روتر منتهی به اینترنت برای فهرست کردن تمام آدرسهای IP منبع که اقدام به ارسال اطلاعات روی پورت 194 ميکنند، استفاده کنید.
6 - ترتیب عملیات در یک ACL
روترها ACLها را از پايین به بالا اجرا میکنند. پس از اینکه روتر ترافیک را با فهرست مطابقت داد، آنگاه از ابتدای فهرست شروع کرده و بهطرف پايین حرکت میکند و در مسیر حرکت خود ترافیکها را تأيید یا آنان را رد ميکند. وقتی روتر به انتهای فهرست میرسد عملیات را متوقف میسازد.
این مطلب به این معنی است که هر کدام از قوانین با توجه به تقدم و تأخر در فهرست اجرا میشوند. اگر بخشهای ابتدايی ACL ترافیک را رد کرده، اما بخشهای پايینی آن را تأيید کنند، روتر کماکان ترافیک را رد خواهد کرد. به مثالی در این زمینه توجه کنید:
Access-list 1 permit any
Access-list 1 deny host 10.1.1.1
Access-list 1 deny any
بهنظر شما این ACL به کدام ترافیک اجازه عبور میدهد؟ خط اول کلیه ترافیکها را تأييد میکند. به همین دليل، تمام ترافیکها با این شرط مطابقت کرده و اجازه عبور میگیرند. سپس در انتها فرآیند با بهاتمام رسیدن متوقف میشود.
7 - ترافیکهایی که آدرس آنان دقیقاً در ACL مشخص نمیشود
در انتهای هر ACL یک اشاره تلویحی به رد ترافیک آمده است. خواه آن جمله را ببینید، خواه نبینید، روتر تمام ترافیکهایی را که با شرط مزبور در ACL مطابقت نکنند، رد خواهد کرد. به مثال توجه کنید:
Access-list 1 deny host 10.1.1.1
Access-list 1 deny 192.168.1.0 0.0.0.255
این ACL به کدام ترافیک اجازه عبور خواهد داد؟ هیچکدام. روتر تمام ترافیکها را مسدود خواهد کرد، زیرا در اینجا یک اشاره تلویحی در انتهای فهرست آمده است. بهعبارت دیگر، این ACL در واقع بهشکل زیر خواهد بود:
Access-list 1 deny host 10.1.1.1
Access-list 1 deny 192.168.1.0 0.0.0.255
Access-list 1 deny ANY
8 – نامگذاری روی ACLها
چه کسی میتواند با اعداد کار کند؟ مدیران شبکه میتوانند با نامگذاری روی ACLها کار با آنها را سادهتر کرده و نامهایی مناسب با اهداف را برای آنها انتخاب کنند. هر دو نوع ACLها یعنی Standard و Extended قابل نامگذاری هستند. در ادامه مثالهایی از نامگذاری ACLها را ببینید:
? router (config) # ip access-list
extended Extended Access List
log-update Control access list log updates
logging Control access list logging
resequence Resequence Access List
standard Standard Access List
router (config) # ip access-list extended test
#router (config-ext-nacl)
router (config-ext-nacl) # 10 deny ip any host 192.168.1.1
router (config-ext-nacl) # exit
router (config) # exit
router# show ip access-list
Extended IP access list test
10deny ip any host 192.168.1.1
9 - تسلسل اعداد
پیش از این يک مدیر شبکه نمیتوانست ACL را ویرایش کند، بلکه فقط ميتوانست آنرا در داخل یک ویرایشگر متنی (مانند Notepad) کپی آن را پاک کرده، در داخل ويرايشگر ویرایش و سپس دوباره ACL را ایجاد کند. در حقیقت، این روش هنوز هم یکی از بهترین روشها برای ویرایش برخی از پیکربندیهای سیسکو بهحساب میآید.
البته، باید توجه داشت که این عمل میتواند موجب ایجاد تهدیدات امنیتی شود. در فاصله زمانی که ACL را برای ایجاد تغییرات پاک کردهاید، روتر آنگونه که باید نمیتواند ترافیک را کنترل کند. اما این امکان وجود دارد که ACLهای شمارهگذاری شده را توسط فرامین ویرایش کرد. مثال زیر نمونهای از این عملیات است:
router (config) # access-list 75 permit host 10.1.1.1
router (config) # ^Z
router# conf t
.Enter configuration commands, one per line. End with CNTL/Z
router (config) # ip access-list standard 75
router (config-std-nacl) # 20 permit any
router (config-std-nacl) # no 10 permit 10.1.1.1
router (config-std-nacl) # ^Z
router# show ip access-list 75
Standard IP access list 75
20permit any
#router
10 - کاربردهاي دیگر ACL
ACL فقط برای فیلترکردن ترافیک شبکه نیست. مدیران شبکه میتوانند از آنها برای مجموعه متنوعی از عملیات مختلف استفاده کنند. در زیر برخی دیگر از استفادههای احتمالی ACLها را میبینیم.
برای کنترل خروجی دیباگ: شما میتوانید از فرمان debug list X برای کنترل خروجی دیباگ استفاده کنید. با بهکارگیری این فرمان پیش از دیگر فرامین دیباگ، این فرمان تنها روی آنچه که در داخل فهرست مشخص کردهاید، اعمال خواهد شد.
برای کنترل دسترسی روتر، شما میتوانید با استفاده از یک ACL توزیعی فقط به مسیرهای مشخصی در خارج یا داخل پروتکل مسیریابی خود اجازه دسترسی دهید. بهعنوان یک BGP ACL ، شما میتوانید از Regular Expression برای تأييد یا رد مسسیرهای BGP استفاده کنید.
برای مدیریت مسیریابی: میتوانيد از ACL برای کنترل اینکه کدام ایستگاههای کاری یا شبکه روتر را مدیریت کنند، استفاده کنيد.
براي رمزنگاری: شما میتوانید از ACL برای تعیین چگونگی رمزنگاری ترافیک استفاده کنید. وقتی اقدام به رمزنگاری ترافیک ميان دو روتر یا یک روتر و یک فایروال میکنید، بايد به روتر بگويید که کدام ترافیک باید رمزگذاری شده، کدام ترافیک بهصورت بدون رمز ارسال شده و کدام یک مسدود شود.
در Cisco IOS يک فهرست کنترل دسترسی وجود دارد که در اصل رکوردی است که از آن برای مدیریت و شناسايی ترافیک شبکه استفاده ميشود. پس از تشخیص و مشاهده ترافیک، مدیر شبکه میتواند رویدادهای مختلفي را که برای ترافیک اتفاق میافتند، شناسايی کند.
2 - رایجترین نوع ACL کدام است؟
از IP ACLها میتوان بهعنوان رایجترین نوع فهرستهای کنترلی نام برد، زیرا IP معمولترین نوع ترافیک شبکه است. بهعنوان کلی دو نوع IP ACL وجود دارد: Standard و extendedم. Standard IP ACL فقط قادر به کنترل ترافیک براساس آدرس IP منبع است. در مقابل، Extended IP ACL دارای قدرت بیشتری بوده و میتواند ترافیک را از طریق IP منبع، پورت منبع، IP مقصد و پورت مقصد تحلیل و شناسايی کند.
3 - رایجترین اعداد برای IP ACLهاکدامند؟
رایجترین اعداد مورد استفاده برای IP ACLهاعبارتند از، اعداد 1 تا 99 برای فهرستهای Standard و اعداد 100 تا 199 برای فهرستهای Extended . گرچه طیفهای عددی دیگری نیز مورد استفاده میگیرند:
Standard IP ACLs: 1 to 99 and 1300 to 1999
Extended IP ACLs: 100 to 199 and 2000 to 2699
4 - چگونه با استفاده از ACL میتوان ترافیک را فیلتر کرد؟
فیلتر کردن ترافیک با استفاده از ACLها بر مبنای سه “P” قرار دارد: Per protocol ,Per Interface و Per direction. شما میتوانید یک ACL را برای هر پروتکل (بهعنوان مثال IP یا IPX)، یک ACL را برای هر Interface (بهعنوان مثال FastEthernet0/0) و یک ACL را برای هر Direction (مانند IN یا OUT) بهکار گیرید.
5 - ACL و محافظت از شبکه در برابر ویروسها
مدیر شبکه میتواند از ACL بهعنوان یک Packet Sniffer برای بستههای اطلاعاتی که مشخصات بهخصوصی داشته باشند، استفاده کند. بهعنوان مثال، اگر ویروسی روی شبکه وجود داشته باشد که اطلاعات را از طریق پورت IRC194 به خارج از شبکه ارسال میکند، میتوانید با ایجاد یک Extended ACL (مانند شماره 101) ابزاری را برای شناسايی ترافیک ایجاد کنید.
پس از آن میتوانید از فرمان «debug ip packet 101 detail»روی روتر منتهی به اینترنت برای فهرست کردن تمام آدرسهای IP منبع که اقدام به ارسال اطلاعات روی پورت 194 ميکنند، استفاده کنید.
6 - ترتیب عملیات در یک ACL
روترها ACLها را از پايین به بالا اجرا میکنند. پس از اینکه روتر ترافیک را با فهرست مطابقت داد، آنگاه از ابتدای فهرست شروع کرده و بهطرف پايین حرکت میکند و در مسیر حرکت خود ترافیکها را تأيید یا آنان را رد ميکند. وقتی روتر به انتهای فهرست میرسد عملیات را متوقف میسازد.
این مطلب به این معنی است که هر کدام از قوانین با توجه به تقدم و تأخر در فهرست اجرا میشوند. اگر بخشهای ابتدايی ACL ترافیک را رد کرده، اما بخشهای پايینی آن را تأيید کنند، روتر کماکان ترافیک را رد خواهد کرد. به مثالی در این زمینه توجه کنید:
Access-list 1 permit any
Access-list 1 deny host 10.1.1.1
Access-list 1 deny any
بهنظر شما این ACL به کدام ترافیک اجازه عبور میدهد؟ خط اول کلیه ترافیکها را تأييد میکند. به همین دليل، تمام ترافیکها با این شرط مطابقت کرده و اجازه عبور میگیرند. سپس در انتها فرآیند با بهاتمام رسیدن متوقف میشود.
7 - ترافیکهایی که آدرس آنان دقیقاً در ACL مشخص نمیشود
در انتهای هر ACL یک اشاره تلویحی به رد ترافیک آمده است. خواه آن جمله را ببینید، خواه نبینید، روتر تمام ترافیکهایی را که با شرط مزبور در ACL مطابقت نکنند، رد خواهد کرد. به مثال توجه کنید:
Access-list 1 deny host 10.1.1.1
Access-list 1 deny 192.168.1.0 0.0.0.255
این ACL به کدام ترافیک اجازه عبور خواهد داد؟ هیچکدام. روتر تمام ترافیکها را مسدود خواهد کرد، زیرا در اینجا یک اشاره تلویحی در انتهای فهرست آمده است. بهعبارت دیگر، این ACL در واقع بهشکل زیر خواهد بود:
Access-list 1 deny host 10.1.1.1
Access-list 1 deny 192.168.1.0 0.0.0.255
Access-list 1 deny ANY
8 – نامگذاری روی ACLها
چه کسی میتواند با اعداد کار کند؟ مدیران شبکه میتوانند با نامگذاری روی ACLها کار با آنها را سادهتر کرده و نامهایی مناسب با اهداف را برای آنها انتخاب کنند. هر دو نوع ACLها یعنی Standard و Extended قابل نامگذاری هستند. در ادامه مثالهایی از نامگذاری ACLها را ببینید:
? router (config) # ip access-list
extended Extended Access List
log-update Control access list log updates
logging Control access list logging
resequence Resequence Access List
standard Standard Access List
router (config) # ip access-list extended test
#router (config-ext-nacl)
router (config-ext-nacl) # 10 deny ip any host 192.168.1.1
router (config-ext-nacl) # exit
router (config) # exit
router# show ip access-list
Extended IP access list test
10deny ip any host 192.168.1.1
9 - تسلسل اعداد
پیش از این يک مدیر شبکه نمیتوانست ACL را ویرایش کند، بلکه فقط ميتوانست آنرا در داخل یک ویرایشگر متنی (مانند Notepad) کپی آن را پاک کرده، در داخل ويرايشگر ویرایش و سپس دوباره ACL را ایجاد کند. در حقیقت، این روش هنوز هم یکی از بهترین روشها برای ویرایش برخی از پیکربندیهای سیسکو بهحساب میآید.
البته، باید توجه داشت که این عمل میتواند موجب ایجاد تهدیدات امنیتی شود. در فاصله زمانی که ACL را برای ایجاد تغییرات پاک کردهاید، روتر آنگونه که باید نمیتواند ترافیک را کنترل کند. اما این امکان وجود دارد که ACLهای شمارهگذاری شده را توسط فرامین ویرایش کرد. مثال زیر نمونهای از این عملیات است:
router (config) # access-list 75 permit host 10.1.1.1
router (config) # ^Z
router# conf t
.Enter configuration commands, one per line. End with CNTL/Z
router (config) # ip access-list standard 75
router (config-std-nacl) # 20 permit any
router (config-std-nacl) # no 10 permit 10.1.1.1
router (config-std-nacl) # ^Z
router# show ip access-list 75
Standard IP access list 75
20permit any
#router
10 - کاربردهاي دیگر ACL
ACL فقط برای فیلترکردن ترافیک شبکه نیست. مدیران شبکه میتوانند از آنها برای مجموعه متنوعی از عملیات مختلف استفاده کنند. در زیر برخی دیگر از استفادههای احتمالی ACLها را میبینیم.
برای کنترل خروجی دیباگ: شما میتوانید از فرمان debug list X برای کنترل خروجی دیباگ استفاده کنید. با بهکارگیری این فرمان پیش از دیگر فرامین دیباگ، این فرمان تنها روی آنچه که در داخل فهرست مشخص کردهاید، اعمال خواهد شد.
برای کنترل دسترسی روتر، شما میتوانید با استفاده از یک ACL توزیعی فقط به مسیرهای مشخصی در خارج یا داخل پروتکل مسیریابی خود اجازه دسترسی دهید. بهعنوان یک BGP ACL ، شما میتوانید از Regular Expression برای تأييد یا رد مسسیرهای BGP استفاده کنید.
برای مدیریت مسیریابی: میتوانيد از ACL برای کنترل اینکه کدام ایستگاههای کاری یا شبکه روتر را مدیریت کنند، استفاده کنيد.
براي رمزنگاری: شما میتوانید از ACL برای تعیین چگونگی رمزنگاری ترافیک استفاده کنید. وقتی اقدام به رمزنگاری ترافیک ميان دو روتر یا یک روتر و یک فایروال میکنید، بايد به روتر بگويید که کدام ترافیک باید رمزگذاری شده، کدام ترافیک بهصورت بدون رمز ارسال شده و کدام یک مسدود شود.