ACL چیست؟ Access List در سیسکو چیست؟ Access List Control چه کاری انجام می دهد؟ چند نوع ACL در سیسکو داریم؟ احتمالا تا حالا برای شما پیش آمده باشد که بخواهید دسترسی یک کلاینت را به یک سرور خاص محدود کنید یا بخواهید استفاده از یک برنامه خاص مثل telnet را مسدود کنید و یا به طور کلی بخواهید بروی عملکرد شبکه کنترل و نظارت داشته باشید. با استفاده از Access Control List که با آن Access list نیز گفته می شود می توانید تمام موارد ذکر شده و بسیاری قابلیت دیگر را داشته باشید. در این مقاله سعی سعی بر آن شده که ACLs را مورد بررسی قرار گیرد و نحوی عملکرد آن شرح داده شود.
Access Control List یا ACL یک فیلتر است که به وسیله آن می توانیم جریان ترافیک را کنترل کنیم که چه بسته هایی اجازه ورود یا خروج از شبکه را دارند یا خیر. این فیلتر معمولا توسط مدیر شبکه تعیین و مورد استفاده قرار می گیرند تا به این وسیله بتواند کنترل و امنیت بیشتر را برای شبکه خود فراهم کند. این فیلترها را می توان روی بسیاری از دستگاه های شبکه مانند روتر و سوئیچ مورد استفاده قرار داد.
ACLs ها یک روش قدرتمند برای کنترل ترافیک ورودی یا خروجی از شبکه می باشد این کنترل می تواند به صورت ساده براساس آدرس IP انجام شود یا براساس بررسی آیتم ها متفاوت و پیچیده انجام گیرد. ACLs را میتوان برای پروتکل متفاوت مانند IP ، AppleTalk و ... استفاده کرد.مهمترین دلیل استفاده از ACLs ها فراهم کردن امنیت برای شبکه می باشد هرچند که برای مقاصد دیگری مانند کنترل ترافیک نیز استفاده می شود.
برای اینکه نحوی عملکرد ACLs ها را بهتر درک کنیم یک نگهبان که جلوی یک در بسته مستقر است را تصور کنید. نگهبان براساس دستورالعملی که به او داده شده اجازه عبور به افراد را می دهد به طور مثال به او یک لیست داده شده که فقط این افراد اجازه ورود دارند. افراد که می خواهند از این در عبور کنند نام آنها توسط نگهبان با لیست خود مطابقت داده می شود و در صورتی که نام آنها در لیست بود به آنها اجازه عبور از در را می دهد در غیر اینصورت فرد اجازه عبور از در را نخواهد داشت.
اگر در یادگیری سیسکو مشکل دارید ، به شما پیشنهاد می کنیم از طریق دوره های آموزش سیسکو حرفه ای سایت توسینسو و با دوره آموزش CCNA روتینگ و سویچینگ شروع کنید ، فراموش نکنید که پیشنیاز همه این دوره های آموزش شبکه ، دوره آموزش نتورک پلاس است ، فراموش نکنید توسینسو اولین و بهترین انتخاب شما در حوزه آموزش فناوری اطلاعات فارسی است.
ACLsها با استفاده از آیتم های مختلف مانند آدرس مبدا و مقصد ، پورت مبدا و مقصد ، نوع پروتکل و ... می تواند عمل فیلترینگ را روی بسته های ورودی یا خروجی یک پورت برای ما انجام دهد. زمانی که یک بسته به دستگاه می رسد در صورت وجود ACLs ، اطلاعات موجود در Header بسته را بررسی می کند و با آیتم های تعریف شده در ACLs مقایسه می کنند و نسبت به آن اجازه یا عدم اجازه عبور به بسته را می دهد.
ACLs را می توان به دو صورت تعریف کرد یکی براساس نام و دیگری براساس عدد. که هر کدام می تواند یکی از دو نوع Extended یا Standard باشد.زمانی که یک ACLs با استفاده از نام ایجاد می کنیم قبل از مشخص کردن نام نوع آنرا مشخص می کنیم مانند مثال زیر:
Router(config)#ip access-list standard itpro Router(config)#ip access-list extended itpro
زمانی که یک ACLs با استفاده از عدد ایجاد می کنیم شماره عددی که انتخاب می کنیم نشان دهنده نوع آن می باشد. یک نمونه از ACL با نام گذاری عددی:
Router(config)#access-list 50 permit host 192.168.1.1 Router(config)#access-list 101 deny tcp host 192.168.1.1 eq www host 10.1.1.1
جدول زیر نشان دهنده محدوده این اعداد و نوع آنها می باشد.
زمانی که یک ACLs تعریف می شود برای عمل کردن باید به یک پورت اختصاص داد شود که می تواند در دو جهت زیر ترافیک را کنترل کند:
با انتخاب هر کدام از این دو جهت ترافیک توسط ACLs ترافیک شروع به کنترل می شود.
زمانی که یک ACLs تعریف می شود دو نوع اقدام زیر را می توان نسبت به ترافیک که بررسی می کند می توان در نظر گرفت :
یک مثال ساده جهت آشنایی بیشتر:
به عکس زیر توجه کنید که یک شبکه بسیار ساده را به ما نشان می دهد که دارای دو کامپیوتر ، یک سوئیچ و یک روتر که به اینترنت متصل است. در اینجا بنا به دلایلی می خواهیم کامپیوتر شماره 2 نتواند به اینترنت دسترسی داشته باشد.
برای اینکار باید یک Standard ACL نوشته شد و اجازه دسترسی به بیرون شبکه از آن گرفته شود(Deny) و این ACL را باید روی Outbound پورت روتر که به اینترنت متصل است اعمال شود. به این صورت اتصال کامپیوتر 2 به اینترنت قطع می شود. امیدوارم که این مقاله مفید واقع شده باشد و در قسمت های بعدی نحوی استفاده از انواع ACLها را به صورت کامل و دقیق توضیح خواهم داد.
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو
جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان حدود 15 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود