Extended ACL چیست؟ آموزش راه اندازی Extended ACL سیسکو
در مقاله قبلی با مفاهیم و عملکرد Access Control List یا ACL آشنا شدیم و همچنین نحوی تنظیم و استفاده از Standard ACL را فرا گرفتیم در این آموزش با یک نوع دیگر Access list آشنا می شویم.Extended ACL نوعی دیگری از ACL است که برخلاف Standard ACL می تواند ترافیک را براساس فیلدها و پارامترهای مختلف برای ما کنترل کند. وجود پارامترهای فراوان به ما این امکان را می دهد که بتوانیم ترافیک ها را به صورت دقیق تر و بهتر کنترل کنیم.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
در Standard ACL ما تنها می توانیم بر اساس آدرس مبدا ، بسته ها را کنترل کنیم ولی Extended ACL می تواند کنترل را براساس آدرس مبدا و مقصد ، شماره پورت مبدا و مقصد ، نوع پروتکل و ... انجام دهد در نتیجه Extended ACL به عنوان یک ابزار قدرتمند برای مدیران برای کنترل ترافیک محسوب می شود.در همه نسخه ها ، برای Extended ACL می توان یک عدد از 100 تا 199 در نظر گرفت. از نسخه IOS 11.2 سیسکو امکان تعریف Extended ACL به وسیله نام فراهم شد و همچنین از نسخه IOS 12.0.1 سیسکو محدود عددی بین 2000 تا 2699 برای Extended ACL اضافه شد.پارامترهای که می توان توسط Extended ACL کنترل کرد:
- آدرس IP مبدا
- آدرس IP مقصد
- شماره پورت مبدا
- شماره پورت مقصد
- نوع پروتکل
نحوی تعریف Extended ACL در حالت عددی:
access-list access-list-number {permit|deny} protocol source [Source port]destination [destination port]
- access-list-number : عدد بین 100 تا 199 یا 2000 تا 2699
- permit|deny : عملی که در هنگام تطبیق بسته با َACL نسبت با آن گرفته می شود(اجازه عبور یا عدم اجازه)
- Protocol : مشخص کردن نوع پروتکل مثل TCP ، UDP ، IP و ...
- Source : مشخص کردن IP مبدا به یکی از سه روش زیر:
- Host : یک ادرس IP مشخص می کنیم مانند Host 192.168.1.1
- Any : هر IP آدرسی
- source source-wildcard : تعیین یک IP به همراه Wildcard Mask
- Source port : شماره پورت مبدا بسته
- destination: مشخص کردن IP مقصد به یکی از سه روش زیر:
- Host : یک ادرس IP مشخص می کنیم مانند Host 192.168.1.1
- Any : هر IP آدرسی
- source source-wildcard : تعیین یک IP به همراه Wildcard Mask
- destination port : شماره پورت مبدا بسته
نحوی تعریف Extended ACL با استفاده از نام :
IP Access-list {standard|extended} name
{permit|deny} protocol source [Source port] destination [destination port]
نحوی تخصیص Extended ACL به اینترقیس:
Ip access-group {number|name} {in|out}
با توجه به تصویر زیر ، می خواهیم به وسیله Extended ACL امکان دسترسی PC1 را به سرور از طریق وب قطع کنیم اما PC1 از طریق پروتکل های دیگر مانند ICMP بتواند با سرور ارتباط داشته باشد.
برای اینکار با استفاده از IP آدرس PC1 و همچنین پورت وب که 80 می باشد یک ACL در Global Mode به صورت زیر تعریف می کنیم:
تعریف به صورت عددی:
Router(config)#access-list 101 deny tcp host 192.168.1.1 host 5.5.5.5 eq 80 Router(config)#access-list 101 permit ip any any
تعریف با استفاده از نام:
Router(config)#ip access-list Extended itpro Router(config-ext-nacl)# deny tcp host 192.168.1.1 host 5.5.5.5 eq 80 Router(config-ext-nacl)# permit ip any any
سپس آنرا به اینترفیس مورد نظر با استفاده از دستور زیر اختصاص می دهیم:
Router(config)#interface fastEthernet 0/0 Router(config-if)#ip access-group 101 in
- نکته : برای هر یک از جهت های ترافیک تنها یک ACL می توان در نظر گرفت در نتیجه حداکثر به یک اینترفیس می توان دو ACL اختصاص داد.
اگر در یادگیری سیسکو مشکل دارید ، به شما پیشنهاد می کنیم از طریق دوره های آموزش سیسکو حرفه ای سایت توسینسو و با دوره آموزش CCNA روتینگ و سویچینگ شروع کنید ، فراموش نکنید که پیشنیاز همه این دوره های آموزش شبکه ، دوره آموزش نتورک پلاس است ، فراموش نکنید توسینسو اولین و بهترین انتخاب شما در حوزه آموزش فناوری اطلاعات فارسی است.