در آموزش های قبلی با Access control list یا ACL آشنا شدیم و همچنین با نحوی استفاده از Standard ACL و Extended ACL را فرا گرفتیم. حالا می خواهیم یکی از پارامترهای بسیار جالب و مفید Extended ACL معرفی کنیم.به لحاظ مسائل امنیتی زمانی که شبکه را به یک شبکه دیگر مثل شبکه اینترنت متصل می کنیم باید روی ترافیک ورودی کنترل دقیق داشته باشیم و برای این کنترل نیاز است که برای هر سرویس مورد نیاز ACL بنویسم حالا اتصال به شبکه اینترنت را در نظر بگیرد که دارای سرویس های مختلف و فراوان است و برای استفاده ، برای پروتکل های مختلف مثل http ، https ، ftp ، smtp و ... باید ACL استفاده کنیم باتوجه به تعداد زیاد این سرویس ها استفاده از این ACL مشکل می باشد
Established ACL این کنترل ترافیک را خیلی ساده تر انجام می دهد. عملکرد Established ACL به این صورت است که فقط به ترافیکی اجازه ورود به شبکه را می دهد که از داخل شبکه درخواست آن شده است. یعنی ترافیک هنگام ورود به شبکه کنترل می شوند و اگر از داخل شبکه برای آن درخواست شده باشد اجازه ورود به شبکه را پیدا می کند در غیر این صورت ترافیک Drop می شود.Established ACL فقط می تواند ترافیک TCP را کنترل کند و ترافیک هایی مانند UDP را نمی تواند کنترل کند. Established ACL کنترل ترافیک را براساس بیت های ACK و RST انجام می دهد. Established ACL را stateless در نظر می گیرند چون نمی تواند تمام ترافیک را برای ما کنترل کند.
به تصویر زیر توجه کنید :
در این شبکه می خواهیم ترافیک TCP اجازه عبور را از شبکه داخلی به شبکه خارجی داشته باشند و ترافیک TCP اجازه ورود از شبکه خارجی به شبکه داخلی را نداشته باشن مگر اینکه ترافیک از شبکه داخلی درخواست شده باشد.در ابتدا روی روتر یک ACL از نوع extended ایجاد می کنیم :
Router(config)#ip access-list extended itpro
سپس به همه ترافیک های TCP اجازه عبور می دهیم و کلمه Established را در انتهای آن وارد می کنیم:
Router(config-ext-nacl)# permit tcp any any established
حالا باید ACL که تعریف کرده ایم را به اینترفیس اختصاص دهیم که در اینجا پورت fastethernet 0/1 به شبکه خارجی متصل است و به inbound اینترفیس آنرا اختصاص می دهیم:
Router(config)#interface FastEthernet0/1 Router(config-if)#ip access-group one-way in
همینطور که دیدید به کمک Established ACL به سادگی توانستیم ترافیک TCP را کنترل کنیم.اگر در یادگیری سیسکو مشکل دارید ، به شما پیشنهاد می کنیم از طریق دوره های آموزش سیسکو حرفه ای سایت توسینسو و با دوره آموزش CCNA روتینگ و سویچینگ شروع کنید ، فراموش نکنید که پیشنیاز همه این دوره های آموزش شبکه ، دوره آموزش نتورک پلاس است ، فراموش نکنید توسینسو اولین و بهترین انتخاب شما در حوزه آموزش فناوری اطلاعات فارسی است.
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو
جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان حدود 15 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود