در آموزش های قبلی با Access control list یا ACL آشنا شدیم و همچنین با نحوی استفاده از Standard ACL و Extended ACL را فرا گرفتیم. حالا می خواهیم یکی از پارامترهای بسیار جالب و مفید Extended ACL معرفی کنیم.به لحاظ مسائل امنیتی زمانی که شبکه را به یک شبکه دیگر مثل شبکه اینترنت متصل می کنیم باید روی ترافیک ورودی کنترل دقیق داشته باشیم و برای این کنترل نیاز است که برای هر سرویس مورد نیاز ACL بنویسم حالا اتصال به شبکه اینترنت را در نظر بگیرد که دارای سرویس های مختلف و فراوان است و برای استفاده ، برای پروتکل های مختلف مثل http ، https ، ftp ، smtp و ... باید ACL استفاده کنیم باتوجه به تعداد زیاد این سرویس ها استفاده از این ACL مشکل می باشد
Established ACL این کنترل ترافیک را خیلی ساده تر انجام می دهد. عملکرد Established ACL به این صورت است که فقط به ترافیکی اجازه ورود به شبکه را می دهد که از داخل شبکه درخواست آن شده است. یعنی ترافیک هنگام ورود به شبکه کنترل می شوند و اگر از داخل شبکه برای آن درخواست شده باشد اجازه ورود به شبکه را پیدا می کند در غیر این صورت ترافیک Drop می شود.Established ACL فقط می تواند ترافیک TCP را کنترل کند و ترافیک هایی مانند UDP را نمی تواند کنترل کند. Established ACL کنترل ترافیک را براساس بیت های ACK و RST انجام می دهد. Established ACL را stateless در نظر می گیرند چون نمی تواند تمام ترافیک را برای ما کنترل کند.
- نکته : برای کنترل کامل و دقیق ترافیک باید از فایروال استفاده شود فایروال stateful است و می تواند تمام پروتکل ها را کنترل کند و علاوه بر آن امکانات فراوان دیگری را نیز برای ما فراهم می کند.
دوره آموزشی CCNA Routing&Switching
نحوی تنظیم و استفاده از Establishede ACL
به تصویر زیر توجه کنید :
در این شبکه می خواهیم ترافیک TCP اجازه عبور را از شبکه داخلی به شبکه خارجی داشته باشند و ترافیک TCP اجازه ورود از شبکه خارجی به شبکه داخلی را نداشته باشن مگر اینکه ترافیک از شبکه داخلی درخواست شده باشد.در ابتدا روی روتر یک ACL از نوع extended ایجاد می کنیم :
Router(config)#ip access-list extended itpro
سپس به همه ترافیک های TCP اجازه عبور می دهیم و کلمه Established را در انتهای آن وارد می کنیم:
Router(config-ext-nacl)# permit tcp any any established
دوره آموزشي CCNP Enterprise ENCOR
حالا باید ACL که تعریف کرده ایم را به اینترفیس اختصاص دهیم که در اینجا پورت fastethernet 0/1 به شبکه خارجی متصل است و به inbound اینترفیس آنرا اختصاص می دهیم:
Router(config)#interface FastEthernet0/1 Router(config-if)#ip access-group one-way in
همینطور که دیدید به کمک Established ACL به سادگی توانستیم ترافیک TCP را کنترل کنیم.
اگر در یادگیری سیسکو مشکل دارید ، به شما پیشنهاد می کنیم از طریق دوره های آموزش سیسکو حرفه ای سایت توسینسو و با دوره آموزش CCNA روتینگ و سویچینگ شروع کنید ، فراموش نکنید که پیشنیاز همه این دوره های آموزش شبکه ، دوره آموزش نتورک پلاس است ، فراموش نکنید توسینسو اولین و بهترین انتخاب شما در حوزه آموزش فناوری اطلاعات فارسی است.
سلام دوست عزیز
اول acl رو بردارید ببین بدون acl ارتباط تون درسته و مشکلی نداره
با سلام ممنون از توضیحات خوب شما
فقط یه سوالی داشتم که من در مثال شما اگر از توسط pc2 دستگاه دیگری از شبکه مقابل را ping کنم request timeout میده.
لطف میکنید دلیلش رو بهم بگید؟
با تشکر از مهندس قنبری بابت آموزش
مهندس جان موقع تخصیص acl بایستی
Router(config)#interface FastEthernet0/1
Router(config-if)#ip access-group itpro in
به جای one-way بنویسید itpro