Extended ACL چیست و نحوی تنظیم آن در تجهیزات سیسکو

در آموزش قبلی با مفاهیم و عملکرد Access Control List یا ACL آشنا شدیم و همچنین نحوی تنظیم و استفاده از Standard ACL را فرا گرفتیم در این آموزش با یک نوع دیگر Access list آشنا می شویم.
Extended ACL نوعی دیگری از ACL است که برخلاف Standard ACL می تواند ترافیک را براساس فیلدها و پارامترهای مختلف برای ما کنترل کند. وجود پارامترهای فراوان به ما این امکان را می دهد که بتوانیم ترافیک ها را به صورت دقیق تر و بهتر کنترل کنیم. در Standard ACL ما تنها می توانیم براساس آدرس مبدا ، بسته ها را کنترل کنیم ولی Extended ACL می تواند کنترل را براساس آدرس مبدا و مقصد ، شماره پورت مبدا و مقصد ، نوع پروتکل و … انجام دهد در نتیجه Extended ACL به عنوان یک ابزار قدرتمند برای مدیران برای کنترل ترافیک محسوب می شود.
در همه نسخه ها ، برای Extended ACL می توان یک عدد از 100 تا 199 در نظر گرفت. از نسخه IOS 11.2 سیسکو امکان تعریف Extended ACL به وسیله نام فراهم شد و همچنین از نسخه IOS 12.0.1 سیسکو محدود عددی بین 2000 تا 2699 برای Extended ACL اضافه شد.


پارامترهای که می توان توسط Extended ACL کنترل کرد:

  • آدرس IP مبدا
  • آدرس IP مقصد
  • شماره پورت مبدا
  • شماره پورت مقصد
  • نوع پروتکل

 


نحوی تعریف Extended ACL در حالت عددی:

access-list access-list-number {permit|deny} protocol source [Source port]destination [destination port]

access-list-number : عدد بین 100 تا 199 یا 2000 تا 2699
permit|deny : عملی که در هنگام تطبیق بسته با َACL نسبت با آن گرفته می شود(اجازه عبور یا عدم اجازه)
Protocol : مشخص کردن نوع پروتکل مثل TCP ، UDP ، IP و …
Source : مشخص کردن IP مبدا به یکی از سه روش زیر:

  • Host : یک ادرس IP مشخص می کنیم مانند Host 192.168.1.1
  • Any : هر IP آدرسی
  • source source-wildcard : تعیین یک IP به همراه Wildcard Mask

Source port : شماره پورت مبدا بسته
destination: مشخص کردن IP مقصد به یکی از سه روش زیر:

  • Host : یک ادرس IP مشخص می کنیم مانند Host 192.168.1.1
  • Any : هر IP آدرسی
  • source source-wildcard : تعیین یک IP به همراه Wildcard Mask

destination port : شماره پورت مبدا بسته

نحوی تعریف Extended ACL با استفاده از نام :

IP Access-list {standard|extended} name
{permit|deny} protocol source [Source port] destination [destination port]	
	

نحوی تخصیص Extended ACL به اینترقیس:

Ip access-group {number|name} {in|out}

 


با توجه به تصویر زیر ، می خواهیم به وسیله Extended ACL امکان دسترسی PC1 را به سرور از طریق وب قطع کنیم اما PC1 از طریق پروتکل های دیگر مانند ICMP بتواند با سرور ارتباط داشته باشد.

Image

برای اینکار با استفاده از IP آدرس PC1 و همچنین پورت وب که 80 می باشد یک ACL در Global Mode به صورت زیر تعریف می کنیم:
تعریف به صورت عددی:

Router(config)#access-list 101 deny tcp host 192.168.1.1 host 5.5.5.5 eq 80 
Router(config)#access-list 101 permit ip any any

تعریف با استفاده از نام:

Router(config)#ip access-list Extended itpro
Router(config-ext-nacl)# deny tcp host 192.168.1.1 host 5.5.5.5 eq 80
Router(config-ext-nacl)# permit ip any any

سپس آنرا به اینترفیس مورد نظر با استفاده از دستور زیر اختصاص می دهیم:

Router(config)#interface fastEthernet 0/0
Router(config-if)#ip access-group 101 in

  • نکته : برای هر یک از جهت های ترافیک تنها یک ACL می توان در نظر گرفت در نتیجه حداکثر به یک اینترفیس می توان دو ACL اختصاص داد.

 

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published. Required fields are marked *