آموزش Access Contorl List یا ACL در سیسکو( قسمت اول)

آموزش Access Control List یا ACL در سیسکو( قسمت اول)

در این مقاله قصد داریم درباره یکی از مسایل مهم امنیت شبکه یعنی Access Control List با شما صحبت کنیم.تجهیزات سیسکو امکاناتی را دارند که شما میتوانید با استفاده از آنها فیلترهایی را مشخص کنید.از جمله این فیلتر ها  عنوان مثال به موارد زیز اساره میکنیم:

  • عدم ارتباط یه سیستم خاص با یک سرور خاص
  • عدم ارتباط یک Vlan خاص با Vlan دیگر یا سرور خاص
  • قطع ارتباط کل شبکه با یک سرور خاص
  • ارتباط کل شبکه با سرویس Http یک سرور خاص و قطع ارتباط کل شبکه با پروتکل های ذیگر آن سرور

و…………..

فرض کنید در مجموعه کاری شما قسمتهای مختلفی وجود دارند مانند قسمتهای مالی و اداری و پشتیبانی و آِی تی و ………

برای اینکه بتوان امنیت شبکه را در حد مناسب برقرار کرد نباید قسمتهای دیگر مجموعه با نرم افزارهای مالی ارتباط برقرار کنند. این کاربران قسمت مالی هستند که فقط باید به این نرم افزارها بتواند متصل شوند.

Access Control List یا همان ACL  روشی برای فیلتر کردن ترافیک خروجی و ورودی بر روی اینترفیس های روتر می باشد،

دو نوع Access List وجود دارد:

۱٫Standard Access List

۲٫Extended Access List

در قسمت اول ار این آموزش به بررسی Standard Access List می پردازیم.

Satndard Access List: در این نوع اکسس لیست ها ما برای کنترل ترافیک ورودی و خروجی فقط ار IP فرستنده  میتوانیم استفاده کنیم.در واقع ما نیمتوانیم ار پروتکل ها و پورت ها برای مدیریت و فیلترینک استفاده کنیم.اگر بخواهیم فقط دسترسی به سرویس HTTP را برای کاربران ببندیم یا باز کنیم نمیتوانیم از این نوع Acess list استفاده کنیم.

در این سناریو ما بوسیله Inter Vlan Routing شبکه ای طراحی کرده ایم که در آن سه Vlan مالی و اداری و سرور فارم وجود دارند.

سرور والی وجود دارد با آدرس مشخص شده در سناریو،در حال حاضر تمامی قسمتهای مالی و اداری میتوانند برنامه سرور مالی را باز کنند و ارتباط برقرار کنند.

ما میخواهیم برای بالابرذن امنیت شبکه ارتباط قسمت اداری را با سرور مالی قطع کنیم و فقط سیستم های قسمت مالی بتوانتد به سرور مالی دسترسی داشته باشند.

به سویچ Core لاگین کرده و دستورات زیر را وارد میکنیم.

Access List استاندارد از شماره‌ های ۱ تا ۹۹ و ۱۳۰۰ تا ۱۹۹۹ استفاده میکند.

standard access list

در مرحله اول یک access list standard معرفی میکنیم.

در مرحله دوم ارتباطات vlan 200 که vlan اداری نام دارد را به سرور مالی میبندیم.

در مرحله سوم ارتباط vlan 100 که برای قسمت مالی میباشد را متصل میکنیم.

بعد از نوشتن standard access list باید آن را به vlan مربوطه یعنی vlan شرور مالی معرفی کنیم.

vlan 66 متعلق به سرور مالی میباشد.

حال اگر از روی سیستم های قسمت مالی ping 192.168.66.10 را بزنیم،مشاهده میکنیم که ارتباط برقرار است.

اگر از روی سیستم های قیمت اداری سرور مالی را ping کنیم با پیغام destination host unreachable مواجه میشویم.

منابع:

https://community.cisco.com/t5/switching/how-do-i-prevent-vlans-from-accessing-each-other/td-p/1137917

https://community.cisco.com/t5/switching/denying-all-vlans-from-access-to-certain-vlan-and-permitting-the/td-p/2974554

 

شما ممکن است این را هم بپسندید

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *