Access Lists در سوئیچ سیسکو
ACCESS LISTS برای ما محدودیت ایجاد می کند
فیلترینگ می کند
می تواند جلو ترافیک را بگیرد
یا ترافیکی که مد نظر ما هست را عبور دهد
روتر با اکسس لیست فقط می تواند روی ترافیک های که ازش عبور می کند را تصمیم گیری کند
یعنی بسته باید از روتر رد شود
access list پایه فایروال است و در همه جا کاربرد دارد
utm
روتر به ازای اینترفیس هایی که دارد دو جهت دارد یعنی هر اینترفیسی دو تا جهت دارد که یکی ورودی و یکی خروجی
به ورودی inbound و به جهت خروجی outbound می گویند
ساختن اکسس لیست هیچ تاثیری ندار تا زمانی که روی اینترفیس اعمال نکنیم اینترفیس مناسب و جهت مناسب
Access Lists دو نوع است
1- standard
2-extended
استاندارد از 1 تا 99 است , extended 100 تا 199 است
در ios های جدید یک سری تغیرات داشته اند
نوع اکسس لیست استاندارو extended قدرت آن را مشخص می کنند
standard
در نوع استاندارد access lists استاندارد فقط سورس ادرس source address را می بندد
در استاندارد نمی توانیم destination مشخص کنیم فقط سورس را می توانیم مشخص کنیم
استاندارد فقط بر مبنای سورس source کار می کند یعنی پروتکل و پورت را نمی توانیم در استاندارد تغییر دهیم فقط و فقط سورس
در نوع Extended
در نوع extended همه کار می توانیم انجام دهیم یعنی کاملا می توانیم جزئیات را بررسی کنیم
بر اساس سورس و destination کار می کند
source address
source port
source protocol
destination address
destination port
extended با جزئیات می توانیم مشخص کنیم کثلا کامپیوتر 10.1 با پروتکل tcp با پورت 100 سراغ وب سرور نرود
Access Lists در سوئیچ سیسکو
در اکسس لیست wildcard خیلی مهم است
access list 10 deny 192.168.10.0 0.0.0.255
در اکسس لیست خیلی احتیاط کنید
در استاندارد جهت مهم است
در نوع استاندارد اکسس لیست هم می توان جلو یک ایپی را گرفت و هم جلو یک شبکه را گرفت
اگر اکسس لیست می نویسید باید درست بنویسید
در access list standard
اگر گفتیم فقط ایپی مثل سیستم 10.1 را ببیند همیشه خط اخری deny any هست
یا EXPLICIT DENY
ACCESS LIST DENY 192.168.10.1 0.0.0.0
4 تا صفر نشان دهنده وایلد کارد WLC است یعتی بیت های با ارزش وقتی 4 تا صفر قرار می دهیم یعنی خود ایپی
خط اول که نوشتیم گفتیم یک ادرس را DENY کن
ACCESS LIST 10 PERMIT ANY
حالا روی اینترفیس باید اعمال کنیم
INT GIG 1/0/1
IP ACCESS GROUP 10 OUT
اول اکسس لیست را می نویسیم بعد APPLY می کنیم
HOST معادل وایلد کارد است و ایپی است
ACCESS LIST 10 DENY HOST 192.168.10.1
رول ها را باید یکی یکی بررسی کنیم با دستور
SHOW ACCESS LIST
Access Lists در سوئیچ سیسکو
باید بعد از رول این خط را اعمال کنیم تا خط اخر DENY ANY است بی فایده باشد
پس رول ها به این صورت است
DENY 192.168.10.0
PERMIT ANY
خط اخری خودش DENY دارد که بی تاثیر است ولی اگر OERMIT ANY را نزینم کار نمی کند
دستور SHOW ACCESS LIST
خط های اکسس لیست را به ما نشان می دهد
برای پاک کردن اکسس لیست فقط کافی است یک NO اولش بزنیم
اگر دستور SHOW RUN بزنیم ACCESS LIST را می بینیم
نکته اگر یک خط از اکسس لیست پاک کنیم کل اکسس لیست پاک می شود
برای پاک کردن اکسسس لیست روی اینترفیس مربوطه می رویم و دستور
NO IP ACCESS GROUP 10 OUT
را وارد می کنیم
کانال تلگرامی سیسکو CISCO
برای بستن اینکه یکه رنج ایپی های ما را نبینند
Core(config)#-Core(config)#int vlan 800
Core(config-if)#ip access-group block
Core(config-if)#ip access-group block-oic in
Core(config-if)#ip access-group block-oico out
_______________
ping 192.168.1.50 source vlan 800
برای تست اینکه از این سورس می تواند پینگ ویلن داشته باشد