Home CCNA הסבר והגדרת Access Control List או ACL ב Cisco Router

הסבר והגדרת Access Control List או ACL ב Cisco Router

0 comment
נהנתם מהמאמר ? שתפו אותו!

הסבר והגדרת Access Control List או ACL ב Cisco Router

Untitled-1

ACL הוא קיצור של Access Control List והוא למעשה הגדרה למי מותר לעבור בראוטר ולמי אסור (ACL קיימים בהמון נושאים, אך כאן נדבר על ACL בסיסקו ראוטר)
אך הוא מחליט על מה עובר ומה לא? הוא מחליט על בסיס הPacket שמגיע אליו, הוא פותח את ה Packet ומנתח את תוכנו

כל הזכויות שמורות לטל בן שושן – Shushan.co.il

Inbound And Outbound ACL

Inbound – אתם יכולים לחסום מהראוטר לקבל את הPacket ולשמוט אותה על פי הקרטריונים שקבעתם

Outbound – כאשר הראוטר מקבל Packet הוא יכול להחליט לא להעביר אותה על פי קריטריונים מסויימים

מונחים נוספים:

בתחתית ה ACL נמצאת הגדרה שאומרת חסום את כולם ולכן זה ACL שאומר "רק למי מותר"
ACL סטנדרטי חוסם על פי Source IP
ACL מורחב יכול לחסום על פי Source ו Destination IP

נתחיל מ

להורדת המעבדה

Standard ACL

sacl

אנו נבצע חסימה של מחשב PC0 אל השרת הנמצא למטה ואילו PC1 מצד ימין נאפשר לו לעבור,

נתחיל עם הפקודה access-list ולאחריה מספר מ1-99 (אלו המספרים התקניים ל Standard ACL) ואז נרשה Permit להוסט 192.168.1.10  גישה, ניתן לראות שזה PC1

Router#conf t

Router(config)#access-list 1 permit host 192.168.1.10

סיימנו! אתם בטח שאולים אך יכול להיות שזה כל ההגדרה לACL סטנדרטי ובכן, ברגע שהגדרתם ACL אפילו עם הוסט אחד אותו ACL מופעל ואיתו הגדרת ברירת המחדל access list 1 deny any שכן רק מי שמותר לו לעבור, יעבור!

כעת נעבור להחיל את זה על הפורט הרצוי של הראוטר שהוא כמובן G0/0

Router#conf t

Router(config)#interface g0/0

Router(config-if)#ip access-group 1 in

כעת נבדוק אם זה עובד, נבצע שליחת הודעה מPC1, ניתן לראות שעובד! ננסה כעת מPC0, לא עובד!

sacldone

Extended ACLs

להורדת המעבדה

ניתן לראות שבטופולוגיה זו הוספתי שרת נוסף,

extacl

בפקודה זו אחרי ה access-list יש את המספר 100 שכן אמרנו Standard ACL הוא מ1-99 ו100 הוא כבר Extended ACLs
כעת נגדיר שרק הוסט 192.168.1.10 יכול לגשת ל 192.168.2.10(ניתן להגדיר רשת שלמה על ידי \perfix)

Router(config)#access-list 100 permit ip host 192.168.1.10 host 192.168.2.10

כעת נגדיר הגדרה דומה, רק שנגדיר גם את הפרוטוקול שמותר לעבור

Router(config)#access-list 100 permit tcp host 192.168.1.20 host 192.168.2.20 eq www

ניתן לראות שהגדרתי פרוטוקול TCP , את המחשב ויעד שלו השרת ורק בפרוטוקול 80 שהוא הWWW בסיסקו

כעת נגדיר באיזה פורט

Router(config)#interface g0/0

Router(config-if)#ip access-group 100 in

מעולה!

כעת נבדוק,

נבצע פינג מ 192.168.1.10 ל 192.168.2.10 והכל עובד! נבצע פינג מ 192.168.1.10 ל 192.168.2.20 לא עובד (מעולה, כך הגדרנו)

10

נבדוק כעת פינג מ 192.168.1.20 ל2 השרתים 192.168.2.10 ו 192.168.2.20 לא עובד… (מעולה, הגדרנו רק פורט 80)

20

נבדוק אם פורט 80 עובד לנו

80

נבצע Telnet, ועובד!!!

להורדת המעבדה (מוכנה)

מאמרים קשורים

Leave a Comment