Mask اولی به روتر میگوید که تمامی 32 بیت آدرس پیام رسیده باید با آدرس مشخص شده در لیست ACL برابر باشد تا اینکه قانون مورد نظر روی آن اجرا شود . برای همین هم اگر Wildcard Mask برابر با 0.0.0.0 باشد ، به نام host mask نامیده میشود .
یک مثال ساده میزنیم : اگر قانون موجود در ACL را به صورت مقابل داشته باشیم : 192.168.1.1. 0.0.0.0 به این معنی است که روتر دقیقا بدنبال آدرس 192.168.1.1 در بین پیام های رسیده میگردد که اگر هیچ مشابهی پیدا نشود ، روتر موارد بعدی موجود در لیست ACL را بررسی می نماید . بعد از اینکه لیست ACL را بصورت 192.168.1.1 0.0.0.0 تنظیم نمودیم ، روتر بطور اتوماتیک آن را به حالت host 192.168.1.1 در خواهد آورد .
Mask دوم (255.255.255.255) به روتر میفهماند که همه آدرس هایی که وارد روتر میشوند قابل پذیرش بوده و قانون مزبور روی همه پیام های ورودی اجرا خواهند شد . معمولا این نوع را بصورت آدرس IP برابر با 0.0.0.0 و Wildcard Mask برابر با 255.255.255.255 در داخل ACL مشخص میکنیم : 255.255.255.255 0.0.0.0 که روتر آن را به صورت any 0.0.0.0 در خواهد آورد . آدرس IP نوشته شده در این فرمول اهمیت چندانی نداشته و میتوان هر آدرسی را به دلخواه وارد نمود . مثلا میتوان نوشت : 255.255.255.255 192.168.1.145 که در این حالت نیز روتر صرف نظر از آدرسی که مشخص شده است ، به علت Mask داده شده ، همه آدرس ها را قبول خواهد کرد . برای اینکه بهتر بتوانید با Wildcard Mask آشنا شوید ، چند مثال را در این باره مطرح میکنیم . جدول زیر برخی از آدرس های IP و Wildcard Mask را نشان میدهد .
Access List ها دو نوع به شرح زیر میباشند :
1- Standard Access List
2- Extended Access List
Standard Access List : توسط این ACL ها میتوانید اقدام به کنترل ترافیک ورودی و خروجی بر اساس source ip address یا آدرس فرستنده نمایید و این نوع ACL قادر به کنترل ترافیک ورودی و خروجی بر اساس پروتکل ها و همچنین بر اساس آدرس مقصد نمی باشد . این ACL ها از طریق شماره شناسایی میشوند . شماره های 99-1 و 1999-1300 مربوط به Standard Access List ها می باشد .
Extended Access List : این ACL ها قادر به کنترل ترافیک ورودی و خروجی بر اساس پروتکل های لایه 3 مانند IP و همچنین پروتکل های TCP,UDP و همچنین بر اساس پورت ها و سایر پروتکل های شبکه مانند ICMP,IGMP,OSPF,EIGRP و … میباشند . این ACL ها از طریق شماره شناسایی میشوند . شماره های 199-100 و 2699-2000 مربوط به Extended Access List ها میباشد .
ACL های استاندارد ساده ترین نوع ACL ها میباشند و عمل فیلتر کردن ترافیک ها را فقط بر اساس آدرس IP منبع فرستنده پیام انجام میدهند . دستور زیر را می توان برای ایجاد یک ACL استاندارد به کار برد :
Router(Config)access-list ACL_NUM<{permit} | {deny} SOURCE_IP_ADDRESS WILDCARD_MASK
برای درک بهتر و آسانتر از طریق یک سناریو پیکربندی Standard Access List بر روی یک روتر را نشان میدهیم :
مرحله اول : پیکربندی IP Address روی Interface های روتر
مرحله دوم : پیکربندی Standard Access List بر روی روتر : در این مرحله ما یک access list نوع standard تعریف خواهیم نمود ، همانطور که در دستور مشاهده میکنید ، با این ACL مانع از دسترسی کامپیوتر PC2 به سرور خواهیم شد .
1
Router(Config)#access-list 1 deny host 192.168.1.3
Router(Config)#access-list 1 permit any
Router(Config)#access-list 1 deny host 192.168.1.3 */دستور اول
در این خط ما با دستور access list 1 یک ACL نوع استاندارد با شماره 1 تعیین نموده ایم . در ادامه همین دستور عبارت deny ذکر شده است که برای مانع شدن ترافیک استفاده می شود . در ادامه دستور کلمه host ذکر شده است ، اشاره به تعریف یک host خاص با IP مشخص را دارد که آدرس این host در این مثال 192.198.1.3 می باشد .
نتیجه اعمال ACL : این خط از ACL مانع از عبور ترافیکی که مبدا آن PC-2 باشد ، خواهد شد .
Router(Config)#access-list 1 permit any */ دستور دوم
در خط بعد ، قانون دوم را به ACL 1 اضافه میکنیم که این بار به جای deny از عبارت permit استفاده شده است یعنی صدور اجازه عبور ترافیک و به جای تعیین شبکه یا host خاص به همه host اجازه داده ده است عبارت any اشاره به کل آدرس های مبدا دارد .
نتیجه اعمال ACL : این خط از ACL اجازه عبور ترافیک از هر آدرس مبدایی را که باشد خواهد داد .
مرحله سوم : اعمال Access List به Interface
در این مرحله ما میخواهیم این ACL شماره 1 را که در مرحله 2 ایجاد نموده ایم ، به اینترفیس F0/0 برای Inbound اعمال نماییم . این عمل باعث میشود که هر ترافیکی که میخواهد به این Interface وارد شود با قوانین داخل ACL alhvi 1 بررسی شود که آیا اجازه عبور دارد یا خیر .
Router(Config-if)#ip access-group 1 inbound
مرحله چهارم : کنترل و تصدیق پیکربندی ACL :
در این مرحله از PC-2 که متصل به Switch 1 میباشد کامپیوترServer ، که متصل به Switch 2 میباشد را Ping میکنیم . همانطور که مشاهده میکنید ، ارتباط بین PC2 و Server توسط ACL مسدود (deny) شده است .
اعمال محدودیت در دسترسی به طریق Telnet:
در کنار قابلیت ACL های استاندارد برای کنترل ترافیک ورودی و خروجی از اینترفیس های روتر، میتوان محدودیتهایی را در دسترس از طریق Telnet به روتر ها نیز اعمال کرد. مثلا میتوان فقط مدیران را قادر ساخت که از طریقtelnet با روتر شما اتصال برقرار نمایند.
اولین قدم ایجاد یکACL است که در لیست آن آدرس IPتمامی دستگاه هایی که مدیران از طریق آن دستگاهها به روتر ما ارتباطtelnet را برقرار خواهند نمود مشخص کرده و اجازه دسترسی را به وسیله تایپ permit به آنها میدهیم. در مرحله بعدیACL ایجادی خود را باید فعال سازیم، اما نه بر روی یکی از Interfaceهای روتر .در چنین وضعیتیACL مربوطه را باید درVty Line فعال سازیم.
Router(config)#line VTY 0 4
Router(config)#access-class STANDARD_ACL_NUM in|out