فهرست‌های کنترل دسترسی (ACLs) مخفف Access control lists با فیلتر کردن بسته‌ها بر فرآیند ارسال و دریافت بسته‌ها در یک شبکه نظارت می‌کنند.

مکانیزم فیلتر کردن بسته‌ها برای برقراری امنیت در یک شبکه ارتباطی با محدود کردن دسترسی به ترافیک شبکه، محدودسازی دسترسی کاربران و دستگاه‌ها به یک شبکه و ممانعت از خروج ترافیک شبکه به مدیران شبکه اطمینان می‌دهند داده‌های آن‌ها در امنیت کامل قرار دارند. همچنین فهرست‌های کنترل دسترسی مبتنی بر نام آی‌پی (IP Named Access Control Lists) به مدیران شبکه اجازه می‌دهند از نام‌ها برای شناسایی فهرست‌های دسترسی استفاده کنند. ماژول فوق برای توصیف فهرست‌های دسترسی مبتنی بر نام آی‌پی و چگونگی نحوه پیکربندی آن‌ها استفاده می‌شود.

مفهوم فهرست کنترل دسترسی

فهرست کنترل دسترسی یکی از مهم‌ترین مباحث پیرامون شبکه‌ها است که به مدیران اجازه می‌دهد به شکل بهتری شبکه ارتباطی را مدیریت کنند. در این مطلب به بخشی از قابلیت‌های ACL پرداخته ایم. با تیم کارشناسی عصر رایان شبکه همراه باشید.

کاربرد فهرست‌های دسترسی آی‌پی تنها محدود به مباحث امنیتی نیست و کاربردهای دیگری در زمینه کنترل پهنای باند، محدود کردن محتوای به‌روزرسانی‌های مسیریابی، توزیع مجدد مسیرها، برقراری تماس‌های مبتنی بر تقاضا (DDR)، محدود کردن اشکال‌زدایی خروجی و شناسایی یا طبقه‌بندی ترافیک برای ویژگی‌ کیفیت خدمات (QoS) را شامل می‌شوند.

یک فهرست دسترسی، فهرستی متوالی است که شامل حداقل یک دستور permit و شاید یک یا چند دستور deny است. در مورد فهرست‌های دسترسی آی‌پی، این دستورالعمل‌ها می‌توانند روی آدرس‌های آی‌پی، پروتکل‌های آی‌پی-لایه بالاتر یا سایر فیلد‌های درون بسته‌های آی‌پی اعمال شوند.

فهرست‌های دسترسی با یک نام یا یک شماره، شناسایی و ارجاع داده می‌شوند و عملکردی شبیه به فیلترهای بسته‌های داده‌ای دارند و بسته‌ها را بر مبنای معیارهایی که درون هر فهرست دسترسی تعیین شده‌اند فیلتر می‌کنند.

پس از آن‌که فهرست دسترسی را پیکربندی کردید، در مرحله بعد برای استفاده از فهرست دسترسی باید فهرست ‌را روی یک رابط کاربری با استفاده از دستور ip access-group، یک vty با استفاده از فرمان access-class اعمال کرده یا از تکنیک ارجاع‌دهی استفاده کنید که در این حالت باید از هر فرمانی که یک فهرست دسترسی از آن پشتیبانی می‌کند استفاده کنید. لازم به توضیح است که فرمان‌های چندگانه می‌توانند به فهرست دسترسی یکسانی اشاره کنند.

در پیکربندی زیر، یک فهرست دسترسی آی‌پی به‌نام Branchoffices روی رابط Fast Ethernet 0/1/0 پیکربندی شده و روی بسته‌های ورودی اعمال می‌شود. شبکه‌هایی به غیر از شبکه‌ مشخص شده توسط جفت آدرس منبع و ماسک نمی‌توانند به رابط Fast Ethernet 0/1/0  دسترسی پیدا کنند. مقصد می‌تواند بسته‌های دریافت شده از منابع روی شبکه به نشانی 172.16.7.0 را دریافت کند. مقصد برای بسته‌های واردشونده از منابعی روی شبکه 172.16.2.0 باید به آدرس آی‌پی 172.31.5.4 تنظیم شده‌ باشد.

ip access-list extended branchoffices

 10 permit 172.16.7.0 0.0.0.3 any

 20 permit 172.16.2.0 0.0.0.255 host 172.31.5.4

!

interface fastethernet 0/1/0

ip access-group branchoffices in