VACL چیست و چگونه کار میکند؟
قبل از اینکه به سوال VACL چیست بپردازیم. بیایین قبلش IP-ACL و یا ACL رو با هم مرور کنیم. لیست های کنترل دسترسی (IP-ACL) ها توسط روترها، سوئیچ های لایه 3 و فایروال ها برای اجازه عبور و یا عدم اجازه ارسال یا دریافت یک ترافیک بر اساس آدرس آی پی آن استفاده میشود. در واقع میتونیم بگیم که ACL ها مانند نگهبانانی هستند که هنگام عبور یک ترافیک از یک فضای آدرس شبکه به دیگری آنها را کنترل می کنند و اجازه عبور آنها را صادر میکنند و یا جلوع عبور را می گیرند. سوئیچ Cisco همچنین می تواند ACL را در لایه 2 و روی VLAN ها اعمال کند. به این نوع ویژه ACL یک لیست کنترل دسترسی VLAN و یا VACL گفته می شود.
پیکربندی پایین به ما نشان می دهد که چگونه می توان یک VACL را تنظیم کرد که امکان Telnet برای آدرس IP 10.2.2.13 را ایجاد کرده و همه ترافیک های دیگر را متوقف می کند. در این مثال یک Access-Map بنام Permit-TELNET وجود دارد که در آن از ACL-120 استفاده می شود. و در نهایت VLAN (یعنی VACL) در محدوده 1 تا 50 بر روی VLAN ها اعمال می شود.
Switch1(config)#access-list 120 permit tcp any host 10.2.2.13 eq telnet
Switch1(config)#vlan access-map Permit-TELNET 10
Switch1(config-access-map)#match ip address 120
Switch1(config-access-map)#action forward
Switch1(config-access-map)#exit
Switch1(config)#vlan filter ALLOWTELNET vlan-list 1-50
بیایید نگاهی عمیق تر به VLAN Access List داشته باشیم.
Access list ترافیک را هنگام عبور از یک سوئیچ کنترل می کنند. لیست های دسترسی با استفاده از حافظه آدرس دهی محتوای سه گانه TCAM (Ternary content-addressable) ترافیک را فیلتر می کنند. لیست های دسترسی به TCAM نوشته شده اند و هر ACL روی خروجی یا ورودی یک Interface اعمال می شود. از این طریق سوئیچ می تواند بسته ها را بررسی کرده و آنها را با استفاده از تراشه سخت افزاری فیلتر کند و هیچ کندی در اعمال ACL احساس نخواهد شد. این نوع ACL های “سریع” RACL نامیده می شوند. همه بسته ها از این طریق قابل فیلتر نیستند ، فقط بسته هایی که بین VLAN ها می توانند عبور کنند به این شیوه قابلیت فیلتر دارند.
تا الان سه نوع ACL را معرفی کردیم شامل:
- Router Access Control Lists( RACLs)
- Port Access Control Lists (PACLs)
- VLAN Access Control Lists (VACLs)
بیاین هر کدوم رو با مثال و ذکر مشخصات بررسی کنیم:
Router Access Control Lists( RACLs)
RACL لیست های کنترل دسترسی روتر، شناخته شده ترین لیست کنترل دسترسی ACL است. وقتی به لیست های Access فکر می کنید، در اصل به فکر RACL هستید. RACL مخفف Router-ACL است زیرا برای کنترل ترافیک روتر و در لایه 3 استفاده می شود. PACL ها Port Access Control هستند و از آنها برای کنترل ترافیک برای لایه ورودی استفاده می شود.
لیست کنترل دسترسی VLAN برای کنترل ترافیک درون VLAN استفاده می شود که آنها موضوع اصلی این مقاله هستند.
VACL ها کمی متفاوت از RACL هستند. آنها همچنین در TCAM ادغام شده اند، این قابلیت می تواند بسته های همسان را permit, deny, ویا redirect کنند همچنین VACL ها می توانند در route map فراخوانی شوند و حتی با شرط های مختلف نیز استفاده شوند.
نمونه پیکربندی VACL برای سوئیچ Catalyst Cisco
VACL ها دقیقاً مانند route map پیکربندی و استفاده می شوند. VLAN Access MAP شامل عباراتی است که در Access Map نیز استفاده شده است.
Switch1(config)# vlan access-map Permit-TELNET 10
موارد نوشته شده در Access-Map به ترتیب شماره استفاده میشوند.
هر خط می تواند یک یا چند شرط داشته باشد و به دنبال آن یک عمل انجام شود.
شرایط مطابقت: ترافیکی را که می خواهیم فیلتر کند را شناسایی می کند.
تطابق همیشه توسط لیست دسترسی انجام می شود. اکنون این شرایط مطابقت را ایجاد می کنیم و شماره لیست دسترسی را در آن قرار می دهیم. پس از آن ما لیست دسترسی را ارائه می دهیم که شرایط مطابقت را نشان می دهد:
Switch1(config-access-map)# match ip address 120
Switch1(config)#access-list 120 permit tcp any host 10.2.2.13 eq telnet
شما می توانید چندین شرایط مطابقت را ایجاد کنید ولی شرط اول باعث می شود که یک اقدام انجام شود. عمل به صورت زیر تنظیم شده است:
Switch1(config-access-map)#action forward
VACL دارای چندین عمل متفاوت است که می تواند یک بسته مطابق را دراپ کند، آن را به جلو هدایت کند یا آن را به اینترفیس دیگری بفرستد TCAM وظیفه فعال کردن کل عملکردهای VACL را دارد، زیرا بسته ها در یک VLAN ایجاد شده یا در یک یا به یک VLAN منتقل می شوند.
ما با استفاده از این دستور از VACL در VLAN استفاده می کنیم:
Switch1(config)#vlan filter ALLOWTELNET vlan-list 1-50
ما باید مطمئن باشیم که می دانیم چگونه VACL اعمال می شود. VACL در سطح Global به یک یا چند VLAN ذکر شده اعمال می شود. آن را به رابط VLAN – SVI وصل نمی کنیم. ایترفیس های VLAN نقطه ای است که بسته ها وارد یا از آن خارج می شوند. منطقی نیست که VACL را در آن رابط استفاده کنید. VACL ها باید در خود VLAN عمل کنند، جایی که جهت ورودی یا خروجی وجود ندارد.
مطالب زیر را حتما بخوانید
-
آشنایی با Beats: ابزارهای جمعآوری داده در اکوسیستم ELK
39 بازدید
-
راهنمای جامع PowerShell Remoting: مدیریت از راه دور ویندوز بهصورت امن و کارآمد
47 بازدید
-
بررسی کامل Routersploit: ابزار تست نفوذ و ارزیابی امنیت روترها
128 بازدید
-
همه چیز درباره +CompTIA A: دروازه ورود به دنیای فناوری اطلاعات
111 بازدید
-
بررسی امنیت در مجازیسازی: تهدیدات، چالشها و راهکارها
268 بازدید
-
آشنایی با VMware vCenter: معماری، نصب و بهترین شیوههای مدیریت زیرساخت مجازی
131 بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.