http://www.ictnews.ir/
http://ictnews.ir
چهارشنبه 1 مهر 1394
طرح درس مدرک بين المللي CCNA
طرح درس مدرک بين المللي CCNA

در اين بخش به تشريح فرآيند DHCP مي‌پردازيم. در طول بحث به موضوعاتي مانند فهرست‌هاي کنترل دسترسي يا ACLها و ترجمه آدرس شبکه يا NAT پرداخته و سپس توضيح خواهيم داد که چطور مي‌توانيد يک روتر را به‌عنوان يک کلاينت NTP پيکربندي کنيد.

پيکربندي و بررسي DHCP (روتر IOS)
وقتي DHCP يا به‌طور کامل‌تر Dynamic Host Configuration Protocol را در نظر مي‌گيريم، عموما تصور مي‌کنيم که اين سرويس توسط يک سرور تامين مي‌شود. البته اين موضوع تا حدود بسيار زيادي درست است، اما DHCP مي‌تواند روي يک روتر نيز پيکربندي شود.
براي پيکربندي يک سرور DHCP براي ميزبان‌هاي خود، حداقل به اطلاعات زير نياز خواهيد داشت:
- شبکه و ماسک براي هر LAN: تمام آدرس‌ها در يک Subnet مي‌توانند به‌طور پيش‌فرض به ميزبان‌ها «اجاره» داده شوند.
- آدرس‌هاي رزرو شده و مستثني شده: آدرس‌هاي رزرو شده براي چاپگرها، سرورها، روترها و...، اين آدرس‌ها به ميزبان‌ها تعلق نخواهند گرفت. اولين آدرس هر Subnet معمولا براي روتر رزرو شده است، اما شما الزاما مجبور نيستيد اين کار را انجام دهيد.
- روتر پيش‌فرض: آدرس روتر براي هر LAN.
- آدرس DNS: فهرستي از آدرس‌هاي سرور DNS که در اختيار ميزبان‌ها قرار مي‌گيرد تا بتوانند فرآيند تجزيه نام‌هاي خود را انجام دهند.
مراحل پيکربندي عبارتند از:
1 – آدرس‌هايي که مي‌خواهيد رزرو شوند را مستثني کنيد. دليل انجام اين‌کار پيش از ساير موارد اين است که به‌محض تنظيم يک ID شبکه، سرويس DHCP پاسخ‌ دادن به درخواست‌هاي کلاينت‌ها را آغاز مي‌کند.
2 – مخزن (Pool) خودتان براي هر LAN را با استفاده از يک نام منحصربه‌فرد ايجاد کنيد.
3 – ID شبکه و ماسک Subnet را براي مخزن DHCP که سرور از آن به‌منظور تامين آدرس‌ها براي ميزبان‌ها استفاده خواهد نمود، انتخاب کنيد.
4 – آدرس مورد استفاده براي گيت‌وي پيش‌فرض Subnet را اضافه کنيد.
5 – آدرس (يا آدرس‌هاي) سرور DNS را تامين کنيد.
6 – اگر نمي‌خواهيد از زمان اجاره پيش‌فرض 24 ساعته براي آدرس‌ها استفاده نماييد، بايستي زمان اجاره را همانند مثال‌هاي زير بر حسب روز، ساعت و دقيقه تنظيم کنيد:
Router(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.10
Router(config)#ip dhcp pool Sales_Wireless
Router(dhcp-config)#network 192.168.10.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.10.1
Router(dhcp-config)#dns-server 4.4.4.4
Router(dhcp-config)#lease 3 12 15
 
پيکربندي اينترفيس‌هاي روتر براي استفاده از DHCP
اينترفيس روي روتر که کلاينت‌هاي DHCP از آن به‌عنوان گيت‌وي پيش‌فرض خود استفاده خواهند کرد را پيکربندي نماييد. اگر آدرس صحيحي روي اينترفيس قرار نگرفته باشد، هيچ‌يک از آدرس‌هاي مخزن DHCP واگذار نخواهند شد.
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip address 192.168.10.1 255.255.255.0
Router(config-if)#no shutdown

گزينه‌هاي DHCP
اگر نياز داريد آدرس‌هايي را از يک سرور DHCP در اختيار ميزبان‌هايي قرار دهيد که روي همان LAN سرور DHCP قرار ندارند، مي‌توانيد اينترفيس روتر خود را براي رله يا ارسال درخواست‌هاي کلاينت DHCP پيکربندي نماييد (شکل 1). اگر اين سرويس را تامين نکنيد، روتر برادکست کلاينت DHCP را دريافت مي‌نمايد، اما بلافاصله آن را ناديده مي‌گيرد و ميزبان دور هرگز آدرسي را دريافت نخواهد کرد.
Router(config)#interface fa0/0
Router(config-if)#ip helper-address 10.10.10.254
 
آدرس‌هاي مستثني شده
آدرس‌هاي مستثني شده (Excluded) در يک مخزن DHCP، واقعا مورد نياز هستند. در مخزن آدرس‌هاي قابل دسترسي، شما تقريبا هميشه مي‌خواهيد آدرس‌هايي را براي ميزبان‌هايي مانند اينترفيس روتر، سرورها و چاپگرها رزرو کنيد. اگر يک سوييچ در شبکه داشته باشيد، همچنين بايد يک آدرس IP را براي مديريت سوييچ (VLAN1) رزرو نماييد.

زمان اجاره (Lease Tie)
به‌طور پيش‌فرض، روترهاي سيسکو يک زمان اجاره 24 ساعته را براي آدرس‌هاي IP در نظر مي‌گيرند. البته شما مي‌توانيد اين زمان را با استفاده از ترکيب فرمان زير به‌مقدار مورد نظر خودتان تغيير دهيد:
Router(dhcp-config)# lease {days [hours][minutes]
از فرمان show ip dhcp binding براي نمايش تاريخ و زمان انقضاي اجاره آدرس IP ميزبان استفاده کنيد.

انواع، ويژگي‌ها و کاربردهاي ACLها
امن‌سازي شبکه‌تان، يک امر حياتي است. پيکربندي و استفاده مناسب از فهرست‌هاي کنترل دسترسي يا ACLها، بخش فوق‌العاده مهمي از پيکربندي روتر را تشکيل مي‌دهد زيرا آن‌ها تجهيزات شبکه‌سازي بسيار تطبيق‌پذيري هستند. فهرست‌هاي دسترسي با مشارکت قدرتمند در بازدهي و عملکرد شبکه شما، کنترل گسترده‌اي روي جريان ترافيک سراسر انترپرايز را در اختيار مديران شبکه قرار مي‌دهند. ما با فهرست‌هاي دسترسي مي‌توانيم آمارهاي پايه در مورد جريان بسته‌ها را جمع‌آوري نموده و خط‌مشي‌هاي امنيتي را پياده‌سازي کنيم. اين ابزارهاي پويا در عين حال به ما امکان مي‌دهند تا از ابزارهاي حساس در برابر خط دسترسي غيرمجاز محافظت نماييم. به‌زبان ساده‌تر، فهرست‌هاي دسترسي در پياده‌سازي خط‌مشي‌هاي امنيتي با فيلترگذاري بسته‌هاي ناخواسته به ما کمک مي‌کنند.
ايجاد فهرست‌هاي دسترسي واقعا شباهت زيادي به برنامه‌نويسي مجموعه‌اي از دستورالعمل‌هاي if/then دارد: اگر شرايط خاصي ايجاد شود، اقدام معيني انجام خواهد شد. اگر يک شرط خاص تامين نشده باشد، هيچ اتفاقي نخواهد افتاد و بيان شرطي بعدي ارزيابي مي‌شود. بيان‌هاي فهرست دسترسي اساسا فيلترهاي بسته‌اي هستند که بسته‌هاي ترافيک با آن‌ها مقايسه و دسته‌بندي شده و به‌طور مقتضي با آن‌ها رفتار مي‌شود. پس از آن‌که فهرست‌ها ايجاد شدند، مي‌توانند روي ترافيک ورودي يا خروجي هر اينترفيس اعمال شوند. اعمال يک فهرست دسترسي باعث مي‌شود روتر هر بسته‌اي که در مسير مشخصي از يک اينترفيس عبور مي‌کند را آناليز نموده و سپس اقدامات مقتضي را انجام دهد.
سه قاعده مهم در رابطه با مقايسه يک بسته با فهرست دسترسي وجود دارد:
- بسته هميشه با يک ترتيب متوالي با هر يک از خطوط فهرست دسترسي مقايسه مي‌شود. به‌عبارت ديگر مقايسه هميشه از خط 1 آغاز مي‌شود، سپس به خط 2 مي‌رود و...
- بسته تنها تا زماني که يک انطباق پيدا شود با خطوط فهرست دسترسي مقايسه خواهد شد. به‌محض آن‌که بسته با شرط تعريف شده در يک خط از فهرست دسترسي انطباق داشته باشد، به‌طور مقتضي با آن رفتار خواهد شد و مقايسه ديگر ادامه پيدا نمي‌کند.
- يک رد (Deny) مطلق در انتهاي هر فهرست دسترسي وجود دارد. به اين ترتيب اگر بسته با شروط هيچ يک از خطوط فهرست دسترسي انطباق نداشته باشد، رد خواهد شد.
هر يک از اين قواعد در هنگام فيلترگذاري بسته‌هاي IP با فهرست‌هاي دسترسي مفاهيم بسيار قدرتمندي دارند. بنابراين توجه داشته باشيد که ايجاد فهرست‌هاي دسترسي کارآمد قطعا به مهارت و تجربه نياز دارد.

فهرست‌هاي استاندارد
اين ACLها تنها از آدرس IP مبدا در يک بسته IP به‌عنوان آزمايش شرط استفاده مي‌کنند. به‌عبارت ديگر تمام تصميم‌گيري‌ها بر اساس آدرس IP مبدا انجام مي‌شوند. در نتيجه فهرست‌هاي دسترسي استاندارد اساسا يک مجموعه کامل از پروتکل‌ها را رد يا تاييد مي‌کنند. آن‌ها بين هيچ‌يک از انواع فراوان ترافيک‌‌هاي IP مانند وب، Telnet، UDP و... تمايزي قايل نمي‌شوند.
فهرست‌هاي دسترسي IP استاندارد، ترافيک شبکه را با بررسي آدرس IP مبدا در يک بسته فيلترگذاري مي‌کنند. شما يک فهرست دسترسي IP استاندارد را با استفاده از شماره‌هاي فهرست دسترسي 1 تا 99 يا شماره‌هاي دامنه توسعه‌يافته 1300 تا 1999 ايجاد مي‌نماييد.
Router(config)#access-list 10 ?
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment
شماره‌هاي ترتيب
شماره‌هاي ترتيب (Sequence numbers) به‌شما امکان مي‌دهند موقعيت خاصي از ورودي‌هاي داخل ACL را مشخص کنيد. شما مي‌توانيد يک بيان ACL را در يک موقعيت مطلوب در داخل فهرست موجود قرار دهيد.

ويرايش
ويرايش يک ACL به ترتيب‌بندي مجدد بيان‌هاي ACL در يک موقعيت يا ترتيب مطلوب، مربوط مي‌شود. مقادير ترتيب‌بندي از 10 شروع شده و سپس به افزونه‌هاي 10 تايي جلو مي‌روند (10، 20، 30، 40 و...). اگر يک ورودي فاقد شماره ترتيب باشد، شماره ترتيبي معادل آخرين ورودي به‌علاوه 10 را دريافت مي‌کند.

فهرست‌هاي دسترسي توسعه‌يافته
فهرست‌هاي دسترسي توسعه‌يافته مي‌توانند بسياري از فيلدهاي ديگر را در هدرهاي لايه 3 و لايه 4 يک بسته IP ارزيابي نمايند. آن‌ها مي‌توانند آدرس‌هاي IP مبدا و مقصد، فيلد پروتکل در هدر لايه Network و شماره درگاه در هدر لايه Transport را ارزيابي کنند. اين ويژگي، توانايي تصميم‌گيري‌هايي با دانه‌بندي بسيار گسترده‌تر در هنگام کنترل ترافيک را در اختيار فهرست‌هاي دسترسي توسعه‌يافته قرار مي‌دهد.
شماره‌هاي فهرست دسترسي توسعه‌يافته بين 100 تا 199 است. البته دامنه 2000 تا 2699 نيز در اختيار اين فهرست‌ها قرار دارد. در مثال زير، دسترسي Telnet به ميزبان 172.16.30.2 رد شده است:
Router(config)#access-list 110 deny tcp any host 172.16.30.2 eq 23
 
فهرست‌هاي نام‌دار
فهرست‌هاي دسترسي نام‌دار (Named) فهرست‌هاي استاندارد يا توسعه‌يافته هستند و عملا نوع متمايزي از فهرست‌ها را تشکيل نمي‌دهند. ايجاد و اشاره به اين فهرست‌ها به‌صورت متفاوتي نسبت به فهرست‌هاي استاندارد و توسعه‌يافته انجام مي‌شود، اما هنوز عملکرد مشابهي دارند.

شماره‌گذاري
خروجي زير يک مثال خوب از دامنه گسترده شماره‌هاي فهرست دسترسي که شما مي‌توانيد از آن‌ها براي فيلترگذاري شبکه خود استفاده کنيد را نشان مي‌دهد. نسخه IOS پروتکل‌هايي که شما مي‌توانيد دسترسي را براي آن‌ها مشخص نماييد، تعيين مي‌کند:
Router(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1000-1099> IPX SAP access list
<1100-1199> Extended 48-bit MAC address access list
<1200-1299> IPX summary address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<300-399> DECnet access list
<600-699> Appletalk access list
<700-799> 48-bit MAC address access list
<800-899> IPX standard access list
<900-999> IPX extended access list
dynamic-extended Extend the dynamic ACL absolute timer
rate-limit Simple rate-limit specific access list
 
گزينه Log
فرمان log براي ثبت گزارش پيام‌ها، هر بار که انطباقي با ورودي‌هاي فهرست دسترسي يافت مي‌شود، مورد استفاده قرار مي‌گيرد. به اين ترتيب مي‌توان بر تلاش‌هاي انجام شده براي دسترسي نامناسب نظارت داشت.

پيکربندي و بررسي ACLها در محيط شبکه
در اين بخش به شما نشان خواهيم داد که چطور يک فهرست دسترسي نام‌دار و يک فهرست دسترسي شماره‌‌دار را پيکربندي نموده و چطور از ويژگي log استفاده کنيد. ما همچنين بعضي از فرامين بررسي مورد استفاده در ACLها را به‌شما معرفي خواهيم کرد.
پس از آن که يک فهرست دسترسي ايجاد کرديد، تا زماني که آن را اعمال نکنيد هيچ کار خاصي انجام نخواهد داد. براي استفاده از يک فهرست دسترسي به‌عنوان يک فيلتر بسته، شما بايد آن را به يک اينترفيس روي روتري که مي‌خواهيد ترافيک آن فيلترگذاري شود، اعمال نماييد. شما همچنين بايد مشخص کنيد که مي‌خواهيد فهرست دسترسي روي ترافيک کدام جهت (ورودي يا خروجي) اعمال شود. با مشخص کردن جهت ترافيک، مي‌توانيد (و بايد) از فهرست‌هاي دسترسي متفاوتي براي ترافيک ورودي و خروجي يک اينترفيس واحد استفاده نماييد:
- فهرست‌هاي دسترسي ورودي (Inbound): وقتي يک فهرست دسترسي روي بسته‌هاي ورودي يک اينترفيس اعمال مي‌شود، آن بسته‌ها پيش از هدايت به اينترفيس خروجي از طريق فهرست دسترسي پردازش مي‌شوند. هر بسته‌اي که رد شود، هدايت نخواهد شد زيرا پيش از انجام فرآيند روتينگ حذف مي‌شود.
- فهرست‌هاي دسترس خروجي (Outbound): وقتي يک فهرست دسترسي روي بسته‌هاي خروجي يک اينترفيس اعمال مي‌شود، بسته‌ها ابتدا به اينترفيس خروجي هدايت شده و سپس پيش از صف‌بندي براي ارسال، از طريق فهرست دسترسي پردازش مي‌شوند.
در اينجا به چند رهنمود کلي در مورد فهرست‌هاي دسترسي اشاره مي‌کنيم که در هنگام ايجاد و پياده‌سازي فهرست‌هاي دسترسي روي يک روتر بايد به آن‌ها توجه داشته باشيد:
- شما مي‌توانيد تنها يک فهرست دسترسي را براي هر اينترفيس، هر پروتکل و هر جهت تخصيص دهيد. به‌عبارت ديگر در هنگام اعمال فهرست‌هاي دسترسي IP، شما تنها يک فهرست دسترسي ورودي و يک فهرست دسترسي خروجي براي هر اينترفيس خواهيد داشت.
- فهرست‌هاي دسترسي خود را طوري سازمان‌دهي کنيد که آزمايش‌هاي خاص‌تر در بالا قرار بگيرند.
- هر وقت يک ورودي جديد به فهرست دسترسي اضافه مي‌شود، در پايين ليست قرار مي‌گيرد و به‌همين دليل است که قويا توصيه مي‌کنيم براي ويرايش فهرست‌هاي دسترسي از ويرايشگر متن استفاده نماييد.
- شما نمي‌توانيد يک خط را از فهرست دسترسي حذف کنيد. اگر تلاش نماييد چنين کاري را انجام دهيد، کل فهرست را حذف خواهيد کرد. به‌همين دليل بهتر است پيش از تلاش براي ويرايش فهرست، آن را به يک ويرايشگر متن کپي کنيد. تنها استثنا در اين زمينه، استفاده از فهرست‌هاي دسترسي نام‌دار است.
- تمام بسته‌هايي که با هيچ‌يک از شروط فهرست دسترسي شما انطباق نداشته باشند رد خواهند شد، مگر اين که فهرست دسترسي به يک فرمان permit any ختم شود. به‌عبارت ديگر هر ليست بايد حداقل داراي يک بيان permit باشد، در غير اين صورت تمام ترافيک را رد خواهد کرد.
- فهرست‌هاي دسترسي را ايجاد و سپس آن‌ها را به يک اينترفيس اعمال نماييد. هر فهرست دسترسي فاقد بيان‌‌هاي آزمايش که به يک اينترفيس اعمال شود، ترافيک را فيلترگذاري نخواهد کرد.
- فهرست‌هاي دسترسي طراحي شده‌اند تا ترافيک عبور از روتر را فيلترگذاري کنند. آن‌ها ترافيکي از روتر سرچشمه گرفته باشد را فيلترگذاري نخواهند نمود.
- فهرست‌هاي دسترسي استاندارد IP را تا حد امکان در فاصله نزديک‌تري از مقصد قرار دهيد. به‌همين دليل است که ما واقعا تمايلي نداريم از فهرست‌هاي دسترسي استاندارد در شبکه‌هايمان استفاده کنيم. شما نمي‌توانيد يک فهرست دسترسي استاندارد را نزديک شبکه يا ميزبان مبدا قرار دهيد زيرا در آن فيلترگذاري صرفا بر اساس آدرس مبدا انجام مي‌شود و در نتيجه تمام مقصدهاي احتمالي تحت تاثير قرار خواهند گرفت.
- فهرست‌هاي دسترسي توسعه يافته IP را تا حد امکان در نزديکي مبدا قرار دهيد. از آنجايي‌که اين فهرست‌ها مي‌توانند فيلترگذاري را روي پروتکل‌ها و آدرس‌هاي کاملا خاص انجام دهند، شما نمي‌خواهيد ترافيک مورد نظر کل شبکه را طي کرده و در نهايت رد شود. با قرار دادن اين فهرست در نزديکي آدرس مبدا، مي‌توانيد ترافيک را پيش از آن‌که پهناي باند ارزشمند شبکه شما را مصرف کند فيلترگذاري نماييد.

فهرست‌هاي نام‌دار
فهرست‌هاي دسترسي نام‌دار صرفا روش ديگري براي ايجاد فهرست‌هاي دسترسي استاندارد و توسعه‌يافته هستند. در شرکت‌ها و سازمان‌هاي بزرگ، يک فهرست دسترسي نام‌دار مي‌تواند بسيار مفيد باشد، خصوصا وقتي با ACLهاي متعددي سر و کار داشته باشيم.
Routerconfig t
Router(config)# ip access-list ?
extended Extended Access List
log-update Control access list log updates
logging Control access list logging
resequence Resequence Access List
standard Standard Access List

توجه داشته باشيد که ما بجاي فرمان access-list از فرمان ip access-list استفاده کرده‌ايم. انجام اين کار به ما اجازه مي‌دهد تا يک فهرست دسترسي نام‌دار را وارد کنيم.
Router(config)#ip access-list standard ?
<1-99> Standard IP access-list number
<1300-1999> Standard IP access-list number (expanded range)
WORD Access-list name

Router(config)#ip access-list standard BlockSales
Router(config-std-nacl)#

شما در هنگام ايجاد ACLهاي نام‌دار انعطاف‌پذيري بيشتري در اختيار داريد. در واقع مي‌توانيد براي بيان‌هاي رد و تاييد از اعداد متوالي استفاده کرده و سپس آن‌ها را بازچيني نموده، اضافه کرده و يا حتي بيان‌هايي را از يک ACL نام‌دار حذف نماييد.
در اينجا يک پيکربندي نمونه را مشاهده مي‌کنيد:
Router#show access-list 100
Extended IP access list 100
10 permit ip host x.x.x.x host x.x.x.x
20 permit tcp any host x.x.x.x
30 permit ip host x.x.x.x host x.x.x.x
40 permit icmp any any
50 permit ip any any

Router(config)# ip access-list extended 100
Router(config)# ip access-list resequence 150 1 2
Router(config)# end
 گزينه Log
گزينه log به شما امکان مي‌دهد تا هر بار که اقدامي بر اساس ACL انجام مي‌شود، گزارش رويداد مربوطه را ثبت کنيد. اگر يک بيان deny در ACL شما باشد که يک سرويس کاربردي خاص مانند Telnet را رد مي‌کند، هر بار که شخصي روي شبکه تلاش نمايد به يک ابزار telnet کند، يک گزارش رويداد ثبت خواهد شد. در زير يک مثال را مشاهده مي‌کنيد:
Router(config)#access-list 110 deny tcp any host 172.16.30.2 eq 23 log

هميشه خوب است که بتوانيد پيکربندي يک روتر را بررسي کنيد. جدول 1 فرامين مختلف براي بررسي ACLها را نشان مي‌دهد.


فرمان    تاثیر
show access-list    تمام فهرست‌هاي دسترسي پيکربندي شده روي روتر و پارامترهاي آن‌ها را نمايش مي‌دهد. همچنين آمارهاي مربوط به اين که هر خط چند بار يک بسته را رد يا تاييد نموده است را نيز نمايش مي‌دهد. اين فرمان به شما نشان نمي‌دهد که ليست روي کدام اينترفيس اعمال شده است.
show access-list 110    تنها پارامترهاي فهرست دسترسي 110 را آشکار مي‌کند. در اينجا نيز شما نمي‌توانيد اينترفيس خاصي که فهرست روي آن اعمال شده است را ببينيد.
show ip access-list    تنها فهرست‌هاي دسترسي IP پيکربندي شده روي روتر را نمايش مي‌دهد.
show ip interface    نشان مي‌دهد کدام اينترفيس‌ها داراي فهرست‌هاي دسترسي اعمال شده هستند.
show running-config    فهرست‌هاي دسترسي و اينترفيس‌هاي خاصي که ACLها روي آن‌ها اعمال شده‌اند را نمايش مي‌دهد.
 


مطالب مرتبط
نظرات کاربران

ارسال نظر در مورد این مطلب:
نام شما : *
آدرس ایمیل : *
متن نظر : *
کد امنیتی :
Refresh Code

لطفا عبارت درج شده در تصویر بالا را در کادر زیر بنویسید

*
 


کليه حقوق اين سایت متعلق به ICTNEWS است.
انتشار مطالب با ذکر منبع و لینک به سایت مجاز است.
تماس با ما: 88946450  فرم تماس با ما
این پرتال قدرت گرفته از :
سیستم مدیریت پرتال و خبرگزاری دیاسافت
ارتباط با ما : 1000030200