به عبارت دیگر ایجاد Vlan درست مانند آن است که یک سوئیچ با تعداد پورت بیشتر را به چند سوئیچ با تعداد پورت کمتر تقسیم نماییم!ایجاد Vlan: جهت ایجاد Vlan می بایست بعد از فرمان vlan عددی دلخواه انتخاب نموده و سپس با فرمان name نامی نیز برایش معین کنیم!

البته انتخاب نام برای Vlan اختیاری است!

اختصاص پورت به Vlan: جهت تعیین آنکه کدام پورتها در Vlan ایجاد شده قرار بگیرند می بایست به صورت زیر عمل نمود:

نمایش وضعیت Vlan ها: با استفاد از فرمان Show vlan می توان وضعیت vlan ها را مورد بررسی قرار داد:

همانطور که مستحضرید،‌ پورت ۰/۱ به vlan 20 با نام icnd اختصاص یافته است و سایر پورت ها در vlan 1 قرار دارند، حال آنکه ما فقط vlan 20 را ساخته بودیم!

vlan 1 به صورت پیشفرض روی سوئیچ های سیسکو ساخته شده و تمام پورت های سوئیچ به صورت Default در آن قرار دارند!   نویسنده: حمید توکلی کرمانی

در ابتدا لازم است با Bridging و PPPoE آشنا شوید:

Bridging: در این حالت باید یک کانکشن روی سیستم عامل(Windows/Linux/Mac) خود ساخته و هر بار پس از روشن کردن کامپیوتر خود، برای اتصال به اینترنت تلاش نمایید، درست مثل زمانی که کارت اینترنت خریداری کرده و از Dial-Up استفاده می کنید، مزیت این روش آن است که چنانچه به اینترنت متصل نشوید، یک Error به نمایش در می آید که با استفاده از عدد ِ Error می توانید مشکل را تشخیص داده و یا با اعلام آن به پشتیبانی فنی، آنها را در تشخیص مشکلتان یاری نمایید!

PPPoE: در این حالت کانکشن روی مودم ساخته می شود، بنابراین در حین کانفیگ مودم، از شما Username و Password خواسته می شود و دیگر نیازی به ساخت کانکشن روی سیستم عامل وجود نخواهد داشت، مزیت این روش آن است که زمانی که کامپیوتر خود را روشن می کنید، به اینترنت متصل هستید، معمولا در جایی که بیش از یک کامپیوتر قرار داشته و یا از مودم Wireless استفاده می شود، از این روش بهره می برند.

آموزش سریع:

در تنظیمات مودم، واژه ی WAN را یافته و روی آن کلیک فرمایید!

سپس Add را بزنید!

در حالت Bridge می بایست فقط VPI و VCI را وارد کنید، در سایر مراحل تغییری اعمال نکرده و فقط Next را بزنید!

در حالت PPPoE علاوه بر وارد نمودن VPI و VCI می بایست Username و Password را هم وارد نمایید و در سایر مراحل فقط Next را بزنید!

آموزش تصویری:

بعد از روشن نمودن مودم و اتصال کابل اترنت، مرورگر اینترنت را باز کرده و در Address Bar آی پی ِ زیر را وارد نمایید:

.

.

.

در اینجا شما باید یکی از حالت های Bridging یا PPPoE را انتخاب نمایید،

در صورت انتخاب حالت Bridging مراحل زیر را دنبال فرمایید:

حالا می توانید به اینترنت متصل شوید!

اما در صورت انتخاب حالت PPPoE مراحل زیر را دنبال فرمایید:

سایر مراحل مشابه حالت Bridging است.

نویسنده: حمید توکلی

WPAN: مخفف Wireless Personal Area Network و به معنی شبکه بی سیم شخصی است.

استاندارد: ۸۰۲٫۱۵

نام تکنولوژی: Bluetooth

سرعت: کمتر از ۳Mbps

برد: تا شعاع ۱۰ متر

بهتر نبود اگر به جای کابل هایی که پشت کامپیوتر شما به هم گره خورده اند، از Bluetooth‌ برای انتقال اطلاعات بین ابزارهای کامپوتر خود استفاده کرده و خود را از آن همه کابل رها می کردید؟

WLAN: مخفف Wireless Local Area Network و به معنی شبکه بی سیم محلی است.

 
نام تکنولوژی: Wi-Fi

سرعت: ۲ تا ۲۴۸Mbps

برد: تا شعاع ۱۶۰ متر

اگر به جای خرید سوئیچ، رک، کابل، کانکتورها و … تنها یک Access Point خریداری کرده و به راحتی با لپ تاپتان در محیط کار یا منزل جا به جا می شدید، راحت تر نبودید؟ تازه اینطور می توانستید با انتقال Access Point به محل کار جدیدتان،‌ به راحتی شبکه را هم منتقل کنید،‌ بدون پرداخت هزینه ی مجدد نصب و راه اندازی و …

WMAN: مخفف Wireless Metropolitan Area Network و به معنی شبکه بی سیم شهری است.

استاندارد: ۸۰۲٫۱۶d – 802.16e

نام تکنولوژی: WiMAX

سرعت: ۶۰ تا ۱۳۴ Mbps

برد: تا شعاع ۵۰۰۰ متر

اگر به جای استفاده از ADSL، از وایمکس استفاده می کردید، می توانستید هم در محیط کار، هم در منزل و هم هر جای دیگری از شهر و یا حتی هر نقطه از کشور از هزینه ای که برای اینترنت پرداخته اید بهره ببرید،‌ آیا اینگونه راحت تر نبودید؟

آیا زندگی با شبکه های بی سیم ساده و کم هزینه تر نیست؟

 نویسنده: حمید توکلی

اما بعد از عبور از +Network دو مسیر عمده برای ادامه دادن وجود خواهد داشت، البته شما می توانید هر دو مسیر را به طور همزمان و یا یکی پس از دیگری بپیمایید اما مهندسین شبکه به طور معمول روی یکی از این مسیرها تمرکز داشته و از آن کسب درآمد می کنند!

مسیر اول، تحصیل در دوره های شرکت مایکروسافت با عنوان MCITP است، ممکن است MCSE بیشتر به گوشتان خورده باشد، MCITP، به روز شده ی مدرک ِ MCSE است!

مسیر دوم نیز تحصیل در دوره های شرکت سیسکو است که از CCNA آغاز شده و بعد از مدارک سطح حرفه ای نظیر CCNP نهایتا به CCIE و CCA ختم می شود.

همانطور که بعد از اخذ دیپلم وارد مرحله انتخاب رشته دانشگاهی می شوید، بعد از اتمام دوره +Network نیز باید انتخاب رشته کنید، پیش از انتخاب رشته باید حداقل با یک متخصص مایکروسافت و یک متخصص سیسکو و یا ترجیحا با کسی که هر دو مسیر را طی نموده است مشورت داشته باشید!

اما به طور مختصر باید گفت که با توجه به اینکه مایکروسافت تولید کننده ی محصولات نرم افزاری شبکه نظیر Windows Server 2008 می باشد، دوره ی مایکروسافت نیز تبعا بیشتر به سرورها و نحوه کار با نرم افزارهای تولیدی این شرکت می پردازد و با نظر به اینکه سیسکو تولید کننده ی محصولات سخت افزاری شبکه از جمله Switch ها و Router هاست، دوره ی سیسکو نیز بیشتر به نحوه استفاده و تنظیمات آنها می پردازد.

تعداد افراد کمتری فرصت پیدا می کنند که هر دو دوره را بگذرانند اما به طور معمول اگر قرار باشد کسی هم سیسکو بخواند و هم مایکروسافت، از مایکروسافت شروع کرده و پس از اتمام آن به سیسکو متمایل می شود، چرا که MCITP را می توان راحت تر و زودتر به اتمام رساند، اما اتمام دوره های سیکسکو و کسب مدارکی چون CCIE کار هر کسی نیست و به اعتقاد بسیاری از کارشناسان، CCIE معادل دکترای شبکه است!

یکی از نکات مهم در مقایسه ی دوره ی سیسکو و مایکروسافت، محیط کار عملی آنها است، از آنجاییکه محصلین سیسکو بیشتر به WAN و محصلین مایکروسافت بیشتر به LAN می پردازند، قرار گرفتن در محیط کار آزمایشگاهی سیسکو  هزینه ی بسیار بالاتری دارد به طوریکه اکثر محصلین این رشته ناچارند در محیط های شبیه سازی شده به تمرین ِ عملی ِ دروس خود بپردازند.

فارغ از آنچه در مقایسه دروه های سیسکو و مایکروسافت بیان شد، باید توجه داشت که در انتخاب رشته، آنچه مهمتر از هر معیار دیگری است، علاقه و تمایل شماست، پیروز خواهید شد اگر به علاقه مندی خویش بها دهید!

نویسنده: حمید توکلی

مدارک شرکت سیسکو به پنج سطح تقسیم می شوند:

1. Entry
2. Associate
3. Professional
4. Expert
5. Architect

و به هشت گرایش مختلف:

1. Routing & Switching
2. Design
3. Network Security
4. Service Provider
5. Service Provider Operations
6. Storage Networking
7. Voice
8. Wireless

به عنوان مثال مسیر اخذ مدرک برای کسی که علاقه مند به گرایش Design است به صورت زیر می باشد:

CCENT => CCNA => CCDA => CCDP => CCDE => CCA

سطح Entry:

سطح Entry با مدرک CCENT ابتدایی بوده و در ایران دوره ای با این عنوان برگزار نمی شود در عوض مدرک +Network به عنوان پیش نیاز مهندسی شبکه سیسکو و مایکروسافت در ایران مورد توجه قرار داشته و معمولا اولین دوره ای است که متخصصان شبکه آن را می گذرانند!

البته CCENT معادل +Network نبوده و سطح بالاتری دارد، CCENT را می توان نیمی از راه مدرک CCNA دانست، کسی که CCNA دارد، به CCENT هم مسلط است!

سطح Architect:

سطح Architect که در چند ماه اخیر توسط سیسکو ارائه شده است، بالاترین سطح مدرک مهندسی شبکه در بین کلیه مدارک بین المللی شبکه است، ظاهرا شرکت سیسکو با ارائه ی این سطح خواسته تا برترین متخصصان بین المللی شبکه را گلچین نماید، شاید بتوان CCA را به نوعی معادل فوق دکترای شبکه در گرایش Design دانست!

سطوح Associate و Professional و Expert:

اما گذشته از سطح Entry و Architect سایر سطوح مدارک سیسکو گرایش های مختلف مهندسی شبکه را پوشش می دهند، سه سطح Associate و Professional و Expert …

Associate یا دستیار، یعنی قرار گرفتن در ابتدای مسیر، گرایش شما هر چه که باشد می بایست پیش از اخذ هر مدرک و یا گذراندن هر دوره ای، CCNA با گرایش Routing & Switching را بگذرانید!

بعد از آن چنانچه خواستار تغییر گرایش از Routing & Switching به سایر گرایش ها باشد، می بایست مدرک Associate ِ آن گرایش را نیز اخذ کنید، مثلا چنانچه به Security علاقه مند هستید باید مدرک CCNA با گرایش Security را کسب کرده و سپس به سطح بالاتر یعنی Professional صعود نموده و CCSP را بگذرانید و نهایتا مدرک سطح Expert یعنی CCIE با گرایش Security را اخذ کنید!

البته اخذ این مدارک به خصوص مدارک سطح Expert کاری فوق العاده سنگین بوده و نیازمند تجربه کاری در حدود ۱۰ سال و تمرکز عمیق روی منابع مطالعاتی است!

معمولا مدارک سطح Associate نظیر CCNA و CCDA را معادل کارشناسی شبکه

مدارک سطح Professional نظیر CCNP,CCSP و CCDP را معادل کارشناسی ارشد شبکه

و مدارک سطح Expert نظیر CCDE و CCIE با گرایش های مختلف را معادل دکترای شبکه می دانند.

پرطرفدارترین گرایش ها:

در بین ۸ گرایش ذکر شده، Routing & Switching مانند پایه ای برای سایر گرایش ها محسوب شده و در کشورهای مختلف دنیا همچون ایران پرطرفدارترین گرایش محسوب می شود!

در حال حاضر در ایران به گرایش هایی چون Voice, Security و Wireless نیز بها داده شده و دوره هایی برای این سه گرایش در آموزشگاههای مختلف برگزار می شود، البته مطمئن باشید در صورت انتخاب هر کدام از گرایش های سیسکو در صورت عبور از سطح Professional امنیت شغلی کافی را خواهید داشت!

اگر به مهندسی شبکه و دوره های مهندسی سیسکو علاقه مندید، برای انتخاب گرایش عجله نکنید، بعد از اتمام دوره ی CCNA با گرایش Routing & Switching، دید شما نسبت به مسیر باز تر شده و علاقه مندی خویش را بهتر خواهید شناخت…

فعلا نخستین گام را بردارید…

مدارک آموزشگاهی و مدرک بین المللی:

چنانچه دوره های سیسکو را در آموزشگاههای کشور بگذرانید، پس از امتحان پایان دوره، آموزشگاه، مدرک اتمام دوره ی مذکور را همراه با نمره به شما اعطاء خواهد کرد، برخی مدارک آموزشگاهی معتبر بوده و مورد تائید سازمان ها و نهادهای دولتی و خصوصی هستند اما برخی نیز به میزان کافی اعتبار ندارند، پس در انتخاب آموزشگاه مورد نظر دقت نموده و فراموش نکنید که کیفیت آموزش مهمتر از اعتبار مدرک و میزان تلاش و همت شما در یادگیری و بکارگیری عملی آموخته ها مهمتر از هر دوی این موارد است!

امتحان بین المللی در Test Center هایی گرفته می شود که متاسفانه کشور ایران را تحریم نموده و هیچ پایگاهی در داخل کشور ندارند، پس برای اخذ مدرک بین المللی باید از کشور خارج شوید، اما مساله فقط فقدان یک Test Center در کشور نیست، در آنسوی مرزها نیز شما نمی توانید به صورت قانونی امتحان دهید و ناچارید با هویت ِ غیرایرانی و به صورت غیرقانونی امتحان داده و از شرکت سیسکو سیستمز مدرک بین المللی بگیرید!

مدرک بین المللی سیسکو افزون بر اینکه در ایران امتیازی بزرگ جهت یافتن شغل محسوب می شود، اعتبار علمی شما را در سرتاسر دنیا تضمین می کند!

انتخاب بهترین آموزشگاه:

متاسفانه در ایران اکثر آموزشگاهها مدعی اند که نخستین و بهترین مرکز آموزشی اند، بنابراین نباید به شعارهایی که می دهند بها دهید و باید خودتان شخصا برای انتخاب بهترین آموزشگاه تلاش نمایید، در انتخاب آموزشگاه مهمترین معیارها، کیفیت آموزش، مجهز بودن به تجهیزات آزمایشگاهی، اعتبار مدرک و اساتیدی با مدارک بین المللی و خوش سابقه در تدریس است!

بهترین روش برای تحقیق نیز مشورت با کسانی است که این دوره ها را گذرانده اند، صرفا برای شروع تحقیق آموزشگاههای زیر به شما معرفی می گردد:

• مجتمع فنی تهران
• عصر شبکه
• کاریار ارقام
• سماتک

نویسنده: حمید توکلی

نمودار فوق در مورخه مهرماه ۸۹ (اکتبر ۲۰۱۰) و بر اساس آخرین تغییرات طراحی شده است.

منبع: Cisco – IT Certification

سوئیچ اول:

اینترفیس ۰/۱ : Vlan 2

اینترفیس ۰/۲ : Vlan 2

اینترفیس ۰/۳: Vlan 2

اینترفیس ۰/۴: Vlan 2

اینترفیس ۰/۵ : Vlan 2

اینترفیس ۰/۶ : Vlan 3

اینترفیس ۰/۷: Vlan 3

اینترفیس ۰/۸: Vlan 3

اینترفیس ۰/۹ : Vlan 3

اینترفیس ۰/۱۰ : Vlan 3

سوئیچ دوم:

اینترفیس ۰/۱ : Vlan 2

اینترفیس ۰/۲ : Vlan 3

اینترفیس ۰/۳: Vlan 2

اینترفیس ۰/۴: Vlan 3

اینترفیس ۰/۵ : Vlan 2

اینترفیس ۰/۶ : Vlan 3

اینترفیس ۰/۷: Vlan 2

اینترفیس ۰/۸: Vlan 3

اینترفیس ۰/۹ : Vlan 2

اینترفیس ۰/۱۰ : Vlan 3

سوئیچ سوم:

اینترفیس ۰/۱ : Vlan 3

اینترفیس ۰/۲ : Vlan 3

اینترفیس ۰/۳: Vlan 3

اینترفیس ۰/۴: Vlan 3

اینترفیس ۰/۵ : Vlan 3

اینترفیس ۰/۶ : Vlan 2

اینترفیس ۰/۷: Vlan 2

اینترفیس ۰/۸: Vlan 2

اینترفیس ۰/۹ : Vlan 2

اینترفیس ۰/۱۰ : Vlan 2

با شرایط فوق،‌ اینترفیس ۰/۲ سوئیچ اول،‌ اینترفیس ۰/۵ سوئیچ دوم و اینترفیس ۰/۹ سوئیچ سوم، هر سه عضو Vlan 2 بوده و در یک Broadcast Domain مشترک قرار دارند، طوری که به نظر می رسد هر سه روی یک سوئیچ واحد قرار دارند!

اما اینترفیس ۰/۱ سوئیچ اول و اینترفیس ۰/۶ همان سوئیچ، ‌با وجود آنکه هر دو در یک سوئیچ هستند اما عضو دو Vlan متفاوت بوده و‌ Broadcast Domain آنها نیز از هم جداست، طوری که به نظر می رسد در دو سوئیچ جدا از هم قرار دارند!

VLAN Trunking Protocol: فرض کنید مدیر شبکه ی شرکتی هستید که ۲۰ سوئیچ دارد و شما میخواهید Vlan های یکسانی روی آنها ایجاد نمایید،‌ برای ایجاد هر یک از Vlan ها می بایست به تمام سوئیچ هایی که عضو Vlan هستند وصل شده و Vlan را روی تک تک آنها ایجاد نمایید!

برای اینکار باید زمان زیادی صرف کنید اما در صورت استفاده از VLAN Trunking Protocol در زمان شما صرفه جویی خواهد شد،‌ با وجود این پروتکل چنانچه شما روی یکی از سوئیچ ها Vlan بسازید،‌ همان Vlan به صورت خودکار روی تمام سوئیچ ها ساخته خواهد شد،‌ همچنین با حذف هر یک از Vlan ها روی یکی از سوئیچ ها،‌ آن Vlan از سایر سوئیچ ها نیز حذف می شود!

کانفیگ VTP: برای کانفیگ VLAN Trunking Protocol که به اختصار VTP خوانده می شود،‌ در قدم نخست می بایست اینترفیس هایی که ارتباط بین سوئیچ ها را برقرار می کنند، در حالت Trunk قرار داد.

برای اینکار می بایست پس از ورود به مود اینترفیسی که به سوئیچ دیگری متصل است، به صورت زیر عمل نمود:

پس از آنکه تمام اینترفیس های متصل به سوئیچ های دیگر در حالت Trunk قرار گرفت،‌ می بایست برای دامنه ی تک تک ِ‌ سوئیچ ها نام یکسان و پسورد یکسان انتخاب نموده و آنها را در حالت Server قرار دهیم:

جهت مشاهده وضعیت VTP از فرمان show vtp status استفاده میکنیم:

Revision: همانطور که مشاهده می کنید عدد مقابل Configuration Revision، صفر می باشد، یعنی هنوز هیچ تغییری در سوئیچ ها داده نشده است،‌ به عبارت دیگر هنوز روی سوئیچ ها Vlan ایجاد و یا حذف نشده است،‌ هر بار که یک Vlan ایجاد و یا حذف شود،‌ عدد مقابل Revision ، یکی اضافه می شود،‌ زمانی که یک عدد به Revision یک سوئیچ افزوده می شود،‌ سایر سوئیچ ها متوجه تفاوت Revision خود با سوئیچ مورد نظر شده و تغییرات جدید را روی خود اعمال می نمایند!

به بیان دیگر سوئیچ ها با استفاده از Revision ،‌ اطلاعات مربوط به Vlan ها را بر روی خود Update می نمایند.

نویسنده: حمید توکلی

VTP Updates:آخرین اطلاعات مربوط به Vlan ها (Vlan های جدید و یا حذف شده) تحت عنوان VTP Updates در محدوده ی سوئیچ های یک VTP Domain مبادله می شود.

Dynamic Trunking Protocol: بر اساس این پروتکل سوئیچ های سیسکو بدون نیاز به فرمان Switchport Mode Trunk و صرفا با Plug & Play می توانند با یکدیگر Trunk شوند.

VTP Mode: در یک VTP Domain یک سوئیچ می تواند سه حالت(Mode) متفاوت داشته باشد:

Server – Client – Transparent

Server:

۱. قابلیت ایجاد و حذف Vlan در آن وجود دارد.

۲. Updates خودش را به سایر سوئیچ ها ارسال می کند.

‍Client:

1. قابلیت ایجاد و حذف Vlan در آن وجود ندارد.

۲٫ Updates دریافتی از Server را پذیرفته و روی خود اعمال می کند.

۳٫ Updates دریافتی از Server را به سایر سوئیچ ها ارسال می کند.

Transparent:

1. قابلیت ایجاد و حذف Vlan در آن وجود دارد.

۲٫ Updates خودش را به سایر سوئیچ ها ارسال نمی کند.

۳٫ Updates دریافتی از Server را نپذیرفته و روی خود اعمال نمی کند.

۴٫ Updates دریافتی از Server را به سایر سوئیچ ها ارسال می کند.

به بیان دیگر:‌ Server آپدیت خودش را به Client ها ارسال می کند و Client ها خودشان را با Server تطبیق می دهند،‌ اما در اجتماع Server و Client، سوئیچ های Transparent‌ اجتماعی نبوده و سرشان در لاک خودشان است، نه به دیگران آپدیت ارسال می کنند و نه آپدیت دیگران را روی خودشان اعمال می کنند، تنها کاری که میکنند این است که آپدیت ها را از یک گوش شنیده و از گوش دیگر خارج می کنند،‌ یعنی در توزیع آپدیت بین سایر سوئیچ ها همکاری می کنند.

Server ِ غالب: اگر دو سوئیچ که در حالت Server قرار دارند را در یک VTP Domain قرار دهیم،‌ کدام یک از آنها خود را با دیگری تطبیق داده و Updates دیگری را در خود اعمال می نماید؟

در این مبارزه سوئیچی بر دیگری غالب می شود که Revision Number بالاتری داشته باشد،‌ سوئیچی که Revision Number کمتری دارد، تصور خواهد کرد که سوئیچ مقابل تعداد دفعات بیشتری آپدیت شده و اطلاعات به روزتری دارد، بنابراین تسلیم او شده و اطلاعات خودش را با او تطبیق می دهد!

VTP Hacking: فرض کنید مدیر شبکه یک کارخانه هستید و یکی از همکارانتان که میخواهد شما را پیش رئیس کارخانه خراب کند،‌ یک سوئیچ با Revision Number بالاتر را به کارخانه آورده و درست در زمان اوج استفاده از شبکه آن را به یکی از سوئیچ های کارخانه متصل می کند،‌ در اینصورت Dynamic Trunking Protocol یا DTP کار او را ساده کرده و سوئیچ بیگانه را عضوی از VTP Domain میکند، کلیه سوئیچ هایی که در حالت Server و Client قرار دارند، Updates های سوئیچ بیگانه را دریافت کرده و شبکه به سادگی از کار میافتد…

روش های پیشگیری:

۱٫ پس از ساخت Vlan ها بر روی Server، سوئیچ ها را در حالت Transparent قرار دهید تا از Update های مخرب در امان بمانند، با استفاده از فرمان VTP mode می توان یکی از سه حالت

Server – Client – Transparent را انتخاب نمود:

2. پورت های بلااستفاده ی سوئیچ را Shutdown نمایید. (آموزش Shutdown کردن)

3. Dynamic Trunking Protocol یا DTP را با فرمان switchport nonegotiate غیر فعال کنید.

 نویسنده: حمید توکلی

1. access-list

2. انتخاب عددی دلخواه بین ۱۰۰ تا ۱۹۹

۳٫ استفاده از Permit برای مجوز دادن یا استفاده از Deny برای عدم مجوز

۴. Protocol

۵. Source Address

۶. Destination Address

۷. eq Port Number

شرح دستوارت:

به پکت های دریافتی از مبداء ۱۹۲٫۱۶۸٫۱۰٫۱۰ به مقصد ۱۹۲٫۱۶۸٫۷۰٫۷۰ که پروتکل آنها TCP و پورت آنها ۸۰ است، مجوز عبور بده!

آخرین خط در Access Control List: پس از اینکه اکسس لیست را نوشتیم، یک خط بعد از همه ی دستورات قرار میگیرد که دیده نمی شود اما اعمال می شود، خطی به اسم Deny any

در مثال فوق به پکت هایی با آدرس مبداء و مقصد و با پورت و پروتکلی خاص اجازه ی عبور داده ایم حال اگر همین خط را روی یک اینترفیس اعمال نماییم، به جز آنچه مجوز عبور گرفته است، هیچ پکتی از اینترفیس عبور نخواهد کرد!

چراکه خط نامرئی ِ Deny any به طور خودکار در انتهای اکسس لیست قرار گرفته و عبور سایر پکت ها را غیرمجاز می کند!

بنابراین استفاده یا عدم استفاده از Deny any در سطر آخر اکسس لیست برابر است!

اما اگر بخواهیم این خط بی اثر شود باید در آخرین سطر از Permit any استفاده کنیم!

پورت: برای هرکدام از پروتکل های TCP و UDP به تعداد ۶۵۵۳۵ پورت در نظر گرفته شده است!

تبعا نمی توان این تعداد پورت را حفظ کرد اما حفظ نمودن کاربردی ترین پورت ها ضروری به نظر می رسد، در مثال فوق از پورت ۸۰ استفاده شده که مربوط به پروتکل HTTP است، یعنی اگر این پورت را برای یک شبکه Deny کنیم، کاربران آن شبکه نمیتوانند صفحات وب را با مرورگر خود مشاهده کنند!

جدول زیر پرکاربردترین پورت ها را نمایش می دهد، آنها را حفظ کنید:

نویسنده: حمید توکلی

جهت مطالعه سایر پورت ها به سایت iana.org مراجعه فرمایید!

گام اول:

۱٫ access-list

2. انتخاب عددی دلخواه بین ۱ تا ۹۹

۳٫ استفاده از Permit برای مجوز دادن یا استفاده از Deny برای عدم مجوز

۴٫ Source Address

گام دوم:

۱٫ ابتدا Interface مورد نظر را انتخاب میکنیم.

۲٫ IP access-Group

3. همان عددی که برای اکسس لیست انتخاب کرده بودیم!

۴٫ استفاده از in برای اعمال روی پکت های ورودی به ‌روتر یا استفاده از out برای اعمال روی پکت های خروجی از روتر.

Source Address را به سه طریق می توان نوشت:

* برای فقط یک آدرس خاص، باید بعد از نوشتن host، آی پی مورد نظر را نوشت!

* برای کلیه ی آدرسهای یک رینج آی پی، باید ابتدا Network ID و سپس Wildcard را نوشت!

* برای کلیه ی آدرس ها باید از any استفاده کرد!

شرح دستوارت:

گام اول: به کلیه ی پکت های دریافتی از سورس مورد نظر مجوز عبور یا Permit بده!

به جز مورد فوق سایر پکت ها را Deny کن و مجوز عبور به آنها نده!

گام دوم: اکسس لیست شماره ی ۲۰ را روی پکت های ورودی به اینترفیس ۰/۰ اعمال کن!

توجه به ترتیب خطوط: در ACL فرمان ها از بالا به پایین و به صورت خط به خط اجرا می شوند، پس اگر در خط اول عبارت Deny any را تایپ کرده و در خط دوم به پکت های مورد نظر Permit یا مجوز عبور بدهیم، کلیه ی پکت ها پیش از خوانده شدن ِ خط دوم از بین می روند، به بیان دیگر اگر در ACL به ترتیب خطوط توجه نکنیم ممکن است برخی فرمان ها بی اثر شوند!

توضیح بیشتر در مورد in و out: در حالتی که پکت ها از یک اینترفیس وارد روتر شده و بعد از مسیریابی از چند اینترفیس دیگر خارج می شوند:

اگر بخواهیم ACL مورد نظر فقط روی یکی از اینترفیس های خروجی اعمال شود، باید ACL را روی همان اینترفیس خروجی در حالت Outbound قرار دهیم، تا سایر اینترفیس ها از پکت ها محروم نشوند.

اما اگر قصدمان این است که ACL روی کلیه اینترفیس های خروجی اعمال شود بهتر است آن را روی اینترفیس ورودی در حالت Inbound اعمال کنیم تا روی پکت هایی که قرار است از بین بروند، مسیریابی ِ بیهوده انجام نگیرد!

برای Delete کردن یک اکسس لیست با استفاده از No به صورت زیر عمل کنید:

برای مشاهده جزئیات اکسس لیست ها به صورت زیر عمل کنید:

 نویسنده: حمید توکلی