Access-list (ACL)

       
          Access Control List (ACL) คือ การกรอง packet ทีจะเข้าออก Router ให้เป็นไปตามเงื่อนไข ทีเราต้องการและมีส่วนช่วยในเรื่องของ IT Security แต่มีข้อเสียคือไปเพิ่ม load cpu ให้กับRouter เพราะ หน้าทีหลักของ Router คือการพา packet ไปให้ถูกเส้นทางหรือการหาเส้นทาง ไม่ใช่ทําหน้าที่กรอง packet และการตั้งค่า ACL ที่ผิดพลาด จะส่งผลให้Network มีปัญหาได้ การกรอง packet ควรจะเป็นหน้าที่ของ Firewall มากกว่า แต่สําหรับ Network ที่ไม่ใหญ่มาก หรือบริษัทที่มีงบประมาณน้อย การทํา ACL บน Router นั้นก็เป็นทางเลือกหนึ่งที่น่าสนใจ และ ACL ยังเป็นหัวข้อหนึ่งสําหรับผู้ที่ต้องสอบ Cert. CCNA

          การ config ACL บน Router CISCO นัน ทําได้ 2 วิธีการ คือวิธีการแบบตัวเลข และวิธีการแบบชือ (Name ACL) ในทีนีจะสอนเฉพาะวิธีการแบบตัวเลขเท่านัน ACL แบ่งเป็ น 2 ประเภท คือ
          1) ACL แบบ Standard ใช้ตัวเลข 1-99
          2) ACL แบบ Extended ใช้ตัวเลข 100-199

- Standard ACL จะกรอง traffic เฉพาะ source address เท่านั้นตัวเลขที่ใช้คือเลข 1-99 (เฉพาะ protocol IP )

config#access-list 10 deny 172.16.1.6     ให้ทำการ deny ทุก port ที่เข้ามาจาก ip 172.16.1.6

config#interface gi/fa x/x
          config-if#ip access-group 10 [in or out]

คำสั่งตรวจสอบ access-list
-show access-list

[TIP] การเปิด telnet
password only
config#line vty 0 4
config-vty#password [password]
config-vty#login


username, password
config#line vty 0 4
config-vty#login local


* config#username [string username] password [string password]

Credit: http://www.jodoi.com/

reference:
การทำ access-list โดยใช้ในการ forware port
ต้องใช้แบบ extanded 100-199 วางไว้ใกล้ๆ souce  standart 1-99 วางไว้ที่ปลายทาง

ขั้นตอนการทำ

router(config)access-list [100] petmit tcp host [ip camera] eq [port] any
router(config)access-list [100] petmit udp host [ip camera] eq [port] any
router(config)access-list [100] petmit ip any any


ที่ขา interface ให้รุ้ว่าจะให้ access list-group ไหน in หรือ out

router(config-if)ip access-group [number]  {in,out}

-----------------------------------------------------------------

การกำหนด acess-list [name]

ขั้นตอนการ config
router(config)# ip access-list [standard,extended] [name]
router(config-ext-nacl)#{dyny,permit}

-----------------------------------------------------------------

หรือการทำ access to control vty access

example

access-list 12 permit 192.168.1.0 0.0.0.255
หรือ
access-list 12 deny any   ## คือปฏิเสธไม่ให้ทุก ip เข้าไป telnet เพราะว่าไปประกาศ access-list ขา in เอาไว้ที่
line vty ครับ

line vty 0 4
access-class 12 in


-----------------------------------------------------------------

Comments

Post a Comment

Popular posts from this blog

รู้จักกับ Breakpoints ใน Responsive Web Design

Image
หลังจากที่ผมได้พูดถึง Media Queries ไปแล้ว เรื่องต่อไปที่น่าสนใจคือการกำหนด Breakpoints ครับ คำว่า Breakpoints อาจฟังดูไม่คุ้นหูเท่าไร แต่เชื่อว่าหลายๆ คน ที่เคยทำ Responsive Web Design คงเคยใช้ โดยที่ไม่รู้ว่าสิ่งที่ตัวเองทำอยู่นั้น คือการกำหนด Breakpoints ซึ่งบทความนี้ ผมจะมาเล่าว่า Breakpoints คืออะไร มีความสำคัญกับ Responsive Web Design อย่างไร รวมไปถึงวิธีการกำหนด Breakpoints ครับ Breakpoints คืออะไร? Breakpoints คือ การที่ Responsive Web เปลี่ยนรูปแบบการแสดงผล เมื่อ viewport มีความกว้างถึงจุดๆ หนึ่ง ยกตัวอย่างเช่น เมื่อ viewport มีความกว้าง 320px(iPhone) ให้แสดงผล 1 คอลัมน์นะ ถ้า viewport มีความกว้างเพิ่มเป็น 768px(Tablet) ให้แสดงผล 2 คอลัมน์นะ และถ้าหาก viewport มีความกว้างถึง 1024px(Desktop) ให้แสดงโฆษณานะ เป็นต้น จากตัวอย่างนี้ จะได้ว่า เว็บนี้มี 3 Breakpoints คือ 320px 768px และ 1024px เริ่มลงมือกำหนด Breakpoints! แน่นอนว่าเราอยากให้เว็บไซต์ของเรา ดูดีในอุปกรณ์หลักๆ ไม่ว่าจะเป็น Mobile Phone, Tablet, Desktop, Widescreen Desktop เป็นต้น ซึ่งเราสามารถใช้ Media Queries ...
Read more

IS-IS & OSPF

IS-IS : Intermediate System -to- Intermediate System - IS-IS มีค่า  autonomous system (AS) ที่ 115 นั้นเป็น link state protocol ประเภทหนึ่งเช่นดียวกับ OSPF และ BGP ซึ่งมีข้อดีคือ มีการตอบสนองที่รวดเร็วเมื่อเกิดการเปลี่ยนรูปแบบโครงสร้างของระบบเครือข่าย (Fast convergence) สามารถรองรับการขยายตัวของระบบเครือข่ายในอนาคตได้ดี (Large scalability) และสามารถทำงานร่วมกับเทคโนโลยีอื่นได้ เช่น เทคโนโลยี MPLS เป็นต้น หลักการทำงานของ IS-IS IS-IS แบ่งรูปแบบการจัดการแบบเป็นลำดับชั้นจำนวน 2 ชั้น (two-level hierarchy) โดยถ้าโดเมนมีขนาดใหญ่อาจจะแบ่งการจัดการเป็นแบบพื้นที่ก็ได้ โดยสามารถแบ่งการค้นหาเส้นทางได้ดังนี้ Level 1 routing คือการค้นหาเส้นทางภายในพื้นที่ Level 2 routing คือการค้นหาเส้นทางระหว่างพื้นที่ โดยที่จะมี Protocol ตัวหนึ่งที่มีชื่อว่า Level 1 IS และ Level 2 IS ทำหน้าที่ในการตรวจสอบเส้นทางว่ามีการเปลี่ยนแปลงหรือไม่ โดย Protocol 2 ตัวนี้ทำหน้าที่ต่างกัน คือ Level 1 IS จะทำงานภายในพื้นที่ของตัวเองเท่านั้น ในขณะที่ Level 2 IS จะติดตามเส้นทางระหว่างพื้นที่ หลักการใ...
Read more

RIP Routing Information Protocol

รู้จักกับ Routing Information Protocol (RIP) Routing Information Protocol หรือ RIP เป็นโปรโตคอลเลือกเส้นทางประเภท Distance Vector ที่ถูกออกแบบมาให้ใช้กับเครือข่ายขนาด เล็กไปจนถึงขนาดกลาง เป็นโปรโตคอลเลือกเส้นทางมาตรฐานที่ไม่ขึ้นอยู่กับผู้ผลิตรายใด โดยมี RIP Version 1 ที่ได้รับมาตรฐาน RFC 1058 RIP เป็นโปรโตคอลที่เรียบง่าย อีกทั้งยังง่ายต่อการจัดตั้ง แต่ความเรียบง่ายของมัน กลับซ่อนปัญหาที่น่ากลัวไว้อยู่เบื้องหลัง คุณลักษณะการทำงานของ RIP คุณลักษณะของ RIP มีดังต่อไปนี้  RIP อาศัย ค่าของจำนวน Hop เป็นหลัก เพื่อการเลือกเส้นทาง โดยจำกัดที่ไม่เกิน 15 Hop  RIP จะส่งข่าวสารเกี่ยวกับการปรับปรุงเส้นทางออกไปทุก 30 วินาที  การส่งข้อมูลเกี่ยวกับการปรับปรุงตารางเส้นทาง เป็นการส่งออกไปทั้งหมดของตารางทั้งที่เป็นของเก่าและของใหม่  การส่งข่าวสารเกี่ยวกับการปรับปรุงเส้นทาง จะเกิดขึ้นกับ Router ที่เชื่อมต่อกันโดยตรงเท่านั้น การทำงานขั้นพื้นฐานของ RIP Version 1 การทำงานขั้นพื้นฐานของ RIP ค่อนข้างเรียบง่าย ภายใต้กฎกติกา ดังนี้  เมื่อใดที่ มีการ Boot ...
Read more