एक्सेस लिस्ट के बारे में और अधिक जानकारी | ccna

एक्सेस लिस्ट आवश्यक रूप से कंडीशनस की लिस्ट है जिसके द्वारा Packets का वर्गीकरण किया जाता है | और ये पैकेट्स आपको एक नेटवर्क को कण्ट्रोल करने के काम में आ सकते है |

इसका जो मुख्य काम है वो यह है कि नेटवर्क को फ़िल्टर करके unwanted ट्रेफिक को रोकना है और ये सब सिक्यूरिटी पालिसी लगा कर किया जाता है | एक्सेस लिस्ट बनाना किसी प्रोग्रामिंग के कम नहीं है | "अगर ऐसा होतो तो ऐसा, और अगर वेसा हो तो वेसा" वाली कंडीशन होती है | एक बार एक्सेस लिस्ट पालिसी लगाने के बाद राऊटर को बोल दिया जाता है कि नेटवर्क से गुजरने वाले हर पैकेट की जांच करे | जहाँ पालिसी को लगाया गया है वहां |

आइये जानते है कि एक्सेस लिस्ट में कौन-कौन से रूल्स होते है |


  • जब भी पैकेट चेक किया जाता है तो एक्सेस लिस्ट में दिए हुए रूल्स, ऊपर से नीचे की तरह, एक के बाद एक कम करते है - जैसे पहला फिर दूसरा फिर तीसरा आदि |
  • पैकेट के साथ मेचिंग करते समय अगर एक्सेस लिस्ट का कोई रुल लगा दिया जाता है रूल्स मैच कर जाता है तो वो रूल लगा दिया जाता है फिर आगे चेक नहीं किया जाता है |
  • किस भी एक्सेस लिस्ट के अन्दर सबसे लास्ट में "deny" का रूल होता है, अगर पैकेट किसी भी रूल से मैच नहीं खाता है तो पैकेट लास्ट में deny कर दिया जाता है |

एक्सेस लिस्ट के प्रकार


एक्सेस लिस्ट 2 तरह की होती है |

Standard Access List - इस प्रकार की एक्सेस लिस्ट में केवल सोर्स IP address क ही फ़िल्टर किया जाता है | मतलब सरे decisions, सोर्स IP address पर निर्भर करते है | इसका मतलब इसके द्वारा रूल्स के रूप में सभी प्रोटोकॉल्स को, रोकने और ना रोकने का ही काम किया जाता है | किसी प्रोटोकॉल को ध्यान में रखकर पैकेट की पहचान नहीं की जाती है |

Extended Access List - extended list के द्वारा किसी भी IP पैकेट के लेयर 3 और लेयर 4 के अलग-अलग दुसरे फील्ड का मुल्यांकन किया जाता है | इसके द्वारा सोर्स और डेस्टिनेशन IP address का मूल्यांकन किया जाता है नेटवर्क लेयर के header का मूल्यांकन किया जाता है और transport layer का port number का भी मुलांकन किया जाता है |

Named Access List - जैसा कि पहले बताया जा चूका हा कि एक्सेस लिस्ट सिर्फ 2 प्रकार की होती है तो फिर ये क्या है ? technicaly  नेम्ड एक्सेस लिस्ट या तो standard हो सकती है या extended | ये अलग अलग तरीके से बनायीं जाती है पर इनका काम वही है |

Inbound Access List - inbound access list जहाँ पर भी लगायी जाती है उस नेटवर्क के पैकेट बाहर निकलने से पहले एक्सेस लिस्ट के द्वारा फ़िल्टर किये जाते है |

Outbound Access List - जब इस प्रकार की एक्सेस लिस्ट नेटवर्क के बाहरी हिस्से में लगायी जाती है तो अन्दर आने वाले सभ पैकेट को अन्दर आने से पहले फ़िल्टर किया जाता है |


कुछ जरुरी बातें जिनका ध्यान रखना जरुरी है, जब आप एक्सेस लिस्ट बना और लगा रहे है |


  • आप एक इंटरफ़ेस पर, एक प्रोटोकॉल पर, और एक डायरेक्शन पर सिर्फ एक ही एक्सेस लिस्ट लगा सकते है | इसका मतलब आप सिर्फ एक inbound एक्सेस लिस्ट और सिर्फ एक ही आउटबाउंड एक्सेस लिस्ट अपने एक इंटरफ़ेस पर लगा सकते है |
  • अपनी एक्सेस लिस्ट को अच्छे से मनेजे करें ताकि सही चीजों को ऊपर डिफाइन कर सकें |
  • जब भी एक्सेस लिस्ट में कोई नयी एंट्री आप डालते है तो वो लिस्ट में नीचे की तरह आएगी |
  • आप एक्सेस लिस्ट में से किसी एक लाइन को नहीं हटा सकते है इसलिए आपके लिए जरुरी है कि आप text editor का इस्तेमाल करें |
  • अगर आपकी लिस्ट में permit any कमांड नहीं है तो सरे आने वाले पैकेट वापस भेज दिए जायेंगे (rejected) | तो लिस्ट में कम से कम एक permit statement का होना जरुरी है |
  • पहले एक्सेस लिस्ट बनाये | एक्सेस लिस्ट को लगाने से पहले टेस्ट कर ले कि ये काम भी कर रही है कि नहीं |
  • एक्सेस लिस्ट, राऊटर के द्वारा गुजरने वाले ट्राफिक को फ़िल्टर करने के लिए बनायीं गयी है, ना कि राऊटर से शुरू होने वाले trafic को |
  • जितना संभव हो सके IP standard एक्सेस लिस्ट को डेस्टिनेशन के पास ही लगाये | यही कारण है कि हम अपने नेटवर्क में standard एक्सेस लिस्ट को काम में नहीं लेते है | अगर आप लगाते है तो आप सिर्फ सोर्स के आधार पर डाटा फ़िल्टर कर पाएंगे और डेस्टिनेशन पर इसका इफ़ेक्ट पढ़ेगा |
  • IP extended लिस्ट को जितना संभव हो सके सोर्स के पास ही लगाये | क्योंकि इस प्रकार की एक्सेस लिस्ट कुछ IP addresses और प्रोटोकॉल्स को भी फ़िल्टर करती है | आप नहीं चाहेंगे कि आपका ट्रैफिक बाहर के नेटवर्क में जाकर डिनाइड हो जाये |


Standard Access List

एक standard एक्सेस लिस्ट पैकेट का सोर्स address को फ़िल्टर करके पहचान करती है | आप standard एक्सेस लिस्ट को या तो 1 से 99 कोई भी नंबर दे सकते है या फिर और ज्यादा रेंज 1300 से 1900 तक में से दे सकते है क्योंकि एक्सेस लिस्ट को नंबरों से ही अलग किया जाता है | नंबरों के आधार पर राऊटर जनता है कि कौनसे ट्रैफिक को फ़िल्टर करना है | जब इस लिस्ट को 1 से 99 और 1300 से 1900 नंबर देते है तो फिर राऊटर केवल सोर्स address को ही टेस्ट करता है | अब हम कुछ कमांड देखते है |

#access-list ?
#access-list 10 ?
#access-list deny ?
#access-list 10 deny host ?
#access-list 10 deny host 172.16.30.2


Extended Access List

जी हाँ extended लिस्ट आपका दिन बचा सकता है | क्योंकि ये लिस्ट सोर्स और डेस्टिनेशन address की देखरेख करता है | साथ ही साथ प्रोटोकॉल और पोर्ट्स के हिसाब से भी सिक्यूरिटी देता है | extended लिस्ट के द्वारा ना सिर्फ एक LAN सिक्योर किया जा सकता है बल्कि एक होस्ट और होस्ट की सर्विसेज को भी सिक्योर किया जा सकता है | जिस तरह से standard लिस्ट के लिए एक नंबर की रेंज थी उसी प्रकार एक्स्तेदेद लिस्ट में भी नंबर बताये गए है जो 100 से 199 तक है और 2000 से 2699 तक की रेंज भी extended लिस्ट के लिए ही काम में आती है |

एक बार आप नंबर चुन लेने के बाद आप उस नंबर का इस्तेमाल करके एक्सेस लिस्ट बना सकते है |

#access-list 110 ?
#access-list 110 deny

अब हम देखते है कि application layer प्रोटोकॉल को कैसे सिक्योर कर सकते है |

#access-list 110 deny tcp ?
#access-list 110 deny tcp any ?
#access-list 110 deny tcp any host 172.16.30.2 ?
#access-list 110 deny tcp any host 172.16.30.2 eq ?

Named ACL's

जैसा की मैंने पहले ही कहा था कि standard और extended लिस्ट बनाने का ये एक और तरीका है | चाहे कंपनी छोटी हो या फिर बड़ी, एक्सेस लिस्ट को मनेज़ करना बढ़ी समस्या का विषय है | एक आसान तरीका ये भी है कि अपनी एक्सेस लिस्ट को text editor में कॉपी करके पेस्ट कर लीजिये और जो भी एडिटिंग करनी ही वो करने के बाद वापस राऊटर में पेस्ट कर दीजिये | 

मान लीजिये कि आप एक एक्सेस लिस्ट सर्च कर रहे है जिसका नंबर 177 है और जो एक extended लिस्ट है और इसमें 93 लाइन्स है तो क्यों न एक नंबर देने के बजाय लिस्ट को एक नाम दिया जाये जिससे कि इसको सर्च करने में आसानी हो |

#config t
#ip access-list ?
#ip access-list standard ?
#ip access-list standard BlockSales

यहाँ पर मैंने एक स्तंदर एक्सेस लिस्ट को BlockSales नाम दिया है, कोई नंबर इस्तेमाल नहीं किया |


Remarks

एक remark keyword बहुत जरुरी है किस भी IP standard और extended एक्सेस लिस्ट के लिए | ये आपको बताती है कि आपकी एंट्री किस बारे में है |

और ये remark आप कहीं पर भी लगा सकते है, permit और deny statement के पहले या फिर बाद में | आप अपने हिसाब से चुन सकते है जिससे आपको समझने में कोई दिक्कत ना हो |

Share on Google Plus
    Blogger Comment
    Facebook Comment

0 comments:

Post a Comment

Featured Post

The answer to everyday questions will be the most profitable business

अगर हममे से कोई ट्रेन यात्रा पर जाने वाला हो और किसी बीच के स्टेशन से ट्रेन में सवार होना हो तो पहला सवाल मन में यह आता है कि पता नहीं य...