مستخدم:Asrinet/ملعب
ماهي تقنية ال Access List :
ال Access List هي عبارة عن قائمة بها تعليمات وشروط تتحكم وتصنف البيانات أو ال Packet على أن يتم تطبيق إجراء معين على هذه ال Packet ونقصد بالإجراء هنا إما تمرير ال Packet عبر الإنترفيس أو رفض تمريرها.
ماذا يمكن أن نمنع بواسطة إستخدام ال Access List :
يمكن أن نمنع عدة جهاز أو أجهزة من الدخول لشبكة معينة.
ويمكن أن نمنع شبكة من الدخول لشبكة أخرى.
ويمكن أن نمنع جهاز أو أجهزة من الإتصال بالإنترنتالانترنت.
ويمكن أن نمنع أجهزة من خارج الشركة أن تدخل لشبكة الشركة أو جزء من شبكة الشركة.
ويمكن أن نمنع بروتوكول بروتوكول (توضيح)معين من الدخول أو الخروج للشبكة.
الشرح :
- الـ Access Control List او ما يسمى بالـ (ACL) هي عبارة عن:
- قائمة بها تعليمات وشروط تتحكم وتصنف البيانات أو ال Packet
- على أن يتم تطبيق إجراء معين على هذه الـ Packet ونقصد بالإجراء هنا إما تمرير ال Packet عبر الـ Interface
- (بغض النظر عن نوع الـ Interface) أو رفض تمريرها.
- أهم استخدام للـ Access List هو عمل فلترة أو Secure للبيانات أو ال Packets الغير مرغوب بدخولها للشبكة أو خروجها من الشبكة.
- ماذا يمكن أن نمنع بواسطة استخدام ال Access List ؟؟
- يمكن أن نمنع عدة جهاز أو أجهزة من الدخول لشبكة معينة.
- ويمكن أن نمنع شبكة من الدخول لشبكة أخرى.
- ويمكن أن نمنع جهاز أو أجهزة من الاتصال بالإنترنت.
- ويمكن أن نمنع أجهزة من خارج الشركة أن تدخل لشبكة الشركة أو جزء من شبكة الشركة.
- ويمكن أن نمنع بروتوكول معين من الدخول أو الخروج للشبكة.
- ويمكن ويمكن ويمكن .... إلخ
- أيضاً على العكس من كلمة نمنع، فإنه يمكننا أن نستبدل كلمة نمنع بكلمة نسمح، وقيس على ذلك كل الأمثلة التي سردتها سابقاً.
- كيف نعمل ال Access List ؟؟
- طريقة عمل ال Access List يا إخوان هي أشبه بالبرمجة، نعم هي نوع من أنواع البرمجة إن صح التعبير.
- مثلاً: إذا حضر المدير فافتحوا له الباب.
- نلاحظ هنا أن إجراء فتح الباب مشروط بحضور المدير، ولكن ماذا لو لم يحضر المدير ؟؟ الجواب بسيط، الباب سيبقى مقفلاً مالم نعدل بشرط فتح الباب كأن نضيف مثلاً: إذا حضر المدير أو مساعده فإفتحوا الباب، وهنا نلاحظ أننا أضفنا مساعد المدير كشرط ثاني من شروط فتح الباب، وبالتالي فإن ال Access List هي بحد ذاتها برمجة لآوامر مشروطة إذا توافر الشرط فيها فإن إجراءً ما سيحدث، وإن لم يتوافر الشرط فإن الإجراء لن يحدث على الإطلاق.
- هذا كان مثال تشبيهي وذكرته لكي أسهل عليكم فهم ماوارء الكواليس لل Access List .
- لنبدأ الحديث عن ال Access List ومعلومات مهمة عنها:
- ال Access List يتم بنائها في ال Global Configuration Mode الخاص بالرواتر أو السويتشالسويتش
- ال Access List تتبع طريقة الفحص المتسلسل للتعليمات والشروط، بمعنى أن كل Access List كما ذكرنا سابقاً تتكون من عدد من ال Statments ، أو عدد من الشروط والتعليمات ، عندما تأتي Packet معينة للرواتر وتحديداً لل Interface الذي طبقنا عليه ال Access List فإن هذه Access List تقوم بفحص هذا ال Packet وتمريره على ال Statments أو الشروط بالترتيب من الأعلى للأسفل، الـ Router سيمسك ال Packet ويقارنها بالشرط الأول وسيسأل الرواتر نفسه: هي الشرط ينطبق على هذه ال Packet أو لا ؟؟؟
- إذا أنطبق الشرط فإن الرواتر يتوقف ليقرأ الإجراء .
- يرجى الانتباه بأنه في نهاية كل Access List نقوم بإنشائها يوجد إجراء أو Action مخفي ولا يمكن رؤيتها أو حتى قراءتها، هذا الإجراء يقول (( إمنع الكل )) ، مثلاً: قلنا لبواب العمارة: يا بواب إمنع فقط علي و خالد وعمر من دخول البناية، يوجد هناك أمر مخفي في ال Access List يقول: إمنع الجميع، وبالتالي لو حضر مصطفى فلن يتمكن من الدخول، ليس بسبب أن إسم مصطفى مدرج من ضمن أسماء الأشخاص المحظور دخولهم، كلا يا إخوان، ولكن بسبب أنه يوجد تعليمة مخفية تقول إمنع الكل، يعني by default الـ Access List بسوي Block للكل يعني Deny .
- وبالتالي إسم مصطفى هو من ضمن الكل صحيح ؟؟ وبالتالي تم منع مصطفى على هذا الأساس.
- أنواع ال Access List :
- 1- Standard Access List
- هذا النوع يستخدم عنوان أو IP Address للجهاز المرسل أو ال Source Address فقط، وبالتالي فإن الشرط هنا هو العنوان أو ال IP Address للجهاز المرسل فقط فقط فقط لا غير.
- يعني هذا التوع فقط يمنع الـ IP Address و لا يستطيع منع أي نوع من انواع الـ Application وهو يعمل على المستوى الثالث من الطبقات السبعة وهو ال Network Layer فقط.
- يتم إنشاء هذا النوع عن طريق الدخول إلى ال Global Configuration Mode ومن ثم إعطاء الأمر Access-list ومن ثم كتابة رقم، يوجد لل Standard Access List مجال من الأرقام المستخدمة، هذا المجال كما يالي:
- و هذا المجال يتكون من 2 Range من 1 ولغاية 99 و 1300 لغاية 1999
- يعني يمكنك كتابة أي رقم هذا ال Range للدلالة على إنشاء Access List من نوع Standard
- فلو كتبت للرواتر الرقم 1500 أو الرقم 20 فسيفهم الرواتر على الطاير أن هذه الأكسس لست هي من نوع Standard وبالتالي لن يعطيك أية خيارات سوى خيار منع أو السماح لل IP Address للجهاز المرسل لل Packet .
- مثال:
- Router(config)#access-list 49 deny 192.168.0.0 0.0.255.255
- 2- Extended Access List
- هذا النوع يستخدم في تقييمه لل Packet العديد من الأمور، مثل: عنوان المرسل، عنوان المستقبل، نوع بروتوكول معين في المستوى الرابع أو Transport Layer، رقم Port للجهاز المرسل، رقم البورت للجهاز المستقبل. وبالتالي نلاحظ هما أنه يمكننا التحكم بمستويين من مستويات الطبقات السبعة وهما The Network Layer و The Transport Layer .لان هذا النوع يعمل في المستويين الثالث و الرابع من مستويات الـ IOS Layer
- وهذا يعطي ال Extended Access List قوة أكبر في إمكانية التفصيل بشكل أكبر في تحديد الشروط.
- يتم إنشاء هذا النوع عن طريق الدخول إلى ال Global Configuration Mode ومن ثم إعطاء الأمر Access-list ومن ثم كتابة رقم، وكما في ال Standard فإنه أيضاً يوجد مجال أو Range لهذا النوع وهو ال Extended Access List ، وهذا أيضا يتكون من 2 Range كما يلي:
- من 100 ولغاية 199 و من 2000 لغاية 2699 ، يعني يمكنك كتابة أي رقم ضمن الـ 2 Range للدلالة على إنشاء Access List من نوع Extended ، وفرضاً أننا إخترنا الرقم 160 او الرقم 2599 فسيفهم الرواتر على الطاير أن هذه الأكسس لست هي من نوع Extended وبالتالي سيعطيك الرواتر خيارات أكبر للمنع أو السماح، وهذه الخيارات طبعاً تكلمنا عنها سابقاً مثل عنوان الجهاز المرسل أو الجهاز المستقبل، رقم البورت للجهاز المرسل و رقم البورت للجهاز المستقبل، وهكذا.
- مثال:
- Router(config)access-list 115 deny tcp any host 172.16.16.1 eq 80
- 3- Named Access List
- هذا النوع صراحة لا يمكن أعتبره نوع !!! ولكن أعتبره طريقة لتسمية ال Access List بإسم يدل على مضمون هذه ال Access List وبالتالي يسهل علينا كمسؤلين عن جهاز الرواتر أو السويتش أن نعرف: لماذا أنشأنا هذه الأكسس لست، مثلاً لو أردنا منع التصفح على الإنترنت فبإمكاننا أن نكتب Named Access List ونسميها No_Internet أو STOP_INTERNET ومن ثم نطبقها على الإنترفيس بنفس الإسم وبالتالي لو عدنا للأكسس لست في وقت لاحق فإننا سنعرف أن هذه الأكسس لست أنشأت لمنع الوصول للإنترنت.
- طبعاً هذا النوع الثالث يستخدم النوعين السابقين من ال Acsess List وهما ال Standard و ال Extended ، فقط الإختلاف في ال Command .
- مثال:
- ٌRouter(config)#ip access-list standard NO_INTERNET
- أو
- ٌRouter(config)#ip access-list standard STOP_INTERNET
- وعندما نريد أن نطبقها على الإنترفيس نستبدل الرقم ب الإسم الذي كتبناه.
- عندما ننشأ أي Access List وكما ذكرنا سابقاً فهي عديمة الفائدة مالم تطبق على ال Interface ، ولكي تطبق على الإنترفيس لابد من الذهاب للإنترفيس عن طريق الأمر Inteface xxxx ، طبعاً ال xxx هنا عنيت بها أي إنترفيس على الراوتر سواء كان إثرنت أو سيريال أو ATM أو غيره، ومن ثم و بعد أن نكون في ال Inteface Mode نقوم بتطبيق الأمر التالي:
- Router(config-if)#ip access-group (access list number) (in or out)k
- طبعاً ماقصدته ب access list number هو أي رقم من ضمن ال Range الذي تكلمنا عنه سواء لل Standard أو لل Extended .
- ولكن ماذا أقصد ب in أو out ؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟
- هذه هي نقطة الضعف عند معظم من يدرس ال Access List ، ولكن سأعطيكم بعون الله طريقة لن تخطئوا على الإطلاق في كيفية تحديد أي من الخياران أن نختار، ولكن قبل ذلك دعونا نتكلم قليلاً عن ال in و ال out .
- كما ذكرنا سابقاً يا إخوة أن ال Access List عديمة الفائدة مالم تطبق على ال Interface ، وتطبيقها كما شرحنا سابقاً يتم على أن ندخل على الإنترفيس ومن ثم نصدر الأمر ip access-group ونتبعه برقم الأكسس لست، ومن ثم نتبعه ب in أو out ، كل هذا في سطر واحد، طيب ماذا نقصد ب in و ماذا نقصد ب out ؟؟؟
- in هي إختصار ل Inbound Access Lists و out هي اختصار ل Outbound Access List ، يعنى ال Access List تطبق على ال Packets الداخلة للراوتر أو الخارجة منه، طبعاً تحديد الإتجاه هو من العوامل المهمة جداً في نجاح تطبيق ال Access List ، ولكي نعرف كيف نطبق ال Access List في الإتجاه الصحيح دعونا نتبع هذه القاعدة السهلة جداً، ولو فهمتوا هذه القاعدة فلن ولن تخطؤا الإتجاه بعون الله على الإطلاق.
- قاعدة تحديد إتجاه ال Access List :
- أول شيء نضع عيننا على ال Interface الذي سنطبق عليه ال Access List ونلاحظ
- ----------O
- ال O هي الراوتر ، وال I هي الإنترفيس، طيب خلينا نلاحظ التالي:
- إذا كانت ال Packet موجودة داخل الراوتر ونريد منعها أو السماح لها بالخروج من الرواتر عبر ال Interface نقول: من ======> إلى ، أي من داخل الراوتر إلى خارجه ، أي من In إلى Out ، دائماً دائماً دائماً نختار الشق الثاني، وفي هذه الحالة هو Out .
- إذا كانت ال Packet موجودة خارج الراوتر ونريد منعها أو السماح لها بالدخول للراوتر عبر ال Inteface نقول: من ======> إلى ، أي من خارج الراوتر إلى داخله ، أي من Out إلى In ، دائماً دائماً دائماً نختار الشق الثاني، و في هذه الحالة هو In .
- و انشا الله راح اشرح في الدروس القادمة شرحا مفصلا عن باقي الدروس
- راجيا من الله ان ينتفع به جميع شباب المسلمين ...
أخوكم عسري عبد الاله --Asrinet (نقاش) 16:01، 18 ديسمبر 2012 (ت ع م)
[[تصنيف:]] الشبكات،سيسكو،تقنية المعلومات
سيسكو، ccna، مركز بوابة العرب التعليمي ..