NameCheap-Hosting

استفد من الخصومات على خدمات الاستضافة بمختلف انواعها

VPS hosting: up to 30% off!

الاثنين، 27 يناير 2014

اداة Access Control List


ACL هي من الأدوات المهمة التي تمكن الراوتر أو أجهزة الشبكة من صنف (layer 3 devices) من السيطرة على البيانات المارة عبر أجهزة الشبكة، وذلك من خلال عمل Packets Filtering أو Packet Identification على هذه البيانات.
تتيح Packet Filtering للراوتر من منع أو السماح لبيانات معينة من المرور باتجاه مقصدها (destination) بناءً على شروط (conditions) معينة. أما Packet Identification فهي تعطي للراوتر امكانية التعرف (الاهتمام) ببيانات تنطبق عليها شروط معينة (conditions) من أجل إجراء تغييرات محددة على هذه البيانات مثل تغيير ال (source IP address) كما يحصل في عملية ال (NAT).
إنشاء ACL على أجهزة سيسكو يتم من خلال اضافة جمل (statements) داخل ال ACL والتي تكون بمثابة الشروط (conditions) التي تستهدف بيانات تنطبق عليها واحدة من تلك الشروط . إذ يمكن أن تشمل ال (ACL) الواحدة على عدة شروط (conditions)، يقوم الراوتر عند مرور بيانات من خلاله بمعاينة الشروط المذكورة في ال (ACL) والتحقق من انطباق أي شرط من هذه الشروط على البيانات، بحيث تكون معاينة الشروط تباعا ابتداءً من الشرط الأول المذكور في ال (ACL)، ثم الانتقال للشرط الثاني في حال لم ينطبق الأول، ثم الانتقال للشرط الثالث في لم ينطبق الثاني وهكذا، إلى أن تنتهي معاينة جميع الشروط. عند انطباق أياً من الشروط المذكورة يتم تطبيق النتيجة إما بالسماح (permit) للبيانات بالمرور أو بمنعها (deny) وذلك حسبما هو مذكور في الجملة (statement) التي واقفت الشرط. في حال لم ينطبق أي من الشروط على البيانات المارة من الراوتر يقوم الراوتر باغفال (discard) هذه البيانات، تماشيا مع القاعدة المنع الضمنية (implicit deny) أي منع البيانات التي لم ينطبق عليها أي شرط من الشروط المذكورة في ال (ACL).
مثال:
access-list 1 permit host 10.1.1.1
access-list 1 deny 10.1.1.0 0.0.0.255
access-list 1 permit 10.0.0.0 0.255.255.255
 في المثال السابق تم انشاء (ACL) تحمل الرقم (1) وتحتوي على 3 شروط  (conditions) الشرط الأول يحمل السماح للبيانات القادمة من المصدر (10.1.1.1)، أما الشرط الثاني يمنع مرور البيانات التي مصدرها اي عنصر من عناصر شبكة (10.1.1.0/24)، والشرط الثالث يسمح بمرور البيانات القادمة من شبكة (10.0.0.0/8). وبالتالي فإن البيانات التي لا ينطبق عليها أياَ من الشروط المذكورة سابقا فإنها لن يسمح لها بالمرور، لأنه ضمنيا يكون حكمها بعدم المرور كتنفيذ لقاعدة (implicit deny). في حال مرور بيانات مصدرها (10.1.1.10) من الراوتر، يقوم الراوتر بتنفيذ بنود (ACL) عليها، وكون الشرط الأول لا ينطبق على هذه البيانات، سينتقل لمعاينة الشرط الثاني وكون هذا الشرط ينطبق على هذه البيانات سيقوم الراوتر بتنفيذ أمر المنع حسب مقتضى الجملة (statement) الثانية، وهنا لن يكمل الراوتر باقي الجمل (statements) في ال (ACL). لذلك فإن ترتيب ال (statement) داخل ال (ACL) مهم جدا.
هناك عدة أنواع للـ (ACLs) أهمها (standard ACL) والتي تركز على  مصدر البيانات (source address) كتلك المذكورة في المثال السابق والتي تكون شروطها قائمة على مصدر البيانات.
وايضا هناك (extended ACL) والتي تركز على عدة جوانب مثل (source address)، (destination address)، نوع البروتوكول (IP, ICMP, IGMP, ARP)، ارقام المنافذ (source port number, destination port number) الموجودة على البيانات المارة بجهاز الراوتر او أجهزة (layer 3).

الأحد، 12 يناير 2014

جانب ال routing بعلم الشبكات



علم الشبكات يهتم بعدة جوانب تتناول آلية عمل أجهزة الشبكات ومنها جهاز ال (router). ال (router) هو جهاز يقوم باعادة ارسال البيانات اعتمادا على ال ip address الموجود على غلاف البيانات المرسلة، يعتمد ال (router) بعمله على routing table الذي يشمل الشبكات التي بمقدوره الوصول إليها. في حال وجود بيانات متجهة لشبكة ليست موجودة في ال routing table يقوم ال (router) باهمال هذه البيانات اي رميها وبالتالي لن تصل للجهة المقصودة (destination).

لذا فإن قضية ال (routing) هي من الجوانب الاساسية بعلم الشبكات، وهي تعمل على حل مشكلة افتقار ال routing table لعناوين الشبكات التي يقوم ال (router) بارسال البيانات لعناصرها. وبالتالي فإن اكتمال ال routing table يعني امكانية وصول البيانات (reachability) بين عناصر الشبكات المختلفة عبر أجهزة الرواتر.
هناك عدة أساليب وبروتوكولات تهدف إلى بناء ال (routing table) لحل المشكلة، حيث تقوم باضافة عناوين الشبكات داخل ال (routing table)

ال (router) يقوم بمفرده باضافة الشبكات المرتبطة به بشكل مباشر، أما الشبكات غير المرتبطة به فإنه يتم اضافتها من قبل مدير الشبكة (administrator) وتجري هذه العملية على جميع أجهزة ال (router) المكونة للشبكة وتسمى (static routing protocol)، أو أن يقوم بتشغيل بروتوكول بين أجهزة ال (routers) والذي يقوم بدورة بنقل اشماء الشبكات المعروفة لكل جهاز بنقل تفاصيلها لأجهزة ال (routers) الأخرى وهذا الطريقة تعرف بما يسمى (dynamic routing protocols).