NameCheap-Hosting

استفد من الخصومات على خدمات الاستضافة بمختلف انواعها

VPS hosting: up to 30% off!

الاثنين، 27 يناير 2014

اداة Access Control List


ACL هي من الأدوات المهمة التي تمكن الراوتر أو أجهزة الشبكة من صنف (layer 3 devices) من السيطرة على البيانات المارة عبر أجهزة الشبكة، وذلك من خلال عمل Packets Filtering أو Packet Identification على هذه البيانات.
تتيح Packet Filtering للراوتر من منع أو السماح لبيانات معينة من المرور باتجاه مقصدها (destination) بناءً على شروط (conditions) معينة. أما Packet Identification فهي تعطي للراوتر امكانية التعرف (الاهتمام) ببيانات تنطبق عليها شروط معينة (conditions) من أجل إجراء تغييرات محددة على هذه البيانات مثل تغيير ال (source IP address) كما يحصل في عملية ال (NAT).
إنشاء ACL على أجهزة سيسكو يتم من خلال اضافة جمل (statements) داخل ال ACL والتي تكون بمثابة الشروط (conditions) التي تستهدف بيانات تنطبق عليها واحدة من تلك الشروط . إذ يمكن أن تشمل ال (ACL) الواحدة على عدة شروط (conditions)، يقوم الراوتر عند مرور بيانات من خلاله بمعاينة الشروط المذكورة في ال (ACL) والتحقق من انطباق أي شرط من هذه الشروط على البيانات، بحيث تكون معاينة الشروط تباعا ابتداءً من الشرط الأول المذكور في ال (ACL)، ثم الانتقال للشرط الثاني في حال لم ينطبق الأول، ثم الانتقال للشرط الثالث في لم ينطبق الثاني وهكذا، إلى أن تنتهي معاينة جميع الشروط. عند انطباق أياً من الشروط المذكورة يتم تطبيق النتيجة إما بالسماح (permit) للبيانات بالمرور أو بمنعها (deny) وذلك حسبما هو مذكور في الجملة (statement) التي واقفت الشرط. في حال لم ينطبق أي من الشروط على البيانات المارة من الراوتر يقوم الراوتر باغفال (discard) هذه البيانات، تماشيا مع القاعدة المنع الضمنية (implicit deny) أي منع البيانات التي لم ينطبق عليها أي شرط من الشروط المذكورة في ال (ACL).
مثال:
access-list 1 permit host 10.1.1.1
access-list 1 deny 10.1.1.0 0.0.0.255
access-list 1 permit 10.0.0.0 0.255.255.255
 في المثال السابق تم انشاء (ACL) تحمل الرقم (1) وتحتوي على 3 شروط  (conditions) الشرط الأول يحمل السماح للبيانات القادمة من المصدر (10.1.1.1)، أما الشرط الثاني يمنع مرور البيانات التي مصدرها اي عنصر من عناصر شبكة (10.1.1.0/24)، والشرط الثالث يسمح بمرور البيانات القادمة من شبكة (10.0.0.0/8). وبالتالي فإن البيانات التي لا ينطبق عليها أياَ من الشروط المذكورة سابقا فإنها لن يسمح لها بالمرور، لأنه ضمنيا يكون حكمها بعدم المرور كتنفيذ لقاعدة (implicit deny). في حال مرور بيانات مصدرها (10.1.1.10) من الراوتر، يقوم الراوتر بتنفيذ بنود (ACL) عليها، وكون الشرط الأول لا ينطبق على هذه البيانات، سينتقل لمعاينة الشرط الثاني وكون هذا الشرط ينطبق على هذه البيانات سيقوم الراوتر بتنفيذ أمر المنع حسب مقتضى الجملة (statement) الثانية، وهنا لن يكمل الراوتر باقي الجمل (statements) في ال (ACL). لذلك فإن ترتيب ال (statement) داخل ال (ACL) مهم جدا.
هناك عدة أنواع للـ (ACLs) أهمها (standard ACL) والتي تركز على  مصدر البيانات (source address) كتلك المذكورة في المثال السابق والتي تكون شروطها قائمة على مصدر البيانات.
وايضا هناك (extended ACL) والتي تركز على عدة جوانب مثل (source address)، (destination address)، نوع البروتوكول (IP, ICMP, IGMP, ARP)، ارقام المنافذ (source port number, destination port number) الموجودة على البيانات المارة بجهاز الراوتر او أجهزة (layer 3).
Labels:

ليست هناك تعليقات:

إرسال تعليق

الاشتراك في: تعليقات الرسالة (Atom)