سنبدأ اليوم في التعرف على قائمة التحكم في الوصول إلى ACL، وسيستغرق هذا الموضوع درسين فيديو. سنلقي نظرة على تكوين قائمة ACL القياسية، وفي الفيديو التعليمي التالي سأتحدث عن القائمة الموسعة.
في هذا الدرس سنتناول 3 مواضيع. الأول هو ما هي قائمة التحكم بالوصول (ACL)، والثاني هو الفرق بين قائمة الوصول القياسية وقائمة الوصول الموسعة، وفي نهاية الدرس، كمختبر، سننظر في إعداد قائمة الوصول القياسية وحل المشكلات المحتملة.
إذن ما هو الرباط الصليبي الأمامي (ACL)؟ إذا درست الدورة من درس الفيديو الأول، فستتذكر كيف قمنا بتنظيم الاتصال بين أجهزة الشبكة المختلفة.
لقد درسنا أيضًا التوجيه الثابت عبر بروتوكولات مختلفة لاكتساب المهارات في تنظيم الاتصالات بين الأجهزة والشبكات. لقد وصلنا الآن إلى مرحلة التعلم حيث يجب أن نهتم بضمان التحكم في حركة المرور، أي منع "الأشرار" أو المستخدمين غير المصرح لهم من التسلل إلى الشبكة. على سبيل المثال، قد يتعلق هذا بالأشخاص من قسم المبيعات، الموضح في هذا الرسم البياني. نعرض هنا أيضًا حسابات القسم المالي وقسم الإدارة وغرفة الخادم SERVER ROOM.
لذا، قد يكون لدى قسم المبيعات مائة موظف، ولا نريد أن يتمكن أي منهم من الوصول إلى غرفة الخادم عبر الشبكة. يتم الاستثناء لمدير المبيعات الذي يعمل على جهاز كمبيوتر محمول 2 - حيث يمكنه الوصول إلى غرفة الخادم. لا ينبغي أن يتمتع الموظف الجديد الذي يعمل على الكمبيوتر المحمول 3 بمثل هذا الوصول، أي أنه إذا وصلت حركة المرور من جهاز الكمبيوتر الخاص به إلى جهاز التوجيه R2، فيجب إسقاطها.
يتمثل دور قائمة التحكم بالوصول (ACL) في تصفية حركة المرور وفقًا لمعلمات التصفية المحددة. وهي تتضمن عنوان IP المصدر وعنوان IP الوجهة والبروتوكول وعدد المنافذ والمعلمات الأخرى، والتي بفضلها يمكنك تحديد حركة المرور واتخاذ بعض الإجراءات معها.
لذا، فإن ACL هي آلية تصفية الطبقة الثالثة لنموذج OSI. وهذا يعني أن هذه الآلية تستخدم في أجهزة التوجيه. المعيار الرئيسي للتصفية هو تحديد دفق البيانات. على سبيل المثال، إذا أردنا منع الشخص الذي لديه كمبيوتر محمول 3 من الوصول إلى الخادم، فيجب علينا أولاً تحديد حركة المرور الخاصة به. تتحرك هذه الحركة في اتجاه Laptop-Switch3-R2-R2-Switch1-Server1 عبر الواجهات المقابلة لأجهزة الشبكة، بينما لا علاقة لواجهات G1/0 لأجهزة التوجيه بذلك.
لتحديد حركة المرور، يجب علينا تحديد مسارها. بعد القيام بذلك، يمكننا تحديد المكان الذي نحتاج فيه بالضبط إلى تثبيت الفلتر. لا تقلق بشأن المرشحات نفسها، فسوف نناقشها في الدرس التالي، لأننا الآن بحاجة إلى فهم مبدأ الواجهة التي يجب تطبيق المرشح عليها.
إذا نظرت إلى جهاز التوجيه، يمكنك أن ترى أنه في كل مرة تتحرك فيها حركة المرور، توجد واجهة حيث يأتي تدفق البيانات، وواجهة يخرج من خلالها هذا التدفق.
توجد في الواقع ثلاث واجهات: واجهة الإدخال وواجهة الإخراج والواجهة الخاصة بجهاز التوجيه. فقط تذكر أنه لا يمكن تطبيق التصفية إلا على واجهة الإدخال أو الإخراج.
يشبه مبدأ تشغيل ACL بطاقة المرور إلى حدث لا يمكن حضوره إلا من قبل الضيوف الذين تظهر أسماؤهم في قائمة الأشخاص المدعوين. قائمة التحكم بالوصول (ACL) هي قائمة بمعلمات التأهيل المستخدمة لتحديد حركة المرور. على سبيل المثال، تشير هذه القائمة إلى أن كل حركة المرور مسموح بها من عنوان IP 192.168.1.10، ويتم رفض حركة المرور من جميع العناوين الأخرى. كما قلت، يمكن تطبيق هذه القائمة على كل من واجهة الإدخال والإخراج.
هناك نوعان من قوائم ACL: قياسية وممتدة. تحتوي قائمة ACL القياسية على معرف من 2 إلى 1 أو من 99 إلى 1300. هذه ببساطة أسماء قوائم ليس لها أي مزايا على بعضها البعض مع زيادة الترقيم. بالإضافة إلى الرقم، يمكنك تعيين اسمك الخاص إلى قائمة التحكم بالوصول (ACL). يتم ترقيم قوائم ACL الموسعة من 1999 إلى 100 أو من 199 إلى 2000 وقد يكون لها اسم أيضًا.
في قائمة ACL القياسية، يعتمد التصنيف على عنوان IP المصدر لحركة المرور. لذلك، عند استخدام مثل هذه القائمة، لا يمكنك تقييد حركة المرور الموجهة إلى أي مصدر، يمكنك فقط حظر حركة المرور الصادرة من الجهاز.
تقوم قائمة ACL الموسعة بتصنيف حركة المرور حسب عنوان IP المصدر وعنوان IP الوجهة والبروتوكول المستخدم ورقم المنفذ. على سبيل المثال، يمكنك حظر حركة مرور FTP فقط، أو حركة مرور HTTP فقط. سننظر اليوم إلى قائمة ACL القياسية، وسنخصص درس الفيديو التالي للقوائم الموسعة.
كما قلت، قائمة التحكم بالوصول (ACL) هي قائمة من الشروط. بعد تطبيق هذه القائمة على واجهة جهاز التوجيه الواردة أو الصادرة، يقوم جهاز التوجيه بفحص حركة المرور مقابل هذه القائمة، وإذا استوفى الشروط المنصوص عليها في القائمة، فإنه يقرر ما إذا كان سيسمح بحركة المرور هذه أو يرفضها. غالبًا ما يجد الأشخاص صعوبة في تحديد واجهات الإدخال والإخراج لجهاز التوجيه، على الرغم من عدم وجود شيء معقد هنا. عندما نتحدث عن واجهة واردة، فهذا يعني أنه سيتم التحكم في حركة المرور الواردة فقط على هذا المنفذ، ولن يطبق جهاز التوجيه قيودًا على حركة المرور الصادرة. وبالمثل، إذا كنا نتحدث عن واجهة الخروج، فهذا يعني أن جميع القواعد ستنطبق فقط على حركة المرور الصادرة، في حين سيتم قبول حركة المرور الواردة على هذا المنفذ دون قيود. على سبيل المثال، إذا كان جهاز التوجيه يحتوي على منفذين: f2/0 وf0/0، فسيتم تطبيق قائمة التحكم بالوصول (ACL) فقط على حركة المرور الداخلة إلى الواجهة f1/0، أو فقط على حركة المرور الناشئة من الواجهة f0/0. لن تتأثر حركة المرور الداخلة إلى الواجهة f1/0 أو الخارجة منها بالقائمة.
لذلك، لا تخلط بين الاتجاه الوارد أو الخارج للواجهة، فهو يعتمد على اتجاه حركة المرور المحددة. لذلك، بعد أن يقوم جهاز التوجيه بفحص حركة المرور للتأكد من مطابقتها لشروط قائمة التحكم بالوصول (ACL)، يمكنه اتخاذ قرارين فقط: السماح بحركة المرور أو رفضها. على سبيل المثال، يمكنك السماح بحركة المرور الموجهة إلى 180.160.1.30 ورفض حركة المرور الموجهة إلى 192.168.1.10. يمكن أن تحتوي كل قائمة على شروط متعددة، ولكن يجب أن يسمح كل شرط من هذه الشروط أو يرفضه.
لنفترض أن لدينا قائمة:
يحظر _______
يسمح ________
يسمح ________
يحظر _________.
أولاً، سيقوم جهاز التوجيه بفحص حركة المرور لمعرفة ما إذا كانت مطابقة للشرط الأول، وإذا لم تكن متطابقة، فسوف يتحقق من الشرط الثاني. إذا تطابقت حركة المرور مع الشرط الثالث، فسيتوقف جهاز التوجيه عن التحقق ولن يقوم بمقارنتها مع بقية شروط القائمة. سيتم تنفيذ الإجراء "السماح" والانتقال إلى التحقق من الجزء التالي من حركة المرور.
في حالة عدم تعيين قاعدة لأي حزمة ومرور حركة المرور عبر كافة أسطر القائمة دون الوصول إلى أي شرط من الشروط، فسيتم تدميرها، لأن كل قائمة ACL تنتهي بشكل افتراضي بأمر رفض أي - أي تجاهل أي حزمة، لا تندرج تحت أي من القواعد. يسري هذا الشرط إذا كانت هناك قاعدة واحدة على الأقل في القائمة، وإلا فلن يكون له أي تأثير. ولكن إذا كان السطر الأول يحتوي على الإدخال نفى 192.168.1.30 ولم تعد القائمة تحتوي على أي شروط، فيجب أن يكون هناك أمر في النهاية يسمح بأي، أي السماح بأي حركة مرور باستثناء ما تحظره القاعدة. يجب أن تأخذ ذلك في الاعتبار لتجنب الأخطاء عند تكوين قائمة التحكم بالوصول (ACL).
أريدك أن تتذكر القاعدة الأساسية لإنشاء قائمة ASL: ضع ASL القياسي في أقرب مكان ممكن من الوجهة، أي من مستلم حركة المرور، وضع ASL الممتد في أقرب مكان ممكن من المصدر، أي، إلى مرسل حركة المرور. هذه هي توصيات Cisco، ولكن من الناحية العملية هناك مواقف يكون من المنطقي فيها وضع قائمة ACL قياسية بالقرب من مصدر حركة المرور. ولكن إذا صادفك سؤال حول قواعد وضع قائمة التحكم بالوصول (ACL) أثناء الاختبار، فاتبع توصيات Cisco وأجب بشكل لا لبس فيه: المعيار أقرب إلى الوجهة، والممتد أقرب إلى المصدر.
الآن دعونا نلقي نظرة على بناء جملة قائمة ACL القياسية. يوجد نوعان من بناء جملة الأوامر في وضع التكوين العام لجهاز التوجيه: بناء الجملة الكلاسيكي وبناء الجملة الحديث.
نوع الأمر الكلاسيكي هو قائمة الوصول <رقم ACL> <رفض/السماح> <المعايير>. إذا قمت بتعيين <رقم ACL> من 1 إلى 99، فسوف يفهم الجهاز تلقائيًا أن هذه قائمة ACL قياسية، وإذا كانت من 100 إلى 199، فهي قائمة ممتدة. نظرًا لأننا ننظر في درس اليوم إلى قائمة قياسية، فيمكننا استخدام أي رقم من 1 إلى 99. ثم نشير إلى الإجراء الذي يجب تطبيقه إذا كانت المعلمات تتطابق مع المعيار التالي - السماح بحركة المرور أو رفضها. سننظر في هذا المعيار لاحقا، لأنه يستخدم أيضا في بناء الجملة الحديث.
يُستخدم نوع الأمر الحديث أيضًا في وضع التكوين العام Rx(config) ويبدو كما يلي: معيار قائمة الوصول ip <رقم/اسم ACL>. هنا يمكنك استخدام رقم من 1 إلى 99 أو اسم قائمة ACL، على سبيل المثال، ACL_Networking. يضع هذا الأمر النظام على الفور في وضع الأمر الفرعي للوضع القياسي Rx (config-std-nacl)، حيث يجب عليك إدخال <deny/enable> <criteria>. يتمتع النوع الحديث من الفرق بمزايا أكثر مقارنة بالنوع الكلاسيكي.
في القائمة الكلاسيكية، إذا كتبت Access-list 10 Deny ______، ثم اكتب الأمر التالي من نفس النوع لمعيار آخر وينتهي الأمر بـ 100 أمر من هذا القبيل، ثم لتغيير أي من الأوامر التي تم إدخالها، ستحتاج إلى حذفها قائمة قائمة الوصول 10 بأكملها مع الأمر no Access-list 10. سيؤدي هذا إلى حذف جميع الأوامر المائة لأنه لا توجد طريقة لتحرير أي أمر فردي في هذه القائمة.
في بناء الجملة الحديث، ينقسم الأمر إلى سطرين، يحتوي الأول منهما على رقم القائمة. لنفترض أنه إذا كان لديك رفض معيار قائمة الوصول 10 ________، رفض معيار قائمة الوصول 20 ________ وما إلى ذلك، فإن لديك الفرصة لإدراج قوائم وسيطة مع معايير أخرى بينهما، على سبيل المثال، رفض معيار قائمة الوصول 15 ________ .
وبدلاً من ذلك، يمكنك ببساطة حذف سطر قائمة الوصول القياسي 20 سطرًا وإعادة كتابتها باستخدام معلمات مختلفة بين سطر قائمة الوصول القياسي 10 وأسطر قائمة الوصول القياسية 30. وبالتالي، هناك طرق مختلفة لتحرير بناء جملة ACL الحديث.
يجب أن تكون حذرًا للغاية عند إنشاء قوائم ACL. كما تعلم، تتم قراءة القوائم من الأعلى إلى الأسفل. إذا وضعت خطًا في الأعلى يسمح بحركة المرور من مضيف معين، فيمكنك أدناه وضع خط يمنع حركة المرور من الشبكة بأكملها التي يعد هذا المضيف جزءًا منها، وسيتم التحقق من كلا الشرطين - سيتم نقل حركة المرور إلى مضيف معين سيتم السماح بالمرور، وسيتم حظر حركة المرور من جميع المضيفين الآخرين على هذه الشبكة. لذلك، ضع دائمًا إدخالات محددة في أعلى القائمة وإدخالات عامة في الأسفل.
لذلك، بعد قيامك بإنشاء قائمة ACL كلاسيكية أو حديثة، يجب عليك تطبيقها. للقيام بذلك، تحتاج إلى الانتقال إلى إعدادات واجهة معينة، على سبيل المثال، f0/0 باستخدام واجهة الأوامر <النوع والفتحة>، والانتقال إلى وضع الأوامر الفرعية للواجهة وإدخال الأمر ip Access-group <ACL number/ الاسم> . يرجى ملاحظة الفرق: عند تجميع القائمة، يتم استخدام قائمة الوصول، وعند تطبيقها، يتم استخدام مجموعة الوصول. يجب عليك تحديد الواجهة التي سيتم تطبيق هذه القائمة عليها - الواجهة الواردة أو الواجهة الصادرة. إذا كانت القائمة لها اسم، على سبيل المثال، شبكة الاتصال، فسيتم تكرار نفس الاسم في أمر تطبيق القائمة على هذه الواجهة.
لنأخذ الآن مشكلة محددة ونحاول حلها باستخدام مثال مخطط الشبكة الخاص بنا باستخدام Packet Tracer. لذلك، لدينا 4 شبكات: قسم المبيعات، قسم المحاسبة، الإدارة وغرفة الخادم.
المهمة رقم 1: يجب حظر كافة حركة المرور الموجهة من الأقسام المالية والمبيعات إلى قسم الإدارة وغرفة الخادم. موقع الحظر هو الواجهة S0/1/0 لجهاز التوجيه R2. أولا يجب علينا إنشاء قائمة تحتوي على الإدخالات التالية:
دعنا نسمي القائمة "ACL للإدارة وأمن الخادم"، والمختصرة باسم ACL Secure_Ma_And_Se. ويتبع ذلك حظر حركة المرور من شبكة الإدارة المالية 192.168.1.128/26، وحظر حركة المرور من شبكة قسم المبيعات 192.168.1.0/25، والسماح بأي حركة مرور أخرى. يُشار في نهاية القائمة إلى أنها تُستخدم للواجهة الصادرة S0/1/0 لجهاز التوجيه R2. إذا لم يكن لدينا السماح بأي إدخال في نهاية القائمة، فسيتم حظر كل حركة المرور الأخرى لأن قائمة التحكم بالوصول (ACL) الافتراضية يتم تعيينها دائمًا على "رفض أي إدخال" في نهاية القائمة.
هل يمكنني تطبيق قائمة التحكم بالوصول (ACL) هذه على الواجهة G0/0؟ بالطبع أستطيع ذلك، ولكن في هذه الحالة سيتم حظر حركة المرور من قسم المحاسبة فقط، ولن يتم تقييد حركة المرور من قسم المبيعات بأي شكل من الأشكال. وبنفس الطريقة، يمكنك تطبيق قائمة التحكم بالوصول (ACL) على واجهة G0/1، ولكن في هذه الحالة لن يتم حظر حركة مرور الإدارة المالية. بالطبع، يمكننا إنشاء قائمتين منفصلتين لهذه الواجهات، ولكن من الأفضل دمجهما في قائمة واحدة وتطبيقها على واجهة الإخراج لجهاز التوجيه R2 أو واجهة الإدخال S0/1/0 لجهاز التوجيه R1.
على الرغم من أن قواعد Cisco تنص على أنه يجب وضع قائمة ACL القياسية بالقرب من الوجهة قدر الإمكان، إلا أنني سأضعها بالقرب من مصدر حركة المرور لأنني أريد حظر كل حركة المرور الصادرة، ومن المنطقي أن أفعل ذلك بالقرب من الوجهة. المصدر بحيث لا تؤدي حركة المرور هذه إلى إهدار الشبكة بين جهازي توجيه.
لقد نسيت أن أخبركم عن المعايير، لذلك دعونا نعود بسرعة. يمكنك تحديد أي منها كمعيار - في هذه الحالة، سيتم رفض أو السماح بأي حركة مرور من أي جهاز وأي شبكة. يمكنك أيضًا تحديد مضيف بمعرفه - في هذه الحالة، سيكون الإدخال هو عنوان IP لجهاز معين. وأخيرًا، يمكنك تحديد الشبكة بأكملها، على سبيل المثال، 192.168.1.10/24. في هذه الحالة، سيعني /24 وجود قناع شبكة فرعية 255.255.255.0، لكن من المستحيل تحديد عنوان IP لقناع الشبكة الفرعية في قائمة التحكم بالوصول (ACL). في هذه الحالة، لدى ACL مفهوم يسمى Wildcart Mask، أو "القناع العكسي". لذلك يجب عليك تحديد عنوان IP وقناع الإرجاع. يبدو القناع العكسي كما يلي: يجب عليك طرح قناع الشبكة الفرعية المباشر من قناع الشبكة الفرعية العام، أي أنه يتم طرح الرقم المقابل لقيمة الثماني في القناع الأمامي من 255.
لذلك، يجب عليك استخدام المعلمة 192.168.1.10 0.0.0.255 كمعيار في قائمة التحكم بالوصول (ACL).
كيف تعمل؟ إذا كان هناك 0 في ثماني بتات قناع الإرجاع، فسيتم اعتبار المعيار مطابقًا للثمانية المقابلة لعنوان IP للشبكة الفرعية. إذا كان هناك رقم في ثمانيات القناع الخلفي، فلن يتم تحديد المطابقة. وبالتالي، بالنسبة لشبكة مكونة من 192.168.1.0 وقناع إرجاع قدره 0.0.0.255، سيتم حظر أو السماح بجميع حركة المرور من العناوين التي تساوي الثماني الثلاث الأولى منها 192.168.1.، بغض النظر عن قيمة الثماني الرابعة، اعتمادًا على الإجراء المحدد.
يعد استخدام القناع العكسي أمرًا سهلاً، وسنعود إلى قناع Wildcart في الفيديو التالي حتى أتمكن من شرح كيفية العمل به.
28:50 دقيقة
أشكركم على البقاء معنا. هل تحب مقالاتنا؟ هل تريد رؤية المزيد من المحتويات الشيقة؟ ادعمنا عن طريق تقديم طلب أو التوصية للأصدقاء ، خصم 30٪ لمستخدمي Habr على تناظرية فريدة من الخوادم المبتدئة ، والتي اخترعناها من أجلك: (متوفر مع RAID1 و RAID10 ، حتى 24 مركزًا وحتى 40 جيجا بايت DDR4).
ديل R730xd 2 مرات أرخص؟ هنا فقط في هولندا! Dell R420 - 2x E5-2430 2.2 جيجا هرتز 6C 128 جيجا بايت DDR3 2x960 جيجا بايت SSD 1 جيجا بايت في الثانية 100 تيرا بايت - من 99 دولارًا! أقرأ عن
المصدر: www.habr.com